FAQ zur DSGVO in Gewerbe und Handwerk

1. Bestellscheine für Endkunden: werden tw. noch handschriftlich vom Kunden ausgefüllt. Muss am Bestellschein ein Datenschutz-Hinweis draufstehen oder reicht der Verweis auf die AGB?
   
2. GPS-Ortungssysteme in Firmenfahrzeugen: Daten des Fahrers inkl. GPS-Daten werden gesammelt. Wie lange dürfen die Daten aufbewahrt werden? Ist Zustimmung des Fahrers nötig, bei jedem Fahrzeugwechsel oder einmalig? Daten werden tw. gesammelt aber dienen nur der Dokumentation bei Unfällen, sonst keine Auswertung – ist das DSGVO-konform?
3. Müssen Steuerberater, Bank (z.B. für Lohnverrechnungsdaten von ehemaligen Mitarbeitern nach der gesetzlichen Aufbewahrungsfrist) über ein Auskunftsbegehren und/oder ein Löschen informiert werden?
4. Wie muss Löschung der Daten im Unternehmen dokumentiert werden? Welchen Nachweis muss der Unternehmer an den Betroffenen schicken? Ist ein Löschungsprotokoll im Hintergrund einer Software ausreichend?
5. Was gilt es zu beachten, wenn man Google Analytics verwendet? (ohne Conversion Tracking) Was gilt es zu beachten, wenn man Google Adwords verwendet? (ohne Conversion Tracking)
   Thematik Einbindung der Facebookseite oder Google Maps in die Homepage: Theoretisch würde beim Anklicken des Facebookbuttons Daten des Nutzers an Facebook übertragen, da Facebook tracked woher die Nutzer kommen. Ich als Webseitenbetreiber kann nicht sicherstellen, das Facebook die Daten nicht speichert, bin ich dafür haftbar?
6. Fotos von Veranstaltungen
7. WhatsApp am Handy: Firmenhandys, die auch privat genutzt werden, haben WhatsApp/Facebook installiert. Auch wenn die Geschäfte nicht über diese beiden Plattformen abgewickelt werden sind die Kundentelefonnummern trotzdem auch im Adressbuch gespeichert und damit für WhatsApp/Facebook sichtbar – Muss WhatsApp komplett von den Handys entfernt werden oder gibt es da andere Lösungen?
8. Privatnutzung von Firmen-E-Mail und Internet
9. Google/Gmail
10. Bankomat- und Kreditkartenzahlung: Zahlungsdaten der Kunden werden vom Unternehmen gespeichert, auch Informationen über Kreditkartennummer usw. – ist das zulässig?
11. Zusendung von aktuellen Preislisten am Jahresanfang an alle Kunden: Fällt das unter Werbung oder ist das eine bloße Kundeninformation? Darf die Preisliste, wenn es eine reine Information ist, an alle Kunden ohne deren explizites Einverständnis geschickt werden?
12. Sind die nachstehenden Empfänger Auftragsverarbeiter oder eigene Verantwortliche?
13. Müssen die Schulungen von Mitarbeitern zum Datenschutz dokumentiert werden?
14. Muss dokumentiert werden, dass die TOMs überprüft wurden?
15. Wie erfolgt der ‚Nachweis‘ einer Person, die Einsicht in die Daten verlangt (oder eine Löschung der Daten anstrebt..) …. persönlich, mit Ausweiskopie …. ?
16. Könnte ich für die Einsicht in die Daten (oder für die Löschung der Daten) einen Arbeitsaufwand in Rechnung stellen?
17. Verzeichnis der Verarbeitungstätigkeiten
18. Baumeister: Haftung bei Weitergabe von Kundendaten, Plänen usw. an Subunternehmer und an beauftragte Firmen
19. Baumeister: wie lange dürfen Fotos und Pläne der Bauwerke in Verbindung mit Kundendaten aufbewahrt werden? Oft auch in Verbindung mit Immobilienvermittlung – Interesse zu Speicherung besteht immer da bei späterem Verkauf Fotos und Pläne verwendet werden sollen. Dabei werden aber auch die Namen und Daten der aktuellen Besitzer gespeichert, sowie auch die der ehemaligen Besitzer für die Historie des Bauwerks.
20. Bau: Wir erstellen neben der Baumeistertätigkeit auch Gutachten. Teilweise beschäftigen wir dafür einen freiberuflichen Mitarbeiter, der auf Honorarbasis Vorarbeiten erledigt. Dafür bekommt er sämtliche Kundendaten usw. die uns z.B. von der Versicherung (wenn es sich z.B. um einen Bauschaden handelt) zur Verfügung gestellt werden. Ist nun dieser Freiberufler selbst für die Löschung bzw. sichere Aufbewahrung der Daten zuständig – er hat keinen Arbeitsplatz in unserer Firma – oder haften wir dafür? Wie können wir uns absichern?
21. Leasingmitarbeiter: Behandlung der Daten wie bei „normalen“ Mitarbeitern oder gibt es hier spezielle Regelungen?
22. chemische Gewerbe: Kosmetikhersteller speichern auch Allergien, Unverträglichkeiten, Krankheiten,… ihrer Kunden. Brauchen Sie einen Datenschutzbeauftragten?
23. Lebensmittelgewerbe: es werden „Bauernmärkte“ und „Hofläden“ beliefert, dort die Produkte verkauft, vom Verkäufer bekommen die Hersteller dann Kundenlisten. Dürfen diese Kundenlisten für Werbung/Mailing verwendet werden?
24. Berufsdetektive, Bewacher: brauchen sie Datenschutzbeauftragten?
25. Kabelnetzbetreiber: Elektrotechnikfirmen sind teilweise selbst Provider für Kabelnetze/Internet bzw. „verkaufen“ für größere Anbieter die Zugänge. Sind sie dann Auftragsverarbeiter? Was ist hier zu beachten?
26. Alarmanlagen mit Fernüberwachung, Videoüberwachung: welche Informationspflichten treffen die Errichter?
27. Fahrzeugtechnik: Überprüfung §57a = Handeln im öffentlichen Auftrag? Daten werden in Programm „EBV“ eingegeben, Betreiber ist Wirtschaftsverlag. Eigene Vereinbarung nötig? 
    Fahrzeugtechnik: Übermittlung der Käufer- und Reparatur- bzw. Servicedaten an die Hersteller, z.B. Mercedes. Ist das DSGVO-konform oder brauchen Techniker eigene Vereinbarungen mit den Herstellern?
28. Computer-Fernwartung: Betriebe können sich über z.B. TeamViewer am PC des Kunden einloggen und sehen damit alle seine persönlichen Daten und/oder Kundendaten – muss hier das Unternehmen, das die Fernwartung durchführt, etwas beachten oder liegt das in der Verantwortung des Kunden?
29. Mode: Zählen Größe und Gewicht des Kunden zu sensiblen Daten bzw. ev. eine Kombination daraus?
30. Gesundheitsberufe: Optiker, Orthopädietechniker, Zahntechniker,… bekommen die Kundendaten über Ärzte, übermitteln Daten an GKK/andere Versicherungen für Kostenersatz – was ist hier zu beachten?
31. Augenoptiker: zählen Dioptrien und Daten über Sehstörungen zu den sensiblen Daten? Brauchen sie einen Datenschutzbeauftragten?
32. Friseure: dürfen verwendete Produkte (Farbe, Schminkprodukte,…) ohne Einwilligung gespeichert werden? Wie sieht es mit Informationen über z.B. Farballergien aus?
33. Lebens- und Sozialberater: Supervision von Angestellten im Auftrag von Firmen – welche Daten dürfen an die Firma rückgemeldet werden? Ist Auftraggeber dafür verantwortlich, dass Mitarbeiter zustimmt?
34. Personenbetreuung: selbstständige Personenbetreuer sind tw. über Verein organisiert – dürfen sie an den Verein Daten der Pflegepersonen weitergeben? Auch gesundheitsrelevante Daten?
35. Lebens- und Sozialberater: Ich betreibe auf Facebook eine Fan-Page und dazu eine eigene Gruppe. Bisher habe ich auf Facebook einen Link zum Impressum meiner HP gehabt. In der Gruppe werden von Mitgliedern immer wieder sehr persönliche sensible Erzählungen eingestellt. Ich habe keinen Zugriff darauf, wie andere mit diesen Infos umgehen. Es liegt in der Verantwortung der Mitglieder selbst, was gepostet wird. Selbstverständlich gebe ICH nichts weiter. Hier einen eigenen fixierten Beitrag mit entsprechender Datenschutzerklärung posten?
36. Verwendung von Online-Diensten, kostenlosen Plattformen usw. zur Speicherung und zum Versenden von Fotos, mit und ohne Passwortschutz – was muss beachtet werden? Facebook Pixel? Dropbox?
37. Meine Frage wäre noch, bei Erstkommunionen und Firmungen, wo wir ja jedes Kind mit Pfarrer oder einzeln fotografieren, was könnte man da machen?
38. Wenn ich ein Portraitstudio bei einem Maturaball aufbaue und Familien fotografiere, reicht da ein A-Ständer mit dem Vermerk laut Datenschutz?
39. Muss ich meinen Kunden (Privatpersonen) im Vertrag bekannt geben, welche weiteren Firmen (meine Auftragsdatenverarbeiter) in meinem Auftrag WOMÖGLICH seine Daten verarbeiten? Muss ich also alle in Betracht kommenden Firmen namentlich auflisten, oder genügt eine pauschalierte Auflistung (Fotolabore, Cloud-Speicherdienste, Bildbearbeiter,..) - Ich greife nicht immer auf alle Firmen zurück bzw. nicht immer auf die gleichen. Oft kann ich dies bei Vertragsabschluss noch nicht festlegen, welche Firma von mir beauftragt wird.
40. Darf die Einverständniserklärung zur Fotoveröffentlichung UND die Informationen über Datenschutz bzw. Einwilligung gemäß Datenschutz gleichzeitig in einem Vertrag sein? Oder muss man 2 getrennte Unterschriften einholen?
41. Wie kann ich als Fotografin wenn ich eine Hochzeitsreportage fotografiere bei einer Hochzeitsgesellschaft der Informationspflicht bezgl. Datenschutz nachkommen, insbesondere bei Hochzeiten, wo bereits Einladungen verschickt sind und die Hochzeiten bald bevorstehen?
    

