☎ 069 71 67 2 67 0
EN  CN
19.08.2019 09:10
IT-Recht

Benötige ich bei jedem Vertragsschluss eine Datenschutzerklärung?

Die Antwort ist eigentlich ganz einfach: JA!   Auch nach einem Jahr Geltung der DSGVO ist das jedoch noch nicht jedem Verantwortlichen, der personenbezogene Daten erhebt, klar.

Von: Jana Burek-Fürstenow

Für wen gilt die DSGVO eigentlich?

Die Verordnung gilt laut Art. 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, hier drunter fällt auch ein herkömmliches/ analoges Karteikartensystem.

Diese Verordnung gilt nicht für persönliche, private oder familiäre Tätigkeiten, die ohne Bezug zu einer beruflichen, geschäftlichen oder wirtschaftlichen Tätigkeit ausgeführt werden.

Was sind diese personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit gemeint sind zuallerst natürlich der Name, Geburtsdatum, genetische und auf die Gesundheit den Körper bezogene Daten (Größe, Augenfarbe, Fingerabdruck, …) aber auch Kontaktdaten wie Anschrift, E-Mail-Adresse und Zahlungsdaten. Zudem ist eine natürliche Person auch über Standortdaten oder eine IP-Adresse (heutzutage) identifizierbar, weshalb auch solche Daten als personenbezogen anzusehen sind.

Wer ist dann eigentlich Verantwortlicher?

Das ist (vereinfacht gesprochen) jede Person, eine Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen personenbezogene Daten erhebt und dann über die Zwecke und Mittel der Verarbeitung entscheidet. Damit also jeder Gewerbetreibende, jeder Handwerker, jedes Unternehmen, dass personenbezogene Daten anderer erhebt, speichert und erfasst.

Wer sind die betroffenen Personen?

Damit sind diejenigen natürlichen Personen gemeint, von denen personenbezogene (persönliche) Daten erhoben werden. Nach dem Wortlaut wären Unternehmen, wenn es sich um juristische Personen handelt, es also keine natürlichen Personen sind, keine betroffenen Personen. Wenn von diesen Unternehmen aber Daten von natürlichen Personen (rechtlicher Vertreter wie Geschäftsführer oder Ansprechpartner) erfasst werden, wären doch wieder natürliche Personen betroffen.

Wann besteht die Verpflichtung über die Verwendung von Daten zu informieren?

Dem Wortlaut der DSGVO nach eigentlich immer, also immer dann, wenn personenbezogene Daten erhoben werden. Das wird praktisch bei jeder Zusendung oder der Anfrage eines Kostenvoranschlags und eines Vertragsschlusses sowieso der Fall sein. Eine Ausnahme besteht grundsätzlich nur dann, wenn der Kunde bereits über die Verwendung der Daten informiert wurde, d.h. in laufenden Geschäftsbeziehungen müssen Sie nur zum Beginn über die Verwendung der Daten aufklären.

In unserem gesonderten Beitrag haben wir einige Fälle aus der Praxis aufgeführt.

Hintergrund ist der wohl wichtigste Grundsatz der Datenschutzgrundverordnung (DSGVO) – Transparenz für betroffene Personen. So sollen die Personen, von denen Daten erhoben werden, stets informiert sein, welchen Daten u.a. wann, aus welchem Grunde erhoben und für wie lange gespeichert werden.

Uns und allen anderen ist klar, dass dies im täglichen Geschäftsverkehr oft nicht einfach ist, eine praxistaugliche und angemessene Balance zwischen den Informationspflichten nach der DSGVO und der Informationsüberhäufung bei den betroffenen Personen, auch im Hinblick auf deren vielfältige Geschäftsbeziehungen, zu schaffen.

Wie soll also informiert werden?

Die DSGVO (Art. 12) fordert hier, dass geeignete Maßnahmen zu treffen sind, um die (Datenschutz-) Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Wir alle haben festgestellt, dass diese Anforderungen im Alltag nicht so einfach umzusetzen sind. Der Europäische Datenschutzausschuss (EDSA) hat im „Working Paper 260“ eine gestufte Information für zulässig erachtet. Das bedeutet, dass eine mehrstufige Information zulässig sein soll.

