FAQ – Quelle: DSGVO Verstehen Bayern



Kleine oder mittlere Unternehmen

Wer ist für den Datenschutz in meinem Unternehmen verantwortlich?

In einem kleinen Unternehmen sind Sie als Inhaber bzw. Unternehmer für den Datenschutz dort verantwortlich. 

Als sogenannter „Verantwortlicher“ haben Sie laut dem DSGVO gewisse Rechte und Pflichten, und müssen beispielsweise für die Datenschutzerklärung auf Ihrer Homepage sorgen. 

Hat sich durch die DSGVO nun alles für mein Unternehmen geändert?

Nein.

Bereits vor dem Inkrafttreten der DSGVO galt das Bundesdatenschutzgesetz, das sich nur in einigen Punkten von der aktuellen Regelung unterscheidet.

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise:

– bei einem Auftrag die Kontaktdaten Ihrer Kunden erhalten, 

– die Arbeitsverträge Ihrer Angestellten mit deren persönlichen Daten speichern,

– eine Internetseite haben und dort Nutzerdaten, wie etwa IP-Adressen, erheben. 

Neben der DSGVO ist für Ihr kleines Unternehmen weiterhin auch das Bundesdatenschutzgesetz bindend. 

Braucht mein kleines Unternehmen eine Datenschutzbeauftragten?

Nein.

Die meisten kleinen Unternehmen brauchen keinen Datenschutzbeauftragten.

Ihr kleines Unternehmen braucht nur dann einen Datenschutzbeauftragten, wenn

– bei Ihnen mindestens zehn Personen ständig mehr als die Hälfte ihrer Arbeitszeit ausschließlich mit der Verarbeitung personenbezogener Daten verbringen. Dies galt bereits vor der DSGVO, wenn Sie als bisher keinen Datenschutzbeauftragten brauchten ist dies wahrscheinlich auch jetzt noch so.

– Oder Ihr kleines Unternehmen hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt ist. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist. So braucht ein Krankenhaus einen Datenschutzbeauftragten, eine Arztpraxis, mit einem einzelnen Arzt dagegen nicht.

– Oder Ihr kleines Unternehmen hauptsächlich in der  Überwachung von Personen tätig ist und Sie so umfangreiche Informationsbeschaffung betreiben.

Müssen wir als kleines Unternehmen die Daten unserer Kunden schützen?

Ja.

Sie müssen die Daten Ihrer Kunden schützen, indem Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern. Digital gespeicherte Daten, sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf dem privaten Rechner des Unternehmensinhabers gespeichert sein, es muss jedoch sichergestellt werden, dass keine unbefugten Personen auf die Daten zugreifen können.

Müssen wir als kleines Unternehmen darüber informieren wie wir Daten verwenden?

Sie müssen lediglich solche Personen (Kunden, Mitarbeiter, …) über Ihren Umgang mit deren Daten informieren, deren Daten Sie seit dem Geltungsbeginn der DSGVO, dem 25.05.2018, erhoben und erfasst haben. 

Diese Personen müssen Sie zum Zeitpunkt der Erhebung darüber informieren. 

Personen deren Daten Sie schon vor dem 25.05.2018 erfasst hatten, müssen nicht informiert werden.  

Wie müssen wir als kleines Unternehmen über unsere Datenverarbeitung informieren?

Sie müssen diese Informationen lediglich auf Ihrer Internetseite aufführen und darauf hinweisen, wo diese zu finden sind, beispielsweise auf Ihrem Briefkopf, Antrags- oder Auftragsformular.

Sie können die Informationen auch als Aushang in einem Pausenraum für Mitarbeiter und einem Besucher- oder Warteraum für Kunden oder Patienten veröffentlichen oder auf Nachfrage schriftlich oder mündlich weitergeben. Bei kurzem telefonischen oder persönlichen Kontakt, beispielsweise zur Terminvereinbarung, ist eine Bekanntgabe dieser Informationen nicht nötig. 

Müssen wir Einwilligungen, beispielsweise für den Versand unseres Newsletters, erneut einholen?

Nein.

Wenn Ihre Kunden zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verarbeiten. Dafür ist es beispielsweise ausreichend, wenn die Kunden durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben. Siehe Web-Tracking-Tools 

Wenn Sie allerdings erneut nach einer Einwilligung fragen und diese abgelehnt oder ignoriert wird, gilt die „neue“ Ablehnung bzw. fehlende Antwort über der „alten“ Einwilligung, und Sie verlieren das Recht die Daten zu verarbeiten.

Was müssen wir beachten, wenn wir als Unternehmen Fotos anderer Personen für professionelle Zwecke machen und veröffentlichen möchte?

In diesem Bereich hat sich nicht viel für Sie geändert. 

Wenn es sich nicht um einen besonders definierten Einzelfall handelt, in dem dies gestattet ist (beispielsweise im Rahmen des Medienprivilegs, oder bei zeitgeschichtlichen Ereignissen) muss der Fotografierte einwilligen, dass Sie Fotos von ihm machen und veröffentlichen.

Wenn es sich bei den abgebildeten Personen um Beschäftigte handelt, ist immer eine schriftliche Einverständnis von diesen nötig. Wenn auf einem Bild die Personen nicht erkennbar sind, ist keine Einwilligung nötig. 

Wenn Sie das Einverständnis für die Aufnahme und Veröffentlichung von Fotos einholen, achten Sie darauf, diese nicht zu allgemein zu formulieren. Benennen Sie genau den Zweck und den Ort, zu und an dem Sie die einzelnen Bilder verwenden werden. Ist dies zu ungenau oder allgemein gehalten, ist die Einwilligung unwirksam.   

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Sie als kleines Unternehmen eine Internetseite betreiben, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Eventuell: Eine Checkliste der IHK für Ihre Datenschutzerklärung finden Sie hier.

 

Dürfen wir Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen.

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer Fanpage.

Unter welchen Bedingungen müssen wir einen Datenschutzverstoß melden?

Seit dem Inkrafttreten der DSGVO muss ein Verstoß der Aufsichtsbehörde gemeldet werden, aber nur, wenn er gravieren ist. 

Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursachen kann und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht. → Link https://www.lda.bayern.de/de/datenpanne.html einfügen

Informieren Sie auch Ihre Mitarbeiter über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an Sie zu wenden, damit die Frist gewahrt bleibt. 

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie unverschlüsselte Dateien mit Kundendaten, einem ärztlichen Attest oder Lohnabrechnungen per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen oder eine Terminvereinbarung für eine Betriebsfeier besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Drohen unserem Unternehmen bei Datenschutzverstößen Abmahnwellen?

Nein.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden.

Diese Pressemitteilung könnte sie interessiere: nBundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis 

Sollten Sie dennoch eine Abmahnung erhalten, können Sie sich zur Prüfung an das Bayerische Landesamt für Datenschutzaufsicht oder die Industrie- und Handelskammern wenden.

Droht bei einem Verstoß gegen die DSGVO meinem Unternehmen ein Bußgeld?

Ein Datenschutzverstoß muss, sobald er entdeckt wird, korrigiert werden. Wenn er durch Unkenntnis entstanden ist und es sich um einen ersten Verstoß handelt, wird kein Bußgeld verhängt.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und das Unternehmen zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge, nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten. 

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauchen wir als kleines Unternehmen das?

Wenn Sie regelmäßig Daten verarbeiten, müssen Sie ein Verarbeitungsverzeichnis anlegen. Wenn Sie dies nur hin und wieder tun, müssen Sie es nicht anlegen, es wird jedoch empfohlen. In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. Diese müssen nicht Schritt für Schritt aufgeführt werden, es kann auch sinnvoll zusammengefasst werden.  

Hier können Sie Muster des Landesamts für Datenschutzaufsicht für verschiedene Branchen downloaden.

Zur Arbeitsersparnis können Sie das Verarbeitungsverzeichnis gleichzeitig mit Ihrer Datenschutzerklärung erstellen, das Verarbeitungsverzeichnis muss jedoch nicht veröffentlicht werden.

Wie lange darf unser Unternehmen Kundendaten speichern?

Sie dürfen Kundendaten so lange spreichern, wie Sie diese aus betrieblichen Gründen benötigen. 

Dies umfasst den Zeitraum der zur Erfüllung eines Vertrages benötigt wird, aber zusätzlich auch steuerlich relevante Zeiträume oder bis zum Abschluss eventueller Rechtstreitigkeiten. Wollen Sie die Daten zu Werbezwecken nutzen, müssen Sie Ihren Kunden darüber und über sein Recht dem zu widersprechen informieren.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung muss bei riskante Datenverarbeitungsvorgängen durchgeführt werden. 

Auf kleine Unternehmen trifft dies äußerst selten zu. Demnächst sollen Listen des Bayerischen Landesamtes für Datenschutzaufsicht erhältlich sein, die dabei helfen zu entscheiden, ob ein Datenverarbeitungsvorgang eine Datenschutz-Folgenabschätzung erfordert oder nicht.

Dürfen wir einen Dritten mit der Verarbeitung von Kunden- oder Beschäftigtendaten beauftragen?

Ja. 

Dies hat sich nicht geändert, die sogenannte „Auftragsverarbeitung“ ist weiterhin erlaubt.

Vor der Auftragserteilung müssen Sie jedoch prüfen, ob der Beauftragte den Schutz der Daten, die Sie ihm zur Verfügung stellten, gewährleisten kann. Wenn Sie den Auftrag erteilen, muss der abgeschlossene Vertrag gewisse Mindestanforderungen erfüllen:

Wenn Sie bereits jemanden mit der Auftragsverarbeitung beauftragt haben, dann müssen Sie prüfen, ob der geschlossene Vertrag den oben genannten Mindestanforderungen entspricht.

