Moderator: Guten Abend in die Runde und herzlich Willkommen zu unserem Experten-Chat zur neuen Datenschutzgrundverordnung.
Moderator: IT-Anwalt und Datenschutzexperte Richard Bode ist gespannt auf Ihre Fragen!
Steiger: Ich schreibe für unseren Fußball Verein die Spielberichte und füge diesem immer von mir aufgenommene Bilder der Spiele ein. Diese werden auf meiner Facebook-Seite veröffentlicht, ebenso auf der des Vereins. Ist dies in Zukunft weiter möglich und was muss ich beachten?
Rechtsanwalt Richard Bode: Eine Veröffentlichung ist grundsätzlich weiterhin möglich, insofern die bereitsseit langer Zeit bestehenden Vorgaben des Kunst-Urhebergesetzes beachtet werden. Die aktuelle Vielzahl an Meldungen, welche von einer unbedingten Pflicht zur Einwilligung eines jeden einzelnen ausgehen sind spätestens seit der Stellungnahme der Aufsichtsbehörden in der vergangenen Woche teilweise entschärft.
Ariane: Dürfen Tierheim, Tierschutzorganisationen oder private Nutzer noch Fotos von Fundtieren veröffentlichen? Unser örtliches Tierheim hat diese Funktion abgestellt, da sie unmöglich eine Einwilligung des Tierhalters VOR dessen Ermittlung einholen kann.
Rechtsanwalt Richard Bode: Die von der DS-GVO als "Betroffene" bezeichneten müssen natürliche Personen, mithin Menschen, sein. Bilder von Tieren sind daher für den Datenschutz irrelevant.
Ariane: Ich danke Ihnen!
anonym: Inwieweit betrifft mich als kleinen Youtuber mit momentan 34 Videos das ganze? Ich lade hin und wieder mal ein privat gefilmtes Video auf YouTube. Muss ich irgendetwas unternehmen oder nicht? Ich filme vorwiegend Bahnmotive, das heißt Züge, Lokomotiven etc. Dort sind zwangsläufig manchmal Personen im Bild. Muss ich die Gesichter unkenntlich machen? Was ist mit den Videos die bis jetzt also vor dem 25.05.2018 von mir auf Youtube gestellt wurden? Muss ich die auch ändern?
Rechtsanwalt Richard Bode: Hierauf möchte ich gerne gestaffelt antworten:
1. Auch alte Videos müssen überprüft werden, es gibt hierfür keinen Bestandsschutz.
2. Auch bei Filmen von Landschaften, Gegenständen oder Maschinen gelten die Regelungen des Kunst-Urhebergesetzes, so dass eine Darstellung von Menschen grundsätzlich unproblematisch ist.
Rechtsanwalt Richard Bode: 3. Da aber zumindest heute noch nicht geklärt ist, wann die Reichweite dieses Gesetzes endet ist es, so der Aufwand nicht unzumutbar hoch ist, durchaus ratsam, die zu sehenden Personen zu verpixeln.
Rechtsanwalt Richard Bode: 4. Bitte beachten Sie grundsätzlich bei Youtube-Videos die urheberrechtlichen Dimensionen eines Videos.
Ich hoffe Ihre Frage beantwortet zu haben.
kac: Ich bin Einzelunternehmer. Was muss ich genau jetzt tun, um keine Probleme zu bekommen.
Rechtsanwalt Richard Bode: Sehr gerne würde ich Ihnen diese Frage umfassend beantworten, müsste hierzu aber abendfüllend ausführen. Ich kann Ihnen daher in der Kürze nur folgendes mitgeben:
Rechtsanwalt Richard Bode: 1. Kümmern Sie sich um Ihre Unternehmenswebsite, so vorhanden, und lassen Sie sich hierzu bestenfalls beraten.
2. Fragen Sie bei der für Sie zuständigen Dachorganisation (Handwerkskammer, IHK, Vertreter der freien Berufe) nach entsprechenden Leitfäden.
Rechtsanwalt Richard Bode: Zu empfehlen ist hierbei insbesondere der Leitfaden des ZDH zum Datenschutz, abrufbar über die Seite des Zentralverbandes.
Stc: Ich habe eine statische Website und speichere keine Daten von Usern, die diese besuchen. Der Hoster bietet jedoch eine Statistik an, bei der auch die IP-Adressen der User ausgewertet werden.
Muss ich darauf hinweisen?
Rechtsanwalt Richard Bode: Auf Grund der hierzu schon seit längerem bestehenden Rechtsprechung sind IP-Adressen in der Regel als personenbezogene Daten zu qualifizieren. Daher wäre eine Aufklärung über eine Datenschutzinformation gem. Art. 13 DS-GVO notwendig. Ich würde anraten mit dem Hoster abzuklären, ob die statistische Auswertung unterbleiben kann.
Griller65: Ist nun sicher, dass meine Daten nicht an Dritte weitergegeben werden dürfen?
