Datenschutzgrundverordnung (DS-GVO)

Datenschutz und seine Bezüge zum Wettbewerbsrecht

Auch ein Verstoß gegen das Datenschutzgesetz kann abgemahnt werden. Daher wollen wir Ihnen darlegen, welche Daten Sie wofür erheben dürfen, wie lange sie gespeichert werden dürfen und wann die Daten gelöscht werden müssen.

Ab dem 25.05.2018 gilt innerhalb der Europäischen Union die Datenschutzgrundverordnung. Diese regelt, ob,  wie und wann Unternehmen personenbezogene Daten erheben, verarbeiten und löschen dürfen bzw. müssen. Personenbezogene Daten sind alle  Daten, die auf eine natürliche Person beziehbar sind, z. B. der Name, die Anschrift, Kontaktdaten (Tel, Fax, E-Mail), Geburtsdaten, die IP-Adresse, Standortdaten, Bestellungen, Käufe, Gesundheitsdaten, etc.

1. Rechtsgrundlage und Zweck der Datenerhebung und Verarbeitung

Zentrale Norm für die Frage, ob und aufgrund welcher Grundlage die Daten überhaupt erhoben und verarbeitet werden dürfen, ist Art. 6 DSGVO. Die Erhebung und Verarbeitung personenbezogener Daten ist nur zulässig, wenn

  • eine Einwilligung vorliegt;
  • die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen;
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
  •  die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • sie im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist oder
  • sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegt.

Zudem dürfen die Daten nur für rechtmäßige, zuvor festgelegte eindeutige Zwecke erhoben und verarbeitet werden.

2. Maßnahmen zur Datensicherheit

Sind Daten erhoben worden, müssen hinreichende Maßnahmen zur Datensicherheit getroffen werden. Zugriffsberechtigungssysteme , Anonymisierung von Daten sowie der Abschluss von Auftragsdatenverarbeitungsverträgen sind nur einige Beispiele für solche Maßnahmen.

3. Betroffenenrechte

Zudem müssen Unternehmen über die Erhebung und Verarbeitung von Daten in Datenschutzerklärungen transparent informieren und die betroffenen Personen über Ihre Rechte aufklären.

So haben die betroffenen Personen nach der Datenschutzgrundverordnung das Recht auf

  • Auskunft
  • Berichtigung und Vervollständigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragung
  • Widerruf
  • Widerspruch
  • Beschwerde bei einer Aufsichtsbehörde.
4. Werbung

Sollen personenbezogene Daten für Werbung verwendet werden, muss darüber transparent und umfassend aufgeklärt und der Kunde muss auf sein Widerspruchsrecht hingewiesen werden. Sind diese Voraussetzungen erfüllt, erkennt die Datenschutzgrundverordnung die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als berechtigtes Interesse an. In allen anderen Fällen muss vorher die ausdrückliche Einwilligung des Kunden eingeholt werden und zwar vorzugsweise schriftlich und unter Hinweis auf die Widerrufsmöglichkeit. Wird die Einwilligung nicht schriftlich, sondern beispielsweise am Telefon erklärt, muss der Unternehmer dem Kunden den Inhalt der Einwilligung schriftlich bestätigen. Wird die Einwilligung elektronisch erklärt muss sichergestellt werden, dass die Einwilligung protokolliert wurde und der Kunde den Inhalt der Einwilligung jederzeit abrufen kann. Dies wird regelmäßig durch das „Double Opt-In“-Verfahren gewährleistet. Unabhängig davon, ob die Daten erhoben werden dürfen, muss der Kunde aber immer über Art, Umfang und Zweck der Datenerhebung, die Verarbeitung und/oder Nutzung der Daten, sowie der Möglichkeit, eine etwaig erteilte Einwilligung für die Zukunft zu widerrufen, hingewiesen werden. Dies erfolgt regelmäßig über eine Datenschutzerklärung, die sinnvollerweise auf der Internetseite unter einem eigenen Menüpunkt oder durch einen entsprechenden Link zur Verfügung gestellt werden sollte. Fehlt die Datenschutzerklärung oder findet sich diese versteckt in AGB´s kann dies abgemahnt werden.

Ist keine oder keine wirksame Einwilligung erteilt worden, ist die werbliche Ansprache des Kunden unzulässig. Der Kunde hat dann einen Unterlassungsanspruch, aber auch Wettbewerber können eine unzulässige Werbemaßnahme abmahnen und gerichtlich untersagen lassen.

Achtung! Die Einwilligung muss immer vom Unternehmer/Werbenden bewiesen werden.

5. Löschung

Personenbezogene Daten können, außer in Fällen, in denen gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, jederzeit gelöscht werden. Sie müssen gelöscht werden,

  • wenn die Erhebung und Verarbeitung von Anfang an unzulässig ist bzw. war,
  • die Daten für die Erfüllung des Zwecks der Verarbeitung nicht mehr erforderlich sind;
  • wenn der Kunde dies verlangt und die Daten zur Erfüllung eines Vertrages nicht mehr benötigt werden.

Können Daten wegen noch bestehender Aufbewahrungspflichten nicht gelöscht werden, müssen sie gesperrt werden, d.h. ihre weitere Benutzung und Verarbeitung ist eingeschränkt. Diese Datensätze sollten als inaktiv gekennzeichnet werden.