DS-GVO gerechte Website – Schritt 1: Die Analyse personenbezogener Daten

DS-GVO gerechte Website - Schritt 1: Die Analyse personenbezogener DatenDie DSG-VO (Datenschutz-Grundverordnung) tritt am 25.Mai 2018 nach 2 Jahren Übergangszeit endgültig in Kraft. Viele Selbstständige im Netz haben dahingehend noch nichts getan und möchten wissen, wie eine DS-GVO gerechte Website aussieht.

In dieser Artikelserie gehe ich genau darauf ein und gehe die wichtigsten Schritte durch.

Alles fängt mit der Analyse der eigenen Website an, auf die ich im Folgenden genauer eingehe.

Artikel der DS-GVO-Serie:
1. Die Analyse personenbezogener Daten
Praxis-Beispiel Schritt 1: Analyse
2. Verzeichnis der Verarbeitungstätigkeiten
Praxis-Beispiel Schritt 2: Verzeichnis
3. Informationspflichten auf Websites
Praxis-Beispiel Schritt 3: Informationspflichten
4. Was es sonst noch zu beachten gibt
Praxis-Beispiel Schritt 4: Sonstiges

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

DS-GVO gerechte Website

TarifCheck24 Kredit Hammer
Werbung

Welche Dinge auf der eigenen Website so bleiben können wie sie sind und welche im Hinblick auf das neue Datenschutz-Recht kritisch sind, beschäftigt viele Betreiber von Blogs, Websites und Nischenwebsites.

Viele sorgen sich vor allem durch die Unsicherheit, die durch dieses neue Monstrum über jedes noch so kleine Unternehmen und jeden Selbstständigen hereingebrochen ist.

Im Grunde kann man sagen, dass wir in Deutschland eigentlich recht gut auf die DS-GVO vorbereitet sind. Das bisherige Bundesdatenschutzgesetz und auch die weiteren rechtlichen Grundlagen finden sich in großen Teilen im DS-GVO wieder, so dass zwar Anpassungen notwendig sind, aber man nicht alles verändern muss.

Leider ist es aber auch bei dieser Verordnung so, dass vieles Auslegungssache ist und wir erst mit den kommenden Gerichts-Urteilen genau wissen werden, was in bestimmten konkreten Fällen notwendig und erlaubt ist.

Betrifft mich die DS-GVO?

Die neue Verordnung bezieht sich auf alle personenbezogenen Daten, die man als Unternehmen oder Selbstständiger regelmäßig erfasst und verarbeitet. Da fängt der Interpretations-Spielraum allerdings schon an, denn was heißt das genau?

Da das keiner so genau und vor allem sicher beantworten kann, sollte jeder Selbstständige sich mit den neuen Vorschriften beschäftigen und diese umsetzen. Im Grunde reicht es nämlich schon, wenn man regelmäßig Mails von Fremden erhält oder Rechnungen schreibt. Schließlich bekommt und verarbeitet man damit personenbezogene Daten von Dritten.

Wer eine Website betreibt, kommt da ebenfalls nicht herum. Schließlich wird bei jedem Seitenaufrufe zumindest die IP-Adresse des Nutzers übertragen und diese gehört laut BGH auch zu den personenbezogenen Daten.

WERBUNG
Pixelmate - Das einfachste DSGVO-Plugin für WordPress Mit Pixelmate kannst du ganz einfach ein Cookie Banner mit Opt-In für Google Analytics, Facebook Pixel, YouTube, Vimeo und viele andere Ressourcen erstellen. Pixelmate

Schritt 1: Die Analyse

Um seine Website auf die DS-GVO umzustellen und damit teure Bußgelder und Abmahnungen zu vermeiden, ist zu Beginn erstmal eine Analyse notwendig. Das ist der erste Schritt, den man nicht unterschätzen sollte.

Zudem ist genau das auch ein wichtiges Ziel der DS-GVO. Die Unternehmer und Selbstständigen sollen für das Thema Datenschutz sensibilisiert werden und sich in Zukunft schon von vornherein Gedanken darüber machen. Bisher ist es oft noch so, dass man erstmal alle Daten sammelt, an die man rankommt und sich dann überlegt, was man damit macht.

Bei dieser Analyse gilt es die eigene Website gründlich dahingehend anzuschauen, welche personenbezogenen Daten erhoben werden. Dabei spielt es erstmal keine Rolle, ob man die Daten selbst speichert und weiterverarbeitet oder ob man z.B. durch die Einbindung eines Scriptes dies einem Dritten ermöglicht.

