Datenschutz und IT

In der zweijährigen Übergangsfrist hatten sich Unternehmen auf den Stichtag 25. Mai 2018 vorbereitet. Und dann das: Die EU hatte kurz vor dem Ablauf der der Frist ein Dokument mit Änderungen der DSGVO veröffentlicht. Was genau verbirgt sich dahinter?

Warum wurde die DSGVO berichtigt? 

Es ist durchaus üblich, dass europäische Rechtsvorschriften in Form eines sog. Corrigendums berichtigt werden. Meist handelt es sich dabei um grammatikalische oder sprachliche Anpassungen. So werden z. B. missverständliche Formulierungen ausgemerzt, die bei der Übersetzung der Originalfassung aufgetreten sind. 

Im Fall der DSGVO ergibt sich aber aus einer sprachlichen Anpassung evtl. eine Verschärfung bzgl. des Versands von Newslettern und Mailings – Stichwort „Privacy by default“

Setzen Sie die Vorgaben der DSGVO und des BDSG-neu rechtssicher mit unserem Gesamtpaket um!

Das Datenschutz-Paket

mehr erfahren

Erfahren Sie an nur einem Tag, wie Sie die Regelungen der DSGVO in Ihrem Unternehmen umsetzen können!

Das Update im Datenschutz 2018/2019

mehr erfahren

Erleichtern Sie sich die Datenschutz-Schulung Ihrer Mitarbeiter mit der

Schulungs-DVD: Mitarbeiterschulungen im Datenschutz

mehr erfahren

Art. 25 DSGVO ist besonders betroffen

Von der Berichtigung der DSGVO ist insbesondere Art. 25 Abs. 2 Satz 1 DSGVO betroffen. In diesem hieß es vor der Berichtigung wörtlich: 

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“

Entscheidend ist das Wort „grundsätzlich“, das mit der Änderung der DSGVO aus dem Verordnungstext ersatzlos gestrichen wird. Und das könnte juristische Konsequenzen nach sich ziehen: Denn mit dem Wegfall von „grundsätzlich“ ist keine Ausnahme mehr möglich.  

Das heißt: Durch Voreinstellung („Privacy by default“) dürfen nur personenbezogene Daten verarbeitet werden, die für den Verarbeitungszweck notwendig sind – und das ausnahmslos. 

Änderung der DSGVO am Beispiel einer Newsletter-Registrierung

Für Unternehmen stellt sich nun berechtigterweise die Frage, ob in der Anmeldemaske, die der Newsletter-Registrierung dient, überhaupt noch optionale Anmeldedaten wie Vor- und Nachname oder Position im Unternehmen erfragt werden dürfen. Schließlich wird für den Versand einer E-Mail lediglich die E-Mail-Adresse benötigt

Und ist nun die Abfrage nicht notwendiger personenbezogener Daten unzulässig, weil die freiwilligen Felder als Bestandteil in der Ausfüllmaske vorhanden sind und somit als Voreinstellung betrachtet werden können? Das kann aktuell nicht abschließend beantwortet werden – es gibt unterschiedliche Meinungen zur Auslegung der korrigierten Fassung der DSGVO. Und auch die Datenschutzbehörde hat sich zu den Berichtigungen noch nicht geäußert. 

Hinweis: Wichtig ist, dass die Pflichtfelder sauber gekennzeichnet und auch die freiwilligen Felder vom Kunden als solche eindeutig erkannt werden.

Fazit zur Berichtigung in der DSGVO

Ob und in welchem Maße Unternehmen aufgrund des Corrigendums noch einmal tätig werden müssen, bleibt also abzuwarten,wie die Rechtsprechung entscheiden wird. Es ist jedoch empfehlenswert, den Kunden jetzt schon in der Datenschutzerklärung darüber zu informieren, warum die freiwilligen Angaben abgefragt werden und was genau mit diesen Daten passiert. 

Interessant ist zudem, ob auch andere Abfragen wie z. B. Kontakt-, Bestell- oder Rückgabeformulare von der Berichtigung betroffen sind. (juse)

Quelle: datenschutzmappe.de 

War der Artikel hilfreich?
finde ich gut 0