Einen Mustervertrag finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht.

Was müssen wir beachten, wenn wir unsere Geschäftsräume und damit auch Kunden und Besucher per Video überwachen?

Hierbei hat sich nichts geändert. Sie dürfen öffentlich zugängliche Räume per Video überwachen, wenn Sie dort das Hausrecht haben oder ein berechtigtes Interesse besteht.

Ein berechtigtes Interesse ist beispielsweise gegeben, wenn Sie vermehrt Diebstähle bemerken.

Wenn das Ziel der Videoüberwachung nicht Ihre Kunden, sondern Beschäftigte sind, dann sollten Sie sich hier informieren: Beschäftigtendatenschutz

Muss ich in Bezug auf den Beschäftigtendatenschutz Änderungen beachten?

Nein.

In diesem Bereich hat sich nichts geändert. Sie dürfen die Daten Ihrer Beschäftigten verwenden, 

– in dem Maße, wie es für die Aufnahme, Durchführung oder Beendigung des Beschäftigungsverhältnisses notwendig ist,

– insofern es in Kollektivvereinbarungen geregelt ist,

– unter bestimmten Voraussetzungen, wenn es zur Verhinderung oder Aufdeckung einer Straftat des Beschäftigten notwendig und verhältnismäßig ist,

– Ihre Beschäftigten schriftlich eingewilligt haben.



Selbständige

Wer ist laut DSGVO der „Verantwortliche“?

Der „Verantwortliche“ laut DSGVO ist derjenige, der über den Umgang mit und die Verarbeitung von personenbezogenen Daten entscheidet.

Der „Verantwortliche“ laut DSGVO ist bei Selbstständigen demnach der Inhaber.

Hat sich durch die DSGVO nun alles für mich als Selbstständigen geändert?

Nein.

Bereits vor dem Inkrafttreten der DSGVO galt das Bundesdatenschutzgesetz, das sich nur in einigen Punkten von der aktuellen Regelung unterscheidet. 

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise

bei einem Auftrag die Kontaktdaten Ihrer Kunden erhalten,

Bilder von Projekten oder Kunden auf Ihrer Internetseite veröffentlichen möchten,

auf Ihrer eigenen Internetseite Daten der Besucher (IP-Adressen) erfassen.

Beachten Sie, dass neben der DSGVO für Sie als Selbstständigen auch nach wie vor das Bundesdatenschutzgesetz bindend ist. Es gelten weiterhin Regelungen, die den Schutz von Berufsgeheimnissen für verschiedene Berufe sicherstellen, wie etwa für Rechtsanwälte oder Ärzte.  

Brauche ich als Selbstständiger nun einen Datenschutzbeauftragten?

Nein, die meisten Selbstständigen brauchen keinen eigenen Datenschutzbeauftragten.

Sie brauchen nur dann einen Datenschutzbeauftragten, wenn einer dieser Fälle auf Sie zutrifft.

Sie beschäftigen mindestens zehn Personen, die ständig mehr als die Hälfte ihrer Arbeitszeit mit der Verarbeitung personenbezogener Daten verbringen. 

Dies galt bereits vor der DSGVO, wenn Sie also bisher keinen Datenschutzbeauftragten brauchten, ist dies wahrscheinlich auch jetzt noch so.

Oder Sie sind als Selbstständiger hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist. Ein Krankenhaus braucht einen Datenschutzbeauftragten, eine Arztpraxis, die ein einzelner Arzt betreibt, dagegen nicht.

Muss ich als Selbstständiger die Daten meiner Kunden schützen?

Ja, Sie müssen die Daten Ihrer Kunden schützen, indem Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern. Digital gespeicherte Daten sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf Ihrem privaten Rechner gespeichert sein, es muss jedoch sichergestellt sein, dass keine unbefugten Personen auf die Daten zugreifen können.

Muss ich als Selbstständiger darüber informieren, wie ich Daten verwende?

Sie müssen lediglich solche Personen (Kunden, Mitarbeiter, …) über Ihren Umgang mit deren Daten informieren, deren Daten Sie seit dem Geltungsbeginn der DSGVO, dem 25.05.2018, erhoben und erfasst haben. 

Diese Personen müssen Sie zum Zeitpunkt der Erhebung darüber informieren. 

Personen deren Daten Sie schon vor dem 25.05.2018 erfasst hatten, müssen nicht informiert werden

Wie muss ich als Selbstständiger über meine Datenverarbeitung informieren?

Sie müssen diese Informationen lediglich auf Ihrer Internetseite aufführen und darauf hinweisen, wo diese zu finden sind, beispielsweise auf Ihrem Briefkopf, Antrags- oder Auftragsformular.  

Sie können die Informationen auch als Aushang in einem Pausenraum für Mitarbeiter und einem Verkaufs-, Besucher- oder Warteraum für Kunden oder Patienten veröffentlichen oder auf Nachfrage schriftlich oder mündlich weitergeben. Bei kurzem telefonischen oder persönlichen Kontakt, beispielsweise zur Terminvereinbarung, ist eine Bekanntgabe dieser Informationen noch nicht nötig. 

Muss ich Einwilligungen, beispielsweise für den Versand meines Newsletters, erneut einholen?

Nein.

Wenn Ihre Kunden zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verarbeiten. Dafür ist es beispielsweise ausreichend, wenn die Kunden durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben (Web-Tracking-Tools). 

Wenn Sie allerdings erneut nach einer Einwilligung fragen und diese abgelehnt oder ignoriert wird, gilt die „neue“ Ablehnung bzw. fehlende Antwort über der „alten“ Einwilligung, und Sie verlieren das Recht die Daten zu verarbeiten.

Was muss ich beachten, wenn ich als Selbstständiger Fotos anderer Personen für professionelle Zwecke machen und veröffentlichen möchte?

In diesem Bereich hat sich nicht viel für Sie geändert. Wenn es sich nicht um einen besonders definierten Einzelfall handelt, in dem dies gestattet ist (beispielsweise im Rahmen des Medienprivilegs, siehe unten) muss der Fotografierte einwilligen, dass Sie Fotos von ihm machen und veröffentlichen. Wenn es sich bei den abgebildeten Personen um Beschäftigte handelt, ist immer eine schriftliche Einverständnis von diesen nötig. Wenn auf einem Bild die Personen nicht erkennbar sind, brauchen Sie keine Einwilligung. 

Wenn Sie das Einverständnis für die Aufnahme und Veröffentlichung von Fotos einholen, achten Sie darauf, diese nicht zu allgemein zu formulieren. Benennen Sie genau den Zweck und den Ort, zu und an dem Sie die einzelnen Bilder verwenden werden. Ist dies zu ungenau oder allgemein gehalten ist die Einwilligung unwirksam. 

Was versteht man unter dem Medienprivileg?

Das Medienprivileg schützt die Pressefreiheit und somit die Datenverarbeitung, wenn sie zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken erfolgt. In diesen Fällen gelten sehr viele der üblichen Datenschutzregeln nicht. 

Dies gilt nicht nur für Unternehmen, sondern auch für Einzelpersonen, solange Sie die Daten zu den oben genannten Zwecken verarbeiten. Es gilt nicht mehr, wenn es dabei um rein gewerbliche Zwecke geht.

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Sie als Selbstständiger eine Internetseite betreiben, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Darf ich Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen. 

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer  Fanpage.

Unter welchen Bedingungen muss ich einen Datenschutzverstoß melden?

Seit dem Inkrafttreten der DSGVO muss ein Verstoß der Aufsichtsbehörde gemeldet werden, aber nur, wenn er gravierend ist. 

Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursacht und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht → Link https://www.lda.bayern.de/de/datenpanne.html einfügen.

Informieren Sie auch Ihre Mitarbeiter über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an Sie zu wenden, damit die Frist gewahrt bleibt. 

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie unverschlüsselte Dateien mit Kundendaten, einem ärztlichen Attest oder Lohnabrechnungen per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail, bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen oder ein unausgefülltes Formular besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Drohen mir als Selbstständigem bei Datenschutzverstößen Abmahnwellen?

Nein.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden. 

Diese Pressemitteilung könnte sie interessieren: „Bundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis“

Sollten Sie dennoch eine Abmahnung erhalten, können Sie sich zur Prüfung an das Bayerische Landesamt für Datenschutzaufsicht wenden.

Droht mir ein Bußgeld bei einem Verstoß gegen die DSGVO?

Ein Datenschutzverstoß muss, sobald er entdeckt wird, korrigiert werden. Wenn er durch Unkenntnis entstanden ist und es sich um einen ersten Verstoß handelt, wird kein Bußgeld verhängt.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und den Selbstständigen zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten. 

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauche ich es als Selbstständiger?

Wenn Sie regelmäßig Daten verarbeiten, müssen Sie ein Verarbeitungsverzeichnis anlegen. Wenn Sie dies nur hin und wieder tun, müssen Sie es nicht anlegen, es wird jedoch empfohlen. In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. Diese müssen nicht Schritt für Schritt aufgeführt werden, es kann auch sinnvoll zusammengefasst werden.   

Hier können Sie Muster des Landesamts für Datenschutzaufsicht für verschiedene Branchen downloaden.

