Antworten auf die wichtigsten Fragen zur DSGVO – Teil 3

,

Geschrieben von Veronika Fachinger, Karolina Lubowicka

Veröffentlicht Mai 24, 2018

DSGVO-Antworten auf die wichtigsten Fragen

In dem letzten Teil unserer Serie zu den wichtigsten DSGVO-Fragen beschäftigen wir uns u.a. mit den Auswirkungen auf öffentliche Organisationen sowie kleineren und mittelständischen Unternehmen (KMUs). Außerdem geht es um spezielle Datenkategorien, wie die von Minderjährigen.

Wie verarbeite ich sensible Daten und Informationen über Minderjährige?

Beide Datentypen sind speziell und müssen auch dementsprechend behandelt werden. Bei der Verarbeitung der Daten müssen Unternehmen auf einige zusätzliche Pflichten achten.

Persönliche Daten von Minderjährigen

Wenn auch Daten von Kindern und Jugendlichen erhoben werden und eine Einwilligung erforderlich ist, müssen Unternehmen die folgenden zwei Dinge beachten:

  • ein Mechanismus zur Verifizierung des Alters sollte implementiert sein
  • Bei Kindern unter 16 Jahren ist die Einwilligung nur durch Zustimmung der Eltern gültig oder wenn die Einwilligung direkt von Ihnen erteilt wird

Zusätzlich sollten die Informationen zum Consent- und anderen Formularen so formuliert sein, dass Kinder sie verstehen können.

Auf der Website datenschutzbeauftragter-info.de finden Sie einen umfangreichen Artikel zu Einwilligungen von Minderjährigen:
“Anforderungen an die Einwilligung von Kindern nach der DSGVO”

Besondere Kategorien personenbezogener Daten und ausdrückliche Einwilligung

Die DSGVO beschreibt besondere Datenkategorien in Artikel 9.1 wie folgt:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Wenn Sie diese Datenkategorien speichern und verarbeiten wollen, müssen Sie die Nutzung mit einer der neun Bedingungen aus Artikel 9.2 legitimieren. Eine der Bedingungen, unter der die Datennutzung erlaubt ist, ist die ausdrückliche Einwilligung der betroffenen Person. Dies dürfte den einfachsten Weg darstellen, die Verarbeitung dieser Datenkategorie für Marketingzwecke zu legitimieren.

Ausdrückliche Einwilligungen spiegeln im Prinzip die DSGVO Standard-Anforderungen für die Einholung von Einwilligungen wider. Sie unterscheiden sich nur dahingehend, dass kein Raum für Missinterpretationen bleiben darf. Zudem sollte sich eine ausdrückliche Einwilligung ausschließlich auf den Teil der Datenverarbeitung beziehen, der eine solche Einwilligung erfordert.

Web Analytics & DSGVO – Das sollten Sie wissen!

In unserem Whitepaper zeigen wir Ihnen, wie Sie in 12 einfachen Schritten Ihre Analytics-Software DSGVO-konform einsetzen

Sie sollten keine ausdrückliche Einwilligung anstreben, wenn es andere gesetzeskonforme Möglichkeiten für die Datenerhebung gibt. Beispielsweise können Sie Daten ohne Einwilligung speichern, wenn sie notwendig sind für:

  • einen Vertrag mit der betroffenen Person
  • Konformität zu einer gesetzlichen Verpflichtung
  • ein grundlegendes Interesse
  • eine öffentliche Aufgabe
  • legitimiertes Interesse

Mehr zur DSGVO und besonderen Datenkategorien gibt es im englischsprachigen Artikel von Aurelie Pols, einer führenden Datenschutz-Expertin:
“GDPR & Children: Teaching Kids How to Lie on the Internet”

Wie wirkt sich die DSGVO auf kleine und mittelständische Unternehmen (KMU) aus?

Alle Unternehmen, die persönliche Informationen sammeln und verarbeiten haben größtenteils die gleichen Auflagen und müssen die gleichen Datenschutzrichtlinien einhalten. Kleine und mittelständische Unternehmen sind Großunternehmen somit gleichgestellt und müssen DSGVO-konform agieren.

In Erwägungsgrund 13 nimmt das neue Gesetz allerdings in Teilen Rücksicht auf mittlere, kleine und Kleinstunternehmen:

Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.
Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.

Leider kann man zur Zeit noch nicht genau beurteilen, wie die Mitgliedstaaten mit dem Thema umgehen werden.

Wenn Sie mehr dazu lesen möchten, was Sie bei der Datenverarbeitung Ihrer Kunden ändern müssen, empfehlen wir Ihnen unseren Blog-Artikel
Wie sich die DSGVO auf Web Analytics Tracking auswirkt” sowie unsere DSGVO-Rubrik.

DSGVO & Human Resources: Wie wirkt sich die DSGVO auf Mitarbeiterdaten aus?

Wie bekannt, bezieht sich die DSGVO auf alle persönlichen Daten – inklusive die der Mitarbeiter. Wichtig für Arbeitgeber ist hier, dass Einwilligungen in dem meisten Fällen nicht als rechtliche Grundlage verwendet werden können, wenn es um die Speicherung der Daten von ihren Angestellten geht.

Erwägungsgrund 43 erklärt diesbezüglich:

Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern.

Auch die Art.29-Datenschutzgruppe verweist auf das Risiko, dass eine Einwilligung durch das Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer nicht unbedingt freiwillig abgegeben wird.

Problematisch ist dies allerdings nicht. Unternehmen können sich einfach auf eine der anderen rechtlichen Grundlagen berufen, um persönliche HR-Daten zu verarbeiten. Hier bietet sich beispielsweise eine vertragliche Notwendigkeit, eine gesetzliche Verpflichtung oder ein legitimes Interesse durch den Arbeitgeber an.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics – DSGVO compliant.

Wie wirkt sich die DSGVO auf den Finanz- und Bankensektor aus?

Die Auswirkungen der DSGVO auf die Finanzbranche sind sehr komplex, deshalb berichten wir darüber in einem separaten Artikel auf unserem Blog:
Welchen Einfluss hat die neue EU-DSGVO auf den Banken- und Finanzsektor?

Sind Stiftungen und ehrenamtliche Vereine betroffen?

Stiftungen und ehrenamtlich arbeitende Organisationen sind auch von der DSGVO betroffen. Das Gesetz betont, dass Datenverarbeiter und Datenverantwortliche sich unabhängig von ihrer Organisation an die Auflagen halten müssen. Daher müssen auch Wohltätigkeitsvereine, Stiftungen und Ehrenamtliche sicherstellen, dass sie Ihre Nutzerdaten konform zur DSGVO speichern, verwalten und verarbeiten.

Sind Regierungen und öffentliche Einrichtungen wie Schulen betroffen?

Auch für Regierungen und öffentliche Einrichtungen wird keine Ausnahmen gemacht. Alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, sind von der DSGVO betroffen. Größe, Standort und Art des Geschäfts spielen keine Rolle.

Fazit

Wir hoffen, dass unsere 3-teilige Blogartikel-Serie über die wichtigsten Fragen zur DSGVO dazu beigetragen hat, dass Sie ein besseres Verständnis über die neuen Regelungen bekommen haben.

Piwik PRO Consent Manager

Sammeln, Verarbeiten und Speichern Sie Einwilligungen und Anfragen betroffener Personen DSGVO-konform.