Keine Angst vor der DSGVO

Am 25. Mai 2018 ist die Datenschutzgrundverordnung der EU (DSGVO) in Kraft getreten. Sie führt zu einem einheitlichen Rechtsschutz aller EU-Bürger bei der Verarbeitung ihrer personenbezogenen Daten. Die neuen Regelungen beeinflussen Ihr tägliches Maklergeschäft erheblich. Wir bei Jung, DMS & Cie. helfen Ihnen dabei, Ihr Geschäft auf die DSGVO auszurichten.

Mit unserem Leitfaden, Mustervorlagen für Ihr Geschäft, Antworten auf häufig gestellte Fragen und einer eigens eingerichteten Anwaltshotline unterstützen wir Sie bestmöglich.

DSGVO – Was muss ich als Berater tun?

Um Ihnen die Arbeit zu erleichtern, stellen wir Ihnen nachfolgend einen DSGVO-Leitfaden zur Verfügung. Bitte lesen Sie diesen aufmerksam durch, befolgen Sie alle Arbeitsschritte und füllen Sie die verlinkten Dokumente sorgfältig aus.

FAQ

Fragen & Antworten

Was ist die DSGVO?
Auf wen bezieht sich die DSGVO?
Findet die DSGVO auch Anwendung im B2B-Geschäft, d. h. ohne Beteiligung eines Verbrauchers?
Was bedeutet bzw. umfasst die Verarbeitung von personenbezogenen Daten?
Müssen auch kleine Unternehmen, etwa Einzelmakler, die DSGVO beachten?
Müssen erteilte Einwilligungen erneuert werden?
Ist für Einwilligungen eine bestimmte Form zu beachten?
Gibt es Besonderheiten für Einwilligungen zum Newsletter-Erhalt?
Ist Werbung ohne vorliegende Einwilligung nach der DSGVO erlaubt? Gibt es ein Listenprivileg?
Brauchen insbesondere Einzelmakler künftig einen Datenschutzbeauftragten?
Können Sie einen Datenschutzbeauftragten empfehlen?
Muss eine Datenschutzerklärung Informationen über die konkrete Dauer der Aufbewahrung/Speicherung personenbezogener Daten enthalten?
Sind Aufbewahrungsfristen bzw. Löschpflichten nach deren Ablauf auch im Hinblick auf Daten juristischer Personen zu beachten?
Welche Folgen sind mit einer Speicherung über die Dauer von Aufbewahrungsfristen hinaus verbunden?
Welche Daten muss ich überhaupt nach Ablauf von Aufbewahrungsfristen löschen?
Welche Rechte hat eine betroffene Person nach der DSGVO?
Muss die Berichtigung oder Löschung von Daten dritten Stellen, insbesondere Datenempfängern, mitgeteilt werden?
Ist eine Datenübermittlung ins Ausland möglich?
Wie sieht es mit der Verschlüsselung von Webseiten sowie elektronischer Kommunikation aus und wie muss eine Verschlüsselung von Dateien erfolgen?
Was ist eine Auftragsverarbeitung und was ist diesbezüglich zu beachten?
Wo finde ich Kontaktinformationen über die Aufsichtsbehörden?
Wie kann mich JDC unterstützen?
Was ist die DSGVO?

Bei der DSGVO, Abkürzung für Datenschutz-Grundverordnung, handelt es sich um eine Verordnung der Europäischen Union. Als Verordnung bedarf sie keines Umsetzungsaktes durch den deutschen Gesetzgeber in nationales Recht, sondern findet unmittelbar Anwendung. Die DSGVO trat am 25.05.2016 in Kraft, aufgrund eines Übergangszeitraums kommt sie jedoch erst zwei Jahre später, am 25.05.2018, zu Anwendung. Ab diesem Datum sind ihre Regelungen zu beachten.

Auf wen bezieht sich die DSGVO?

Die DSGVO hat grundsätzlich Geltung für alle Stellen (das sind sowohl öffentliche Stellen, wie Behörden, als auch nicht-öffentliche Stellen, wie Unternehmen), die in irgendeiner Form personenbezogene Daten verarbeiten. Die DSGVO wirkt sich daher weitreichend und auf sämtliche Bereiche und Branchen aus.

Findet die DSGVO auch Anwendung im B2B-Geschäft, d. h. ohne Beteiligung eines Verbrauchers?

