Datenschutzbeauftragter – Protected Shops https://www.protectedshops.de rechtssichere AGB für Onlineshops Tue, 20 Aug 2024 12:29:40 +0000 de hourly 1 https://wordpress.org/?v=5.8.10 https://www.protectedshops.de/wordpress/wp-content/uploads/2017/10/cropped-ProtectedShops_Logo_Siegel_512x512-32x32.png Datenschutzbeauftragter – Protected Shops https://www.protectedshops.de 32 32 BGH – Datenschutzbeauftragter muss nicht namentlich benannt werden https://www.protectedshops.de/infothek/dsgvo/bgh-datenschutzbeauftragter-muss-nicht-namentlich-benannt-werden Tue, 20 Aug 2024 14:29:40 +0000 https://www.protectedshops.de/?p=6551 Ab einer bestimmten Unternehmensgröße muss zwingend ein Datenschutzbeauftragter bestellt werden. Aus den Vorgaben der Datenschutzgrundverordnung ergibt sich auch eindeutig, dass dieser, sofern vorhanden, in der Datenschutzerklärung genannt werden muss. Umstritten war hier bis vor kurzem, ob der Datenschutzbeauftragte hier nur mit seiner Funktion oder auch mit Vor- und Nachnamen genannt werden muss. Ein aktuelles Urteil [...]

Der Beitrag BGH – Datenschutzbeauftragter muss nicht namentlich benannt werden erschien zuerst auf Protected Shops.

]]>
Ab einer bestimmten Unternehmensgröße muss zwingend ein Datenschutzbeauftragter bestellt werden. Aus den Vorgaben der Datenschutzgrundverordnung ergibt sich auch eindeutig, dass dieser, sofern vorhanden, in der Datenschutzerklärung genannt werden muss.
Umstritten war hier bis vor kurzem, ob der Datenschutzbeauftragte hier nur mit seiner Funktion oder auch mit Vor- und Nachnamen genannt werden muss.
Ein aktuelles Urteil des Bundesgerichtshofs (Urteil vom 14.05.2024 – VI ZR 370/22) schafft hier Klarheit.
Mehr zu diesem Urteil und seinen Auswirkungen erfahren Sie in diesem Beitrag

In Deutschland verpflichtet § 38 Abs. 1 BDSG alle Unternehmen zur Bestellung eines Datenschutzbeauftragten, sofern mindestens 20 Personen ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind.
Sofern das Unternehmen Verarbeitungen mit einem besonders hohen Datenrisiko vornimmt oder der Geschäftszweck die Übermittlung von Daten oder Zwecke der Markt- oder Meinungsforschung umfasst, hat es unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten zu bestellen.

Art. 13 Abs. 1 b) verpflichtet Unternehmen, in ihrer Datenschutzerklärung die Kontaktdaten des Datenschutzbeauftragten anzugeben, sofern es einen solchen gibt.
Unklar war bisher, ob hier nur die Funktion mit einer entsprechenden E-Mail-Adresse genannt werden muss,
also z.B.
„Sie erreichen unseren Datenschutzbeauftragten jederzeit unter datenschutz@unseronlineshop.de“.
oder ob der Datenschutzbeauftragte namentlich genannt werden muss, z.B.
„Unseren Datenschutzbeauftragten Max Mustermann erreichen Sie unter m.mustermann@unseronlineshop.de“.

Diese Frage hat der BGH nun geklärt.

Im zugrunde liegenden Fall hatte eine Bankkundin geklagt, die eine Auskunft über ihre Daten verlangt hatte, in der der Name des Datenschutzbeauftragten nicht genannt war.
Die Kundin sah sich dadurch in ihrem Auskunftsrecht verletzt und klagte zunächst vor dem Amtsgericht Seligenstadt, wo die Klage jedoch abgewiesen wurde.
Auch die Berufung vor dem Landgericht Darmstadt blieb erfolglos, woraufhin die Klägerin Revision beim Bundesgerichtshof einlegte.
Der BGH wies hier die Auffassung zurück, dass der Datenschutzbeauftragte namentlich zu benennen sei.
In Übereinstimmung mit der herrschenden Meinung in der juristischen Literatur urteilten die Richter, dass gerade nur die Kontaktdaten erforderlich seien, denn es gehe nicht um die Person, sondern um die Funktion, diese müsse für den Betroffenen erreichbar sein, wenn dafür kein Name erforderlich sei, müsse dieser nicht angegeben werden.

