Datenschutz und seine Bezüge zum Wettbewerbsrecht

Ein Verstoß gegen das Datenschutzgesetz kann abgemahnt werden. Daher möchten wir Ihnen erklären, welche Daten Sie wofür erheben dürfen, wie lange sie gespeichert werden dürfen und wann die Daten gelöscht werden müssen.

Datenschutzgrundverordnung (DSGVO)

Seit dem 25.05.2018 gilt innerhalb der Europäischen Union die Datenschutzgrundverordnung (DSGVO). Diese Verordnung regelt, ob, wie und wann Unternehmen personenbezogene Daten erheben, verarbeiten und löschen dürfen bzw. müssen.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Dazu gehören:

  • Name
  • Anschrift
  • Kontaktdaten (Telefon, Fax, E-Mail)
  • Geburtsdaten
  • IP-Adresse
  • Standortdaten
  • Bestellungen und Käufe
  • Gesundheitsdaten

Erhebung und Speicherung von Daten

Unternehmen dürfen personenbezogene Daten nur unter bestimmten Bedingungen erheben und verarbeiten. Es muss ein klarer Zweck für die Datenerhebung vorliegen, und die Betroffenen müssen informiert und ggf. ihre Zustimmung eingeholt werden. Die Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Löschung von Daten

Sobald der Zweck der Datenerhebung erfüllt ist oder die gesetzliche Aufbewahrungsfrist abgelaufen ist, müssen die Daten gelöscht werden. Unternehmen müssen sicherstellen, dass personenbezogene Daten nicht länger als notwendig aufbewahrt werden.

Zentrale Norm für die Frage, ob und aufgrund welcher Grundlage die Daten überhaupt erhoben und verarbeitet werden dürfen, ist Art. 6 DSGVO. Die Erhebung und Verarbeitung personenbezogener Daten ist nur zulässig, wenn

  • eine Einwilligung vorliegt;
  • die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen;
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt;
  • die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • sie im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist oder
  • sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegt.

Zentrale Norm für die Frage, ob und aufgrund welcher Grundlage die Daten überhaupt erhoben und verarbeitet werden dürfen, ist Art. 6 DSGVO. Die Erhebung und Verarbeitung personenbezogener Daten ist nur zulässig, wenn

Sind Daten erhoben worden, müssen hinreichende Maßnahmen zur Datensicherheit getroffen werden. Zugriffsberechtigungssysteme , Anonymisierung von Daten sowie der Abschluss von Auftragsdatenverarbeitungsverträgen sind nur einige Beispiele für solche Maßnahmen.

Zudem müssen Unternehmen über die Erhebung und Verarbeitung von Daten in Datenschutzerklärungen transparent informieren und die betroffenen Personen über Ihre Rechte aufklären.

So haben die betroffenen Personen nach der Datenschutzgrundverordnung das Recht auf

  • Auskunft
  • Berichtigung und Vervollständigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragung
  • Widerruf
  • Widerspruch
  • Beschwerde bei einer Aufsichtsbehörde.

Sollen personenbezogene Daten für Werbung verwendet werden, muss darüber transparent und umfassend aufgeklärt und der Kunde muss auf sein Widerspruchsrecht hingewiesen werden. Sind diese Voraussetzungen erfüllt, erkennt die Datenschutzgrundverordnung die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als berechtigtes Interesse an. In allen anderen Fällen muss vorher die ausdrückliche Einwilligung des Kunden eingeholt werden und zwar vorzugsweise schriftlich und unter Hinweis auf die Widerrufsmöglichkeit. Wird die Einwilligung nicht schriftlich, sondern beispielsweise am Telefon erklärt, muss der Unternehmer dem Kunden den Inhalt der Einwilligung schriftlich bestätigen. Wird die Einwilligung elektronisch erklärt muss sichergestellt werden, dass die Einwilligung protokolliert wurde und der Kunde den Inhalt der Einwilligung jederzeit abrufen kann. Dies wird regelmäßig durch das „Double Opt-In“-Verfahren gewährleistet.