Rechtsanwalt Richard Bode: Auch unter der Geltung der DS-GVO dürfen Ihre Daten weitergegeben werden. Dies geht wenn:
a) die verantwortliche Stelle die Daten durch Dritte im Auftrag verarbeiten lässt (sog. Auftragsverarbeitung gem. Art. 28 DS-GVO)
Moderator: Liebe Chatter, Herr Bode muss eine lange Liste von Fragen abarbeiten, aber jede Frage wird beantwortet. :-)
Rechtsanwalt Richard Bode: b) Wenn die verantwortliche Stelle hierzu gesetzlich verpflichtet ist und
c) Wenn ein berechtigtes INteresse hierfür gegeben ist.
Letztes ist bei einer Datenweitergabe aber restriktiv auszulegen.
In jedem Fall müssen Sie informiert werden.
Ebayer: Hallo Herr Bode. ich betreibe einen Ebay Shop.
Was muss ich denn nun eigentlich angeben?
Rechtsanwalt Richard Bode: Leider ist noch nicht abschließend geklärt, wie derartige Plattformanbieter zu bewerten sind. Genaueres wird sich in den kommenden Monaten zeigen.
Marlies: Darf ich Bilder von einer öffentlichen Veranstaltung in WhatsApp weiter schicken.
Rechtsanwalt Richard Bode: Die Verwendung von Whats-App ist in nahezu keiner Konstellation gestattet. Dies nicht etwa weil die Bilder nicht geteilt werden dürfen, sondern weil in der Regel schon die Nutzung dieses Dienstes gegen den Datenschutz verstößt. Bitte verwenden Sie hier alternative Programme.
Holly J.: Bei einer Web-Visitenkarte, also einer Webseite mit nur einer Seite, auf der z.B. steht: hier entsteht eine Webpräsenz - muss man da auch eine umfangreiche Datenschutzerklärung einfügen? Es werden ja Logfiles auf dem Server erzeugt, doch die Datenschutzerklärung ist dann länger als die Web-Visitenkarte?
Rechtsanwalt Richard Bode: So lange für Sie als verantwortliche Stelle die Log-Files keinen Rückschluss auf konkrete Personen erlauben und Sie diese Daten auch nicht durch Dritte verarbeiten lassen (siehe die vorherige Frage zur IP) ist eine Datenschutzinformation nicht notwendig.
anonym2: Wenn ich als Einzelunternehmer keine eigene Webseite betreibe betrifft mich dann trotzdem die neue Verordnung? Was muss ich tun?
Rechtsanwalt Richard Bode: Die Datenschutz-Grundverordnung betrifft keineswegs nur Websites. Diese sind nur die öffentlich einsehbaren Bereiche Ihres Unternehmens. Ich möchte hier auf den vorherigen Frfagesteller verweisen und auf die verschiedenen Leitfäden der Verbände, auch des GDD e.V. und BvD e.V.
Holly J.: Die Verwendung von Whats-App ist in nahezu keiner Konstellation gestattet - was heißt das?
Rechtsanwalt Richard Bode: Da WhatsApp die Daten aus Ihrem Adressbuch, auch die der nicht bei WhatsApp registrierten Nutzer, an die Server des Betreibers in die USA übermittelt, Sie jedoch zumindest von den Kontakten die nicht bei WhatsApp sind keine Einwililgung in die Datenweitergabe vorliegen haben, ist dies nicht gestattet.
Frank: In welchen Auftrag arbeiten denn diese Abmahn-Anwälte? Für Ihren eigenen Wohlstand oder im Auftrag des Gesetzgebers? Wer bekommt das Geld?
Rechtsanwalt Richard Bode: Abmahn-Anwälte sind nur die ausführenden Organe. Die eigentlichen Abmahner sind entweder tatsächlich von Datenschutzverstößen betroffene Personen oder alternativ Verbände, welche über ein Klagerech nach dem UKlagG verfügen. Diese dürfen quasi im Verbandsinteresse verhindern, dass wettbewerbswidrige Praktiken, worunter auch Datenschutzverstöße fallen, fortgesetzt werden.
FrankL: Was muss ich als einfacher Arbeiter beachten, wenn ich nach Feierabend oder am Wochenende im Netz surfen gehe? Wo lauern Gefahren?
Rechtsanwalt Richard Bode: So lange Sie nicht unbedacht Namen, Adressen, Bilder, Videos von Freunden, Bekannten aber auch Fremden veröffentlichen können Sie wie gewohnt den Feierabend genießen.
Hans-Jürgen: Ich habe 2007 meine Firma geschlossen und keine Mitarbeiter mehr, Muss ich die alten Personalakten vernichten?
Rechtsanwalt Richard Bode: Meiner Kenntnis nach sind Personalakten für die Dauer von 6 Jahren nach Ende der Beschäftigung aufzubewahren. Diese dürfte abgelaufen sein. Lassen Sie aber bitte prüfen, ob diese Pflicht überhaupt für Sie galt.
Holly J.: Was halten Sie von DSGVO-Datenerklärung-Generatoren? Sind diese rechtssicher? Wie hoch ist die Wahrscheinlichkeit, dass durch so einen Generator etwas in der Erklärung steht, was zu einer Abmahnung oder anderen regelverstoßführen kann?
Rechtsanwalt Richard Bode: Generatoren für Datenschutzerklärungen können tatsächlich nicht abschließende Rechtssicherheit bieten. Dies ist auch der Grund warum die Anbieter hier keine Haftung übernehmen. Die Generatoren sind jedoch bei einfachen Internetseiten (Kontakformular, keine besonderen Plugins, keine Datenuploads) ein guter Anfang, sollten jedoch, sobald das interne Datenschutzkonzept steht,überarbeitet werden.