Bestellscheine für Endkunden: werden tw. noch handschriftlich vom Kunden ausgefüllt. Muss am Bestellschein ein Datenschutz-Hinweis draufstehen oder reicht der Verweis auf die AGB? 

Eine Datenschutzerklärung gehört grundsätzlich nicht zu den Allgemeinen Geschäftsbedingungen und ist daher auch nicht dort aufzunehmen. Die AGB regeln wechselseitige Verpflichtungen des Auftraggebers und des Auftragnehmers. Die Pflicht, eine gesetzliche Regelung wie das Datenschutzgesetz zu beachten, ist ohnehin gegeben, daher muss auch nicht schriftlich festgehalten werden, dass dieses Gesetz einzuhalten ist.

Die Hinweis- bzw. Informationspflichten aus dem Datenschutzgesetz werden durch eine eigene Datenschutzerklärung erfüllt. Dieser Hinweis kann als eigener Punkt auf der Firmenhomepage aufgenommen werden (aber nicht als Bestandteil des Impressums oder der AGB, sondern als eigene Seite). Durch transparenten Verweis auf die auf der Homepage enthaltene Datenschutzerklärung, z.B. in Angeboten, der E-Mail-Signatur oder sonstigen Unternehmensdokumenten ist die Verpflichtung erfüllt, es muss keine eigene Erklärung direkt auf dem Bestellschein abgedruckt werden.

GPS-Ortungssysteme in Firmenfahrzeugen: Daten des Fahrers inkl. GPS-Daten werden gesammelt. Wie lange dürfen die Daten aufbewahrt werden? Ist Zustimmung des Fahrers nötig, bei jedem Fahrzeugwechsel oder einmalig? Daten werden tw. gesammelt aber dienen nur der Dokumentation bei Unfällen, sonst keine Auswertung – ist das DSGVO-konform?

GPS-Ortungssysteme in Firmenfahrzeugen dienen der Eigentumssicherung bzw. dem Diebstahlschutz. Obwohl hier nur Daten des Fahrzeuges, damit an sich keine personenbezogenen Daten, gesammelt werden, ist durch die Verknüpfung mit Dienst- oder Fahrplänen nachvollziehbar, welche Person das Fahrzeug zu welchem Zeitpunkt gelenkt hat. Somit werden hier auch personenbezogene Daten verarbeitet, die im Ergebnis eine Kontrolle von Arbeitnehmern erlauben könnten. Selbiges trifft z.B. auch auf Baumaschinen zu, bei denen ausgelesen werden kann, welche Stückzahlen in welchem Zeitraum produziert werden und Rückschlüsse auf die Arbeitsgeschwindigkeit einzelner Personen zulässt.

Hier handelt es sich um Kontrollmaßnahmen iSd Arbeitsverfassungsgesetzes. Zwar ist durch  die aktuelle Deregulierung des Datenschutzgesetzes der ausdrückliche Verweis auf das ArbVG im DSG fraglich – das ArbVG aber selbstverständlich weiterhin, weswegen es bei Verwendung solcher Systeme einer Betriebsvereinbarung oder bei Unternehmen ohne Betriebsrat einer (möglichst) schriftlichen Einzelvereinbarung mit dem Arbeitnehmer bedarf.  

§96a ArbVG regelt dagegen Personaldatensysteme, für die nur bei Vorhandensein eines Betriebsrates eine Betriebsvereinbarung getroffen werden muss. Wenn kein Betriebsrat eingerichtet wurde entfällt die Pflicht der vertraglichen Regelung, es muss keine Einzelvereinbarung mit den Mitarbeitern getroffen werden. Personaldatensysteme dienen der automatisierten Mitarbeiterdaten-Verarbeitung, die über die bloße Erfassung von Daten zu Gesetzeszwecken hinausgeht. Hier ist z.B. die direkte Verknüpfung von Zeiterfassungssystemen mit der Lohnverrechnung einzuordnen, ein Zeiterfassungssystem per se ist noch kein Personaldatensystem.