Personenbezogen sind Daten wie Name, eMail-Adresse, Post-Adresse, Geburtsdatum etc., aber auch die IP-Adresse gilt als solche. Und selbst eine an sich zufällige ID kann personenbezogen sein. So könnte sich in einem Forum jemand eine ID aus Zahlen und Buchstaben zulegen und sonst keine personenbezogenen Daten hinterlegt haben. Dennoch kann man die Beiträge dieser Person anhand der ID verfolgen und ggf. daraus ableiten, um wen es sich handelt. Das mag ein sehr spezieller Fall sein, den sich Juristen dazu haben einfallen lassen, aber er zeigt, dass man erstmal sehr kritisch bei der Analyse vorgehen sollte.

Eigenen Datenerhebung

Als erstes sollte man sich anschauen, welche Daten man selbst auf der eigenen Website erhebt.

Wer ein Kontaktformular auf seiner Website anbietet, der erfasst damit personenbezogene Daten und speichert diese. Ebenso gilt dies z.B. für Gewinnspiele, für die Leser ihre Daten hinterlassen müssen oder für ein Kommentarfeld.

Auch eine lokale Statistik, in der IP-Adresse oder andere Daten erfasst werden, fällt darunter.

Das bedeutet, dass man auf der eigenen Website oft viele personenbezogene Daten erhebt und speichert.

Datenerhebung durch Dritte

Hinzu kommen allerdings noch weitere Daten-Erhebungen, die vielen Website-Betreibern oft gar nicht bewusst sind. Bei Google Analytics ist den meisten klar, dass Daten gesammelt werden, denn das ist ja auch die Aufgabe des Tools. Aber auch Google AdSense sammelt Daten.

Wer einen Newsletter anbietet und einen Online-Service dafür nutzt, lässt diesen ebenfalls personenbezogene Daten sammeln. Hinzu kommen noch viele Dinge, die den meisten gar nicht so bewusst sind. Partnerprogramm-Scripte, iFrame-Einbindungen, externe Bilder, Google Fonts CDNs und vieles mehr sammeln ebenfalls personenbezogene Daten bzw. könnten es zumindest, da die IP-Adresse jedesmal übertragen wird.

Auch das Setzen von Cookies fällt unter die Erhebung personenbezogener Daten, denn dadurch kann man Personen ja wiedererkennen. Diverse Werbemittel von Einnahmequellen (Google AdSense, Partnerprogramme …) setzen Cookies.

Deshalb sollte man die eigene Website genau analysieren und schauen, wo man irgendwas von Dritten eingebunden hat. Wer kann sich schon noch auf Anhieb erinnern, dass er/sie vor 12 Monaten mal das Script eines Heatmap-Anbieters eingebunden hat. Solche “Leichen” sollte man nicht in der Website unbemerkt drin lassen.

Auch wenn man keine eigenen Formulare etc. nutzt, erheben die allermeisten Websites dennoch personenbezogene Daten. Selbst das normale Hosting ist datenschutzrelevant, da man hier Daten von Besuchern auf der eigenen Website an einen Dritten weitergibt. Deshalb ist es unter anderen wichtig mit diesen Anbietern Auftragsverarbeitungs-Verträge abzuschließen, um auf der sicheren Seite zu sein. Dies ist z.B. bei Hostern und bei Google Analytics notwendig.

Automatische Analyse

DS-GVO gerechte Website - Schritt 1: Die AnalyseWer sich nicht die Mühe machen will, die eigene Website selbst bzgl. personenbezogener Daten zu analysieren, kann externe Dienstleister in Anspruch nehmen. Das ist allerdings finanziell für Selbstständige in der Regel nicht machbar.

Eine andere Alternative ist ein Service wie ihn webseitenschutzpaket.de anbietet. Dort kann man ab 99 Euro die eigene Website automatisch analysieren lassen. Für diesen Einstiegspreis werden bis zu 50 Seiten automatisiert analysiert und ein Prüfbericht erstellt. Darin findet man dann neben einer Analyse des Impressums und der Datenschutzerklärung auch eine Auflistung der gefundenen externen Scripte und Einbindungen, die DS-GVO relevant sind. Zudem gibt es Tipps und Hinweise, wie man die Probleme beheben kann, teilweise inklusive kompletter Textvorlagen.