Zur Arbeitsersparnis können Sie das Verarbeitungsverzeichnis gleichzeitig mit Ihrer Datenschutzerklärung erstellen, das Verarbeitungsverzeichnis muss jedoch nicht veröffentlicht werden. 

Wie lange darf ich als Selbstständiger Kundendaten speichern?

Sie dürfen Kundendaten so lange speichern, wie Sie diese aus beruflichen Gründen benötigen. 

Dies umfasst den Zeitraum der zur Erfüllung eines Vertrages benötigt wird, aber zusätzlich auch steuerlich relevante Zeiträume oder bis zum Abschluss eventueller Rechtsstreitigkeiten. Wollen Sie die Daten zu Werbezwecken nutzen, müssen Sie Ihren Kunden darüber und über sein Recht dem zu widersprechen informieren. 

Darf ich jemanden mit der Verarbeitung von Kunden- oder Beschäftigtendaten beauftragen?

Ja.

Dies hat sich nicht geändert, die sogenannte „Auftragsverarbeitung“ ist weiterhin erlaubt.

Vor der Auftragserteilung müssen Sie jedoch prüfen, ob der Beauftragte den Schutz der Daten, die Sie ihm zur Verfügung stellten, gewährleisten kann. Wenn Sie den Auftrag erteilen, muss der abgeschlossene Vertrag gewisse Mindestanforderungen erfüllen: 

Wenn Sie bereits jemanden mit der Auftragsverarbeitung beauftragt haben, dann müssen Sie prüfen, ob der geschlossene Vertrag den oben genannten Mindestanforderungen entspricht.

Einen Mustervertrag finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung muss bei riskante Datenverarbeitungsvorgängen durchgeführt werden. 

Auf Selbstständige trifft dies äußerst selten zu. Demnächst sollen Listen des Bayerischen Landesamtes für Datenschutzaufsicht erhältlich sein, die dabei helfen zu entscheiden, ob ein Datenverarbeitungsvorgang eine Datenschutz-Folgenabschätzung erfordert oder nicht. 

Was muss ich beachten, wenn ich meine Geschäftsräume per Video überwache und sich daher auch Besucher und Kunden auf den Aufnahmen befinden?

Hierbei hat sich nichts geändert. Sie dürfen öffentlich zugängliche Räume per Video überwachen, wenn Sie dort das Hausrecht haben oder ein berechtigtes Interesse besteht.

Ein berechtigtes Interesse ist beispielsweise gegeben, wenn Sie vermehrt Diebstähle bemerken.

Wenn das Ziel der Videoüberwachung nicht Ihre Kunden, sondern Beschäftigte sind, dann sollten Sie sich hier informieren: Beschäftigtendatenschutz

Muss ich in Bezug auf den Beschäftigtendatenschutz Änderungen beachten?

Nein.

In diesem Bereich hat sich nichts geändert. Sie dürfen die Daten Ihrer Beschäftigten verwenden, 

in dem Maße, wie es für die Aufnahme, Durchführung oder Beendigung des Beschäftigungsverhältnisses notwendig ist,

insofern es in Kollektivvereinbarungen geregelt ist,

unter bestimmten Voraussetzungen, wenn es zur Verhinderung oder Aufdeckung einer Straftat des Beschäftigten notwendig und verhältnismäßig ist, 

Ihre Beschäftigten schriftlich eingewilligt haben.



Vereine

Wer ist in unserem Verein für den Datenschutz verantwortlich?

Der Vorstand Ihres Vereins ist für den Datenschutz zuständig und verantwortlich.

Der Vorstand ist der „Verantwortliche“ im Sinne des DSGVO und hat dementsprechende Rechte und Pflichten für den Verein wahrzunehmen, beispielsweise in Bezug auf die Datenschutzerklärung auf Ihrer Internetseite.

Hat sich durch die DSGVO im Datenschutz alles für uns als Verein geändert?

Nein.

Schon vorher galt das Bundesdatenschutzgesetz (BDSG) in Deutschland, das sich nur in einigen Punkten vom DSGVO unterscheidet.

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise die Kontaktdaten Ihrer Mitglieder speichern, egal ob digital oder auf Papier oder auf Ihrer eigenen Internetseite Daten der Besucher (IP-Adressen) erfassen.

Beachten Sie, dass neben der DSGVO für Sie als Verein auch nach wie vor das Bundesdatenschutzgesetz bindend ist. Das Bayerische Datenschutzgesetz enthält eine Regelung für Vereine, die diese in Bezug auf die Erstellung von Vereinszeitschriften, Vereinschroniken und das Betreiben von Öffentlichkeitsarbeit von vielen Datenschutzregelungen entbindet.

Braucht unser Verein nun einen Datenschutzbeauftragten?

Im Allgemeinen brauchen Vereine keinen Datenschutzbeauftragten.

Nur wenn einer der beiden folgenden Voraussetzungen auf Ihren Verein zutrifft brauchen Sie einen Datenschutzbeauftragten: 

– in Ihrem Verein sind mindestens zehn Personen dauerhaft, mehr als die Hälfte ihrer Arbeitszeit im Verein, mit der Verarbeitung personenbezogener Daten beschäftigt. 

– Oder Sie sind als Verein hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist.

Dies galt bereits vor der DSGVO, wenn Sie also bisher keinen Datenschutzbeauftragten brauchten, ist dies wahrscheinlich auch jetzt noch so.

Müssen wir als Verein unsere Mitgliederdaten schützen?

Ja, Mitgliederdaten müssen, genau wie Kundendaten, geschützt werden. Dazu müssen Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern.

Digital gespeicherte Daten sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf einem privaten Rechner eines Vereinsmitglieds gespeichert sein, es muss jedoch sichergestellt sein, dass keine unbefugten Personen auf die Daten zugreifen können.

Die ist beispielsweise möglich, indem Sie den Bereich oder Ordner des Computers, auf dem sich die Daten befinden, durch ein separates Passwort vor dem Zugriff anderer Familienmitglieder schützen.

Welche Informationspflichten hat unser Verein?

Ihr Verein muss lediglich die Personen, von denen er seit dem Geltungsbeginn der DSGVO (25.05.2018) Daten erhebt, darüber informieren, wie er mit diesen Daten umgeht. Mitglieder, die bereits vorher zum Verein gehörten, müssen nicht neu informiert werden.

Wie müssen wir als Verein informieren?

Die Informationen können auf Ihrer Internetseite oder einem Schwarzen Brett veröffentlicht oder auf Nachfrage schriftlich oder mündlich weitergeben werden. Die Mitglieder müssen dann, beispielsweise auf dem Antrags- oder Beitrittsformular darauf hingewiesen werden, wo sie diese Informationen einsehen können.

Müssen wir Einwilligungen, beispielsweise auch zum Versand eines Newsletters, erneut einholen?

Nein.

In Vereinen müssen Daten der Mitglieder verarbeitet werden, dies ist im Allgemeinen durch die reine Mitgliedschaft erlaubt. 

Wenn Ihre Vereinsmitglieder zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verwenden. Dafür ist es beispielsweise ausreichend, wenn die Mitglieder durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben. Siehe Web-Tracking-Tools

Was müssen wir als Verein beachten, wenn wir Fotos machen und veröffentlichen möchten?

 In diesem Bereich hat sich nicht viel für Sie geändert. Sie dürfen weiterhin Fotos von Personen machen und veröffentlichen, wenn der Verein daran ein „berechtigtes Interesse“ hat oder die abgebildeten Personen eingewilligt haben.  

Wenn die Personen auf einem Bild nicht erkennbar sind, ist kein Einverständnis nötig. 

Wenn es sich bei den abgebildeten Personen um Erwachsene handelt, dürfen Bilder aufgenommen und veröffentlicht werden, wenn eine der beiden folgenden Voraussetzungen erfüllt ist. 

Der Verein hat ein „berechtigtes Interesse“ daran, dass die Fotos aufgenommen und veröffentlicht werden, gleichzeitig überwiegt nicht das Interesse der abgebildeten Personen daran, dass die Fotos nicht veröffentlicht werden. Ein „berechtigtes Interesse“ des Vereins liegt beispielsweise vor, wenn über den Verein generell oder Vereinsaktivitäten, wie etwa Wettkämpfe oder Festumzüge berichtet wird, etwa auf der Internetseite des Vereins.

Die abgebildete Person erteilt ihre ausdrückliche Einwilligung. Dies ist beispielsweise nötig, wenn die Fotos heimlich entstanden sind oder den Fotografierten in einer herabwürdigenden oder rufschädigenden Situation zeigen.

Da Kinder vom Gesetz besonders geschützt werden, gelten für Bilder von Minderjährigen besondere Regeln. Dürfen Fotos von Minderjährigen überhaupt aufgenommen und veröffentlicht werden?

Wenn die Bilder für die Öffentlichkeitsarbeit oder für Vereinschroniken verwendet werden, fällt dies unter das „Medienprivileg“ und der Verein ist nicht an die oben genannten Voraussetzungen gebunden. 

Es empfiehlt sich die ausdrückliche Einwilligung nur dann abzufragen, wenn die Aufnahme und Verwendung eines Fotos nicht aus den anderen genannten Gründen erlaubt ist.

Denn Sie können ein „berechtigtes Interesse“ nicht mehr geltend machen, wenn die Erlaubnis 

erst eingeholt und dann widerrufen wurde. In diesem Fall müssen Sie nicht nur auf die Veröffentlichung verzichten, sondern auch die Aufnahme löschen. 