Grundsätzlich setzt die DSGVO die Verarbeitung von personenbezogenen Daten von natürlichen Personen voraus, d. h. der Anwendungsbereich der Verordnung ist lediglich dann eröffnet, wenn solche Daten betroffen sind. Darunter fallen auch Kaufleute und Einzelhändler. Daten von juristischen Personen unterfallen daher grundsätzlich nicht dem Schutz der Verordnung.

Hier ist allerdings Vorsicht geboten: Der Anwendungsbereich ist nicht eröffnet, soweit ausschließlich die juristische Person unter ihrer Firmierung adressiert ist. Sobald jedoch auch Funktionsträger (Geschäftsführer etc.) als natürliche Personen angesprochen werden, sind deren personenbezogene Daten betroffen und die DSGVO findet Anwendung.

Was bedeutet bzw. umfasst die Verarbeitung von personenbezogenen Daten?

Personenbezogene Daten definiert die DSGVO als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DSGVO. Es sind hierunter zahlreiche Arten von Daten zu fassen. Beispiele für personenbezogene Daten sind etwa allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, etc.), Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer, etc.), Bankdaten (Kontonummer, Kontostände, etc.), Online-Daten (IP-Adresse, Standortdaten, etc.),  physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße, etc.), Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten, etc.). Diese Liste selbstverständlich keineswegs abschließend, soll jedoch einen ersten Eindruck vermitteln, was unter personenbezogenen Daten zu verstehen ist.

Die DSGVO schafft grundsätzlich die Unterscheidung zwischen einzelnen Verarbeitungstätigkeiten ab, wie sie nach der alten Rechtslage bekannt war. Vielmehr wird begrifflich jede Tätigkeit im Zusammenhang mit personenbezogenen Daten als “Verarbeitung” bezeichnet. Die Verordnung definiert die Verarbeitung daher in Art. 4 Nr. 2 als

“jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;”

Müssen auch kleine Unternehmen, etwa Einzelmakler, die DSGVO beachten?

Die klare Antwort lautet: Ja.
Die DSGVO kennt kein Privileg für kleine Unternehmen und/oder sogenannte “Einzelkämpfer”. Sie muss grundsätzlich von jedem beachtet werden, der personenbezogene Daten verarbeitet.

Nicht zu verwechseln ist dies mit der Frage, inwieweit etwa bei Einzelmaklern ein Datenschutzbeauftragter bestellt werden muss. Hierzu gibt es unten eine eigene Frage.

Müssen erteilte Einwilligungen erneuert werden?

Soweit Verarbeitungen aufgrund von Einwilligungen durchgeführt werden und diese Einwilligungen nach “altem” Recht wirksam erteilt wurden, gelten diese grundsätzlich fort, sodass nicht jede Einwilligung erneuert werden muss. Das gilt auch etwa im Hinblick auf wirksam erteilte Einwilligungen für Newsletter.
Ab dem 25.05.2018 zu erteilende Einwilligungen sind jedoch entsprechend der DSGVO zu erteilen. Entsprechende Formulare werden von uns erarbeitet und vor Anwendbarkeit der DSGVO zur Verfügung gestellt.

Ist für Einwilligungen eine bestimmte Form zu beachten?

Eine bestimmte Form ist nicht (mehr) vorgeschrieben. Grundsätzlich kommen daher etwa auch mündliche Einwilligungen oder solche durch schlüssige Handlung in Betracht. Von der Nutzung dieser Möglichkeiten ist jedoch aufgrund von möglichen Nachweisproblemen dringend abzuraten. Etwaige Zweifel gehen nämlich zu Lasten des Verantwortlichen, denn dieser muss die erfolgte Einwilligung nachweisen können.

Es kommen daher weiterhin vor allem elektronische und schriftliche Einwilligungen in Betracht. Diese Einwilligungen sind zu protokollieren. Schriftlich eingeholte Einwilligungen müssen daher aufbewahrt werden. Elektronisch eingeholte Einwilligungen sind unter Zuhilfenahme technischer Maßnahmen entsprechend zu protokollieren. Dies erfolgt üblicherweise durch Setzen eines Häkchens neben dem konkreten Einwilligungstext.
Für eine sichere Protokollierung muss die Technik in der Lage sein, den Text der Einwilligung sowie die konkrete Handlung des Setzens des Häkchens mit Zeitstempel sowie (nicht anonymisierter) IP-Adresse des zugreifenden Geräts zu speichern.

Gibt es Besonderheiten für Einwilligungen zum Newsletter-Erhalt?

Für eine wirksame Einwilligung zum Newsletter-Erhalt und die diesbezügliche Protokollierung ist ein zweistufiges Verfahren anzuwenden.