Für größere Websites gibt es umfangreichere Analyse-Pakete, die dann teilweise auch die manuelle Analyse beinhalten und dadurch natürlich noch hilfreicher sind. Wer nicht so eine große Website hat, für den ist diese automatisierte Analyse auf jeden Fall eine zusätzliche Hilfe. Ob man das wirklich braucht oder die Analyse komplett manuell durchführt, muss jeder für sich entscheiden.

Ebenfalls interessant ist Cookiebot. Dieser Service überprüft die eigenen Seiten und listet die Cookies auf, die gesetzt wurden. Es gibt einen kostenlosen Account, aber für große Websites auch etwas umfangreichere Pakete.

Auf jeden Fall sollte man sich nicht allein auf so eine automatische Analyse verlassen.

Einwilligung oder berechtigtes Interesse?

Hat man eine Liste zusammengetragen, welche Daten erhoben werden, dann sollte man prüfen, ob das überhaupt erlaubt ist. Bei der DS-GVO gilt das Verbotsprinzip. Es ist also erstmal grundsätzlich verboten solche Daten zu speichern und zu berarbeiten, außer es ist explizit erlaubt.

Die Zustimmung der betreffenden Person ist die stärkste Erlaubnis, die man für die Verarbeitung ihrer personenbezogenen Daten bekommen kann. Das ist aber gerade bei Websites oft nicht praktikabel. Wer will schon jedem Website-Besucher erstmal ein großes Formular zeigen, wo er den diversen Erfassungen seiner Daten zustimmen muss? Das wollen weder die Website-Betreiber, noch die Besucher.

Deshalb gibt es in Art. 6 der DS-GVO noch weitere Bedingungen, die für eine Rechtmäßigkeit der Verarbeitung sorgen können. So z.B. für die Erfüllung eines Vertrages, so dass es in Online-Shops kein Problem ist Käuferdaten zu speichern.

Unter Punkt f) werden dann auch noch die berechtigten Interessen des Verantwortlichen oder eines Dritten erwähnt. Darauf berufen sich viele Experten, wenn sie darauf hinweisen, dass auch in Zukunft Google AdSense, Google Analytics, Partnerprogramme etc. erlaubt sind. Allerdings geht es hier darum zwischen den Interessen des Datenerhebers (also des Websitebetreibers und dessen Partner, wie Google Analytics…) und den Internen der betroffenen Person (der Website-Besucher) abzuwegen. Da muss man dann sicher auf ein paar Urteile aus der Praxis warten.

Wer z.B. einen Newsletter betreibt, der nutzt ja bereits jetzt das Double-Opt-In Verfahren. Das ist auch in Zukunft ausreichend. Bei den meisten anderen Datenerfassungen wird man zumindest mit dem berechtigten eigenen Interesse argumentieren können. So ist Google AdSense eine Einnahmequelle für Selbstständige und das ist schon ein starkes eigenes Interesse. Negative Folgen für die Nutzer sind hier meiner Meinung nach nicht zu erwarten. Aber das sehen manch andere sicher anders.

Deshalb sollte man sich genau überlegen, welche Daten man auch in Zukunft noch erfassen will/darf und welche nicht.

Besondere Kategorien personenbezogener Daten gibt es übrigens ebenfalls. Darunter fallen besonderes sensible Daten, wie ethnische Herkunft, politische Meinungen, religiöse Überzeugungen etc.. Diese stehen nochmal unter einem besonderen Schutz und dürfen nicht ohne rechtliche Grundlage oder explizite Einwilligung der Person erfasst und verarbeitet werden.

Auf was kann man verzichten?

Wie man mit den Daten dann umgeht, was das Verzeichnis der Verarbeitungstätigkeiten ist, welche Informationspflichten sich ergeben und so weiter, behandle ich in den nächsten Teilen meiner Artikelserie.

Allerdings kann man sich bei den weiteren Schritten einige Arbeit ersparen, wenn man sich auf die allernötigsten Daten beschränkt. In der Regel wird man mehr Daten sammeln und speichern, als man wirklich benötigt. Und da das Prinzip der Datenminimierung bzw. der Datensparsamkeit ein Kernkonzept der DS-GVO ist, sollte man sich genau überlegen, welche Daten man in Zukunft wirklich noch erfassen will.

Denn sind wir mal ehrlich, viele der Daten benötigt man nicht wirklich bzw. sie werden erhoben, aber nie ausgewertet oder genutzt.