Eine weitere Kontrollmaßnahme iSd §96 ArbVG, die zwingend eine Vereinbarung mit den Arbeitnehmern erfordert, ist in der Regel z.B. die Videoüberwachung (Achtung: zulässiger Zweck ist hier nur die Eigentumssicherung, nicht die Überwachung der Mitarbeiter!). Bei der Videoüberwachung gilt auch zu beachten, dass ev. eine Datenschutzfolgeabschätzung notwendig sein könnte, wenn die Überwachung über den Standard hinausgeht.

Weiters können Zutrittskontrollsysteme, Telefonanlagen, bei denen ausgewertet werden kann, welche Nummer zu welchem Zeitpunkt gewählt wurde, oder eine Firewall, die aufzeichnet, auf welchen Seiten sich Mitarbeiter wie lange aufgehalten haben, Kontrollmaßnahmen darstellen, die separat zu vereinbaren sind.

Den ausführlichen Gesetzestext bzw. weitere Erläuterungen entnehmen Sie bitte den Vortragsunterlagen von Mag. Summereder aus dem Abschlussworkshop.

Müssen Steuerberater, Bank (z.B. für Lohnverrechnungsdaten von ehemaligen Mitarbeitern nach der gesetzlichen Aufbewahrungsfrist) über ein Auskunftsbegehren und/oder ein Löschen informiert werden?

Wenn Sie Daten aus ihren Systemen löschen ist es in der Regel nicht notwendig, Bank oder Steuerberater darüber zu informieren. Sollte die Löschung aufgrund eines Löschbegehrens durchgeführt worden sein, wird es ebenfalls nicht nötig sein, Bank oder Steuerberater darüber zu informieren. Die Daten an diese Stellen werden aus einem bestimmten gesetzlichen oder vertraglichen Grund weitergegeben und von den Empfängern zu diesem Zweck verarbeitet. Solange den Empfänger (als Verantwortlichem) eigene Aufbewahrungspflichten treffen, kann auch er alle Daten aufheben.

Wenn vom Unternehmen aber Daten veröffentlicht und an Dritte (weitere Vertragspartner, Sub-Auftragnehmer,…) aktiv weitergegeben wurden ist aber auch der Dritte zu informieren.

Der Erwägungsgrund 66 – zum Recht auf Vergessenwerden – beschäftigt sich nämlich insbesondere mit der Sicherheit von Daten nach Veröffentlichung im Netz und lautet: Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

Sollte dann nicht dort noch ein Grund wie z.B. gesetzliche Pflicht zur Aufbewahrung bestehen sollte der Dritte die Daten ebenfalls löschen. Da es sich hier aber um eigene Verantwortliche handelt ist es grundsätzlich nicht Ihre Pflicht, zu kontrollieren, ob der Dritte die Daten auch wirklich gelöscht hat. Etwas anders ist es bei Auftragsverarbeitern. Für die korrekte Löschung ist hier in erster Linie der Auftraggeber verantwortlich, kann aber im zweiten Schritt dann beim Auftragsverarbeiter Regress nehmen.

Wie muss Löschung der Daten im Unternehmen dokumentiert werden?

Welchen Nachweis muss der Unternehmer an den Betroffenen schicken?

Ist ein Löschungsprotokoll im Hintergrund einer Software ausreichend?

Im zur Verfügung gestellten Muster zum Verzeichnis der Verarbeitungstätigkeiten ist auch eine Spalte enthalten, in der eingetragen werden kann, wie lange bestimmte Daten aufbewahrt bzw. wann sie gelöscht werden. Dieser Zusatz zum Verzeichnis stellt, wenn ausgefüllt und befolgt, die Grundlage für ein Löschkonzept für KMU dar. Weitere Dokumentationen sind bei der Löschung aufgrund Fristablauf grundsätzlich nicht nötig, wenn diese nachweislich auch fristgemäß erfolgt.

Werden Daten automatisiert oder manuell nach einem bestimmten Zeitpunkt direkt mit Hilfe einer Software gelöscht, die im Hintergrund speichert, wann die Daten entfernt wurden, kann das zu Dokumentationszwecken herangezogen werden. Beachten Sie, dass, nur weil es ein Programm generell nicht zulässt, dass Daten gelöscht werden, Sie deshalb nicht automatisch berechtigt sind, die Daten auch nach Ablauf der Aufbewahrungsfrist weiter aufzuheben. Hier empfiehlt sich die Kontaktaufnahme mit dem Hersteller der Software, um die Löschung möglich zu machen oder auch der Wechsel zu anderen Programmen.

Erfolgt die Löschung aber aufgrund eines Löschbegehrens, ist zu dokumentieren, wann und aus welchem Grund die Löschung vollzogen wurde. Im Muster von Mag. Summereder für die Beantwortung von Auskunftsbegehrens findet sich ganz unten eine Tabelle, in der diese Daten eingetragen werden können – und die gemeinsam mit dem Schreiben selbst als Dokumentation für KMUs dienen kann.

<< Muster-Beantwortung

Bei Betroffenenanfragen ist es jedenfalls erforderlich, dass der Antragsteller seine Identität zweifelsfrei belegt. Möglich ist das durch Zusendung einer Kopie eines Lichtbildausweises. Die Ausweisnummer, mit der die Identität belegt wurde, wird dokumentiert, das Bild des Ausweises selbst sollte aber wieder gelöscht werden.

Belege über eine Datenlöschung können (und sollten) argumentierbar bis zum Ende der Schadenersatzfrist von 3 Jahren aufbewahrt werden. Diese Verarbeitungstätigkeit kann im Muster-Verzeichnis unter dem Punkt „Gewährleistung der IT-Sicherheit und Datenschutz“ erfasst werden.

Bei einem Auskunftsbegehren, wenn also der Betroffene wissen möchte, welche Daten von ihm im Unternehmen gespeichert sind, besteht seit der Deregulierung des Datenschutzgesetzes auch die Möglichkeit, sich explizit auf „Betriebs- und Geschäftsgeheimnisse“ zu berufen.

Lösch- und Auskunftsbegehren müssen, wenn alle Voraussetzungen vorliegen, erteilt werden. Daher ist es auch unzulässig, für die Erhebung oder Löschung der Daten den Arbeitsaufwand in Rechnung zu stellen. Bei wiederkehrenden (querulatorischen) Anfragen derselben Person können jedoch unter Umständen rechtliche Schritte ergriffen werden – in diesem Fall wenden Sie sich bitte an Ihren Rechtsbeistand.

Die Dokumentation der Löschung kann auch in Papierform aufbewahrt werden.

Eine aktuelle Datensicherung (Backup) ist grundsätzlich nicht zwingend von einem Löschbegehren betroffen. Wenn die Daten des Betroffenen aus berechtigtem Grund gelöscht werden müssen, ist es nicht notwendig und in vielen Fällen auch technisch nicht möglich, auch das Backup auf dessen Daten hin zu durchsuchen und diese dort zu entfernen. Für die Datensicherung sollte ebenfalls im Löschkonzept festgehalten werden, in welchen Zeitabständen ein neues Backup gemacht und die alte Sicherung überschrieben wird. Dies wird (auch) im §4 des DSG neu normiert, wonach Daten, die aus bestimmten Gründen nicht sofort gelöscht werden können, bis zur Löschmöglichkeit gespeichert werden, allerdings nicht für einen anderen Zweck verwendet werden dürfen. Es darf also z.B., nur weil die Kundendaten noch im Backup vorhanden sind, an diese Personen nicht weiterhin ein Newsletter geschickt werden.