Dürfen Fotos von Minderjährigen überhaupt aufgenommen und veröffentlichen werden?

Fotos von Minderjährigen dürfen nur mit Einwilligung der Eltern aufgenommen und veröffentlichen werden.

Da Kinder vom Gesetz besonders geschützt werden, erhalten so Eltern und Minderjährige die Möglichkeit, ganz bewusst  über Fotos und deren Veröffentlichung zu entscheiden.

Kann ein Vereinsmitglied darauf bestehen, dass ein bestimmtes Foto nicht aufgenommen oder veröffentlicht wird?

Ja.

Aber nur unter gewissen Umständen.

Ähnlich wie bei der Frage ob Fotos überhaupt aufgenommen oder veröffentlicht werden dürfen, werden hier zwei Fälle unterschieden.

Wenn der Verein ein „berechtigtes Interesse“ an der Erstellung und Veröffentlichung eines Fotos hat, dann kann dem nur widersprochen und die Löschung des Bildes verlangt werden, wenn dafür ein Grund angegeben wird. Dieser Grund muss wichtiger bzw. bedeutender sein, als das „berechtigte Interesse“ des Vereins. 

Wenn für die Erstellung und Veröffentlichung eines Fotos eine Einwilligung erforderlich ist, beispielsweise weil Minderjährige abgebildet werden, kann die Einwilligung widerrufen werden, ohne dass hierfür Gründe anzugeben sind. In diesem Fall muss auch ein bereits entstandenes Foto gelöscht werden.

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Ihr Verein eine Internetseite betreibt, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Dürfen wir Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen.

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer Fanpage.

Unter welchen Bedingungen müssen wir einen Datenschutzverstoß melden?

Ein Verstoß muss der Aufsichtsbehörde gemeldet werden, wenn er gravierend ist. 

Seit dem Inkrafttreten der DSGVO muss ein Verstoß gemeldet werden, aber nur, wenn er gravieren ist. Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursachen kann und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie eine unverschlüsselte Datei mit Daten Ihrer Vereinsmitglieder oder einem ärztlichen Attest per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail, bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen, wie eine Terminverschiebung oder die Absage eines Sportstunde besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Informieren Sie alle Vereinsmitglieder, die mit Daten umgehen, über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an einen Verantwortlichen zu wenden, damit die Frist gewahrt bleibt. 

Drohen unserem Verein bei Datenschutzverstößen Abmahnwellen?

Nein.

Abmahnungen betreffen Vereine nicht, da Abmahnungen zum Wettbewerbsrecht zählen und dies für Vereine nicht gilt.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden.

Diese Pressemitteilung könnte sie interessieren: Bundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis  

Das Wettbewerbsrecht sieht Abmahnungen als Möglichkeit für konkurrierende Unternehmen an, die durch einen Datenschutzverstoß eines Mitbewerbers einen Nachteil im Wettbewerb haben. Dieser Wettbewerb ist bei Vereinen, die gemeinnützig sind, nicht gegeben. 

Was droht bei einem Verstoß gegen die DSGVO? Müssen wir mit Bußgeldern rechnen?

Ein Verstoß ist ein rechtswidriger Zustand und muss abgestellt werden muss. Es drohen jedoch keine Bußgelder, wenn ein erster Verstoß auf Unkenntnis beruht.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und den Verein zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge, nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten.

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauche wir es?

In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. 

Eine Vorlage zu einem Standardformular finden Sie hier.

Das Verarbeitungsverzeichnis müssen Sie nicht veröffentlichen, das Landesamt für Datenschutzaufsicht empfiehlt jedoch Vereinen ein entsprechendes Verzeichnis anzufertigen. Wenn Sie über Ihre Datenverarbeitung Auskunft geben müssen, kann dies eine wichtige Hilfe sein. Das Verarbeitungsverzeichnis muss nur dann aktualisiert werden, wenn sich der Zweck der Datenverarbeitung in Ihrem Verein ändert.

Dürfen wir weiterhin Vereinschroniken erstellen und veröffentlichen?

Ja.

Das Datenschutzrecht hat den Zweck personenbezogene Daten zu schützen. 

Da dieser Schutz mit dem Tod einer Person endet, können Informationen und auch Bilder Verstorbener in Vereinschroniken verwendet werden. Die Daten lebender Personen dürfen für Vereinschroniken verarbeitet werden, (siehe Veröffentlichung von Fotos), da diese dem Medienprivileg unterliegen. Dies gilt natürlich nur, solange dem keine besonderen Umstände, wie etwa zivilrechtlichen Gründe, entgegenstehen.

Dürfen wir die Ergebnisse aller Teilnehmer unserer Vereinsturniere veröffentlichen?

Ja, Sie müssen allerdings gewisse Vorkehrungen treffen.

Sie können die Ergebnisse von Vereinsturnieren veröffentlichen, wenn es in Bezug auf die Mitglieder einen entsprechend lautenden Beschluss gibt.

Sollten Nichtmitglieder teilnehmen, müssen Sie diese vorher, praktischerweise bereits bei der Einladung, darüber informieren, dass Sie die Ergebnisse veröffentlichen werden und die betroffenen Personen dem vorab widersprechen können.

Müssen wir die Daten eines Mitglieds löschen, wenn dieses ausgetreten ist?

Wenn ein Mitglied austritt müssen dessen Daten gelöscht werden, wenn es keine besonderen Gründe für die Aufbewahrung gibt.

Wenn Ihr Verein besonderen Gründe für die Aufbewahrung der Daten eines ausgetreten Vereinsmitglieds hat, dann müssen Sie die Daten nicht umgehend löschen. Sobald keine Gründe dafür mehr vorliegen, haben Sie allerdings kein Aufbewahrungsrecht mehr.

Solche Gründe können beispielsweise steuerliche oder rechtliche Nachweise oder auch die Erstellung einer Vereinschronik sein, in die Sie Bilder oder Turniersiege des ehemaligen Mitglieds aufnehmen möchten.



Wer ist in unserem Verein für den Datenschutz verantwortlich?

Der Vorstand Ihres Vereins ist für den Datenschutz zuständig und verantwortlich.

Der Vorstand ist der „Verantwortliche“ im Sinne des DSGVO und hat dementsprechende Rechte und Pflichten für den Verein wahrzunehmen, beispielsweise in Bezug auf die Datenschutzerklärungauf Ihrer Internetseite.

Hat sich durch die DSGVO im Datenschutz alles für uns als Verein geändert?

Nein.

Schon vorher galt das Bundesdatenschutzgesetz (BDSG) in Deutschland, das sich nur in einigen Punkten vom DSGVO unterscheidet.

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise die Kontaktdaten Ihrer Mitglieder speichern, egal ob digital oder auf Papier oder auf Ihrer eigenen Internetseite Daten der Besucher (IP-Adressen) erfassen.

Beachten Sie, dass neben der DSGVO für Sie als Verein auch nach wie vor das Bundesdatenschutzgesetz bindend ist. Das Bayerische Datenschutzgesetz enthält eine Regelung für Vereine, die diese in Bezug auf die Erstellung von Vereinszeitschriften, Vereinschroniken und das Betreiben von Öffentlichkeitsarbeit von vielen Datenschutzregelungen entbindet.

Braucht unser Verein nun einen Datenschutzbeauftragten?

Im Allgemeinen brauchen Vereine keinen Datenschutzbeauftragten.

Nur wenn einer der beiden folgenden Voraussetzungen auf Ihren Verein zutrifft brauchen Sie einen Datenschutzbeauftragten: 

– in Ihrem Verein sind mindestens zehn Personen dauerhaft, mehr als die Hälfte ihrer Arbeitszeit im Verein, mit der Verarbeitung personenbezogener Daten beschäftigt. 

– Oder Sie sind als Verein hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist.

Dies galt bereits vor der DSGVO, wenn Sie also bisher keinen Datenschutzbeauftragten brauchten, ist dies wahrscheinlich auch jetzt noch so.

Müssen wir als Verein unsere Mitgliederdaten schützen?

Ja, Mitgliederdaten müssen, genau wie Kundendaten, geschützt werden. Dazu müssen Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern.

Digital gespeicherte Daten sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf einem privaten Rechner eines Vereinsmitglieds gespeichert sein, es muss jedoch sichergestellt sein, dass keine unbefugten Personen auf die Daten zugreifen können.

Die ist beispielsweise möglich, indem Sie den Bereich oder Ordner des Computers, auf dem sich die Daten befinden, durch ein separates Passwort vor dem Zugriff anderer Familienmitglieder schützen.

Welche Informationspflichten hat unser Verein?

Ihr Verein muss lediglich die Personen, von denen er seit dem Geltungsbeginn der DSGVO (25.05.2018) Daten erhebt, darüber informieren, wie er mit diesen Daten umgeht. Mitglieder, die bereits vorher zum Verein gehörten, müssen nicht neu informiert werden.

Wie müssen wir als Verein informieren?

Die Informationen können auf Ihrer Internetseite oder einem Schwarzen Brett veröffentlicht oder auf Nachfrage schriftlich oder mündlich weitergeben werden. Die Mitglieder müssen dann, beispielsweise auf dem Antrags- oder Beitrittsformular darauf hingewiesen werden, wo sie diese Informationen einsehen können.

Müssen wir Einwilligungen, beispielsweise auch zum Versand eines Newsletters, erneut einholen?

Nein.

In Vereinen müssen Daten der Mitglieder verarbeitet werden, dies ist im Allgemeinen durch die reine Mitgliedschaft erlaubt. 