So sollte man z.B. prüfen:

  • Welche Kontakt- und sonstigen Formulare auf der Website sind wirklich notwendig?
  • Versendet man wirklich noch alle Newsletter, für die man Daten sammelt?
  • Welche Plugins speichern die IP-Adresse von Nutzern und ist das wirklich notwendig bzw. kann man auf das Plugin verzichten?
  • Welche Partnerprogramm-Scripte müssen sein? Reichen nicht auch normale Affiliatelinks?
  • Muss man wirklich ein Server-Logfile erstellen?
  • usw.

Allein durch das “Aufräumen” kann man einen guten Teil der DS-GVO relevanten Datenerfassungen für die Zukunft vermeiden. Das spart Arbeit bei den nächsten Schritten im Rahmen der DS-GVO und damit verringert man auch das Risiko für Abmahnungen und Bußgelder.

Fazit und Beispiel

Die DS-GVO wirkt auf viele einschüchternd und auch ich will nicht behaupten, dass ich da zu 100% durchblicke. Zumal vieles, wie schon geschrieben, ja auch noch im Fluss ist und sich erst in den nächsten Monaten klarer darstellen wird.

Aber die Grundprinzipien sind klar und als Website-Betreiber sollte man im ersten Schritt genau analysieren, welche Daten man von seinen Besuchern erfasst und wie damit umgegangen wird. Zudem gilt es zu überlegen, ob man diese Daten alle sammeln darf und welche man in Zukunft vielleicht einfach nicht mehr sammeln sollte.

Wer sich diese Gedanken macht und aktiv wird, tut schon mehr als viele andere. Und wie bisher auch, werden Bußgelder und Abmahnungen tendenziell eher die treffen, die sich gar nicht darum kümmern oder sich besonders starke Verstöße zu Schulde kommen lassen.

Um das Thema noch etwas praxisnaher zu zeigen, werde ich parallel zu dieser Artikelserie eine meiner Nischenwebsites für die DS-GVO fit machen. Dazu werde ich im ersten Schritt die hier beschriebene Analyse durchführen und zeigen, wie ich vorgehe.

Wer zu dem ganzen Thema Anmerkungen, Fragen oder Hinweise hat, kann diese gern in den Kommentaren hinterlassen.

Kostenloser Newsletter mit Tipps, Beispielen, Einblicken ...

  • Für den Versand unseres Newswletters nutzen wir rapidmail. Mit deiner Anmeldung stimmst du zu, dass die eingegebenen Daten an rapidmail übermittelt werden. Die Anmeldung erfolgt mit Hilfe des sogenannten Double-Opt-Ins. Dabei erhältst du eine Mail, in der du einen Bestätigungslink für den Newsletter findest. Nur wenn du diesen anklickst, wird deine Mail in den Newsletter-Versand aufgenommen.
    Weitere Informationen zum Newsletter-Versand, den Datenschutzmaßnahmen, Statistiken und deinen Rechten findest du in der Datenschutzerklärung.



Business Ideen
Werbung

20 Gedanken zu „DS-GVO gerechte Website – Schritt 1: Die Analyse personenbezogener Daten“

  1. Super Artikel, ich freue mich schon auf die weiteren Teile der Artikelserie!

    Ich bin schon eine ganze Weile auf der Suche nach ganz konkreten Informationen, aber so ganz konkrete Infos habe ich bisher noch nicht gefunden.

    Mich interessiert konkret was man bei Google Adsense, Google Analytics und den verschiedenen Affiliate Werbeformen von Amazon tun kann. Affiliate Links von Amazon sind wohl ok, aber wie verhält es sich mit den Affiliate-Bildern und der iframe-Einbindung von Amazon?

    Welche technischen Lösungen verwendest du um dem Nutzer die Gelegenheit zu geben die Datensammlung zu unterbinden?

    Oft findet man im Netz nur oberflächliche Informationen. Diese Bereiche wären für die anderen Leser sicherlich auch interessant. Daher wäre es toll wenn du sie in deiner Artikelserie beschreiben könntest oder in deinem Beispiel mit der Nischenseite.

    Danke!

    Antworten
    • Am Freitag kommt mein Praxis-Artikel zu dieser Serie, inder ich eine meiner Nischenwebsites dahingehend analysieren. Da gehe ich dann z.B. auch auf das Amazon Partnerprogramm ein.

      Leider ist es aktuell aber auch so, dass niemand hundertprozentig weiß, was in welcher Form noch okay ist. Die Datensammlung zu unterbinden ist zumindest bei den Cookies einfach. In der Datenschutzerklärung steht aktuell schon, wie man Cookies im Browser deaktivieren kann. Für Analytics gibt es zudem eine weitere Lösung, die ich auch integriert habe.