Generell dürfen personenbezogenen Daten nur so lange für einen bestimmten Zweck verarbeitet werden, solange dafür eine Rechtfertigungsgrundlage besteht. Neben dem Recht auf Löschung hat der Betroffene auch das Recht auf Einschränkung der Verarbeitung. Er kann z.B. verlangen, dass seine Daten nur noch aus rechtlichen Gründen gespeichert und verwendet werden, nicht aber für Marketingzwecke.

Was gilt es zu beachten, wenn man Google Analytics verwendet? (ohne Conversion Tracking)

Was gilt es zu beachten, wenn man Google Adwords verwendet? (ohne Conversion Tracking)

Thematik Einbindung der Facebookseite oder Google Maps in die Homepage: Theoretisch würde beim Anklicken des Facebookbuttons Daten des Nutzers an Facebook übertragen, da Facebook tracked woher die Nutzer kommen. Ich als Webseitenbetreiber kann nicht sicherstellen, das Facebook die Daten nicht speichert, bin ich dafür haftbar?

Füllen Sie hier die Tools, die Sie verwenden und mit denen personenbezogene Daten erfasst werden, ein. Wenn auf Websites Cookies verwendet werden, die nicht bloß zur technischen Darstellung der Website dienen, ist dies weiters als eigener Banner auf der Website einzublenden, dem der Nutzer zustimmen muss (mit Klick auf „Ja“ oder „Ich stimme zu“). Die Cookie-Richtlinien finden Sie ebenfalls in den Dokumenten der WKO.

<< Informationen zu Cookies und deren Verwendung

Um festzustellen, ob und welche Cookies auf Ihrer Website vorhanden sind, wenden Sie sich an Ihren IT-Berater oder stellen sie das mittels eines Plug-Ins (z.B. Cookie Viewer auf Firefox) selbst fest. 

Was gilt es beim Betreiben einer Facebookseite als Unternehmen zu beachten? (zB. Posts mit weiterführende Links zu meiner Homepage etc.). Müssen bereits auf Facebook veröffentlichte Fotos gelöscht werden?

Wenn Sie eine Unternehmensseite auf Facebook betreiben ist im ersten Schritt jedenfalls darauf zu achten, dass hier ein Impressum hinterlegt ist. Zur Vertragsabwicklung ist Facebook jedoch kein geeignetes Tool. Weiters geben Sie, wenn Sie personenbezogene Daten über Facebook verarbeiten, diese Daten möglicherweise an ein Drittland weiter. Zur Weitergabe von Daten ins Drittland lesen Sie hier mehr.

<< Datenweitergabe an Drittland

Die Verwendung von identifizierenden Fotos von Personen, mit oder ohne Namensnennung, ist auf Facebook für eine Unternehmenspage jedenfalls nur mit der Einwilligung des Abgebildeten zulässig. Für Fotos, die schon bisher auf Ihrer Seite waren und auch bleiben sollen, ist nachträglich eine Einwilligung einzuholen, wenn diese nicht schon vorher eingeholt und dokumentiert wurde.

Fotos von Veranstaltungen

Veranstaltungsfotografie aus privatem Dokumentationsinteresse ist zulässig. Die Fotos werden aus berechtigtem Interesse des Veranstalters gemacht, die Bildaufnahme verfolgt ein „privates“ Dokumentationsinteresse, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eigenen, gerichtet ist. Es empfiehlt sich jedoch ein Hinweis darauf, dass bei der Veranstaltung fotografiert wird und wofür die Fotos verwendet werden.

Sollen bei Veranstaltungen aber Einzelfotos oder Bilder von kleinen Personengruppen gemacht werden, diese dann z.B. in Sozialen Medien geteilt werden o.ä. ist die Einwilligung der Abgebildeten dafür einzuholen und zu dokumentieren.

WhatsApp am Handy: Firmenhandys, die auch privat genutzt werden, haben WhatsApp/Facebook installiert. Auch wenn die Geschäfte nicht über diese beiden Plattformen abgewickelt werden sind die Kundentelefonnummern trotzdem auch im Adressbuch gespeichert und damit für WhatsApp/Facebook sichtbar – Muss WhatsApp komplett von den Handys entfernt werden oder gibt es da andere Lösungen?

Whatsapp verbietet in den eigenen Nutzungsrichtlinien die betriebliche/berufliche Nutzung. Daher ist die Verwendung dieses Dienstes zu Unternehmenszwecken – wie auch bisher – nicht zulässig. Weiters gehört Whatsapp zum Facebook-Konzern, womit sich auch hier die Problematik der Weitergabe von Daten ins Drittland ergeben kann.

<< Datenweitergabe an Drittland

Sollten Sie die Privatnutzung von Firmenhandys erlauben, stellen Sie sicher, dass eine klare Abgrenzung der Nutzung von Whatsapp oder auch Facebook zwischen privat und beruflich besteht. Untersagen Sie den Mitarbeitern beispielsweise die Verknüpfung des Adressbuches, in dem auch Kundendaten enthalten sind, mit Whatsapp, stellen Sie sicher, dass keine Kundendaten am Telefon selbst, sondern nur über das VPN-Netzwerk abrufbar sind usw. Ihr IT-Berater hilft Ihnen hier bei der Umsetzung.

Grundsätzlich ist die Verwendung von Whattsapp am Firmenhandy aus datenschutzrechtlichen Erwägungen abzulehnen.

Privatnutzung von Firmen-E-Mail und Internet

Es wird empfohlen, die Privatnutzung der Firmen – E-Mail zu untersagen. Dies hat nicht nur datenschutzrechtliche Gründe, sondern erleichtert auch die praktische Nutzung. Sobald Sie die private Nutzung zulassen, ist es Ihnen nämlich untersagt, das betreffende Mail-Postfach einzusehen. Selbst im Fall von Krankenständen, Kündigung o.ä. dürfen Sie nicht auf das Postfach zugreifen, solange sich dort private Nachrichten eines Mitarbeiters befinden (können). Mit dem Mitarbeiter zu vereinbaren, dass er das Mail-Programm privat nutzen darf, Sie aber trotzdem darauf Zugriff haben, ist nicht sinnvoll, da der Mitarbeiter diese Einwilligung jederzeit widerrufen kann.

Die Privatnutzung des Internetzuganges ist hier unproblematischer. Der Arbeitgeber darf in diesem Fall aber ebenfalls nicht mit den Nutzerdaten des Arbeitnehmers in den Browser einsteigen und z.B. seine Browserhistorie einsehen.

Google/Gmail

Google hat sich dem US-Privacy Shield unterworfen. Damit sollte der datenschutzkonforme Umgang mit personenbezogenen Daten und somit ein sicherer Drittlandstransfer gewährleistet sein.

