Bei der Verarbeitung von Daten hat der „Verantwortliche“ zunächst die allgemeinen Grundsätze einzuhalten. In einem zweiten Schritt hat er zu prüfen, auf welcher Rechtsgrundlage er eine Datenverarbeitung rechtmäßig durchführen kann. Dabei ist zwischen sensiblen Daten und nicht-sensiblen Daten zu unterscheiden. Show
Praxistipp: Bei „nicht sensiblen Daten“ kann diese andere Rechtsgrundlage sein:
Bei „sensiblen Daten“ kann diese andere Rechtsgrundlage folgende sein:
Sind keine der genannten Rechtsgrundlagen vorhanden, ist von der betroffenen Person eine Einwilligung einzuholen. Bei der Verarbeitung von personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten bestehen folgende Rechtsgrundlagen:
Die EinwilligungserklärungUnter einer „Einwilligung“ versteht die DSGVO jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung durch die betroffene Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Achtung: Achtung: Tipp: Aus Beweisgründen und im Hinblick auf die Rechenschaftspflicht (siehe dazu „Grundsätze und Rechtmäßigkeit der Verarbeitung“) ist anzuraten, dass der Verantwortliche auch bei der Zustimmungserklärung von nicht-sensiblen Daten schriftliche Einwilligungserklärungen oder sonstige nachweisbare Zustimmungserklärungen einholt.
Praxistipp: Da in AGB üblicherweise zahlreiche andere Sachverhalte geregelt werden (z.B. Zahlungskonditionen, Erfüllungsort, Gefahrentragung etc.), ist die Gefahr relativ hoch, dass eine dort integrierte datenschutzrechtliche Einwilligungserklärung als „intransparent“ gewertet werden könnte. Es empfiehlt sich daher nicht,
datenschutzrechtliche Einwilligungserklärungen in AGB vorzusehen.
Beispielhafter Formulierungsvorschlag: „Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur zentralen Abwicklung des Kunden-Beschwerdemanagements“) an … (genaue Angabe des Dritten, z.B. Name der Konzernmutter mit Anschrift) weitergegeben werden. Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.“ Achtung: Soll auch eine Weitergabe von Daten in Drittstaaten erfolgen, sind zusätzlich die Erfordernisse des internationalen Datenverkehrs zu berücksichtigen (siehe dazu „Internationaler Datenverkehr“). Besonderheiten bei Einwilligungserklärungen von KindernIm Falle von Zustimmungserklärungen im Zusammenhang mit Angeboten von Diensten der Informationsgesellschaft (z.B. Webshop), die einem Kind direkt gemacht werden, ist eine Datenverarbeitung personenbezogener Daten von Kindern vor Vollendung des 14. Lebensjahres nur dann rechtmäßig, sofern und soweit die Einwilligung zur Datenverarbeitung durch Obsorgeberechtigte (va Eltern), für das Kind oder mit deren Zustimmung erteilt wurde. Achtung: Neben dieser datenschutzrechtlichen Regelung sind für den Vertragsabschluss auch die zivilrechtlichen Bestimmungen zur Geschäftsfähigkeit zu berücksichtigen. Um sich in solchen Fällen zur vergewissern, dass die Einwilligung durch die Obsorgeberechtigten für das Kind erteilt wurde, hat der Verantwortliche unter Berücksichtigung der verfügbaren Technik „angemessene“ Anstrengungen zu unternehmen. Relevante Artikel der DSGVO: Art 4 Z 11, Art 7, Art 8 Stand: 14.06.2022 In welchem Fall dürfen personenbezogene Daten ohne Einwilligung des Betroffenen weitergegeben werden?Die Weitergabe personenbezogener Daten an Dritte ist grundsätzlich ohne Zustimmung der betroffenen Personen nicht zulässig. Wird sie in Ausnahmefällen gestattet, darf die Datenübermittlung nur verschlüsselt und in abgetrennter Form erfolgen.
Welche personenbezogenen Daten dürfen ohne Einwilligung verarbeitet werden?Kauf- oder Kreditvertrag, einen Arbeits- oder Mietvertrag oder andere Vereinbarungen: In diesem Fall dürfen sämtliche personenbezogenen Daten auch ohne Ihre Einwilligung verarbeitet werden, die für die Erfüllung des Vertrages erforderlich sind.
Wann darf ein verantwortlicher personenbezogene Daten verarbeiten?Antwort. Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten: mit Einwilligung der betroffenen Personen; bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
Warum dürfen personenbezogene Daten nicht ohne Einwilligung veröffentlicht werden?Als personenbezogene Daten fallen damit auch Bilder aufgrund der Gewährung vom Persönlichkeitsrecht unter die besonderen Bestimmungen des Bundesdatenschutzgesetzes (BDSG). Somit gelten bei der automatisierten Verarbeitung dieselben Vorgaben wie für Telefonnummern, Adressen, Kontodaten usf.
|