Trägt sich der zukünftige Empfänger des Newsletters zu dessen Erhalt, etwa über eine Webseite, mit seiner E-Mail Adresse ein, so ist die Tatsache der Eintragung und die E-Mail Adresse abzuspeichern. An jene E-Mail Adresse muss nunmehr eine sogenannte Verifizierungs-E-Mail versendet werden, die einen Bestätigungslink enthält.
Klickt der Empfänger auf diesen Link, so ist die Tatsache der Betätigung des Links mit Zeitstempel und (nicht anonymisierter) IP-Adresse des verwendeten Geräts zu speichern.

Anschließend sind die gespeicherten Informationen zu Eintragung und Link-Betätigung zu verbinden.
Erst nach Verwendung auch des Links durch den Empfänger darf ein entsprechender Newsletter an diesen gesandt werden.

Werden Dienstleister mit der Versendung von Newslettern beauftragt, ist sicherzustellen, dass diese das vorgenannte Verfahren ausführen.

Ist Werbung ohne vorliegende Einwilligung nach der DSGVO erlaubt? Gibt es ein Listenprivileg?

Briefwerbung ist grundsätzlich auch ohne vorherige Einwilligung bei Nutzung gespeicherter Adressdaten erlaubt. Die verantwortliche Stelle hat hier ein berechtigtes Interesse an persönlicher Direktwerbung.
Soweit der Empfänger dem Erhalt von Briefwerbung widerspricht, ist weitere Briefwerbung an den Betroffenen nicht mehr zulässig und muss unterlassen werden.
Das nach alter Rechtslage bekannte Listenprivileg gibt es nach der DSGVO nicht mehr.

Auch E-Mail-Werbung (zum Beispiel Newsletter) ist grundsätzlich nach der DSGVO auch ohne Einwilligung erlaubt. Auch hier dürfte ein berechtigtes Interesse vorliegen. Hier darf sich allerdings nicht zu früh gefreut werden, da das Lauterkeitsrecht entsprechend zu beachten ist. Nach § 7 Abs. 2 Nr. 3 UWG stellt Werbung per E-Mail (wie auch per Fax) eine unzumutbare Belästigung dar, soweit keine ausdrückliche Einwilligung vorliegt. Eng begrenzte Ausnahmen sind in § 7 Abs. 3 UWG enthalten, wobei sämtliche der dort genannten Voraussetzungen erfüllt sein müssen:

  • der Werbende hat die E-Mail-Adresse im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen von dem Kunden erhalten,
  • der Werbende nutzt die E-Mail-Adresse nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
  • der Kunde hat der Verwendung nicht widersprochen und
  • der Kunde wurde bei Erhebung der E-Mail-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann.

Dies steht grundsätzlich im Einklang mit dem derzeitigen Entwurf der sogenannten ePrivacy Verordnung (Art. 16 Abs. 2).
Auch hier gilt danach: Hat der Empfänger der Verwendung widersprochen, ist eine E-Mail (oder Fax) Werbung nicht (mehr) zulässig und muss unterlassen werden.

Auch wenn die DSGVO Telefonwerbung nicht unmittelbar verbietet, sondern auch hier eher das Widerspruchsrecht in den Vordergrund rückt, ist hier Vorsicht geboten. Zum einen wird auch dieser Bereich von der erwarteten ePrivacy Verordnung abgedeckt sein (Art. 16). Ausnahmen, wie im Bereich E-Mail Werbung, sind hier nicht vorgesehen. Vielmehr muss hiernach stets eine ausdrückliche vorherige Einwilligung vorliegen. Zum anderen kommen Unternehmen hierzulande nicht an den Vorschriften des UWG vorbei, die gleichsam Telefonwerbung von einer Einwilligung abhängig machen und hier ebenfalls keine Ausnahmen vorsehen.

Ohne vorhandene Einwilligung (Kopplungsverbot beachten!) ist eine Telefonwerbung nicht durchzuführen.

Brauchen insbesondere Einzelmakler künftig einen Datenschutzbeauftragten?

Wir gehen aktuell davon aus, dass jedenfalls Einzelmakler keinen Datenschutzbeauftragten bestellen müssen.

Grundsätzlich gilt, dass solche Stellen einen Datenschutzbeauftragten bestellen müssen, bei denen mindestens 10 Personen ständig automatisiert (= unter Nutzung von IT Technik (PC)) personenbezogene Daten verarbeiten.