Bankomat- und Kreditkartenzahlung: Zahlungsdaten der Kunden werden vom Unternehmen gespeichert, auch Informationen über Kreditkartennummer usw. – ist das zulässig?

Ist zulässig, solange für den Geschäftsverkehr notwendig.

Zusendung von aktuellen Preislisten am Jahresanfang an alle Kunden: Fällt das unter Werbung oder ist das eine bloße Kundeninformation? Darf die Preisliste, wenn es eine reine Information ist, an alle Kunden ohne deren explizites Einverständnis geschickt werden?

Wenn am Anfang des Jahres die aktuelle Preisliste an alle Kunden versendet werden soll, ist das bei postalischer Übermittlung jedenfalls unproblematisch. Elektronisch ist dies (aus telekommunikationsrechtlichen Erwägungen) nur zulässig, wenn z.B. mit dem Kunden vereinbart wurde, dass die Abrechnung mit dem Kunden bei einem aufrechten Vertragsverhältnis anhand der aktuellen Preise erfolgt. Ansonsten könnte dies eine Marketingmaßnahme darstellen, zu der der Kunde grundsätzlich gemäß §107 TKG seine Einwilligung geben muss.

Für die Verarbeitung von Daten zu Marketingzwecken per se ist grundsätzlich gemäß der DSGVO (Erwägungsgrund 47) keine Einwilligung notwendig, dies kann aus berechtigtem Interesse erfolgen. Zu beachten sind jedoch in diesem Kontext stets die Regelungen zur Kontaktaufnahme nach §107 TKG.

<< Wann brauche ich eine Einwilligungserklärung?

Sind die nachstehenden Empfänger Auftragsverarbeiter oder eigene Verantwortliche?

Die nachstehende Einstufung soll einen groben Überblick über die gewöhnliche Klassifizierung von Verantwortlichen / Auftragsverarbeitern geben. ES ist nicht auszuschließen, dass bei eingeschränktem / ausgedehntem Tätigkeitsfeld im Einzelfall auch eine andere Betrachtung möglich ist:  

> Externer IT-Dienstleister - Auftragsverarbeiter
> Konzernbuchhaltung - Verantwortlicher
> Externe Lohnverrechnung / Steuerberater - Verantwortlicher
> Wirtschaftsprüfer - Verantwortlicher
> Versicherungsmakler - Verantwortlicher
> Entwickler einer Webapplikation zur Einsatzplanung - Auftragsverarbeiter
> Reisebüro - Verantwortlicher
> Hotels/Gasthöfe/Pensionen - Verantwortlicher
> Telekommunikationsunternehmen (Mobiltelefon) - Verantwortlicher
> Entwickler u. Betreiber Zeiterfassungsprogramm - Auftragsverarbeiter
> Entwickler u. Betreiber ERP-Programm – Auftragsverarbeiter
> Gewerkschaft - Verantwortlicher
> Weiterbildungsinstitute - Verantwortlicher
> Berufsschule - Verantwortlicher
> Externe Arbeitsmediziner, Sicherheitsfachkraft - Verantwortlicher
> Urlaubskassen (BUAK) - Verantwortlicher
> Krankenkasse, Finanzamt - Verantwortlicher
> Reinigungsunternehmen (Arbeitskleidung) - Verantwortlicher
> Arbeitsmarktservice - Verantwortlicher
>Wirtschaftskammer - Verantwortlicher

Müssen die Schulungen von Mitarbeitern zum Datenschutz dokumentiert werden?

Die Mitarbeiter sind über den datenschutzkonformen Umgang mit personenbezogenen Daten zu informieren. Diese Schulungen sind auch zu dokumentieren. Hier gibt es Dokumentationsmuster von der WKO

<< Mitarbeiter-Schulungsunterlagen

Muss dokumentiert werden, dass die TOMs überprüft wurden?

In der Vorlage „Verzeichnis der Verarbeitungstätigkeiten“ sollten im Tabellenblatt „Maßnahmen gem. Art. 32 DSGVO“ die technischen und organisatorischen Maßnahmen aufgelistet werden. Jedenfalls sind diese Maßnahmen und deren regelmäßigen Evaluierung und Kontrolle zu dokumentieren und der Behörde auf Verlangen vorzuweisen.

Sie können den Status Ihrer IT-Sicherheit im Unternehmen auch mit einem kostenlosen Tool der WKO checken:

<< Online-Check IT-Safe

Wie erfolgt der ‚Nachweis‘ einer Person, die Einsicht in die Daten verlangt (oder eine Löschung der Daten anstrebt..) …. persönlich, mit Ausweiskopie …. ?

Der Betroffene, der sein Recht auf Auskunft/Berichtigung/Einschränkung/Löschung geltend machen möchte, muss nicht zwingend persönlich im Unternehmen erscheinen. Lassen Sie sich seine Identität durch die Zusendung einer Lichtbildausweis-Kopie bestätigen.

In weiterer Folge ist der erfolgte Identitätsnachweise – beispielsweise am Auskunftsbegehren selbst, wie bereits weiter oben angeführt – zu vermerken. Die Ausweisekopie selbst bitte wieder löschen!

Könnte ich für die Einsicht in die Daten (oder für die Löschung der Daten) einen Arbeitsaufwand in Rechnung stellen? 

Grundsätzlich nein, da Sie hier eine gesetzliche Verpflichtung zur Beauskunftung usw. haben,  können Sie hier nichts in Rechnung stellen. Sollte es sich um einen Betroffenen handeln, der immer wieder und in querulatorischer Art und Weise Anfragen stellt ist es möglich, rechtliche Schritte zu ergreifen. Wenden Sie sich hier bitte an Ihren Rechtsbeistand.

Verzeichnis der Verarbeitungstätigkeiten:

• Müssen alle Daten einzelner Mitarbeiter/Kunden/… erfasst werden?

Nein, nur Kategorien personenbezogener Daten sind anzugeben (Kontaktdaten, Name,…) 

Baumeister: Haftung bei Weitergabe von Kundendaten, Plänen usw. an Subunternehmer und an beauftragte Firmen

Eine Weitergabe ist stets dann zulässig, wenn dies erforderlich ist, um den vom Bauherren erteilten Auftrag zu erfüllen, etwa im Rahmen der Weitergabe an zur Bauausführung beigezogenen Subunternehmen. Hier sind allenfalls – sofern dem Bauherrn dies nicht ohnehin bekannt ist – die Informationspflichten zu beachten.

Hinsichtlich der Löschung von Daten kommt es darauf an, an wen die personenbezogenen Daten weitergegeben wurden. Wenn es sich dabei um eigene Verantwortliche handelt, die personenbezogene Daten für eigene Zwecke verarbeiten, sind diese selbst für deren Umgang mit den personenbezogenen Daten verantwortlich. Ob dieser Verantwortliche dann die notwendige Löschung durchführt oder nicht, liegt grundsätzlich nicht mehr in Ihrem Verantwortungsbereich, der Dritte haftet selbst.