Fazit
Das Urteil des BGH schafft Rechtsklarheit in der Frage, wie ein Datenschutzbeauftragter in der Datenschutzerklärung benannt werden muss.
Es reicht aus, den Datenschutzbeauftragten lediglich in seiner Funktion und mit Kontaktdaten wie einer E-Mail-Adresse datenschutz@onlineshop.de sowie der Anschrift des Unternehmens mit z. Hd. des Datenschutzbeauftragten zu benennen.
Eine namentliche Nennung ist ausdrücklich nicht erforderlich.

Der Beitrag BGH – Datenschutzbeauftragter muss nicht namentlich benannt werden erschien zuerst auf Protected Shops.

]]>
Checkliste DSGVO: Welche Änderungen sind von Händlern zu beachten? https://www.protectedshops.de/infothek/dsgvo/checkliste-dsgvo-welche-aenderungen-sind-von-haendlern-zu-beachten Tue, 24 Jul 2018 09:35:27 +0000 https://www.protectedshops.de/?p=5337 Seit dem 25. Mai 2018 müssen alle, die personenbezogene Daten verarbeiten, die Datenschutz-Grundverordnung (DSGVO) beachten. Online-Händler, die hierzu gehören, sind verpflichtet, die neuen gesetzlichen Vorschriften in ihrem Shop umzusetzen. Damit Sie überprüfen können, welche Schritte Sie bei der Umsetzung schon abhaken können und an welcher Stelle noch Anpassungsbedarf besteht, haben wir eine Checkliste mit den [...]

Der Beitrag Checkliste DSGVO: Welche Änderungen sind von Händlern zu beachten? erschien zuerst auf Protected Shops.

]]>
Seit dem 25. Mai 2018 müssen alle, die personenbezogene Daten verarbeiten, die Datenschutz-Grundverordnung (DSGVO) beachten. Online-Händler, die hierzu gehören, sind verpflichtet, die neuen gesetzlichen Vorschriften in ihrem Shop umzusetzen.

Damit Sie überprüfen können, welche Schritte Sie bei der Umsetzung schon abhaken können und an welcher Stelle noch Anpassungsbedarf besteht, haben wir eine Checkliste mit den wichtigsten Änderungen durch die DSGVO zusammengestellt.

1.) Datenschutzerklärung aktualisieren

Jeder Online-Händler ist verpflichtet, eine Datenschutzerklärung auf seiner Shop-Webseite bereitzustellen. Damit diese den neuen Anforderungen der DSGVO gerecht wird, sollten Online-Händler überprüfen, ob in ihrer Datenschutzerklärung alle Pflichtinformationen (Art. 13 DSGVO) enthalten sind. Es muss z.B. darüber informiert werden zu welchem Zweck personenbezogene Daten erhoben werden und wer der Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung seine (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

 2.) Verzeichnis von Verarbeitungstätigkeiten

Um die Einhaltung der Datenschutzgrundsätze nachweisen zu können, müssen Online-Händler ein Verzeichnis von Verarbeitungstätigkeiten führen. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Das Anfertigen und Führen eines Verarbeitungsverzeichnisses ist keine einmalige, sondern fortlaufende Arbeit. Wenn sich etwas an einem Verfahren ändert oder ein neues Verfahren hinzukommt, muss das Verzeichnis aktualisiert werden.

Wir unterstützen Sie bei dieser Arbeit.

3.) Technische und organisatorische Maßnahmen

Neben der Webseite sollten Online-Händler dafür sorgen, dass der Schutz und die Sicherheit der personenbezogenen Daten, die im Unternehmen verarbeitet werden, gewährleistet ist. Wenn keine besonders sensiblen Daten (z.B. Gesundheitsdaten, Daten zur sexuellen Orientierung oder politische Meinungen) gespeichert werden, sind im Regelfall Standardmaßnahmen ausreichend.

Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Um eine hinreichende Datensicherheit zu gewährleisten, muss die Shop-Webseite SSL- verschlüsselt sein. Online-Händler sollten eine Übersicht erstellen, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

Mehr zur den technischen und organisatorischen Maßnahmen erfahren Sie hier.

 4.) DSGVO-konforme Einwilligungen einholen

E-Mail Marketing Maßnahmen sind bei Online-Händlern ein beliebtes Werbemittel. Durch die DSGVO hat sich an der Zulässigkeit dieser Maßnahmen nicht viel geändert. Weiterhin basiert die Verarbeitung personenbezogener Daten zu Werbezwecken auf einer Einwilligung des Empfängers. Online-Händler, die z.B. einen Newsletter versenden, müssen darauf achten, dass die Einwilligung mittels Double-Opt-In Verfahrens (Opt-In-Bestellung und Opt-In Bestätigungsmail, dass Newsletter bestellt werden soll) eingeholt und protokolliert wurde. Weiterhin muss der Adressat des Newsletters vor der Erklärung seiner Einwilligung darüber informiert werden, worin er einwilligt. Wichtig ist auch, dass der Empfänger vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen wird.

5.) Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn ständig 10 oder mehr Personen mit der automatisierten Verarbeitung von Daten befasst sind. Die Voraussetzungen unter denen ein Datenschutzbeauftragter zu bestellen ist, sind erweitert worden. Es ist auch Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn im Unternehmen als Kerntätigkeit besonders sensible Daten (z.B. Daten zur sexuellen Orientierung, Gesundheitsdaten) gesammelt werden. Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Dies gilt auch für den Leiter der IT-Abteilung. Voraussetzung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.

Mehr zum Datenschutzbeauftragten erfahren Sie hier.

6.) Neue Pflichten für Händler

Die DSGVO sieht weitere neue Pflichten für Händler vor wie z.B.  die Pflicht Auskunftsanfragen von Nutzern zu beantworten, die Einhaltung von Löschungsfristen („Recht auf Vergessenwerden“) oder die Herausgabe von gespeicherten personenbezogenen Daten in strukturierter, maschinenlesbaren Format (Recht des Betroffenen auf Datenübertragbarkeit). Weiterhin müssen Online-Händler der Meldepflicht nachkommen. Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Außerdem müssen die von der Datenschutzrechtsverletzung Betroffenen informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Wir unterstützen Sie bei der Umsetzung des Auskunfts- und Löschverlangens.

7.) Auftragsverarbeitung

Wer einen Dienstleister mit der Verarbeitung von Daten beauftragt, benötigt dafür eine korrekte Vereinbarung zur „Auftragsverarbeitung“ (früher: Auftragsdatenverarbeitung). Ein solcher Dienstleister kann beispielsweise ein externes Lohnbüro, ein Newsletter-Versanddienst oder ein Web-Analysedienst („Google Analytics“) sein. Zahlungsdienste wie z.B. PayPal werden nicht als Auftragsverarbeiter eingestuft, da bei ihnen fremde Dienstleistungen in Anspruch genommen werden, bei der keine aktive Verarbeitung der Daten übernommen wird.

Neben einer wirksamen Vereinbarung ist Voraussetzung für die Vergabe zur Auftragsverarbeitung, dass der Auftragnehmer „geeignete technische und organisatorische Maßnahmen“ zur Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet.

Bislang war für eine Vereinbarung zur Auftragsdatenvereinbarung Schriftform (Papier mit Unterschrift) vorgeschrieben. Mit der DSGVO werden auch elektronisch abgeschlossene Vereinbarungen möglich. 

Fazit

Kein Online-Händler kommt an der DSGVO vorbei. Auch wenn die DSGVO schon seit einigen Wochen gilt, müssen Online-Händler sich darüber informieren, welche neue Änderungen umgesetzt werden müssen, um keine Abmahnungen oder Bußgelder zu riskieren.

Der Beitrag Checkliste DSGVO: Welche Änderungen sind von Händlern zu beachten? erschien zuerst auf Protected Shops.

]]>