Dies trifft vor allem auf Einzelmakler selbstverständlich nicht zu. Allerdings kennt das Gesetz Ausnahmen. Eine Bestellung soll etwa auch dann verpflichtend sein, wenn “[…] die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten […] besteht.” (Art. 37 Abs. 1 lit. c) DSGVO).
Hieraus folgte die Unsicherheit, ob ein Makler, der besonders sensible Daten wie z.B. Gesundheitsdaten und Gewerkschaftszugehörigkeit des Kunden verarbeitet, nicht möglicherweise von dieser Ausnahme betroffen sei und er deshalb einen Datenschutzbeauftragten bestellen müsse.
Die Aufsichtsbehörden, wenngleich nicht ganz einheitlich, sprechen sich derzeit allerdings überwiegend dagegen aus, sodass eine diesbezügliche Tendenz zu erkennen ist. Ein Einzelmakler verarbeite entsprechende Daten jedenfalls nicht „umfangreich“ im Sinne der Vorschrift.
In diesem Bereich ist allerdings (leider) noch viel im Fluss und die Frage nach einem obligatorischen Datenschutzbeauftragten kann nicht mit absoluter Sicherheit beurteilt werden.
Zunächst ist jedoch davon auszugehen, dass die Bestellung eines Datenschutzbeauftragten erst dann obligatorisch ist, wenn die 10-Personen-Grenze erreicht ist, also mindestens diese Anzahl an Personen bei der verantwortlichen Stelle personenbezogene Daten verarbeitet. Externe Dienstleister und deren Angestellte sind hier nicht hinzuzurechnen. Es kommt lediglich auf eigene Beschäftigte an, wobei die Art der Anstellung nicht relevant ist.

Über entsprechende Entwicklungen in diesem Bereich informieren wir selbstverständlich stets kurzfristig.

Können Sie einen Datenschutzbeauftragten empfehlen?

Die JDC Group greift im Bereich Datenschutz auf die Dienste der BGfD Bayreuther Gesellschaft für Datenschutz mbH zurück. Informationen finden Sie unter www.datenschutz-bayreuth.de.

Muss eine Datenschutzerklärung Informationen über die konkrete Dauer der Aufbewahrung/Speicherung personenbezogener Daten enthalten?

Nein, die Angabe konkreter Zeiträume im Hinblick auf die Datenspeicherung ist nicht erforderlich und wäre auch regelmäßig nicht sinnvoll. Dies hat mit der Überlegung zu tun, dass sich zum einen gesetzliche Aufbewahrungsfristen während der Aufbewahrungszeit ändern könnten sowie zum anderen damit, dass für verschiedene Daten je nach Gesetz unterschiedliche Aufbewahrungsfristen gelten können.
Ein pauschaler Verweis auf gesetzliche Aufbewahrungsfristen ist daher einer konkreten Angabe vorzuziehen, etwa in der Form:

Die Dauer der Speicherung Ihrer personenbezogenen Daten richtet sich nach der jeweils anwendbaren gesetzlichen Aufbewahrungsfrist. Nach Ablauf dieser Frist werden die betreffenden personenbezogenen Daten gelöscht, sofern sie insbesondere nicht weiter zur Vertragserfüllung oder dessen Anbahnung erforderlich sind und/oder wenn wir nicht mehr über ein berechtigtes Interesse an der weiteren Speicherung der personenbezogenen Daten verfügen.

Sind Aufbewahrungsfristen bzw. Löschpflichten nach deren Ablauf auch im Hinblick auf Daten juristischer Personen zu beachten?

Diesbezüglich ist zunächst auf die Antwort zur Frage nach der Anwendbarkeit der DSGVO auf Daten juristischer Personen zu verweisen. Diese sind nämlich nicht dem Schutz der Verordnung unterstellt. Das bedeutet, dass Daten juristischer Personen grundsätzlich beliebig lange gespeichert werden können.
Aber auch hier ist Vorsicht geboten, denn sobald etwa Daten auch von Funktionsträgern (Geschäftsführer etc.) oder Angestellten der juristischen Person als natürliche Personen betroffen sind, sind dies personenbezogene Daten und die DSGVO findet Anwendung. Die Aufbewahrungsfristen sind dann zu beachten!

Welche Folgen sind mit einer Speicherung über die Dauer von Aufbewahrungsfristen hinaus verbunden?