Handelt es sich um einen Ihrer Auftragsverarbeiter, sind Sie im ersten Schritt dafür verantwortlich, dass (berechtigte) Löschbegehren auch von ihm durchgeführt werden. Sollte dieser der Aufforderung nicht nachkommen, haften Sie grundsätzlich gegenüber dem Bauherrn dafür, können sich aber beim Auftragsverarbeiter regressieren.  

Baumeister: wie lange dürfen Fotos und Pläne der Bauwerke in Verbindung mit Kundendaten aufbewahrt werden? Oft auch in Verbindung mit Immobilienvermittlung – Interesse zu Speicherung besteht immer da bei späterem Verkauf Fotos und Pläne verwendet werden sollen. Dabei werden aber auch die Namen und Daten der aktuellen Besitzer gespeichert, sowie auch die der ehemaligen Besitzer für die Historie des Bauwerks. 

Die Gründe für eine rechtmäßige Speicherung personenbezogener Daten finden Sie hier

Sollte keiner dieser Gründe zutreffen besteht für Sie keine Rechtsgrundlage, personenbezogene Daten aufzubewahren.

Bau: Wir erstellen neben der Baumeistertätigkeit auch Gutachten. Teilweise beschäftigen wir dafür einen freiberuflichen Mitarbeiter, der auf Honorarbasis Vorarbeiten erledigt. Dafür bekommt er sämtliche Kundendaten usw. die uns z.B. von der Versicherung (wenn es sich z.B. um einen Bauschaden handelt) zur Verfügung gestellt werden. Ist nun dieser Freiberufler selbst für die Löschung bzw. sichere Aufbewahrung der Daten zuständig – er hat keinen Arbeitsplatz in unserer Firma – oder haften wir dafür? Wie können wir uns absichern?

Es ist hier auf die Selbstständigkeit/Unselbstständigkeit des „Freiberuflers“ abzuzielen. Während auf Werkvertragsbasis Beschäftigte meist selbstständige Unternehmer und im genannten Kontext idR. selbst Verantwortliche sind, werden freie Dienstnehmer idR dem Beschäftiger zugerechnet, der für die Löschung bzw. sichere Aufbewahrung verantwortlich bleibt. Sie haben ihm gegenüber damit dieselben Pflichten im Bezug auf den Datenschutz wie bei jedem anderen Mitarbeiter. Dies bedeutet, dass Sie auch bei Homeofficeplätzen durch entsprechende Vereinbarung / Zurverfügungstellung von technischen Hilfsmitteln für eine sichere Verarbeitung Sorge tragen müssen. 

Leasingmitarbeiter: Behandlung der Daten wie bei „normalen“ Mitarbeitern oder gibt es hier spezielle Regelungen?

Leasingmitarbeiter sind im Bezug auf den Datenschutz im Wesentlichen wie alle anderen Mitarbeiter zu behandeln.

chemische Gewerbe: Kosmetikhersteller speichern auch Allergien, Unverträglichkeiten, Krankheiten,… ihrer Kunden. Brauchen Sie einen Datenschutzbeauftragten?

Ob Sie, wenn Sie sensible personenbezogenen Daten verarbeiten, einen Datenschutzbeauftragten brauchen, hängt von verschiedenen Faktoren, vor allem von der Größe des Unternehmens und der Anzahl und dem Umfang der verarbeiteten Daten ab. In Bezug auf die Verwendung personenbezogener Daten durch Ärzte wurde beispielsweise von der Datenschutzgruppe 29 empfohlen, dass einzelne Ärzte keinen Datenschutzbeauftragten benötigen, ab einer Gemeinschaftspraxisgröße von ca. 5 Ärzten in der Regel aber ein Datenschutzbeauftragter zu bestellen sein wird.

Gleiches wird auch auf ein Kosmetikunternehmen zutreffen, in dem in vergleichbarem Umfang besondere Kategorien personenbezogener Daten (medizinische Daten) verarbeitet werden.

Lebensmittelgewerbe: es werden „Bauernmärkte“ und „Hofläden“ beliefert, dort die Produkte verkauft, vom Verkäufer bekommen die Hersteller dann Kundenlisten. Dürfen diese Kundenlisten für Werbung/Mailing verwendet werden?

Die Verarbeitung zu Marketingzwecken ist grundsätzlich ohne Einwilligung zulässig, allenfalls müssen Informationspflichten (in diesem Fall Art. 14 DSGVO) erfüllt werden.  

Im Falle von postalischer Zusendung von Informationen über den Hersteller an die Kunden gibt es dann keine Schwierigkeiten, Anrufe oder Newsletter (elektronische Werbung) könnte aber im Hinblick auf §107 TKG ohne explizite Einwilligung verboten sein.

Berufsdetektive, Bewacher: brauchen sie Datenschutzbeauftragten?

Für Berufsdetektive und die Bewachungsgewerbe wird ein eigener Datenschutz-Ratgeber erstellt.  

<< zur Website der OÖ Sicherheitsgewerbe

Kabelnetzbetreiber: Elektrotechnikfirmen sind teilweise selbst Provider für Kabelnetze/Internet bzw. „verkaufen“ für größere Anbieter die Zugänge. Sind sie dann Auftragsverarbeiter? Was ist hier zu beachten?

Ob man Auftragsverarbeiter ist oder nicht, hängt maßgeblich damit zusammen, ob „im Auftrag“ eines Verantwortlichen personenbezogene Daten verarbeitet werden. Der reine Vertrieb von Zugängen alleine oder die bloße Zurverfügungstellung eines Netzes, ohne eigene Wartungs- Einblicks- oder Verarbeitungsmöglichkeiten wird in der Regel keine Auftragsverarbeitung darstellen.  

Alarmanlagen mit Fernüberwachung, Videoüberwachung: welche Informationspflichten treffen die Errichter?

Für Errichter von Alarmanlagen gibt es einige grundsätzliche Informationspflichten, die unabhängig bzw. gemeinsam mit der DSGVO zu beachten sind. Nähere Auskunft darüber erhalten Sie bei Ihrer Branchenvertretung. 

Fahrzeugtechnik: Überprüfung §57a = Handeln im öffentlichen Auftrag? Daten werden in Programm „EBV“ eingegeben, Betreiber ist Wirtschaftsverlag. Eigene Vereinbarung nötig? 
Fahrzeugtechnik: Übermittlung der Käufer- und Reparatur- bzw. Servicedaten an die Hersteller, z.B. Mercedes. Ist das DSGVO-konform oder brauchen Techniker eigene Vereinbarungen mit den Herstellern?

Für Mitglieder der Landesinnung OÖ Fahrzeugtechnik wird ein eigenes Branchenkonzept erstellt.

<< zur Website der OÖ Fahrzeugtechniker

Computer-Fernwartung: Betriebe können sich über z.B. TeamViewer am PC des Kunden einloggen und sehen damit alle seine persönlichen Daten und/oder Kundendaten – muss hier das Unternehmen, das die Fernwartung durchführt, etwas beachten oder liegt das in der Verantwortung des Kunden?

Das Unternehmen, welches die Fernwartung betreibt, die über bloßen technischen Support hinausgeht und Einblick in verarbeitete personenbezogene Daten ermöglicht, ist ein klassischer Auftragsverarbeiter. Hier ist mit dem Kunden eine entsprechende Vereinbarung zu treffen.  