Freeweeler: Cooler Chat, super von Euch MDR Sachsen und Danke an Herrn Bode!
anonym2: Warum verkaufen die Ortsämter Adressen, wenn man nicht extra widersprochen hat??
Rechtsanwalt Richard Bode: Hierfür bestehen überwiegend gesetzliche Ermächtigungen. Sie haben jedoch jedes Recht beim Amt die Rechtsgrundlage für diese Weitergabe abzufragen.
Moderator: @Freeweeler: Sehr gern! :-)
simone: Was kann ich tun, wenn mir eine Versandapotheke immer wieder Newsletter zusendet, die ich schon mehrfach abbestellt habe ?
Rechtsanwalt Richard Bode: Das Gesetz sieht hier vorrangig das Beschwerderecht bei der in Ihrem Bundesland zuständigen Aufsichtsbehörde (In Sachsen der sächsische Landesbeauftragte für den Datenschutz) vor. Zusätzlich besteht die Möglichkeit die Apotheke abzumahnen.
Catsun : Jemanden einfach nur fotografieren aber nicht weiterverbreiten erlaubt oder strafbar
Rechtsanwalt Richard Bode: Private Fotografien sind, so lange diese nicht veröffentlicht werden, erlaubt.
Holly J.: Herr Bode, vielen Dank für Ihre Antwort. Nun eine andere Frage: wenn ich die Datenschutzerklärung auf einer Webseite umfangreicher gestalte (z.B.Daten können zu statistischen Zwecken herangezogen werden), es aber nicht tue - verstoße ich da auch gegen eine Regel?
Rechtsanwalt Richard Bode: Das Gesetz fordert eine transparente und verständliche Erklärung. Jede Information die "zu viel" ist beeiträchtigt dies. Mit Bußgeldern ist hierbei jedoch eher nicht zu rechnen.
Sabine: Unser Verein besteht aus 28 Mitgliedern. Eine Webseite haben wir nicht. Was muss ich als Kassenwart beachten? Reicht bei der Anmeldung als Mitglied der eingefügte Satz: Ihre Daten werden nur zum Zwecke der Erfassung verwendet!?
Rechtsanwalt Richard Bode: Dies wird leider nicht ausreichen. Sie müssen dem Mitglied entsprechend Art. 13 DS-GVO eine Datenschutz-Information zur Verfügung stellen.
anonym1: Darf meine Firma ein Google Konto von mir als Mitarbeiter anlegen welches den vollen Vor und Nachnamen enthält?
Rechtsanwalt Richard Bode: Dies ist nur mit Ihrer ausdrücklichen Einwilligung möglich. Ausnahmen könnten jedoch Betriebsvereinbarungen oder die zwingende Notwendigkeit dieses Vorgehens für Ihr Arbeitsverhältnis sein. Letzteres wird jedoch in der Regel nicht vorliegen.
anonym3: Gilt das schon als Verstoß, wenn man jemanden von hinten fotografiert und sofort wieder löscht?
Rechtsanwalt Richard Bode: Entscheidend ist, ob Sie auf Grund der vorhandenen Daten eine Person mit verhältnismäßigem Aufwand eindeutig identifizieren können. Dies ist bei Fotos "von hinten" wohl nicht der Fall.
Leo: Brauchen kleine öffentliche Blogs auch eine Datenschutzerklärung?
Rechtsanwalt Richard Bode: Ja, auch kleine Blogs benötigen diese. Wenn Sieden Blog jedoch nicht in einem geschäftlichen Zusammenhang betreiben drohen hierfür zumindest keine Bußgelder.
Holly J.: Fotografien - das ist ein gutes Thema. In der Vergangenheit bin ich bereits von Hunden angegangen worden. Deshalb halte ich heute meine kleine Knippse mit Videofunktion bereit und wenn mir ein Hund zu nahe kommt, filme ich die Situation. Diese Filme sind nur für mich und eventuelle Beweissicherung bestimmt, also keine Veröffentlichung. Verstoße ich da gegen ein Gesetz?
Rechtsanwalt Richard Bode: Diese Frage kann ich so leider nicht beantworten. Es kommt darauf an, ob Menschen zu sehen sind.
per Mail: Bin Vorsitzender eines Vereins (e.V.) mit ca. 40 Mitgliedern. Ca. 30 davon haben eine Mailanschrift, über die ich sie mehrmals im Jahr mit Informationen und Einladungen zu Veranstaltungen des Vereins einlade. Übliches Verfahren seit über 10 Jahren. Darf ich das weiterhin mit berechtigten Interesse oder muss ich jetzt irgendwelche Voraussetzungen erfüllen? Muss ich die bisher unkomplizierten Kontakte künftig dokumentieren?
Rechtsanwalt Richard Bode: Ein gutes Thema. Auf Grund der langjährigen Praxis sollte es unstreitig sein, dass Sie eine Einwilligung der bestehenden Mitglieder für den Versand von (unverschlüsselten) E-Mails haben. Neue Mitglieder sollten jedoch schon bei der Beantragung der Mitgliedschaft eine entsprechende Einwilligungserklärung unterzeichnen.
