Weihnachtspost und Datenschutz, alle Jahre wieder. Was darf man, wie darf man, eine kleine Anleitung..
Aus aktuellem Anlass, hier die wichtigsten Fakten, die über das Ob und Wie entscheiden.
Das Wesentliche zuerst: Handelt es sich um Emails, ist der folgende Absatz relevant. Emails müssen zudem noch personenbezogen sein, schreiben Sie Weihnachtsgrüße an ein Unternehmen, so ist eine juristische Person angesprochen, womit kein Datenschutz relevant ist.
Wenn die Voraussetzungen erfüllt sind, sie also (eine) Email(s) an mehrere Personen verfassen, so ist zunächst einmal die Frage nach dem Ob zu beantworten. Ob? Ja - ob ich das darf. Dürften kann bejaht werden, wenn eine Rechtsgrundlage vorliegt, dazu schreibt das LfD Rheinland Pfalz: Personenbezogene Weihnachtspost kann auf Art. 6 Abs. 1 Buchst. f) DS-GVO (Interessenabwägung) gestützt werden. Da es sich um Werbung handele, bedürfe es aber eines Hinweises auf die Möglichkeit des Werbewiderspruchs. Also: existente, also bestehende Kundenbeziehungen und Beziehungen zu B2B Geschäftspartnern zu pflegen, stellt ein berechtigtes Interesse dar. Somit müssen Interessen abgewogen werden, der Versand von Weihnachtspost dient in aller Regel der Pflege von Geschäfts-Beziehungen. Damit ist das berechtigte Interesse folglich eine mögliche Rechtsgrundlage. Die Abwägung der Interessen zwischen betroffener Person und Unternehmen dürfte auch jeweils zu Gunsten des Unternehmens ausfallen, denn Betroffene dürften im allgemeinen damit rechnen, so dass die "Aktion" nicht überraschend und ausserhalb jeder Erwartung erfolgt. Da die Weihnachtspost grundsätzlich eine Datenverarbeitung ist, sollte ein Hinweis auf eine Datenschutzerklärung vorhanden sein, dieser kann als Link dort platziert werden. Eine ops-out-Möglichkeit gehört natürlich auch mit platziert.
https://www.sharedit-pro.com/ergebnisse-der-98-datenschutzkonferenz
(Das neuste in Sachen behördliche Aktivität - mit erheblicher Relevanz. Zusammenfassung der Ergebnisse unter dem Link)
https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html
Google Analytics nur nach Einwilligung "Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Ausgabe 26/2019
Datum 14.11.2019
Die Häufigkeit der Datenschutz-News nimmt zu, so auch korrespondierend die Bußgeld-Aktivitäten von Aufsichtsbehörden.
Umsetzung von Löschpflichten und der Grundsatz der Speicherbegrenzung.
Derzeit werden u.a. Grundsatzthemen des Datenschutzrechts, zu finden in Art.5 DSGVO, in einem bisher nicht dagewesenem Umfang durch Behörden geprüft, die Welt schreibt dazu in ihrem Artikel von „deutliche Verschärfung im behördlichen Handeln..“, was auch durch den kürzlich veröffentlichten Bußgeldkatalog insofern nachvollziehbar ist.
Im Aktuellen Fall wurde neben weiteren Fällen dieser Art mit geringeren Bußgeldern, ein Bußgeld von 14 Mio. EUR verhangen, nachdem das Unternehmen Daten ohne Rechtsgrundlage speicherte, da diese nach Zweckerfüllung eben nicht weiter benötigt wurden und somit hätten gelöscht werden müssen. Dem Bußgeld gingen Warnungen voraus.
Handlungsempfehlung:
Alle Datenflüsse des Unternehmens sind im Verarbeitungsverzeichnis aufgelistet, diese sollten dementsprechend aktuell sein. Hier sind die Speicherfristen und damit Löschpflichten zu finden, bzw. zu nennen. Dies muss entsprechend umgesetzt werden. Darauf zu achten ist dabei, dass die Verarbeitungen alle 6-12 Monate geprüft werden, um Aktualität zu gewährleisten. Des weiteren ist die Erstellung eines Löschkonzeptes im Sinne der Enthaftung sehr sinnvoll. Es sollten dort alle Datenarten nebst zugehöriger gesetzlicher Aufbewahrungsregelung aufgelistet sein. Ist diese jeweils erloschen, muss gesperrt oder gelöscht werden. Anonymisierung wäre hilfsweise auch möglich.