Im ersten Schritt müssen immer die Informationen zur Identität des Verantwortlichen und zu den Zwecken der Verarbeitung gegeben werden. Diese Informationen werden zumeist ohne gesonderte Aufklärung bekannt sein, so ruft ein Kunde bei einem Maler an und bittet um Zusendung eines Kostenvoranschlags für die Renovierung seines Badezimmers. Hier kennen beide Beteiligten die Identität des anderen und der Kunde kennt den Grund der Datenspeicherung.

Im zweiten Schritt muss (müsste!) der genannte Maler dem Kunden dann alle Informationen nach Art. 13 bzw. 14 DSGVO zukommen machen. Wie soll dies nun geschehen?

Dies kann bspw. durch Zusendung des Links zu seiner auf der Website hinterlegten Datenschutzerklärung passieren (sofern vorhanden) oder auch durch das Bereithalten einer separaten „Offline“- Datenschutzerklärung, die jederzeit ausgehändigt bzw. übergeben oder zugesandt werden kann. Wenn der Kunde über die Informationspflichten bereits verfügt, muss der Verantwortliche diese nicht erneut zusenden. Bitte beachten Sie aber: Sollte sich die Erhebung, Speicherung und Verarbeitung Ihrer Daten wesentlich ändern, müssen Sie den Kunden die geänderte Information zukommen lassen (bspw. Verlegung der Speicher-Server von Deutschland ins EU-Ausland, Veränderung der Speicherdauer, etc.).

Muss ich nachweisen, dass ich Kunden informiert habe?

Ja! Wichtig für Verantwortliche ist: Sie müssen Rechenschaft darüber ablegen können über welche Informationen die betroffene Person seit wann bereits verfügt und dass diese sich seitdem nicht wesentlich geändert haben. Einen Ausschluss der Informationspflicht sollten Sie daher nur annehmen, wenn Sie diesen auch gegenüber der Aufsichtsbehörde nachweisen können!

Denn: Verstöße gegen die Informationspflichten können mit empfindlichen Geldbußen durch die Aufsichtsbehörden geahndet werden!

Unser Praxistipp: Halten Sie stets eine Datenschutzinformation vor, online wie offline! Begründen Sie eine neue Geschäftsbeziehung beziehen Sie die Datenschutzerklärung in Ihr Auftrags- oder Vertragsformular mit ein (bspw. über eine extra verlinkte Seite). Ändert sich die Erfassung Ihrer Daten, senden Sie dem Kunden die geänderte Datenschutzerklärung bzw. den Link hierzu mit Bestätigung des Empfangs zu.

Viele Unternehmen betreiben meist eine Webseite, zur Unternehmensvorstellung, manchmal ist auch ein Online-Shop angeschlossen und auf dieser Webseite haben Sie (sollten Sie jedenfalls) eine Datenschutzerklärung vorhalten. Für „offline“ geschlossene Verträge könnten Sie der Einfachheit halber auf diese Erklärung verweisen oder Sie erstellen eine weitere (versteckte) Unterseite, die nur direkt oder über einen Link (auch sog. Deep-Link) aufrufbar ist, auf der Sie die Informationspflichten für die Verträge die eben nicht über die Website geschlossen werden, vorhalten können. Hintergrund ist, die Datenschutz-Erklärung der eigentlichen Webseite wird oftmals bedeutend länger sein, da die Webseite ggf. auch Cookies, Analyse-Tools oder Social Media Verlinkungen einschließt. Diese Erläuterungen benötigen Sie für „offline“ geschlossene Verträge nicht und verkomplizieren die Erklärung nur unnötig.

Informationen zum Erstellen einer ordnungsgemäßen Datenschutzerklärung finden Sie in unseren Musterverträgen in der Kategorie Datenschutz.

Gerne besprechen wir auch Ihre individuelle Situation und erstellen die notwendigen Datenschutzinformationen für den online und offline Geschäftsverkehr. Sie erreichen uns per Telefon unter ☎ 069 71 67 2 67 0 oder per E-Mail unter info@liesegang-partner.com.

In Verbindung stehende Artikel:

 Fragen aus der Praxis zum Thema Datenschutz-Informationen: - 19.08.19 09:21
 Abmahnrisiko DSGVO-Verstoß? - 29.11.18 13:19
 Facebook und Datenschutz - Entscheidung des EuGH zu Facebook-Fanpages - 06.09.18 07:25
 Neues Datenschutzrecht ab 25. Mai 2018! - 22.05.18 09:26