Rolando: Ich bin als Versicherungsvermittler tätig. Wenn Bestandskunden, die Versicherungsverträge über mich abgeschlossen haben, die Einwilligung zur Speicherung und Verarbeitung ihrer Daten nicht zurücksenden, muss ich dann die bisher erfassten Daten sofort löschen?
Rechtsanwalt Richard Bode: Die Frage lässt sich leider nicht in dieser unverbindlichen Form umfassend beantworten. Im Grundsatz gilt: Wenn Sie diese Daten für die weitere Vertragsbetreuung der Bestandkunden zwingend benötigen und verarbeiten müssen, brauchen Sie keine Einwilligung. Es kommt immer darauf an, was Sie mit den Daten machen wollen.
Udo: Bin selbständiger Handelsvertreter und habe seit 28 Jahren eine Werksvertretung für einen Hersteller von Industrietechnik. Kontaktdaten resultieren von Messen, eigener Akquise, direkten Anfragen und Information durch die Herstellerfirma. Diese werden firmen- u. projektbezogen gespeichert und für technische Kundenpflege, Servicebesprechungen usw. genutzt. Ein Datenaustausch erfolgt nur zwischen betreffenden Kunden, Vertretung, Hersteller. Keine Infos an Dritte. Wie muss ich die Daten verwalten?
Rechtsanwalt Richard Bode: Die DS-GVO schreibt vor, dass Sie die rechtmäßig erlangten Daten nach den Grundsätzen der Datensparsamkeit verarbeiten sollen und hierbei die Integrität und Vertraulichkeit der Daten durch geeignete technische und organisatorische Maßnahmen sicherstellen. Ob die von Ihnen heute angewandten Prozesse diesen Anforderungen genügen kann nur bei intensiver Prüfung beantwortet werden.
Waga: Wenn ich unaufgefordert eine Bewerbung an einen Betrieb sende, welche Pflichten hat der Betrieb dann?
Rechtsanwalt Richard Bode: Der Betrieb muss Sie nach Erhalt über die sodann beabsichtigte Datenverarbeitung aufklären. Die Anforderungen können Sie Art. 13 DS-GVO entnehmen.
anonym4: Muss auf website-Erweiterungen die z.B. das aktuelle Wetter anzeigen in der Datenschutzerklärung hingewiesen werden?
Rechtsanwalt Richard Bode: Es kommt darauf an, ob die Erweiterung personenbezogene Daten an den Server des Plugin-Betreibers oder Sie übermittelt. Dies können IP-Adressen und auch vom Nutzer eingegebene Daten sein.
anonym4: Ich danke Ihnen ☺
anonym2: Wir haben ein kleines Eiscafé mit einer eigenen Website und verschicken einmal pro Woche den Speiseplan per Mail an 5-6 Personen, die uns zu diesem Zweck ihre E-Mail-Adresse überlassen haben. Für andere Werbung oder Weitergabe an Dritte wird sie nicht genutzt. Wie müssen wir uns jetzt verhalten?
Rechtsanwalt Richard Bode: Bitte machen Sie Ihre Website rechtskonform indem Sie eine Datenschutzerklärung vorhalten. Wenn Sie Formulare auf der Seite haben muss diese Seite SSL-verschlüsselt werden. Was die Mailings angeht würde ich die 5-6 Personen anschreiben und nochmals fragen, ob Sie weiterhin die Karten zugesendet haben wollen und die Antworten dann dokumentieren.
per Mail: Habe meine Webseiten wegen der Unsicherheit zum Impressum und Datenschutzerklärung geschlossen. Bewerbe jetzt als Affiliate die Vendoren über eine –pdf- auf der im Prinzip nur die Links zu den Homepages der Vendoren sich befinden. Habe zum Schluss meinen Namen; Telefon-Nr. und E-Mail Adresse hinterlegt. Frage: Muss ich mehr tun?
Rechtsanwalt Richard Bode: Entscheidend ist, ob Sie von den Vendoren beim Klick auf den Link personenbezogene Daten der Affiliates erhalten. Dann müssen Sie weiterhin gem. Art. 13 DS-GVO aufklären.
Holly J.: Ich habe bis jetzt immer noch nocht verstanden, für was ein ADV notwendig ist und wann ich so einen Vertrag unterschreiben sollte.
Rechtsanwalt Richard Bode: Ein ADV (seit heute AVV) ist notwendig, wenn Sie ein Drittes Unternehmen damit beauftragen, Daten für Sie zu erheben oder die von Ihnen gelieferten Daten zu verarbeiten. Dieser Vertrag ist mit Aufnahme der Tätigkeit des Dritten abzuschließen. Beispiele sind Lohnbuchhalter (die in Ihrem Auftrag personenbezogene Daten, Lohndaten, der Mitarbeiter, verarbeiten) oder Hostinganbieter (die in Ihrem Auftrag die Daten aus den Kontaktformularen auf deren Servern verarbeiten)
Waga: Danke für Ihre Antwort. Ich denke aber, dass es einen enormen Aufwand für kleinere Betriebe/Geschäfte bedeutet, jede unaufgeforderte Bewerbung zu beantworten und zu schreiben, wie sie mit meinen Daten umgehen.
