Datenschutz und Datensicherheit
Beratung, Schulung, Datenschutzbeauftragung

Datenschutz-Blog

Die Verantwortung der Verantwortlichen

12. August 2022

Der Verantwortliche einer Organisation ist auch für die Datenschutzerklärung auf der Website verantwortlich. Da der Internetauftritt das Aushängeschild der Organisation ist, sollte er auch diese Seite nicht ganz vernachlässigen. Von Zeit zu Zeit kann ein Blick darauf zumindest nicht schaden.

Jede Internetseite, die eine Datenschutzerklärung hat, benennt dort einen „Verantwortlichen“ für die Datenverarbeitung. Dies gilt zunächst nur für den Internetauftritt, doch in der Regel ist die Geschäftsführung eines Unternehmens, Vereins oder einer Institution natürlich auch insgesamt für den Datenschutz in der Organisation verantwortlich. In der Datenschutzerklärung ist die Angabe der juristischen Person als Verantwortlicher in der Regel erlaubt, doch bei kleinen Organisationen ohne Datenschutzbeauftragten wird dies ohnehin eine einzelne Person sein, die man dann auch nennen sollte.


Manchmal ist in der Datenschutzerklärung nur der Verweis auf das Impressum angegeben. Dann muss man mit weiteren Klicks nach den gewünschten Informationen erst suchen. Ob dies noch dem Transparenzgebot entspricht, ist fraglich. Vor allem, wenn kein Datenschutzbeauftragter bestellt ist, sollten Betroffene, die sich an den Verantwortlichen wenden möchte, diesen auch leicht und schnell erreichen können. Benannt werden muss ein Datenschutzbeauftragter nur dann, wenn

  • besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft usw. in großen Mengen verarbeitet werden,
  • das Unternehmen ständig risikobehaftete Verarbeitungsvorgänge durchführt, wie z. B. eine Videoüberwachung, oder
  • mindestens 20 Mitarbeiter (Angestellte, Praktikanten, Teilzeitkräfte, Freelancer) ständig personenbezogene Daten verarbeiten, z.B. mit einem E-Mail-Programm.

Insbesondere letzteres führt dazu, dass fast alle Unternehmen mit Büroarbeitsplätzen einen Datenschutzbeauftragten benötigen, selbst wenn dort nur Zeitarbeiter, Freelancer oder Studenten arbeiten. Ein Verstoß gegen diese Pflicht ist eine Ordnungswidrigkeit und wird im schlimmsten Fall mit einem Bußgeld bis zu 50.000 Euro belegt.

Wenn Sie tatsächlich keinen Datenschutzbeauftragten benennen müssen, dann müssen Sie dies in der Datenschutzerklärung auch nicht erwähnen. In diesem Fall sind Sie als Geschäftsführer selbst für den Datenschutz verantwortlich. Sie können allerdings nicht als ihr eigener Datenschutzbeauftragter fungieren. Oftmals sieht man in Datenschutzerklärungen kleinerer Unternehmen oder Vereine, dass als Datenschutzbeauftragter der Geschäftsführer angegeben wird. Benötigt die Organisation keinen Datenschutzbeauftragten, dann sind Sie als Geschäftsführer allerdings nur derjenige, der die Verantwortung für die Verarbeitung von Personendaten und mögliche Verstöße trägt. Als solcher sind Sie der direkte Ansprechpartner für Betroffene, die sich an Sie wenden wollen.

Ansonsten gilt auch für kleine Organisationen, dass der oder die Geschäftsführer/in, IT-Leiter/in, oder Personalverantwortliche nicht gleichzeitig Datenschutzbeauftragter sein können. Da Datenschutzbeauftragte eine Kontrollfunktion haben, würden sie sonst in die Lage kommen, sich selbst kontrollieren zu müssen. Aus diesem Grund sollten Sie sich als Geschäftsführer/in auf keinen Fall selbst als Datenschutzbeauftragte/r angeben.