Unabhängig davon, ob die Daten erhoben werden dürfen, muss der Kunde aber immer über Art, Umfang und Zweck der Datenerhebung, die Verarbeitung und/oder Nutzung der Daten, sowie der Möglichkeit, eine etwaig erteilte Einwilligung für die Zukunft zu widerrufen, hingewiesen werden. Dies erfolgt regelmäßig über eine Datenschutzerklärung, die sinnvollerweise auf der Internetseite unter einem eigenen Menüpunkt oder durch einen entsprechenden Link zur Verfügung gestellt werden sollte. Fehlt die Datenschutzerklärung oder findet sich diese versteckt in AGB´s kann dies abgemahnt werden.

Ist keine oder keine wirksame Einwilligung erteilt worden, ist die werbliche Ansprache des Kunden unzulässig. Der Kunde hat dann einen Unterlassungsanspruch, aber auch Wettbewerber können eine unzulässige Werbemaßnahme abmahnen und gerichtlich untersagen lassen.

Achtung! Die Einwilligung muss immer vom Unternehmer/Werbenden bewiesen werden.

Personenbezogene Daten können, außer in Fällen, in denen gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, jederzeit gelöscht werden. Sie müssen gelöscht werden,

  • wenn die Erhebung und Verarbeitung von Anfang an unzulässig ist bzw. war,
  • die Daten für die Erfüllung des Zwecks der Verarbeitung nicht mehr erforderlich sind;
  • wenn der Kunde dies verlangt und die Daten zur Erfüllung eines Vertrages nicht mehr benötigt werden.

Können Daten wegen noch bestehender Aufbewahrungspflichten nicht gelöscht werden, müssen sie gesperrt werden, d.h. ihre weitere Benutzung und Verarbeitung ist eingeschränkt. Diese Datensätze sollten als inaktiv gekennzeichnet werden.

Hier finden Sie einen
Auszug aus unserem FAQ.

Unter dem Begriff „Datenpanne“ werden die folgenden Situationen gefasst:

  • Vernichtung: meint alle Formen der unwiederbringlichen Löschung der Datenlöschung,
  • Verlust: mein das unvorhergesehene Verlorengehen von Daten, gleich ob kurzfristig oder dauerhaft,
  • Veränderung: meint die Fälle, in denen die Daten einen neuen Informationsgehalt erhalten,
  • unbefugte Offenlegung oder Weitergabe
  • unbefugter Zugang

Informieren Sie unverzüglich, d.h. binnen 72 h die zuständige Aufsichtsbehörde. Betroffene müssen nur dann informiert werden, wenn durch die Schutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

  • Beschreibung der Art der Verletzung (z.B. Datenverlust)
  • Kategorien von Betroffenen (z.B. Mitarbeiter, Kunden)
  • (ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z.B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
  • Name und Kontaktdaten des DSB oder sonstige Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z.B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
  • Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu „beheben“ und um mögliche Folgen abzumildern
  • Welche Maßnahmen wurden bereits ergriffen, zur Reduzierung welches Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zur Prozentzahl x wiederhergestellt werden konnten.
  • Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

Das Landgericht Hamburg hatte darüber zu entscheiden, ob die Teilnahme an einem Gewinnspiel mit der Nutzung der Daten zu Werbezwecken kombiniert werden darf. Konkret hat man in dem zu entscheidenden Fall durch das Setzen eines Häkchen sowohl den Teilnahmebedingen des Gewinnspiels, als auch der Datennutzung zugestimmt. Das Gericht hat entsprechen den obigen Ausführungen die Einwilligungserklärung als unwirksam angesehen und auf das Erfordernis einer eigenständigen Einwilligungserklärung für die Nutzung der Daten zu Werbezwecken hingewiesen.

LG Hamburg, Urteil vom 10. August 2010 – 312 O 25/10

Die Einwilligung muss ausdrücklich erfolgen und es muss vorab transparent und leicht verständlich über den Umfang der Einwilligung und das Widerrufsrecht informiert werden.

Mitgliedschaft

Sie möchten alle
Information erhalten?

Dann werden Sie jetzt Mitglied im Verein zur Bekämpfung unlauteren Wettbewerbs in der Nahrungsmittel- und Gastronomiebranche e.V.

Wir sind
für Sie Da.

Sie haben Fragen? Dann rufen Sie uns
einfach an oder schreiben Sie uns eine
E-Mail.

WordPress Double Opt-in by Forge12