Rechtsanwalt Richard Bode: Die DS-GVO sieht vor, dass Unternehmen Ihre datenschutzrelevanten Prozesse kennen und dokumentiert haben. Insofern macht es keinen Unterschied ob es sich um eine Initiativbewerbung oder eine Stellenausschreibung handelt. In beiden Fällen sollte der Prozess identisch sein, mithin sind immer die gleichen Standard-Nachrichten zu versenden.
per Mail: Ist es möglich, die Weitergabe von Daten durch Ämter zu unterbinden?
Rechtsanwalt Richard Bode: Nur wenn diese keine Rechtsgrundlage für die Weitergabe haben.
Marcel Doege: Sehr geehrter Herr Bode, was bedeutet diese Verordnung für eine kleine politische Organisation, die bei ihren Veranstaltungen immer ein Bild von den Teilnehmern für die öffentlichen Medien macht?
Müssen wir das nun unterlassen und unsere Seiten zurücksetzen?
Rechtsanwalt Richard Bode: Dies unterfällt den Sonderregelungen des Presserechts. Diese Regelungen werden gerade in den Bundesländern auf die DS-GVO angepasst. Es ist zu erwarten, dass auch in Zukunft derartige Verarbeitungen zulässig bleiben.
Waga: Was ist ABD?
Rechtsanwalt Richard Bode: Diese Abkürzung ist mir unbekannt.
per Mail: Habe nur allein Zugang zu meinem PC. Muss ich da ein, aus mind. 8 Zeichen usw. bestehendes Passwort generieren?
Rechtsanwalt Richard Bode: Bei einem Einbruch verhindert ein längeres Passwort die Zeit, bis es geknackt ist. Dies nützt aber nur etwas, wenn auch die Festplatte verschlüsselt ist. Ein Muss gibt es aber so pauschal nicht.
Ines: Ich bin Grundschullehrerin und gleichzeitig Vorsitzende des Fördervereins unserer Schule. Weiche Datenschutzregeln muss ich ab sofort beachten? Unsere Mitgliedsdaten (Name, Adresse) sind nur in Papierform erfasst und werden nach Beendigung der Mitgliedschaft vernichtet.
Rechtsanwalt Richard Bode: Ein guter Anfang wäre es, den Mitgliedern genau dies mitzuteilen. Bestenfalls schon beim Eintritt in den Förderverein.
per Mail: Was muss ich tun, wenn ich aus alter Geschäftsbeziehung (VS–Makler) noch Kundendaten (Personalien, Tel.-Nr., E-Mail Adresse, Geb.-Datum) besitze und für Zukunft u.U. auf anderen Gebiet nutzen möchte?
Rechtsanwalt Richard Bode: Dies werden Sie wohl nicht rechtskonform durchführen können, da dieser neue Zweck nicht von der damaligen Datenweitergabe gedeckt ist und Sie hierfür auch eher kein berechtigtes Interesse haben.
Waga: Entschuldigung ich meinte ADV heute AVV..
Rechtsanwalt Richard Bode: Es handelt sich um einen Auftrags(daten)verarbeitungsvertrag.
Moderator: Nur als kurzer Hinweis zwischendurch: Alle Fragen und Antworten gibt es nach dem Chat zum Nachlesen bei mdr-sachsen.de
Pfefferkuchen: Guten Abend, was ist eigentlich mit Informationen im Internet zu Personen, also Veröffentlichungen, etwa in Zeitungsartikeln oder Firmeneinträgen zu längst zurückliegenden Tätigkeiten, oder gar Personen, die bereits verstorben sind. Welche Handhabe hat man da, um diese aus dem Netz bekommen? Greift da kein Datenschutz?
Rechtsanwalt Richard Bode: Viele Fragen auf einmal. Also wie folgt:
1) Zeitungsartikel unterliegen dem Presserecht im Zeitpunkt der Veröffentlichung, bleiben mithin bestehen wenn Sie damals zulässig waren.
2) Firmeneinträge in Datenbanken sind (so es nur um die Firma geht) nicht vom Datenschutzrecht betroffen.
3) Die Rechte verstorbener Personen werden durch die Erben geltend gemacht.
4) Um Informationen aus dem Netz zu bekommen stehen jedem Betroffenen (oder deren Erben) Löschungsrechte zu.
Holly J.: Herr Bode, erneut vielen Dank für Ihre Antwort. Wird denn ein AVV schon notwendig, wenn ein Hoster einen Logfile für mich erstellt, den ich statistisch auswerte?
Rechtsanwalt Richard Bode: Wenn die Logfiles personenbezogene Daten wie IP-Adressen enthalten und diese zunächst so beim Hoster erhoben werden, ist ein AVV abzuschließen.
per Mail: Wie ist das eigentlich, wenn ich Fotos von Freunden und meiner Familie auf Facebook oder Instagram poste? Muss ich da jedes Mal alle auf dem Foto fragen, ob ich das darf?
Rechtsanwalt Richard Bode: Abgesehen davon, dass sich die Personen sicher freuen würden wenn Sie vorher gefragt werden, gilt das Datenschutzrecht auch im privaten Bereich. Eine Einwilligung sollte also eingeholt werden. Dies kann hier aber auch mündlich erfolgen.