Hierbei sollten Sie grundsätzlich mit gesundem Menschenverstand vorgehen.
Einerseits sind völlig starre Aufbewahrungsfristen eher eine Seltenheit (so aber etwa im Steuerrecht nach § 147 der Abgabenordnung und im Handelsrecht nach § 257 des Handelsgesetzbuchs). Vielmehr ist die Aufbewahrung jedenfalls so lange zulässig, wie eine Rechtsgrundlage für die Datenverarbeitung besteht, d.h. solange Sie ein Konzept mit einer vernünftigen Argumentation für die Aufbewahrung haben (z.B. Aufbewahrung zur möglichen Verteidigung gegen Schadensersatzansprüche) sind Sie auf der sicheren Seite.
Andererseits wird bei einer Intervention der zuständigen Datenschutzaufsichtsbehörde wohl zunächst eine Löschungsverfügung ergehen, die es der verantwortlichen Stelle noch vor Verhängung eines Bußgeldes ermöglicht, die betreffenden Daten zu löschen.

Aber: Dies heißt nicht, dass Aufbewahrungsfristen aus diesen Gründen nicht zu berücksichtigen sind. Sehr wohl könnte die Aufsichtsbehörde Bußgelder verhängen und wird dies, insbesondere bei umfangreichen und sich wiederholenden Verstößen, auch tun.

Welche Daten muss ich überhaupt nach Ablauf von Aufbewahrungsfristen löschen?

Ist die Aufbewahrungsfrist abgelaufen, sind sämtliche personenbezogene Daten zu löschen, die über die betroffene Person gespeichert sind und die dieser Aufbewahrungsfrist zugrunde liegen. Die Löschung kann also zunächst auch nur einen Teil der Daten betreffen, weil man andere Daten der betroffenen Person vielleicht noch länger aufbewahren muss. Beispielsweise sollten rein zu Marketingzwecke genutzte Daten (z.B. Cookies, Kunden-IP-Adresse) schneller gelöscht werden als Daten des Kunden, die man im Rahmen des Beratungsprozesses verwendet hat.

Welche Rechte hat eine betroffene Person nach der DSGVO?

Die DSGVO regelt die Betroffenenrechte in Kapitel 3, Art. 12 bis 23.
Von den zu beachtenden Informationspflichten der Art. 13 und 14 DSGVO abgesehen, sind von besonderer Relevanz insbesondere das Auskunftsrecht (Art. 15), das Recht auf Datenberichtigung (Art. 16), der Recht auf Löschung (Art. 17) sowie das Recht auf Datenübertragbarkeit (Art. 20), auf die nunmehr in der gebotenen Kürze eingegangen werden soll.