      Antworten
  2. Die DSG-VO wird einige Websitenbetreiber hart treffen, gewisse Geschäftsmodelle werden da überhaupt nicht mehr in dieser Art funktionieren bzw. die Website wird über Server im EU-Ausland laufen (ob das im Sinne des Erfinders ist?! Viel Spaß beim Klagen in Russland). Der Ansatz mag zwar gut sein, allerdings versetzt uns die Ausführung 15 Jahre in der Entwicklung zurück (ins Mittelalter des Internets).

    Antworten
  3. Hallo Peer,
    ich bin schon gespannt auf deinen angekündigten Bericht am Freitag. Da wird sicher noch der eine oder andere Punkt kommen, den ich noch nicht auf dem Schirm hatte.
    Zu deinen bereits aufgelisteten Punkten habe ich noch zwei Anmerkungen:

    Welche Plugins speichern die IP-Adresse von Nutzern und ist das wirklich notwendig bzw. kann man auf das Plugin verzichten?

    Für viele Webseitenbetreiber ist es doch gar nicht ersichtlich, welches PlugIn von wo welche Daten abgreift und abspeichert oder gar an dritte weitergibt. Bei Analytics ist es wie schon geschrieben offensichtlich. Aber selbst ein kleines PHP-Script das nur auf dem Server ausgeführt wird und im Browser nicht ersichtlich ist kann personenbezogene Daten wie die IP abgreifen. Das wird noch ein spannender Punkt.

    Muss man wirklich ein Server-Logfile erstellen?

    Hier würde ich zu ja tendieren. Aus solchen Logfiles können mögliche Angriffe etc. rekonstruiert werden. Damit ist meiner Meinung nach das berechtigte Interesse der Hosting-Anbieter aber auch der Seiten-Betreiber auf jeden Fall gegeben. – Das ist aber selbstverständlich nur meine Meinung als Nicht-Jurist.
    Hast du mit all deinen Hosting-Anbietern schon einen solchen Auftragsverarbeitungs-Vertrag geschlossen?

    Antworten
    • Das ist tatsächlich ein spannender Punkt. Aber ich finde es schon einen Unterschied, wenn Plugins die IP-Adresse in der eigenen Datenbank speichern und man das auch erkennen kann, oder ob hier heimlich IP-Adresse übertragen werden.

      Was das Log-File angeht, so haben die Hoster sicher Möglichkeiten darüber hinaus Angriffe zu analysieren.

      Antworten
      • Hallo Peer,
        da bin ich ganz deiner Meinung. Ob die IP “nur” in der eigenen Datenbank abgelegt wird oder ob diese (zusammen mit anderen Daten) übertragen wird spielt auf jeden Fall eine Rolle. Ich bin auch grundsätzlich für Datensparsamkeit und mehr Datenschutz. Gründe dafür gibt es genug.

        Aber das eigentliche Problem für die Webmaster ist, dass sie es einfach nicht erkennen können, ob solche Daten überhaupt erhoben werden. Zudem könnte sich dies auch mit jedem Update ändern. Aus diesem Grund halte ich es auch für kaum zumutbar, jedes PlugIn oder jedes Stück Software vor der Verwendung dahingehend zu prüfen.

        Die nächsten Monate werden auf jeden Fall spannend.

        Antworten
        • Ja, das ist natürlich richtig. Aber wie so oft gilt auch hier der Witz “2 Männer sind auf Safari und treffen auf Löwen. Da fängt der eine an seine Wanderschuhe auszuziehen und zieht sich Laufschuhe an. Da meint der andere, dass er damit auch nicht schneller als der Löwe ist. Der erste antwortet, dass er gar nicht schneller als der Löwe sein muss, es reicht wenn er schneller als der zweite Mann ist.”
          Was ist damit sagen will. Perfekt wird die DS-GVO und die ePrivacy Verordnung sowieso niemand erfüllen können. Abmahnungen und Bußgelder werden aber eher die bekommen, die nichts tun oder kaum was. Wer dagegen so viel macht, wie sinnvoll und ökonomisch vertretbar, sollte keine Probleme bekommen. War doch bisher auch so.

          Antworten
  4. Hallo Peer,

    mit der SSL-Verschlüsselung einer Website wäre ja die Übertragung von Daten eines Kontaktformulars oder der Kommentarfunktion sicher und anscheinend ausreichend geschützt. Eine Einwilligung des Users habe ich dann aber noch nicht, dass ich z.B. seine E-Mail-Adresse verarbeiten darf.