Waga: Wie soll ein Betrieb das Löschen meiner Daten dokumentieren, ohne einen Bezug oder einen Rückschluss auf mich?
Rechtsanwalt Richard Bode: Die Datenverarbeitung zur Dokumentation der Einhaltung der DS-GVO ist zulässig. Daher können die Daten gelöscht werden und dennoch darf an der hierfür vorgesehenen Stelle unter Verwendung von personenbezogenen Daten dokumentiert werden, dass dies geschehen ist.
Holly J.: Ein Verzeichnis der Verarbeitungstätigkeiten - reicht es aus, da eine Excel-Datei zu erstellen oder eine Papier-Karteikarte? Gibt es Vorschriften?
Rechtsanwalt Richard Bode: Ich empfehle hier die Praxisleitfäden des GDD, kostenfrei abrufbar über deren Website www.gdd.de oder die Muster des bitkom Branchenverbandes.
hcx: Guten Abend Herr Bode,
Gibt es etwas (nach der neuen Gesetzesverordnung) zu beachten bei (externen) Links einer Webseite?
Rechtsanwalt Richard Bode: Tatsächlich ist die Antwort hierauf einfach: Nein.
Externe Links stellen keine Datenverarbeitung dar.
per Mail: Ich bin Agenturfotograf. Bislang musste ich beim Ablichten öffentlicher Veranstaltungen nicht um eine Erlaubnis der Fotografierten fragen, zumindest nicht, wenn mehr als 5 Personen zu sehen waren. Wie sieht das jetzt aus?
Rechtsanwalt Richard Bode: Als Agenturfotograf agieren Sie sicherlich nahezu immer im Auftrag eines Kunden. Es ist mithin Pflicht des Kunden Ihnen vorzugeben, wie Sie den Auftrag auszuführen haben. Dies betrifft auch den Datenschutz. Es ist aber anzuraten, dass Sie für die Kunden ein Muster eines Auftragsverarbeitungsvertrages bereithalten.
Mediator: Moderator: Nur als kurzer Hinweis zwischendurch: Alle Fragen und Antworten gibt es nach dem Chat zum Nachlesen bei mdr-sachsen.de - hätten Sie das nicht im Vorfeld erwähnen müssen?
Moderator: Sie meinen wegen der neuen Datenschutzgrundverordnung?
netzwerkcomputer: Wir sind ein kleiner Automobilzulieferer und haben keinen Endkundenkontakt. Wir haben nur B2B Kontakt. Was ist laut neuen Gesetzt zu zun?
Rechtsanwalt Richard Bode: Das neue Recht betrifft grundsätzlich auch die Datenverarbeitung von Ansprechpartnern Ihrer B2B-Kunden sowie den Mitarbeiterdatenschutz, welchen Sie unternehmensintern beachten müssen.
Mediator: ja
Moderator: Ich denke nicht, dass in diesem Fall die Datenschutzgrundverordnung greift.
hcy: Dankeschön! Wie verhält es sich bei Buchungsmodulen (Hotelseiten), Gästebewertungsmodule auf solchen Seiten und Verlinkungen zu z.B. Gutscheingeneratoren für Gäste? Sind diese Dinge nach neuer Gesetzeskage problematisch? Eine weitere Frage habe ich zur Einbindung des Angebotes eines Autohändlers von Mobike.de auf seiner eigenen Webseite mittels Iframe. Ist das problematisch?
Rechtsanwalt Richard Bode: Diese Themen sind nicht "problematisch", erfordern jedoch klare interne Datenschutzrichtlinien sowie eine nach außen tretende Datenschutzinformation. Gerade bei Buchungen. Weiterhin ist bei Web-Formularen dringend auf die Verschlüsselung der Übertragungen per SSL zu achten. Hinsichtlich der mobile.de-Einbindung ist wichtig zu wissen, welche Daten an den Hoster des Iframes gelangen. Darüber ist auch in der Datenschutzinformation aufzuklären.
netzwerkcomputer: Danke!
hcy: Dankeschön!
per Mail: Was ist eigentlich mit der Schufa? Gibt es da jetzt Änderungen? 25 Euro pro Anfrage ist das weiter so? Sind ja eigentlich meine Daten …
Rechtsanwalt Richard Bode: Die Schufa hat in der Tat Änderungen vorgenommen und wird derzeit von mehreren Seiten wegen der DS-GVO scharf angegangen. Insbesondere auf Grund derer Algorithmen. Die einmal jährliche Anfrage ist jedoch, soweit ich weiß, weiterhin kostenlos.
hcy: Woher bekommt man wirklich wasserdichte Datenschutzerklärungen?
Rechtsanwalt Richard Bode: Dies erhalten Sie von Anwälten. Nur Anwälte sind bereit für rechtliche Fragen ihre Hand ins Feuer zu legen.
Holly J.: Ein Mailformular in der Webseite - bedarf das immer eine https-Verschlüsselung oder kann man das irgendwie umgehen?