Wenn Ihre Vereinsmitglieder zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verwenden. Dafür ist es beispielsweise ausreichend, wenn die Mitglieder durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben. Siehe Web-Tracking-Tools

Was müssen wir als Verein beachten, wenn wir Fotos machen und veröffentlichen möchten?

 In diesem Bereich hat sich nicht viel für Sie geändert. Sie dürfen weiterhin Fotos von Personen machen und veröffentlichen, wenn der Verein daran ein „berechtigtes Interesse“ hat oder die abgebildeten Personen eingewilligt haben.  

Wenn die Personen auf einem Bild nicht erkennbar sind, ist kein Einverständnis nötig. 

Wenn es sich bei den abgebildeten Personen um Erwachsene handelt, dürfen Bilder aufgenommen und veröffentlicht werden, wenn eine der beiden folgenden Voraussetzungen erfüllt ist. 

Der Verein hat ein „berechtigtes Interesse“ daran, dass die Fotos aufgenommen und veröffentlicht werden, gleichzeitig überwiegt nicht das Interesse der abgebildeten Personen daran, dass die Fotos nicht veröffentlicht werden. Ein „berechtigtes Interesse“ des Vereins liegt beispielsweise vor, wenn über den Verein generell oder Vereinsaktivitäten, wie etwa Wettkämpfe oder Festumzüge berichtet wird, etwa auf der Internetseite des Vereins.

Die abgebildete Person erteilt ihre ausdrückliche Einwilligung. Dies ist beispielsweise nötig, wenn die Fotos heimlich entstanden sind oder den Fotografierten in einer herabwürdigenden oder rufschädigenden Situation zeigen.

Da Kinder vom Gesetz besonders geschützt werden, gelten für Bilder von Minderjährigen besondere Regeln. Dürfen Fotos von Minderjährigen überhaupt aufgenommen und veröffentlicht werden?

Wenn die Bilder für die Öffentlichkeitsarbeit oder für Vereinschroniken verwendet werden, fällt dies unter das „Medienprivileg“ und der Verein ist nicht an die oben genannten Voraussetzungen gebunden. 

Es empfiehlt sich die ausdrückliche Einwilligung nur dann abzufragen, wenn die Aufnahme und Verwendung eines Fotos nicht aus den anderen genannten Gründen erlaubt ist.

Denn Sie können ein „berechtigtes Interesse“ nicht mehr geltend machen, wenn die Erlaubnis 

erst eingeholt und dann widerrufen wurde. In diesem Fall müssen Sie nicht nur auf die Veröffentlichung verzichten, sondern auch die Aufnahme löschen. 

Dürfen Fotos von Minderjährigen überhaupt aufgenommen und veröffentlichen werden?

Fotos von Minderjährigen dürfen nur mit Einwilligung der Eltern aufgenommen und veröffentlichen werden.

Da Kinder vom Gesetz besonders geschützt werden, erhalten so Eltern und Minderjährige die Möglichkeit, ganz bewusst  über Fotos und deren Veröffentlichung zu entscheiden.

Kann ein Vereinsmitglied darauf bestehen, dass ein bestimmtes Foto nicht aufgenommen oder veröffentlicht wird?

Ja.

Aber nur unter gewissen Umständen.

Ähnlich wie bei der Frage ob Fotos überhaupt aufgenommen oder veröffentlicht werden dürfen, werden hier zwei Fälle unterschieden.

Wenn der Verein ein „berechtigtes Interesse“ an der Erstellung und Veröffentlichung eines Fotos hat, dann kann dem nur widersprochen und die Löschung des Bildes verlangt werden, wenn dafür ein Grund angegeben wird. Dieser Grund muss wichtiger bzw. bedeutender sein, als das „berechtigte Interesse“ des Vereins. 

Wenn für die Erstellung und Veröffentlichung eines Fotos eine Einwilligung erforderlich ist, beispielsweise weil Minderjährige abgebildet werden, kann die Einwilligung widerrufen werden, ohne dass hierfür Gründe anzugeben sind. In diesem Fall muss auch ein bereits entstandenes Foto gelöscht werden.

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Ihr Verein eine Internetseite betreibt, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Dürfen wir Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen.

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer Fanpage.

Unter welchen Bedingungen müssen wir einen Datenschutzverstoß melden?

Ein Verstoß muss der Aufsichtsbehörde gemeldet werden, wenn er gravierend ist. 

Seit dem Inkrafttreten der DSGVO muss ein Verstoß gemeldet werden, aber nur, wenn er gravieren ist. Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursachen kann und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie eine unverschlüsselte Datei mit Daten Ihrer Vereinsmitglieder oder einem ärztlichen Attest per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail, bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen, wie eine Terminverschiebung oder die Absage eines Sportstunde besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Informieren Sie alle Vereinsmitglieder, die mit Daten umgehen, über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an einen Verantwortlichen zu wenden, damit die Frist gewahrt bleibt. 

Drohen unserem Verein bei Datenschutzverstößen Abmahnwellen?

Nein.

Abmahnungen betreffen Vereine nicht, da Abmahnungen zum Wettbewerbsrecht zählen und dies für Vereine nicht gilt.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden.

Diese Pressemitteilung könnte sie interessieren: Bundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis  

Das Wettbewerbsrecht sieht Abmahnungen als Möglichkeit für konkurrierende Unternehmen an, die durch einen Datenschutzverstoß eines Mitbewerbers einen Nachteil im Wettbewerb haben. Dieser Wettbewerb ist bei Vereinen, die gemeinnützig sind, nicht gegeben. 

Was droht bei einem Verstoß gegen die DSGVO? Müssen wir mit Bußgeldern rechnen?

Ein Verstoß ist ein rechtswidriger Zustand und muss abgestellt werden muss. Es drohen jedoch keine Bußgelder, wenn ein erster Verstoß auf Unkenntnis beruht.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und den Verein zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge, nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten.

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauche wir es?

In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. 

Eine Vorlage zu einem Standardformular finden Sie hier.

Das Verarbeitungsverzeichnis müssen Sie nicht veröffentlichen, das Landesamt für Datenschutzaufsicht empfiehlt jedoch Vereinen ein entsprechendes Verzeichnis anzufertigen. Wenn Sie über Ihre Datenverarbeitung Auskunft geben müssen, kann dies eine wichtige Hilfe sein. Das Verarbeitungsverzeichnis muss nur dann aktualisiert werden, wenn sich der Zweck der Datenverarbeitung in Ihrem Verein ändert.

Dürfen wir weiterhin Vereinschroniken erstellen und veröffentlichen?

Ja.

Das Datenschutzrecht hat den Zweck personenbezogene Daten zu schützen. 

Da dieser Schutz mit dem Tod einer Person endet, können Informationen und auch Bilder Verstorbener in Vereinschroniken verwendet werden. Die Daten lebender Personen dürfen für Vereinschroniken verarbeitet werden, (siehe Veröffentlichung von Fotos), da diese dem Medienprivileg unterliegen. Dies gilt natürlich nur, solange dem keine besonderen Umstände, wie etwa zivilrechtlichen Gründe, entgegenstehen.

Dürfen wir die Ergebnisse aller Teilnehmer unserer Vereinsturniere veröffentlichen?

Ja, Sie müssen allerdings gewisse Vorkehrungen treffen.

Sie können die Ergebnisse von Vereinsturnieren veröffentlichen, wenn es in Bezug auf die Mitglieder einen entsprechend lautenden Beschluss gibt.

Sollten Nichtmitglieder teilnehmen, müssen Sie diese vorher, praktischerweise bereits bei der Einladung, darüber informieren, dass Sie die Ergebnisse veröffentlichen werden und die betroffenen Personen dem vorab widersprechen können.

Müssen wir die Daten eines Mitglieds löschen, wenn dieses ausgetreten ist?

Wenn ein Mitglied austritt müssen dessen Daten gelöscht werden, wenn es keine besonderen Gründe für die Aufbewahrung gibt.

Wenn Ihr Verein besonderen Gründe für die Aufbewahrung der Daten eines ausgetreten Vereinsmitglieds hat, dann müssen Sie die Daten nicht umgehend löschen. Sobald keine Gründe dafür mehr vorliegen, haben Sie allerdings kein Aufbewahrungsrecht mehr.

Solche Gründe können beispielsweise steuerliche oder rechtliche Nachweise oder auch die Erstellung einer Vereinschronik sein, in die Sie Bilder oder Turniersiege des ehemaligen Mitglieds aufnehmen möchten.

Wer ist für den Datenschutz in meinem Unternehmen verantwortlich?

In einem kleinen Unternehmen sind Sie als Inhaber bzw. Unternehmer für den Datenschutz dort verantwortlich. 

Als sogenannter „Verantwortlicher“ haben Sie laut dem DSGVO gewisse Rechte und Pflichten, und müssen beispielsweise für die Datenschutzerklärung auf Ihrer Homepage sorgen. 

Hat sich durch die DSGVO nun alles für mein Unternehmen geändert?

Nein.

Bereits vor dem Inkrafttreten der DSGVO galt das Bundesdatenschutzgesetz, das sich nur in einigen Punkten von der aktuellen Regelung unterscheidet.

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise:

– bei einem Auftrag die Kontaktdaten Ihrer Kunden erhalten, 

– die Arbeitsverträge Ihrer Angestellten mit deren persönlichen Daten speichern,

– eine Internetseite haben und dort Nutzerdaten, wie etwa IP-Adressen, erheben. 