  1. Auskunftsrecht, Art. 15 DSGVO
    Das Auskunftsrecht des Betroffenen ist grundsätzlich nicht neu. Dieses gab es auch bereits nach alter Rechtslage. Betroffene Personen können also auch weiterhin von der verantwortlichen Stelle verlangen zu erfahren, ob überhaupt Daten über sie gespeichert sind. Ist dies zutreffend, kann auch Auskunft darüber verlangt werden, welche Daten gespeichert sind. Darüber hinaus sind weitere Informationen zu deren Verarbeitung zu geben. Nach Art. 12 Abs. 3 DSGVO sind die Informationen unverzüglich zu erteilen, längstens jedoch innerhalb eines Monats nach Eingang des Antrags. In Ausnahmefällen ist in gesetzlich geregelten Fällen eine Verlängerung um weitere zwei Monate möglich, die jedoch begründet werden muss. Stellt die betroffene Person den Antrag auf elektronischem Weg, etwa per E-Mail, so ist nach Möglichkeit auch auf diesem Weg zu informieren, soweit sie nichts anderen angibt (Art. 12 Abs. 3 Satz 4 DSGVO).
  2. Recht auf Berichtigung, Art. 16 DSGVO
    Auch dieses Recht ist grundsätzlich nicht neu. Die betroffene Person kann von der verantwortlichen Stelle verlangen, dass unrichtige Daten berichtigt werden. Darüber hinaus kann diese in diesem Zusammenhang auch die Vervollständigung unvollständiger personenbezogener Daten verlangen. Die Berichtigungspflicht besteht jedoch nur anlassbezogen, etwa auf Hinweis des Betroffenen oder eines Dritten. Eine Pflicht zum Ergreifen von Handlungen, um Daten aktuell zu halten, folgt nicht aus dem Gebot der Datenrichtigkeit. Auch hier hat die verantwortliche Stelle innerhalb eines Monats über die ergriffenen Maßnahmen zu informieren.
  3. Recht auf Löschung, Art. 17 DSGVO
    Auch das Recht auf Datenlöschung gab es bereits nach alter Rechtslage. Auch die Fallgruppen einer Löschung bleiben grundsätzlich erhalten. Die betroffene Person kann von der verantwortlichen Stelle die Löschung der sie betreffenden personenbezogenen Daten verlangen, soweit einer der gesetzlich geregelten Gründe vorliegt, insbesondere etwa dann, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Weitgehend bekannt sind auch die Gründe, die einer Löschung entgegenstehen, so etwa gesetzliche Aufbewahrungspflichten. Neu ist allerdings das in Art. 17 Abs. 2 DSGVO geregelte und viel zitierte „Recht auf Vergessenwerden“. Die verantwortliche Stelle muss im Falle eines Öffentlichmachens (= Zugänglichmachen für einen unbestimmten Personenkreis, z.B. Abrufbarkeit auf einer Webseite) von Daten andere Verantwortliche ausmachen und informieren, dass die betroffene Person von ihr die Löschung aller Links zu den sie betreffenden personenbezogenen Daten oder Kopien hiervon verlangt hat. Zum einen erfolgt dies jedoch nur auf ausdrückliches Verlangen er betroffenen Person hin sowie in dem Fall, dass Daten öffentlich gemacht wurden. Zum anderen beschränkt sich die Pflicht der ersten verantwortlichen Stelle auf eine Benachrichtigung des anderen Verantwortlichen. Insbesondere gibt es keine Pflicht oder Möglichkeit diesen zu einer Löschung zu bewegen. Auch hier hat die verantwortliche Stelle innerhalb eines Monats über die ergriffenen Maßnahmen zu informieren.
  4. Recht auf Datenübertragbarkeit, Art. 20 DSGVO
    Neu ist insbesondere das Recht auf Datenübertragbarkeit. Die betroffene Person kann von der verantwortlichen Stelle verlangen, dass ihr oder einem Dritten die über sie gespeicherten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden. Dieses Recht soll die Kontrolle über eigene personenbezogene Daten stärken und auch Anbieterwechsel erleichtern. Unklar ist noch, was unter einem „strukturierten, gängigen und maschinenlesbaren Format“ zu verstehen ist. Ein Standard wurde diesbezüglich nicht definiert und ein solcher ist aus aktueller Sicht wohl auch nicht zu erwarten, denn Erwägungsgrund 68 des DSGVO stellt klar, dass das Recht der betroffenen Personen keine Pflicht begründen soll „technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.“ Die gängigen Formate für Datenbanken werden dieser Voraussetzung jedoch in der Regel genügen. Wer also die Daten im Format CSV für einfache Lösungen sowie in den Formaten XML oder JSON für umfangreichere und/oder komplexere Lösungen übermitteln kann, dürfte die Voraussetzung in den meisten Fällen erfüllen. Auch hier hat die verantwortliche Stelle innerhalb eines Monats über die ergriffenen Maßnahmen zu informieren.
Muss die Berichtigung oder Löschung von Daten dritten Stellen, insbesondere Datenempfängern, mitgeteilt werden?

Grundsätzlich ja. Art. 19 DSGVO verpflichtet die verantwortliche Stelle, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der Daten (sowie auch eine Einschränkung der Verarbeitung) mitzuteilen.

So ist beispielsweise im Falle einer Adressänderung des Kunden (= Berichtigung eines geänderten und damit unrichtig gewordenen Datums) JDC zu informieren.

Ist eine Datenübermittlung ins Ausland möglich?

Hier ist grundsätzlich zu unterscheiden, in welches Land Daten übermittelt werden sollen.

Sofern die Datenübermittlung in ein Land innerhalb der EU erfolgen soll, ist dies unproblematisch möglich, da die dort ansässige dritte Stelle ebenfalls an die DSGVO gebunden ist. Eine solche Übermittlung wird behandelt, wie eine Übermittlung innerhalb eines Mitgliedsstaats. Selbstverständlich bedarf es aber einer entsprechenden Rechtsgrundlage, wie auch bei allen sonstigen Datenübermittlungen.