Rechtsanwalt Richard Bode: Bitte können Sie genau mitteilen was Sie meinen. Entweder ein sog. "mailto", welches beim Klick auf eine E-Mail-Adresse die installierte E-Mail-Software, wie z.B. Outlook, öffnet oder das klassische Kontaktformular?
hcy: Generatoren für solche Erklärungen aus dem Internet würden Sie also nicht empfehlen?
Rechtsanwalt Richard Bode: Diese Generatoren können in den allerseltensten Fällen die in Ihrem Unternehmen erfolgenden Datenverarbeitungsprozesse zutreffend erfassen.
hcy: Gute Frage! Wie verhält es sich mit „mailto“?
Rechtsanwalt Richard Bode: Ein Mailto verarbeitet die Daten nicht "auf der Website". Da Sie jedoch immer bei Erhalt der Mail die Daten verarbeiten, sollten Sie darauf hinweisen wie dies erfolgt.
Holly J.: Welche Änderungen (Erleichterungen?) kann man mittelfristig bezüglich der neuen Verordnung erwarten?
Rechtsanwalt Richard Bode: Hier ist alles denkbar. Vom sturen Beibehalten der neuen Regelungen bis zu einer vollkommenen Aufweichung wie kürzlich in Österreich geschehen.
Holly J.: Ja, ich meine das Kontaktformular mit Eingabefeldern.
Aber darüberhinaus eine Erläuterung zur mailto-Funktion ist auch interessant.
Rechtsanwalt Richard Bode: Beim Kontaktformular müssen Sie zwingend verschlüsseln. Beim mailto nicht.
omo: Greifen auch die Datenschutzbestimmungen, wenn ich bei einer Apotheke ausdrücklich angegeben habe, mir keine Werbung zu versenden ?
PS: Auf meine Anfrage steht zwar ein Vermerk, dieser wurde jedoch Leider IMMER von der Logistik ignoriert.
Was kann ich da tun ?
Lieben Dank vorab schon mal.
Rechtsanwalt Richard Bode: Als letzter Schritt steht Ihnen immer die Beschwerde bei der Datenschutz-Aufsichtsbehörde zur Verfügung.
Mediator: Wie kriegt man so viel Wissen wie Sie?
Rechtsanwalt Richard Bode: Ein lebenslanges Interesse an IT, eine Ausbildung zum Datenschutzbeauftragten, 7 Jahre Anwaltsausbildung und 4 Jahre Tätigkeit als Rechtsanwalt und Datenschutzbeauftragter, ach ja und einen unstillbaren Wissensdurst.
per Mail: Wenn ich als Immobilienmakler die Daten meiner ehemaligen oder potentiellen Kunden mit ihrem Einverständnis speichere. Wie lange darf ich das dann tun?
Rechtsanwalt Richard Bode: Genau so lange, wie Sie sich in der Einverständniserklärung zugesichert haben. Steht hierzu nichts in der Erklärung wird diese im Zweifel unwirksam gewesen sein.
omo: Die Datenscxhutzaufsichtsbehörde finde ich Wo? Ist die in jedem Bundesland zu finden ?
Rechtsanwalt Richard Bode: In jedem Bundesland existiert diese Behörde. Der Name variiert leicht. In Sachsen heißt die Behörde "Der Sächsische Datenschutzbeauftragte" und wird von dem sächsischen Datenschutzbeauftragten, Herrn Schurig, geleitet.
Simona: Vielen Dank
per Mail: Wie ist das eigentlich, wenn man keine Internetseite im herkömmlichen Sinn betreibt, sondern nur ein Online-Gästebuch. Muss ich die älteren Einträge dann löschen?
Rechtsanwalt Richard Bode: Da der Sinn eines Gästebuchs gerade die dauerhafte Veröffentlichung der Einträge ist, haben Sie hier wohl eine Einwilligung in die dauerhafte Datenspeicherung. Gleichwohl sind Sie verpflichtet ab heute die sich EIntragenden hierauf gem. Art. 13 DS-GVO hinzuweisen.
per Mail: Ich kann mir die Daten also auch per Einverständniserklärung über 10 Jahre und mehr archivieren?
Rechtsanwalt Richard Bode: Dies ist ohne weiteres möglich, insofern die Einwilligung freiwillig erteilt wird. Bitte beachten Sie, dass jede einzelne Einwilligung ab heute zu dokumentieren ist.
Holly J.: Wenn ich eine Einwilligungserklärung für Fotos habe, die ich (irgend wann) mal veröffentlichen will - wie lange darf ich diese Einwilligung archivieren?
Darf ich diese Einwilligung in einen Fotovertrag (z.B. als professioneller Fotograf für eine Familienfeier) integrieren? (Die Archivierungsdauer des Vertrages ist ja wohl zeitlich befristet.)
Rechtsanwalt Richard Bode: Die Einwilligung dürfen Sie so lange archivieren, wie Sie im Besitz der Bilder sind. Sie können die Einwilligung auch im Fotovertrag aufnehmen, aber nur wenn diese deutlich hervorgehoben wird und separat zu unterzeichnen ist. Ich würde die Einwilligung jedoch in einem separaten Dokument einholen.
Holly J.: Auch ich möchte mal sagen: Vielen Dank !!!!!!!!!
Bertram: Generell ist doch das ganze Scoring von Personen bedenklich datenschutzrechtlich, oder nicht? Gibt es da jetzt auch Änderungen?