Neben der DSGVO ist für Ihr kleines Unternehmen weiterhin auch das Bundesdatenschutzgesetz bindend. 

Braucht mein kleines Unternehmen eine Datenschutzbeauftragten?

Nein.

Die meisten kleinen Unternehmen brauchen keinen Datenschutzbeauftragten.

Ihr kleines Unternehmen braucht nur dann einen Datenschutzbeauftragten, wenn

– bei Ihnen mindestens zehn Personen ständig mehr als die Hälfte ihrer Arbeitszeit ausschließlich mit der Verarbeitung personenbezogener Daten verbringen. Dies galt bereits vor der DSGVO, wenn Sie als bisher keinen Datenschutzbeauftragten brauchten ist dies wahrscheinlich auch jetzt noch so.

– Oder Ihr kleines Unternehmen hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt ist. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist. So braucht ein Krankenhaus einen Datenschutzbeauftragten, eine Arztpraxis, mit einem einzelnen Arzt dagegen nicht.

– Oder Ihr kleines Unternehmen hauptsächlich in der  Überwachung von Personen tätig ist und Sie so umfangreiche Informationsbeschaffung betreiben.

Müssen wir als kleines Unternehmen die Daten unserer Kunden schützen?

Ja.

Sie müssen die Daten Ihrer Kunden schützen, indem Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern. Digital gespeicherte Daten, sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf dem privaten Rechner des Unternehmensinhabers gespeichert sein, es muss jedoch sichergestellt werden, dass keine unbefugten Personen auf die Daten zugreifen können.

Müssen wir als kleines Unternehmen darüber informieren wie wir Daten verwenden?

Sie müssen lediglich solche Personen (Kunden, Mitarbeiter, …) über Ihren Umgang mit deren Daten informieren, deren Daten Sie seit dem Geltungsbeginn der DSGVO, dem 25.05.2018, erhoben und erfasst haben. 

Diese Personen müssen Sie zum Zeitpunkt der Erhebung darüber informieren. 

Personen deren Daten Sie schon vor dem 25.05.2018 erfasst hatten, müssen nicht informiert werden.  

Wie müssen wir als kleines Unternehmen über unsere Datenverarbeitung informieren?

Sie müssen diese Informationen lediglich auf Ihrer Internetseite aufführen und darauf hinweisen, wo diese zu finden sind, beispielsweise auf Ihrem Briefkopf, Antrags- oder Auftragsformular.

Sie können die Informationen auch als Aushang in einem Pausenraum für Mitarbeiter und einem Besucher- oder Warteraum für Kunden oder Patienten veröffentlichen oder auf Nachfrage schriftlich oder mündlich weitergeben. Bei kurzem telefonischen oder persönlichen Kontakt, beispielsweise zur Terminvereinbarung, ist eine Bekanntgabe dieser Informationen nicht nötig. 

Müssen wir Einwilligungen, beispielsweise für den Versand unseres Newsletters, erneut einholen?

Nein.

Wenn Ihre Kunden zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verarbeiten. Dafür ist es beispielsweise ausreichend, wenn die Kunden durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben. Siehe Web-Tracking-Tools 

Wenn Sie allerdings erneut nach einer Einwilligung fragen und diese abgelehnt oder ignoriert wird, gilt die „neue“ Ablehnung bzw. fehlende Antwort über der „alten“ Einwilligung, und Sie verlieren das Recht die Daten zu verarbeiten.

Was müssen wir beachten, wenn wir als Unternehmen Fotos anderer Personen für professionelle Zwecke machen und veröffentlichen möchte?

In diesem Bereich hat sich nicht viel für Sie geändert. 

Wenn es sich nicht um einen besonders definierten Einzelfall handelt, in dem dies gestattet ist (beispielsweise im Rahmen des Medienprivilegs, oder bei zeitgeschichtlichen Ereignissen) muss der Fotografierte einwilligen, dass Sie Fotos von ihm machen und veröffentlichen.

Wenn es sich bei den abgebildeten Personen um Beschäftigte handelt, ist immer eine schriftliche Einverständnis von diesen nötig. Wenn auf einem Bild die Personen nicht erkennbar sind, ist keine Einwilligung nötig. 

Wenn Sie das Einverständnis für die Aufnahme und Veröffentlichung von Fotos einholen, achten Sie darauf, diese nicht zu allgemein zu formulieren. Benennen Sie genau den Zweck und den Ort, zu und an dem Sie die einzelnen Bilder verwenden werden. Ist dies zu ungenau oder allgemein gehalten, ist die Einwilligung unwirksam.   

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Sie als kleines Unternehmen eine Internetseite betreiben, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Eventuell: Eine Checkliste der IHK für Ihre Datenschutzerklärung finden Sie hier.

 

Dürfen wir Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen.

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer Fanpage.

Unter welchen Bedingungen müssen wir einen Datenschutzverstoß melden?

Seit dem Inkrafttreten der DSGVO muss ein Verstoß der Aufsichtsbehörde gemeldet werden, aber nur, wenn er gravieren ist. 

Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursachen kann und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht. → Link https://www.lda.bayern.de/de/datenpanne.html einfügen

Informieren Sie auch Ihre Mitarbeiter über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an Sie zu wenden, damit die Frist gewahrt bleibt. 

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie unverschlüsselte Dateien mit Kundendaten, einem ärztlichen Attest oder Lohnabrechnungen per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen oder eine Terminvereinbarung für eine Betriebsfeier besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Drohen unserem Unternehmen bei Datenschutzverstößen Abmahnwellen?

Nein.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden.

Diese Pressemitteilung könnte sie interessiere: nBundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis 

Sollten Sie dennoch eine Abmahnung erhalten, können Sie sich zur Prüfung an das Bayerische Landesamt für Datenschutzaufsicht oder die Industrie- und Handelskammern wenden.

Droht bei einem Verstoß gegen die DSGVO meinem Unternehmen ein Bußgeld?

Ein Datenschutzverstoß muss, sobald er entdeckt wird, korrigiert werden. Wenn er durch Unkenntnis entstanden ist und es sich um einen ersten Verstoß handelt, wird kein Bußgeld verhängt.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und das Unternehmen zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge, nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten. 

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauchen wir als kleines Unternehmen das?

Wenn Sie regelmäßig Daten verarbeiten, müssen Sie ein Verarbeitungsverzeichnis anlegen. Wenn Sie dies nur hin und wieder tun, müssen Sie es nicht anlegen, es wird jedoch empfohlen. In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. Diese müssen nicht Schritt für Schritt aufgeführt werden, es kann auch sinnvoll zusammengefasst werden.  

Hier können Sie Muster des Landesamts für Datenschutzaufsicht für verschiedene Branchen downloaden.

Zur Arbeitsersparnis können Sie das Verarbeitungsverzeichnis gleichzeitig mit Ihrer Datenschutzerklärung erstellen, das Verarbeitungsverzeichnis muss jedoch nicht veröffentlicht werden.

Wie lange darf unser Unternehmen Kundendaten speichern?

Sie dürfen Kundendaten so lange spreichern, wie Sie diese aus betrieblichen Gründen benötigen. 

Dies umfasst den Zeitraum der zur Erfüllung eines Vertrages benötigt wird, aber zusätzlich auch steuerlich relevante Zeiträume oder bis zum Abschluss eventueller Rechtstreitigkeiten. Wollen Sie die Daten zu Werbezwecken nutzen, müssen Sie Ihren Kunden darüber und über sein Recht dem zu widersprechen informieren.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung muss bei riskante Datenverarbeitungsvorgängen durchgeführt werden. 

Auf kleine Unternehmen trifft dies äußerst selten zu. Demnächst sollen Listen des Bayerischen Landesamtes für Datenschutzaufsicht erhältlich sein, die dabei helfen zu entscheiden, ob ein Datenverarbeitungsvorgang eine Datenschutz-Folgenabschätzung erfordert oder nicht.

Dürfen wir einen Dritten mit der Verarbeitung von Kunden- oder Beschäftigtendaten beauftragen?

Ja. 

Dies hat sich nicht geändert, die sogenannte „Auftragsverarbeitung“ ist weiterhin erlaubt.

Vor der Auftragserteilung müssen Sie jedoch prüfen, ob der Beauftragte den Schutz der Daten, die Sie ihm zur Verfügung stellten, gewährleisten kann. Wenn Sie den Auftrag erteilen, muss der abgeschlossene Vertrag gewisse Mindestanforderungen erfüllen:

Wenn Sie bereits jemanden mit der Auftragsverarbeitung beauftragt haben, dann müssen Sie prüfen, ob der geschlossene Vertrag den oben genannten Mindestanforderungen entspricht.

Einen Mustervertrag finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht.

Was müssen wir beachten, wenn wir unsere Geschäftsräume und damit auch Kunden und Besucher per Video überwachen?

Hierbei hat sich nichts geändert. Sie dürfen öffentlich zugängliche Räume per Video überwachen, wenn Sie dort das Hausrecht haben oder ein berechtigtes Interesse besteht.

Ein berechtigtes Interesse ist beispielsweise gegeben, wenn Sie vermehrt Diebstähle bemerken.

Wenn das Ziel der Videoüberwachung nicht Ihre Kunden, sondern Beschäftigte sind, dann sollten Sie sich hier informieren: Beschäftigtendatenschutz

Muss ich in Bezug auf den Beschäftigtendatenschutz Änderungen beachten?

Nein.