Soll eine Datenübermittlung in ein sogenanntes Drittland außerhalb der EU erfolgen, so bestimmt sich die Zulässigkeit zunächst danach, ob für das entsprechende Land ein sogenannten Angemessenheitsbeschluss der Kommission vorliegt oder ein Datenschutzübereinkommen besteht. Ein Angemessenheitsbeschluss existiert für die Staaten Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Mit den USA besteht ein Datenschutzübereinkommen, das sogenannte „Privacy Shield“, welches jedoch eine gesonderte Zertifizierung von US-Unternehmen erfordert und daher nicht pauschal für eine Übermittlung an sämtliche Stellen Anwendung findet. Viele große Unternehmen sind jedoch zertifiziert, so etwa auch Google, Facebook und Twitter. Das hat Auswirkungen auf den Einsatz von Plug-Ins oder Analysediensten dieser Unternehmen, der aufgrund der Zertifizierung möglich ist.

Soweit weder ein Angemessenheitsbeschluss, noch ein Datenschutzabkommen existiert, kann eine Datenübermittlung nur aufgrund von Garantien für den Datenschutz erfolgen. Solche Garantien können insbesondere bestehen in verbindlichen internen Datenschutzvorschriften, sog. Binding Corporate Rules, die von der zuständigen Aufsichtsbehörde genehmigt wurden. Darüber hinaus bei Nutzung von Standardvertragsklauseln, die von der Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt wurden. Schließlich bei von der EU genehmigten Verhaltensregeln oder einem genehmigten Zertifizierungsmechanismus.

Zu beachten ist insoweit, dass eine reine Unterwerfung des Empfängers unter die Regelungen der DSGVO oder die schriftliche Bestätigung des Empfängers die DSGVO einzuhalten nicht ausreicht!

Wie sieht es mit der Verschlüsselung von Webseiten sowie elektronischer Kommunikation aus und wie muss eine Verschlüsselung von Dateien erfolgen?

Es ist eine SSL/TSL Verschlüsselung von Webseiten vorzunehmen, soweit dort personenbezogene Daten erhoben werden. Das bereits jedenfalls dann zutreffend, wenn auf der Webseite zu gewerblichen Zwecken ein Kontaktformular vorgehalten wird. Eine derartige Verschlüsselung entspricht dem Stand der Technik.

Hinsichtlich einer Verschlüsselung von E-Mails ist die beste Variante sicherlich eine Ende-zu-Ende Verschlüsselung. Dies ist in vielen Fällen jedoch nur schwer umzusetzen. Nach unserer Kenntnis wird dies etwa noch nicht standardmäßig durch Anbieter wie Google, Apple oder Microsoft unterstützt. Es werden also spezielle Verschlüsselungsverfahren und entsprechende Apps und Plug-Ins benötigt. Darüber hinaus existieren verschiedene Standards, etwa PGP, OpenPGP, s/MIME.

Schließlich kommt es durchaus zu Problemen aufgrund von asymmetrischer Verschlüsselung notwendigen sogenannten Schlüsselpaaren (öffentlicher und privater Schlüssel).

Das Bayerische Landesamt für Datenschutzaufsicht hat im Jahr 2014 bei einer Prüfung der eingesetzten Mailserver bei 2.236 bayerischen Unternehmen lediglich geprüft, ob die Transportverschlüsselung (TLS)  und Perfect Forward Secrecy angewandt werden sowie ob die sogenannte Heartbleed-Lücke geschlossen wurde. Obgleich daher eine Ende-zu-Ende Verschlüsselung optimal wäre (hierzu müsste man sich insbesondere zunächst auf einen gemeinsamen Standard – wie etwa PGP, den das LDA Bayern ausdrücklich erwähnt – einigen), sollte in jedem Fall überprüft werden, ob der jeweils eingesetzte Mailserver so konfiguriert ist, dass er zumindest TLS und Perfect Forward Secrecy verwendet. Dies lässt sich bei dem jeweiligen Anbieter erfragen.

Im Hinblick auf die Verschlüsselung von Datensätzen, etwa in Dateien oder Ordnern sowie Programmen, mit personenbezogenen Daten stellt die Verwendung eines Passworts eine wohl ausreichende Sicherheitsmaßnahme gegen den Zugriff unberechtigter Dritter dar. Allerdings sollte das Passwort entsprechend so gewählt werden, dass es nicht leicht entschlüsselt werden kann.

Was ist eine Auftragsverarbeitung und was ist diesbezüglich zu beachten?

Grundsätzlich erfordert jede Auftragsverarbeitung den Abschluss eines individuellen Vertrags mit dem jeweiligen Auftragsverarbeiter.
War dieser Vertrag nach alter Rechtslage noch zwingend handschriftlich zu unterzeichnen, so kann dies gemäß der DSGVO auch elektronisch erfolgen, etwa durch Mausklick.