<< Auftragsverarbeiter, Mustervereinbarung

Mode: Zählen Größe und Gewicht des Kunden zu sensiblen Daten bzw. ev. eine Kombination daraus?

Ja, sofern daraus Rückschlüsse auf die Gesundheit von natürlichen Personen gezogen werden können, kann es sich um besondere Kategorien personenbezogener Daten handeln (sensible Daten) handeln. Bitte daher vom Kunden, wenn keine andere Rechtfertigung nach Art. 9 DSGVO vorliegt, die Einwilligung einholen, dass Sie diese Daten verarbeiten dürfen.

<< zur Einwilligungserklärung

Gesundheitsberufe: Optiker, Orthopädietechniker, Zahntechniker,… bekommen die Kundendaten über Ärzte, übermitteln Daten an GKK/andere Versicherungen für Kostenersatz – was ist hier zu beachten? 

Für die Gesundheitsberufe wird ein eigenes Datenschutz-Konzept der Branchenvertretung OÖ erstellt.

<< zur Website der OÖ Gesundheitsberufe

Augenoptiker: zählen Dioptrien und Daten über Sehstörungen zu den sensiblen Daten? Brauchen sie einen Datenschutzbeauftragten?

Ja, Dioptrien, Sehstörungen usw. zählen zu besonderen Kategorien personenbezogener Daten. (sensible Daten)

Ob Sie, wenn Sie sensible personenbezogenen Daten verarbeiten, einen Datenschutzbeauftragten brauchen, hängt von verschiedenen Faktoren, vor allem von der Größe des Unternehmens und der Anzahl und dem Umfang der verarbeiteten Daten ab. In Bezug auf die Verwendung personenbezogener Daten durch Ärzte wurde beispielsweise von der Datenschutzgruppe 29 empfohlen, dass einzelne Ärzte keinen Datenschutzbeauftragten benötigen, ab einer Gemeinschaftspraxisgröße von ca. 5 Ärzten in der Regel aber ein Datenschutzbeauftragter zu bestellen sein wird.

Analog kann man auch bei der Bewertung der Notwendigkeit eines Datenschutzbeauftragten für Augenoptiker vorgehen. Im Wesentlichen kommt es auf den Umfang der Daten und deren Verarbeitung an.

Sollten Sie nicht sicher sein, ob es eine gesetzliche oder vertragliche Grundlage für Verarbeitung der medizinischen Daten durch Sie gibt, konsultieren Sie Ihren Rechtsbeistand oder holen Sie sich zur Absicherung die Einwilligung Ihrer Patienten/Kunden ein.

Wenn Sie in einem Beruf tätig sind, bei dem die Verschwiegenheitspflicht gesetzlich normiert wurde, ist es im Hinblick auf Art. 9 Abs. 2 lit. h iVm Abs. 3 meist nicht nötig, sich eine Einwilligung für die Verarbeitung medizinischer Daten einzuholen. Bei allen anderen Branchen ist dies aber notwendig, wenn keine weitergehenden gesetzlichen Verpflichtungen existieren. In der Regel wird in solchen Fällen die Einwilligung im Zusammenhang mit der Beauftragung der Dienstleistung abgegeben werden, entsprechende Formulierungen können beispielsweise in Kundenstammblättern aufgenommen werden.  Sollten Sie von bestehenden Kunden, von denen Sie eine Einwilligung brauchen, keine haben, ist dies nun nachzuholen.

<< FAQ zu sensiblen Daten

Die rechtlichen Gründe für die Verarbeitung sensibler personenbezogener Daten, bei denen keine Einwilligung des Betroffenen einzuholen ist, finden Sie hier.

<< Wann brauche ich eine Einwilligungserklärung?

Friseure: dürfen verwendete Produkte (Farbe, Schminkprodukte,…) ohne Einwilligung gespeichert werden? Wie sieht es mit Informationen über z.B. Farballergien aus?

Die DSGVO nennt in Art. 9 jene Fälle abschließend, in denen sensible Daten (Gesundheitsdaten) verarbeitet werden dürfen.

Ob Sie eine Einwilligung zur Verarbeitung sensibler personenbezogener Daten benötigen, ist nach Ihrer beruflichen Tätigkeit und allenfalls vorhandenen gesetzlichen Spezialregeln zu beurteilen. Sofern Sie eine Einwilligung tatsächlich benötigen, müssen Sie dies schriftlich dokumentieren. Es wird in diesem Fall die Einholung einer schriftlichen Einwilligungserklärung empfohlen – dazu reicht auch die Unterschrift auf der Karteikarte, auf der Sie die Daten des Betroffenen notiert haben. 

Lebens- und Sozialberater: Supervision von Angestellten im Auftrag von Firmen – welche Daten dürfen an die Firma rückgemeldet werden? Ist Auftraggeber dafür verantwortlich, dass Mitarbeiter zustimmt?

Für die Rechtmäßigkeit der Verarbeitung und eine Weitergabe ist stets der Verantwortliche selbst zuständig. (Also in diesem Fall idR. der Lebens- und Sozialberater).

Wenn dem Auftraggeber (der Firma) persönliche Daten und Informationen der Mitarbeiter rückgemeldet werden sollen, die für das Unternehmen relevant sind, ist entweder durch den Auftraggeber oder den Lebens- und Sozialberater sicherzustellen, dass die Mitarbeiter darüber informiert und damit einverstanden sind. Lassen Sie sich dies schriftlich bestätigen.

Personenbetreuung: selbstständige Personenbetreuer sind tw. über Verein organisiert – dürfen sie an den Verein Daten der Pflegepersonen weitergeben? Auch gesundheitsrelevante Daten?

Soweit es für Sie für die Datenweitergabe an den Verein, der eigener Verantwortlicher ist, eine Rechtsgrundlage gibt – ja. Wenn der Verein also beispielsweise vertragliche Leistungen durch die Bestellung von medizinischem Material, die Koordination verschiedener Personenbetreuer oder sonstige Unterstützungsleistungen für die PflegerIn übernimmt und das mit dem Betreuten oder dessen Vertreter vertraglich abgestimmt ist, wird die Weitergabe der dafür jeweils benötigten Daten idR. zulässig sein. Sofern es sich dabei um gesundheitsrelevante Daten handelt, ist eine Grundlage gem. Art. 9 DSGVO nötig. Da der reibungslose Ablauf der Gesundheitsbetreuung meist auch dem Betreuten selbst bzw. dessen Vertretern ein Anliegen ist, wird für gewöhnlich eine Grundlage für die Verarbeitung geschaffen werden können.

Lebens- und Sozialberater: Ich betreibe auf Facebook eine Fan-Page und dazu eine eigene Gruppe. Bisher habe ich auf Facebook einen Link zum Impressum meiner HP gehabt. In der Gruppe werden von Mitgliedern immer wieder sehr persönliche sensible Erzählungen eingestellt. Ich habe keinen Zugriff darauf, wie andere mit diesen Infos umgehen. Es liegt in der Verantwortung der Mitglieder selbst, was gepostet wird. Selbstverständlich gebe ICH nichts weiter. Hier einen eigenen fixierten Beitrag mit entsprechender Datenschutzerklärung posten?