In diesem Bereich hat sich nichts geändert. Sie dürfen die Daten Ihrer Beschäftigten verwenden, 

– in dem Maße, wie es für die Aufnahme, Durchführung oder Beendigung des Beschäftigungsverhältnisses notwendig ist,

– insofern es in Kollektivvereinbarungen geregelt ist,

– unter bestimmten Voraussetzungen, wenn es zur Verhinderung oder Aufdeckung einer Straftat des Beschäftigten notwendig und verhältnismäßig ist,

– Ihre Beschäftigten schriftlich eingewilligt haben.

Wer ist laut DSGVO der „Verantwortliche“?

Der „Verantwortliche“ laut DSGVO ist derjenige, der über den Umgang mit und die Verarbeitung von personenbezogenen Daten entscheidet.

Der „Verantwortliche“ laut DSGVO ist bei Selbstständigen demnach der Inhaber.

Hat sich durch die DSGVO nun alles für mich als Selbstständigen geändert?

Nein.

Bereits vor dem Inkrafttreten der DSGVO galt das Bundesdatenschutzgesetz, das sich nur in einigen Punkten von der aktuellen Regelung unterscheidet. 

Wenn Sie mit personenbezogenen Daten zu tun haben, müssen Sie immer auf den Datenschutz achten. Wenn Sie beispielsweise

bei einem Auftrag die Kontaktdaten Ihrer Kunden erhalten,

Bilder von Projekten oder Kunden auf Ihrer Internetseite veröffentlichen möchten,

auf Ihrer eigenen Internetseite Daten der Besucher (IP-Adressen) erfassen.

Beachten Sie, dass neben der DSGVO für Sie als Selbstständigen auch nach wie vor das Bundesdatenschutzgesetz bindend ist. Es gelten weiterhin Regelungen, die den Schutz von Berufsgeheimnissen für verschiedene Berufe sicherstellen, wie etwa für Rechtsanwälte oder Ärzte.  

Brauche ich als Selbstständiger nun einen Datenschutzbeauftragten?

Nein, die meisten Selbstständigen brauchen keinen eigenen Datenschutzbeauftragten.

Sie brauchen nur dann einen Datenschutzbeauftragten, wenn einer dieser Fälle auf Sie zutrifft.

Sie beschäftigen mindestens zehn Personen, die ständig mehr als die Hälfte ihrer Arbeitszeit mit der Verarbeitung personenbezogener Daten verbringen. 

Dies galt bereits vor der DSGVO, wenn Sie also bisher keinen Datenschutzbeauftragten brauchten, ist dies wahrscheinlich auch jetzt noch so.

Oder Sie sind als Selbstständiger hauptsächlich mit der Verarbeitung sensibler Daten, beispielsweise Gesundheitsdaten, in großer Menge beschäftigt. Wenn also die Verarbeitung dieser Daten unerlässlich für Ihre Haupttätigkeit ist und der Umfang der zu verarbeitenden Daten sehr groß ist. Ein Krankenhaus braucht einen Datenschutzbeauftragten, eine Arztpraxis, die ein einzelner Arzt betreibt, dagegen nicht.

Muss ich als Selbstständiger die Daten meiner Kunden schützen?

Ja, Sie müssen die Daten Ihrer Kunden schützen, indem Sie übliche Maßnahmen ergreifen, wie beispielsweise die Sicherung Ihrer Computer durch Passwörter. 

Es gibt keine konkrete Liste an Vorkehrungen, die Sie laut der DSGVO treffen müssen. Aber Sie müssen die üblichen Schutzmaßnahmen ergreifen, um den Zugriff Unberechtigter auf Daten zu verhindern. Digital gespeicherte Daten sollten Sie durch die Sicherung Ihrer Computer durch Passwörter, Virenschutz und Firewalls schützen. Die Daten dürfen auf Ihrem privaten Rechner gespeichert sein, es muss jedoch sichergestellt sein, dass keine unbefugten Personen auf die Daten zugreifen können.

Muss ich als Selbstständiger darüber informieren, wie ich Daten verwende?

Sie müssen lediglich solche Personen (Kunden, Mitarbeiter, …) über Ihren Umgang mit deren Daten informieren, deren Daten Sie seit dem Geltungsbeginn der DSGVO, dem 25.05.2018, erhoben und erfasst haben. 

Diese Personen müssen Sie zum Zeitpunkt der Erhebung darüber informieren. 

Personen deren Daten Sie schon vor dem 25.05.2018 erfasst hatten, müssen nicht informiert werden

Wie muss ich als Selbstständiger über meine Datenverarbeitung informieren?

Sie müssen diese Informationen lediglich auf Ihrer Internetseite aufführen und darauf hinweisen, wo diese zu finden sind, beispielsweise auf Ihrem Briefkopf, Antrags- oder Auftragsformular.  

Sie können die Informationen auch als Aushang in einem Pausenraum für Mitarbeiter und einem Verkaufs-, Besucher- oder Warteraum für Kunden oder Patienten veröffentlichen oder auf Nachfrage schriftlich oder mündlich weitergeben. Bei kurzem telefonischen oder persönlichen Kontakt, beispielsweise zur Terminvereinbarung, ist eine Bekanntgabe dieser Informationen noch nicht nötig. 

Muss ich Einwilligungen, beispielsweise für den Versand meines Newsletters, erneut einholen?

Nein.

Wenn Ihre Kunden zuvor ordnungsgemäß eingewilligt haben, beispielsweise in den Empfang Ihres Newsletter, dürfen Sie deren Daten weiterhin entsprechend verarbeiten. Dafür ist es beispielsweise ausreichend, wenn die Kunden durch das aktive Anklicken eines Kontrollkästchens, zugestimmt haben (Web-Tracking-Tools). 

Wenn Sie allerdings erneut nach einer Einwilligung fragen und diese abgelehnt oder ignoriert wird, gilt die „neue“ Ablehnung bzw. fehlende Antwort über der „alten“ Einwilligung, und Sie verlieren das Recht die Daten zu verarbeiten.

Was muss ich beachten, wenn ich als Selbstständiger Fotos anderer Personen für professionelle Zwecke machen und veröffentlichen möchte?

In diesem Bereich hat sich nicht viel für Sie geändert. Wenn es sich nicht um einen besonders definierten Einzelfall handelt, in dem dies gestattet ist (beispielsweise im Rahmen des Medienprivilegs, siehe unten) muss der Fotografierte einwilligen, dass Sie Fotos von ihm machen und veröffentlichen. Wenn es sich bei den abgebildeten Personen um Beschäftigte handelt, ist immer eine schriftliche Einverständnis von diesen nötig. Wenn auf einem Bild die Personen nicht erkennbar sind, brauchen Sie keine Einwilligung. 

Wenn Sie das Einverständnis für die Aufnahme und Veröffentlichung von Fotos einholen, achten Sie darauf, diese nicht zu allgemein zu formulieren. Benennen Sie genau den Zweck und den Ort, zu und an dem Sie die einzelnen Bilder verwenden werden. Ist dies zu ungenau oder allgemein gehalten ist die Einwilligung unwirksam. 

Was versteht man unter dem Medienprivileg?

Das Medienprivileg schützt die Pressefreiheit und somit die Datenverarbeitung, wenn sie zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken erfolgt. In diesen Fällen gelten sehr viele der üblichen Datenschutzregeln nicht. 

Dies gilt nicht nur für Unternehmen, sondern auch für Einzelpersonen, solange Sie die Daten zu den oben genannten Zwecken verarbeiten. Es gilt nicht mehr, wenn es dabei um rein gewerbliche Zwecke geht.

Was versteht man unter einer Datenschutzerklärung?

Nur wenn Sie als Selbstständiger eine Internetseite betreiben, benötigen Sie eine Datenschutzerklärung. Wenn Sie eine eigene Internetseite haben, so folgen daraus gewisse Informationspflichten. Sie müssen dann eine Datenschutzerklärung haben und darin angeben, wie die Verarbeitung personenbezogener Daten erfolgt. 

Wenn ein Nutzer eine Internetseite besucht, werden gewisse Daten über ihn erfasst, beispielsweise die IP-Adresse. Deshalb müssen Sie auf Ihrer Internetseite eine Datenschutzerklärung zur Verfügung stellen, in der der Nutzer darüber informiert wird, dass bei seinem Besuch dort Daten über ihn erhoben werden. 

Darf ich Web-Tracking-Tools oder Social-Media-Plugins verwenden?

Wenn der Nutzer dem vorher zustimmt, dürfen Sie Web-Tracking-Tools oder Social-Media-Plugins einsetzen.

Diese Zustimmung können Sie über ein Opt-In-Verfahren einholen, dabei gibt der Nutzer durch das aktive Anklicken eines Kontrollkästchens seine Einwilligung. Zusätzlich müssen Sie die Nutzer in der Datenschutzerklärung auf Ihrer Internetseite auf den Einsatz von Web-Tracking-Tools hinweisen.

Das Opt-Out-Verfahren, bei dem ein bereits ausgefülltes Kästchen durch den Nutzer selbst deaktiviert werden muss, ist nicht zulässig, um die Zustimmung zur Nutzung von Web-Tracking-Tools oder Social-Media-Plugins abzufragen. 

Müssen Fanpages geschlossen werden?

Nein.

Das aktuellste Urteil des Europäischen Gerichtshofes zu diesem Thema stammt aus dem Juni 2018 und besagt, dass der Betreiber einer Facebook-Fanpage für den Datenschutz auf dieser verantwortlich ist. Es gibt allerdings noch keine Empfehlungen der Aufsichtsbehörden zur Umsetzung des Urteils und so besteht noch kein Grund für die Schließung oder Löschung einer  Fanpage.