Datenschutz im E-Mail-Marketing

19.07.2022

Wollen Sie beim Versand von Marketing-E-Mails kein Datenschutzrisiko eingehen, dann sollten Sie einige Punkte beachten. Fehler beim Datenschutz können zu einem Bußgeld führen, wirken sich aber auch negativ auf den Eindruck aus, den Interessenten oder Kunden vom Unternehmen bekommen.
Die meisten Unternehmen nutzen E-Mail-Marketing für die Kundengewinnung oder für die Kommunikation mit ihren Bestandskunden. E-Mails sind ein sehr effektives Mittel, um Kontakt mit Kunden oder Interessenten zu halten, doch bei der Erstellung und beim Versand ist die DSGVO zu beachten. Wenn ein nicht bestellter Newsletter ins Postfach flattert oder Werbung, für die keine Einwilligung erfolgt ist, dann kommt es bei den Empfängern oft nicht gut an und schreckt potentielle Kunden ab.

Die DSGVO gibt vor, wie die Einwilligung für den Newsletterversand einzuholen ist und welche Informationen dabei gegeben werden müssen. Vor allem Artikel 7 sowie Artikel 13 bzw. 14 sind hier wichtig. Auch das Auskunftsrecht der betroffenen Personen (Artikel 15 DSGVO) muss berücksichtigt werden. Dieses umfasst zum Beispiel die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die weiteren Empfänger der personenbezogenen Daten, die Dauer der Datenspeicherung und das Recht auf Löschung oder Berichtigung ihrer Daten.

Laut der Studie „E-Mail-Marketing Benchmarks 2021“ des DDV (Deutscher Dialogmarketing Verband) und Absolit verarbeiteten etwa neun Prozent der Unternehmen die Kundendaten nicht datenschutzkonform. Es gibt eine ganze Reihe von Punkten, die beim Versand von Marketing-Mails zu beachten sind, angefangen bei der Einwilligung zum Erhalt eines Newsletters, die oft nicht korrekt eingeholt wird. In diesem Fall fehlt dann die Rechtsgrundlage für den Versand, sodass er nicht stattfinden darf.

Häufig wird auch zu wenig Sorgfalt auf die Erstellung der Datenschutzerklärung aufgewandt. In vielen Fällen ist diese veraltet, zu allgemein formuliert oder nicht auf die konkrete Verarbeitung bezogen. Oft enthält sie Verarbeitungen, die die versendende Firma gar nicht verwendet. Teilweise fehlen Angaben zum Zweck der Verarbeitung. Werden Newsletter-Tools verwendet, dann wird manchmal nur auf die Datenschutzerklärung des Tool-Anbieters verlinkt.

Das ist nicht nur falsch, sondern oft auch ein Verweis darauf, dass eine eigene Datenschutzerklärung fehlt. Auch, wenn diese nur schwer aufzufinden ist, handelt es sich um einen Verstoß, der zu einem Bußgeld führen kann.

Mitunter fehlen Hinweise zum Widerruf der Einwilligung zur Verwendung der Daten. Diese müssen gut erkennbar sein, und ein Newsletter muss sich leicht und natürlich auch wirksam abbestellen lassen. Die Datenschutzerklärung selbst enthält oft zahlreiche Fehler. So sind etwa die Kontaktangaben der verantwortlichen Person und zum Teil auch des oder der Datenschutzbeauftragten nicht in ihr enthalten.

Werden Nutzerdaten an Dritte weitergeleitet, dann müssen diese genannt werden und für die Weiterleitung muss eine Rechtsgrundlage existieren. Eine Weitergabe an Drittstaaten, zum Beispiel die USA, erfordert die Klärung des Datenschutzniveaus dieser Staaten und Erläuterungen, welche Maßnahmen zum Schutz der Betroffenendaten ergriffen werden. Es reicht nicht, nur per Link auf die Datenschutzhinweise beispielsweise von Google zu verweisen.

Die Dauer der Datenaufbewahrung muss ebenfalls angegeben werden. Für jeden Zweck gelten bestimmte Löschfristen und müssen eingehalten werden. Eine dauerhafte Aufbewahrung der Daten ist nicht erlaubt. Die betroffene Person muss über ihre Rechte  bezüglich Auskunft über die gespeicherten Daten, Löschung, Einschränkung der Verarbeitung usw. informiert werden. Spätestens bei der ersten Kommunikation muss sie ausdrücklich auf ihr Widerspruchsrecht hingewiesen werden.




 
 
 
 
E-Mail
Anruf
Infos