Eine Auftragsverarbeitung liegt regelmäßig dann vor, wenn das wesentliche Element der Dienstleistung in der Verarbeitung personenbezogener Daten für Zwecke des Auftraggebers liegt und kein eigenes Interesse des Dienstleisters an den Daten besteht, wenn der Auftraggeber Zwecke und Mittel der Datenverarbeitung im Wesentlichen festlegt sowie wenn die datenverarbeitende Stelle ausschließlich eine Hilfs- oder Unterstützungsfunktion hat. Die Nutzung von Newsletter-Versanddiensten ist daher etwa regelmäßig eine Auftragsverarbeitung. Entsprechend des Dokuments “Begleitende Hinweise zur Anlage Auftragsverarbeitung” des Bitkom e.V. (Seite 19) spricht für eine Auftragsverarbeitung, wenn

„[…]

  • dem Auftragnehmer die Entscheidungsbefugnis über die Daten fehlt.
  • der Auftragnehmer mit der Datenverarbeitung keine eigenen Geschäftszwecke verfolgt.
  • der Auftragnehmer einem ausdrücklichen Nutzungsverbot in Bezug auf die zu verarbeitenden Daten unterliegt.
  • der Auftrag auf die Durchführung einer Datenverarbeitung gerichtet ist, die aber nach außen hin vom Auftraggeber verantwortet wird.
  • der Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung in keinerlei vertraglichen Beziehungen zu den von der Datenverarbeitung Betroffenen steht.

[…]“

Die DSGVO regelt nunmehr neu auch neben einer Auftragsverarbeitung die Möglichkeit einer gemeinsamen Verantwortlichkeit, sog. Joint Controllership oder Joint Control. Gemeinsame Verantwortung entsteht dabei maßgeblich durch faktisches Verhalten, welches in einer gemeinsamen Festlegung von Zwecken und/oder Mitteln besteht, Art. 26 Abs. 1 DSGVO.
Auch bei Vorliegen von gemeinsamer Verantwortlichkeit ist eine entsprechende vertragliche Vereinbarung zu schließen, in welcher die Verantwortlichkeiten zwischen den Beteiligten geregelt werden.

Es ist aktuell in der Branche die Tendenz zu erkennen, dass man von dem Vorliegen einer gemeinsamen Verantwortlichkeit zwischen einzelnem Makler und Maklerpool ausgeht.
Ein entsprechender Vertrag wird derzeit von uns erarbeitet und kurzfristig zur Verfügung gestellt.

Wo finde ich Kontaktinformationen über die Aufsichtsbehörden?

Eine Liste der Aufsichtsbehörden für den nicht-öffentlichen Bereich finden Sie auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unter www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Wie kann mich JDC unterstützen?

Wir unterstützen unsere Vertriebspartner im Bereich der Umsetzung notwendigen Datenschutzes.

Antworten zu häufig gestellten Fragen finden Sie bereits in dieser Rubrik.

Um Ihnen bei der Einführung der neuen Datenschutzpflichten in Ihrem Unternehmen zu helfen, veröffentlichen wir Anfang Mai für Sie ein Checklisten-Tool mit Fragenkatalog zu den relevanten Datenschutzthemen und Abfrage Ihres aktuelle Umsetzungstands. Nach der Beantwortung dieser Fragen zeigt Ihnen das Tool den sich für Sie noch ergebenden Anpassungsbedarf.

Als angeschlossener Vertriebspartner erhalten Sie außerdem von uns zahlreiche für Ihre Maklertätigkeit relevante Dokumente zum Datenschutz. Dies umfasst Muster, wie ein kurzes Verarbeitungsverzeichnis, Einwilligungserklärungen für Endkunden u.v.m.

Schließlich bieten wir Ihnen gemeinsam mit der BGfD Bayreuther Gesellschaft für Datenschutz mbH eine Datenschutz-Hotline an. Diese erreichen Sie unter +49 921 507201-12.

Als Vertriebspartner der JDC können Sie diese nutzen, um einzelne Fragen zum Thema Datenschutz sowie der Umsetzung der DSGVO mit Datenschutz-Experten zu besprechen.

DSGVO-Hotline

Haben Sie Fragen? Bei Jung, DMS & Cie. lassen wir Sie nicht alleine.

Unsere Datenschützer und Rechtsanwälte stehen Ihnen bei jeder Frage Rede und Antwort.
Rufen Sie uns an! Sie erreichen uns Montag bis Freitag von 9:00 Uhr – 16:00 Uhr unter

+49 921 507201-12

Menü