Unter welchen Bedingungen muss ich einen Datenschutzverstoß melden?

Seit dem Inkrafttreten der DSGVO muss ein Verstoß der Aufsichtsbehörde gemeldet werden, aber nur, wenn er gravierend ist. 

Dies ist gegeben, wenn anzunehmen ist, dass der Verstoß einen ideellen oder finanziellen Schaden verursacht und wenn er zur Vernichtung, zum Verlust, zur unrechtmäßigen Löschung, zur Veränderung,  zur unbefugten Offenlegung oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führen wird. 

Diese Meldung muss innerhalb von 72 Stunden erfolgen und ist möglich über ein Online-Formular an das Bayerische Landesamt für Datenschutzaufsicht → Link https://www.lda.bayern.de/de/datenpanne.html einfügen.

Informieren Sie auch Ihre Mitarbeiter über diese Regelung und weisen Sie diese an, sich bei einem Verstoß zeitnah an Sie zu wenden, damit die Frist gewahrt bleibt. 

Ein gravierender Verstoß ist beispielsweise gegeben, wenn Sie unverschlüsselte Dateien mit Kundendaten, einem ärztlichen Attest oder Lohnabrechnungen per E-Mail oder Post an die falsche Person senden, oder wenn ähnliche Daten in Papierform verloren gehen. Enthält die falsch versendete E-Mail die Daten nur in verschlüsselter Form, oder die E-Mail, bzw. der Brief keine persönlichen Daten, sondern beispielsweise nur allgemeine Informationen oder ein unausgefülltes Formular besteht kein gravierender Verstoß und daher auch keine Meldepflicht.

Drohen mir als Selbstständigem bei Datenschutzverstößen Abmahnwellen?

Nein.

Laut dem DSGVO können Datenschutzverstöße nicht durch Abmahnungen geahndet werden. 

Diese Pressemitteilung könnte sie interessieren: „Bundesratsinitiative gegen missbräuchliche und rechtswidrige Abmahnpraxis“

Sollten Sie dennoch eine Abmahnung erhalten, können Sie sich zur Prüfung an das Bayerische Landesamt für Datenschutzaufsicht wenden.

Droht mir ein Bußgeld bei einem Verstoß gegen die DSGVO?

Ein Datenschutzverstoß muss, sobald er entdeckt wird, korrigiert werden. Wenn er durch Unkenntnis entstanden ist und es sich um einen ersten Verstoß handelt, wird kein Bußgeld verhängt.

Die Aufsichtsbehörde reagiert auf einen Verstoß meist zunächst damit, den Verstoß zu rügen und den Selbstständigen zu beraten, wie der Missstand ausgeräumt werden kann. Ein Bußgeld droht erst als letzte Maßnahme, wenn der Verstoß, trotz Rüge nicht ausgeräumt wurde.

Zeigen Sie einen eigenen Verstoß selbst an, müssen Sie wegen genau diesem Verstoß kein Bußgeld befürchten. 

Was ist ein Verarbeitungsverzeichnis und wozu dient es? Brauche ich es als Selbstständiger?

Wenn Sie regelmäßig Daten verarbeiten, müssen Sie ein Verarbeitungsverzeichnis anlegen. Wenn Sie dies nur hin und wieder tun, müssen Sie es nicht anlegen, es wird jedoch empfohlen. In einem Verarbeitungsverzeichnis führen Sie Informationen zu den technischen und organisatorischen Maßnahmen auf, die Sie zur Datenverarbeitung ergreifen. Diese müssen nicht Schritt für Schritt aufgeführt werden, es kann auch sinnvoll zusammengefasst werden.   

Hier können Sie Muster des Landesamts für Datenschutzaufsicht für verschiedene Branchen downloaden.

Zur Arbeitsersparnis können Sie das Verarbeitungsverzeichnis gleichzeitig mit Ihrer Datenschutzerklärung erstellen, das Verarbeitungsverzeichnis muss jedoch nicht veröffentlicht werden. 

Wie lange darf ich als Selbstständiger Kundendaten speichern?

Sie dürfen Kundendaten so lange speichern, wie Sie diese aus beruflichen Gründen benötigen. 

Dies umfasst den Zeitraum der zur Erfüllung eines Vertrages benötigt wird, aber zusätzlich auch steuerlich relevante Zeiträume oder bis zum Abschluss eventueller Rechtsstreitigkeiten. Wollen Sie die Daten zu Werbezwecken nutzen, müssen Sie Ihren Kunden darüber und über sein Recht dem zu widersprechen informieren. 

Darf ich jemanden mit der Verarbeitung von Kunden- oder Beschäftigtendaten beauftragen?

Ja.

Dies hat sich nicht geändert, die sogenannte „Auftragsverarbeitung“ ist weiterhin erlaubt.

Vor der Auftragserteilung müssen Sie jedoch prüfen, ob der Beauftragte den Schutz der Daten, die Sie ihm zur Verfügung stellten, gewährleisten kann. Wenn Sie den Auftrag erteilen, muss der abgeschlossene Vertrag gewisse Mindestanforderungen erfüllen: 

Wenn Sie bereits jemanden mit der Auftragsverarbeitung beauftragt haben, dann müssen Sie prüfen, ob der geschlossene Vertrag den oben genannten Mindestanforderungen entspricht.

Einen Mustervertrag finden Sie beim Bayerischen Landesamt für Datenschutzaufsicht

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung muss bei riskante Datenverarbeitungsvorgängen durchgeführt werden. 

Auf Selbstständige trifft dies äußerst selten zu. Demnächst sollen Listen des Bayerischen Landesamtes für Datenschutzaufsicht erhältlich sein, die dabei helfen zu entscheiden, ob ein Datenverarbeitungsvorgang eine Datenschutz-Folgenabschätzung erfordert oder nicht. 

Was muss ich beachten, wenn ich meine Geschäftsräume per Video überwache und sich daher auch Besucher und Kunden auf den Aufnahmen befinden?

Hierbei hat sich nichts geändert. Sie dürfen öffentlich zugängliche Räume per Video überwachen, wenn Sie dort das Hausrecht haben oder ein berechtigtes Interesse besteht.

Ein berechtigtes Interesse ist beispielsweise gegeben, wenn Sie vermehrt Diebstähle bemerken.

Wenn das Ziel der Videoüberwachung nicht Ihre Kunden, sondern Beschäftigte sind, dann sollten Sie sich hier informieren: Beschäftigtendatenschutz

Muss ich in Bezug auf den Beschäftigtendatenschutz Änderungen beachten?

Nein.

In diesem Bereich hat sich nichts geändert. Sie dürfen die Daten Ihrer Beschäftigten verwenden, 

in dem Maße, wie es für die Aufnahme, Durchführung oder Beendigung des Beschäftigungsverhältnisses notwendig ist,

insofern es in Kollektivvereinbarungen geregelt ist,

unter bestimmten Voraussetzungen, wenn es zur Verhinderung oder Aufdeckung einer Straftat des Beschäftigten notwendig und verhältnismäßig ist, 

Ihre Beschäftigten schriftlich eingewilligt haben.

Begriffserklärungen

Was Sie schon immer beantwortet haben wollten …

Bayern - die besondere Extrawurst

Bayern zeigt durch eine Veröffentlichung des Ministerratsbeschlusses, wie es in Zukunft mit der Datenschutz-Grundverordnung umgehen will. Der Beschluss  zeigt sich durchaus praxisbewusst und -nah und und umreißt „den bayrischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung“ der DSGVO.

Was sind personenbezogene Daten?

Dies sind die persönlichen Daten einer natürlichen Person, wie etwa deren Name Adresse oder auch Bilddokumente, auf denen sie eindeutig zu erkennen ist.

Was ist unter Sensible Daten zu verstehen?

Diese werden auch als „besondere Kategorien personenbezogener Daten“ bezeichnet. Sie stehen unter besonderem Schutz, da sie die ethnische Herkunft, politische Meinung, Gesundheit, sexuelle Orientierung und eine eventuelle Religions- oder Gewerkschaftszugehörigkeit betreffen.

Und was ist eine IP-Adresse?

EDurch eine IP-Adresse kann jedes mit dem Internet verbundene Gerät eindeutig adressiert und somit dessen Nutzer identifiziert sowie dessen Verhalten im Internet verfolgt werden.

Warum immer diese Einwilligung?

Indem eine Person ihre Einwilligung erteilt, gibt sie ihre Zustimmung zu etwas, hier zur Verarbeitung ihrer Daten. Diese Zustimmung muss freiwillig getroffen werden, nachdem die Person über die Art der Datenverarbeitung informiert wurde.

Was versteht man unter Verarbeitung, verarbeitet, Datenverarbeitung

Mit „Verarbeitung von Daten“ oder „Datenverarbeitung“ bezeichnet man den strukturieren Umgang mit Daten in jeder Form, so beispielsweise deren Sammlung, Speicherung und Auswertung.

Firewall – Wo kommt das Feuer nicht durch?

Eine Firewall ist eine Art Schutzvorrichtung, die einen Computer oder ein lokales Netz vor unbefugten Zugriffen aus dem Internet abschirmt. Sie überwacht den Datenverkehr und lässt nur Daten passieren, die bestimmten Regeln entsprechen.

Erheben – Sagt es doch gleich!

Mit Erheben bezeichnet man das Sammeln, Zusammentragen und Erfassen von Daten über eine natürliche Person.