Die Verwendung von Facebook wird im allgemeinen Frageteil bereits ausführlich behandelt. Sie als Unternehmer sollten hier nicht als Organisator einer Facebook-Seite auftreten, auf der sich Ihre Kunden austauschen. Vor allem dann nicht, wenn hier personenbezogene Daten ausgetauscht werden. Ihre Klienten können sich privat organisieren und eine Gruppe bilden, darauf haben Sie keinen Einfluss, Sie als Unternehmer sollten aber diese Plattform nicht anbieten. Facebook, Whatsapp und co sind keine geeigneten Tools, um eigene berufliche Leistungen zu erbringen.  

Verwendung von Online-Diensten, kostenlosen Plattformen usw. zur Speicherung und zum Versenden von Fotos, mit und ohne Passwortschutz – was muss beachtet werden? Facebook Pixel? Dropbox?

Die verschiedenen Online-Dienste, Plattformen und Mailing-Programme gehen unterschiedlich mit den Datenschutzbestimmungen und der IT-Sicherheit um. Ob einzelne Unternehmen die europäischen Datenschutzstandards erfüllen können wir aufgrund der Vielfalt der Anbieter und Varianten leider nicht im Einzelfall prüfen. Bitte informieren Sie sich hier in den Datenschutzbestimmungen Ihres Anbieters oder sprechen Sie mit Ihrem IT-Berater. 

Jedenfalls wird aber empfohlen, europäischen Anbietern, deren Server auch in Europa stehen, den Vorzug zu geben. Oft nutzen Online-Dienste Server im EU-Ausland, damit sind Sie von den Bestimmungen zur Datenweitergabe ans Drittland betroffen.

<< Datenweitergabe an Drittland

Meine Frage wäre noch, bei Erstkommunionen und Firmungen, wo wir ja jedes Kind mit Pfarrer oder einzeln fotografieren, was könnte man da machen?

Die Anfertigung identifizierender Fotos einzelner Personen ist jedenfalls nur mit Einwilligung des Betroffenen möglich. Für den Fall, dass eine Einwilligung von einem Kind selbst noch nicht rechtsverbindlich abgegeben werden kann, ist die Zustimmung der Obsorgeberechtigten einzuholen.

Hier könnte es entweder eine Beauftragung durch die Eltern geben oder auch einen gemeinsamen Auftrag durch die Pfarre. Im zweiten Fall sollten Sie die Eltern fragen, ob Sie das Kind fotografieren dürfen und die Einwilligung in Ihrem System dokumentieren. Auch vom Pfarrer selbst wird man eine Zustimmung einholen müssen, wenn er diese nicht durch eigene Beauftragung des Fotografen bereits erteilt hat.

Wenn die Fotos nach der Erstkommunion oder Firmung auf einem Online-Portal für andere Personen sichtbar sein werden müssen Sie die Eltern der Kinder darüber ebenfalls zu informieren und die diesbezügliche Zustimmung einzuholen.

Ausgenommen vom Erfordernis der Zustimmung ist die nicht identifizierende Fotografie aus einem privaten Dokumentationsinteresse, die bereits zuvor ausführlich erläutert wurde. Die entsprechende Ausnahmeregelung findet sich in §12 DSG neu. 

Wenn ich ein Portraitstudio bei einem Maturaball aufbaue und Familien fotografiere, reicht da ein A-Ständer mit dem Vermerk laut Datenschutz?

Die Bestimmungen der Datenschutzgrundverordnung bzw. des Umsetzungsgesetzes müssen Sie ohnehin einhalten, dazu brauchen Sie keinen A-Ständer, auf dem vermerkt ist, dass Sie datenschutzkonform arbeiten.

Die gesetzlichen Hinweispflichten/Informationspflichten können Sie mittels Aufsteller mit Hinweis auf Ihre Homepage abdecken – hier dann bitte einen eigenen Punkt mit der Datenschutzerklärung aufnehmen.

Muss ich meinen Kunden (Privatpersonen) im Vertrag bekannt geben, welche weiteren Firmen (meine Auftragsdatenverarbeiter) in meinem Auftrag WOMÖGLICH seine Daten verarbeiten? Muss ich also alle in Betracht kommenden Firmen namentlich auflisten, oder genügt eine pauschalierte Auflistung (Fotolabore, Cloud-Speicherdienste, Bildbearbeiter,..) - Ich greife nicht immer auf alle Firmen zurück bzw. nicht immer auf die gleichen. Oft kann ich dies bei Vertragsabschluss noch nicht festlegen, welche Firma von mir beauftragt wird.

Nein. Sie müssen als Verantwortlicher die Empfängerkategorien in Ihr Verzeichnis aufnehmen, mit diesen gegebenenfalls Auftragsverarbeitervereinbarungen abschließen und im Rahmen von Hinweispflichten nach Art. 13 DSGVO Ihren Kunden in diesem Fall allenfalls mitteilen, an welche Kategorien an Empfängern Sie diese Daten weitergeben. 

Darf die Einverständniserklärung zur Fotoveröffentlichung UND die Informationen über Datenschutz bzw. Einwilligung gemäß Datenschutz gleichzeitig in einem Vertrag sein? Oder muss man 2 getrennte Unterschriften einholen?

Hier ist jeweils zu prüfen, wozu der Betroffene konkret seine Einwilligung abgeben soll.  Aufgrund des Kopplungsverbotes muss der Betroffene die Möglichkeit haben, verschiedenen Punkten getrennt voneinander zuzustimmen oder seine Zustimmung in einem Punkt nicht zu geben. „Ich fotografiere nur, wenn ich auch veröffentlichen darf“ könnte je nach Sachverhalt einen Verstoß gegen das Kopplungsverbot darstellen.

Wie kann ich als Fotografin wenn ich eine Hochzeitsreportage fotografiere bei einer Hochzeitsgesellschaft der Informationspflicht bezgl. Datenschutz nachkommen, insbesondere bei Hochzeiten, wo bereits Einladungen verschickt sind und die Hochzeiten bald bevorstehen?

Eingangs ist daher zu prüfen, ob das Fotografieren (aus datenschutzrechtlichen Erwägungen) allenfalls unter die sog. Haushaltsausnahme fällt, oder ob im konkreten Fall – je nach beabsichtigter Verwendung – tatsächlich entsprechende Informationspflichten anfallen.

Sofern eine Informationspflicht besteht (und nicht aufgrund Kenntnis der Betroffenen die Information entfallen kann), kann diese auch durch eine Ankündigung des Brautpaars oder im Zuge einiger Eröffnungsworte des für den Ablauf Verantwortlichen vor Beginn der Feierlichkeiten erfolgen. Hilfsweise auch durch einen A-Ständer, wobei dies wohl aus ästhetischen Überlegungen in Abstimmung mit dem Brautpaar wahrscheinlich nicht die erste Wahl ist.

Sollten Sie die Bilder aber auch selbst für Ihre Website, für Facebook usw. verwenden wollen, ist neben dem Einverständnis der abgebildeten Personen auch in diesem Umfang entsprechend zu informieren und dies zu dokumentieren.  

Stand: 03.05.2022