    Meine Frage hier wäre: Muss eine solche Einwilligung zukünftig auch bei der Kommentarfunktion von WordPress oder bei Kontaktformularen eingeholt werden, damit ich diese abspeichern und dem User auf eventuelle Fragen antworten darf?

    So wie ich das bis jetzt verstanden habe, dürfte ich einem User (ohne Einwilligung) nicht auf seine Anfrage über ein Kontaktformular antworten und die Speicherung der E-Mail-Adresse bei den Kommentaren wäre auch fraglich.

    Viele Grüße
    Enrico

    Antworten
    • Ja, bei den Kommentaren und bei Formularen muss in Zukunft stehen, dass man die Daten verarbeitet. Dazu komme ich noch dieser Artikelserie.

      Wobei man auch die Kirche im Dorf lassen sollte. Wenn mich jemand anschreibt, dann antworte ich. Es kommt noch soweit, dass bei einem Kontaktformular ein Double-Opt-In vorgeschrieben wird. Es könnte ja jemand eine andere Mail-Adresse nutzen. Die ganze Sache nervt schon und ist teilweise völlig übertrieben.

      Antworten
  5. Und wieder etwas wunderbares, was die EU und vor allem Deutschland extrem weit nach vorne bringen wird… ähh zurück. Auswandern wird immer spannender und mittlerweile ist eigentlich auch fast egal wohin.

    Antworten
  6. Hallo Peer,

    super, dass du diese Artikelserie machst!

    Konkrete Infos in Bezug auf die Umsetzung der DS-GVO sind ja kaum zu finden. Da ist es dann schon spannend, mal ein paar praktische Beispiele für die Umsetzung zu sehen.

    Viele Grüße
    Christopher

    Antworten
  7. Wie sieht es eigentlich mit der Adresse des Providers/Webhosters aus? Muss man diese nicht in der Datenschutzerklärung angeben? Es ist ja jemand, mit dem man auch einen Auftragsverarbeitungsvertrag abschließen muss…

    Antworten
  8. Hallo Peer,

    es gibt unzählige Artikel zur DSVGO, aber keiner ist so qualitativ hochwertig aufgebaut wie dieser . Wo finde ich die Informationen zu den Thema “Um das Thema noch etwas praxisnaher zu zeigen, werde ich parallel zu dieser Artikelserie eine meiner Nischenwebsites für die DS-GVO fit machen. Dazu werde ich im ersten Schritt die hier beschriebene Analyse durchführen und zeigen, wie ich vorgehe.” ? Ich habe zwar den Artikel über das verlinkte Wort angeklickt, aber die angekündigten Informationen, wie da vorgehst, nicht. Vielleicht suche ich auch an der falschen Stelle?

    Antworten
  9. Hallo Peer,
    vielen Dank für deinen ausführlichen und praxisnahen Blogbeitrag. Die Bedeutung einer Analyse der Datenverarbeitungsvorgänge auf der Webseite finde ich persönlich essenziell, um datenschutzkonform im Internet unterwegs zu sein.

    Gerne würde ich noch etwas zur Rechtsgrundlage des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO anmerken. Das berechtigte Interesse ist im Vergleich zur Einwilligung die schwächere Rechtsgrundlage, da hierbei subjektive und objektive Abwägungskriterien im Einzelfall über „Sieg oder Niederlage“ entscheiden. Es handelt sich bei den berechtigten Interessen auch nicht um eine Art Auffangtatbestand, der z.B. nach fehlgeschlagenem Einholen einer Einwilligung, eingesetzt werden kann. Vielmehr wäre dies auch unrechtmäßig, da einer betroffenen Person durch Ablehnung der Einwilligung suggeriert wird, es werden keine personenbezogenen Daten von ihr verarbeitet.

    Für die Ermittlung zur Anwendung der berechtigten Interessen wird eine dreistufige Prüfung durchgeführt:
    – Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
    – Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
    – Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

    Zu diesen Abwägungskriterien gehören unter anderem die Erwartungshaltung der betroffenen Personen, die Beziehung der Parteien zueinander oder die Interventionsmöglichkeiten der betroffenen Personen.

    Ebenfalls ist anzumerken, dass bei einem Gleichstand die Datenverarbeitung des Verantwortlichen zulässig ist, das ergibt sich aus der Tatsache, dass die Interessen der betroffenen Person überwiegen müssen.

    Antworten

Schreibe einen Kommentar