Rechtsanwalt Richard Bode: Dies ist korrekt die DS-GVO sieht Scoring und Profiling (Entscheidungen über Vertragsabschlüsse ausschließlich auf Grundlage von Bewertungen durch Algorithmen) ebenfalls als bedenklich an und stellt hier höhere Anforderungen auf.
Moderator: Falls noch jemand eine Frage loswerden möchte: Dann gern. 21:30 Uhr endet unser Chat.
Bertram: Was sind denn das für höhere Ansprüche?
Rechtsanwalt Richard Bode: Zunächst das pauschale Verbot, Verträge auf Grundlage automatisierter Entscheidungen zu schließen oder abzulehen. Weiterhin die Pflicht einer vor Beginn der Datenverarbeitung durchzuführenden Datenschutz-Folgeabschätzung. Die Pflicht den Betroffenen darüber aufzuklären, wie der Algorithmus grundsätzlich funktioniert.
Moderator: Alle Fragen, die bis 21:30 Uhr gestellt wurden, werden aber noch beantwortet.
anonym2: Bei einer sogenannten Webvisitenkarten, also lediglich eine Seite, also nur die Homepage unter einer Webadresse, bedarf es da auch einer ausführlichen, vielleicht 10 DIN-A4 langen Datenschutzbelehrung?
Rechtsanwalt Richard Bode: In der Regel nicht. Prüfen Sie aber bitte, ob der Ersteller Ihrer Seite nicht Ihnen unbekannte Plugins eingebaut hat, die eine derartige Pflicht auslösen.
per Mail: Wie ist das eigentlich mit Apps auf meinem Handy? Die sammeln ja auch Daten? Kann ich die jetzt nicht mehr nutzen?
Rechtsanwalt Richard Bode: Sie können diese Apps selbstverständlich weiter nutzen. Die interessantere Frage ist, ob die Anbieter der Apps diese Daten weiterhin noch sammeln dürfen.
Holly J.: Muss man denn Cookies immer zustimmen? Oder gibt es auch eine Möglichkeit diese abzulehnen und auf der Webseite zu bleiben?
Rechtsanwalt Richard Bode: Nein, Sie müssen dem nicht zustimmen. Es gibt jedoch sowohl Seiten, die Sie lediglich über die Cookies informieren als auch Seiten, bei denen Sie aktiv über die Cookies entscheiden können. Beides kann, je nach Cookie, rechtkonform sein.
Bertram: Bei Kreditanträgen beispielsweise erfolgt ja die Entscheidung meist auf Grundlage solcher Scorings. Begründet wird eine Ablehnung eines Kreditvertrages allerdings meist nicht durch die Bank? Ist das jetzt anders?
Rechtsanwalt Richard Bode: Tatsächlich sitzt bei einem Kreditvertrag in der Regel noch ein Berater mit Ihnen zusammen, welcher die letzte Entscheidung trifft. Dies ist ausreichend. Es gibt jedoch reine Online-Kreditplattformen, die vollkommen ohne menschliche Entscheidung agieren.
per Mail: Und dürfen die App-Anbieter die Daten weiter sammeln?
Rechtsanwalt Richard Bode: Sehr viele Anbieter müssen derzeit die Geschäftsmodelle überdenken, da diese Datensammlung grundsätzlich nicht zulässig ist. Mittlerweile werden Sie jedoch bei allen aktuellen Smartphones bei der erstmaligen Verwendung der App gefragt, welche Datenverarbeitungen und Weitergaben Sie zulassen. Dies reicht als Einwilligung aus.
Moderator: Nur zur Erinnerung: In wenigen Minuten endet unser Chat. Wem also noch irgendetwas unter den Nägeln brennt, kann es in den kommenden vier Minuten noch loswerden ;-)
Bertram: Die Frage ist ja, ob das zulässig ist? Ohne menschliche Entscheidung entscheiden und dann die Ablehnung nicht mal konkret begründen.
Rechtsanwalt Richard Bode: Tatsächlich arbeiten die Banken oftmals mit Ampelsystemen. Diese geben dem jeweiligen Mitarbeiter nur eine Indikation, wie über das Darlehen zu entscheiden ist. Er trifft daher schon noch eine eigene Entscheidung. Eine Pflicht zur Begründung besteht mangels Pflicht einer Bank zum Vertragsabschluss jedoch nicht.
Moderator: Liebe Chat-Teilnehmer, vielen Dank für das große Interesse an unserem Experten-Chat zum Thema Datenschutz. Alle Fragen und Antworten können Sie in wenigen Minuten auf unserer Internetseite nachlesen: www.mdr-sachsen.de
Moderator: Lieber Herr Bode, auch Ihnen danke ich vielmals, dass Sie sich die Zeit genommen haben, die vielen Fragen zu beantworten.
Waga: Danke
Rechtsanwalt Richard Bode: Sehr gerne doch. Ich habe mich auch sehr gefreut und hoffe, allen Teilnehmern drängende Fragen beantwortet zu haben.
Moderator: Damit endet unser Experten-Chat für heute. Ich wünsche allen noch einen schönen Abend und ein sonniges Wochenende!
Moderator: Tschüss!
