DSGVO – Wann sind Einwilligungserklärungen wirklich nötig?
Gummersbach / Köln. Der 25. Mai war der Startschuss für die DSGVO. Leider auch ein Startschuss für die Überflutung meiner Datenschutz-Mandanten mit vollkommen unnötigen Einwilligungserklärungen und AV-Verträgen. Wann sind Einwilligungserklärungen wirklich nötig?
Einwilligungserklärungen – Null8Fünfzehn Datenschutzbeauftragte beraten falsch!
Erst heute wieder – gestern sowieso. Und davor die Wochen auch fast täglich! Ich rede von unnötigen DSGVO Einwilligungserklärungen, mit denen meine Mandanten – die ich als externer Datenschutzbeauftragter gem. DSGVO und BDSG(neu) berate – überschüttet werden. Meistens sind es zig Seiten, die dann die Mailpostfächer überfluten. Scheinbar sorgt die Abkürzung DSGVO und die Datenschutz-Grundverordung nach wie vor zu Panik und Unsicherheit. Das Schlimme ist nur: Oft sind die Panikmacher Unternehmen, die selber einen externen Datenschutzbeauftragten gemäß DSGVO haben – oder es sind wirklich interne Datenschutzbeauftragte, die mit Halbwissen “Sicherheitshalber” alles rausballern. Hauptsache, man kann dem Chef zeigen, dass man ernsthaft die DSGVO umsetzt!
DSGVO fordert Freiwilligkeit und Kopplungsverbot
Viele vergessen scheinbar, dass Einwilligungserklärungen immer nur dann eingefordert werden müssen, wenn spezielle Datenverarbeitungen stattfinden, wo die Datenschutzgesetze diese ganz klar fordern. Das sind u.a.:
- Fotos und Video von Mitarbeitern auf der Homepage oder im Intranet
- E-Mail Weitergabe an Logistik-Unternehmen zum Sendungstracking
- Telefonaufnahmen
- Telefon-Werbeanrufe / E-Mails (außer bei Bestandskunden!)
In den mir so oft vorgelegten Einwilligungserklärungen wird dann auch noch das Kopplungsverbot komplett missachtet. Es werden dem Kunden Einwilligungserklärungen vorgelegt, für zahlreiche Datenerfassungen und Datenverarbeitungen, dabei gibt es in der DSGVO ein ganz klares Kopplungsverbot – oft wird auch die geforderte Freiwilligkeit außer Acht gelassen. Diese voreilig und unnötig verschickten Einwilligungserklärungen werden mit Sicherheit einige Firmen in juristische Schwierigkeiten bringen.
DSGVO Einwilligungserklärungen: Nur bei privaten personenbezogenen Daten
Was mich jedoch am meisten wundert: Hier fordern sehr oft Firmenkunden von anderen Firmenkunden Einwilligungserklärungen ein. Heute hatte ich aktuell den Fall, dass ein DSGVO Mandant von einem langjährigen Dienstleister eine “Einwilligungserklärung nach Art. 13 DSGVO” unterschreiben sollte. Erstens dreht sich im Artikel 13 alles um Informationspflichten und zweitens standen auf der übersendeten Rechnung keinerlei Persönliche Daten. Ich rief den Lieferanten an, um ihn zu erklären, dass er da absolut auf dem Holzweg sei und es mich wundert, dass der externe Datenschutzbeauftragte so was angewiesen hat. “Unser externer Datenschutzbeauftragter schickt nur Rechnungen – den habe ich noch nie persönlich gesehen, oder gesprochen…”. So eine Aussage erhalte ich dann auf Nachfrage. Deswegen auch in der obigen Zwischenüberschrift die Bezeichnung “0815 Datenschutzbeauftragte” als provokative Aussage. Meine letzten gut 4 Wochen zeigten einfach: Ein Datenschutzbeauftragter der nur 50 Euro im Monat kostet, kann schon rein theoretisch keinen guten Job machen, in der Praxis wird meine These dann immer wieder bestätigt. Was nichts kostet ist auch nichts. Das Schlimme nur: Diese Kunden werden ihren Billiganbieter auch erst dann richtig kennenlernen, wenn sie diesen für seine Falschberatungen in Mithaftung nehmen wollen. Ich wette schon heute: Da sind einige “Datenschutz-Experten” unterwegs, die keine – oder sehr niedrige – Haftungssumme in einer Vermögensschadens-Haftpflicht Versicherung nachweisen können. Die Kosten für externe Datenschutzbeauftragte sind aktuell für den Abschluss einer solchen Vermögensschadens-Haftpflicht enorm hoch, weil die Versicherer aktuell die Risiken gar nicht einschätzen können.
Subunternehmer brauchen keinen AV-Vertrag gemäß DSGVO
Ein weiteres Ammenmärchen ist oft: Ein Subunternehmer arbeitet im Auftrag für einen anderen Unternehmer. Sagen wir mal er ist Handwerker und wird vom Bauunternehmer damit beauftragt, eine Heizung in das neue Haus seiner Kunden einzubauen. Ja, der Heizungsbauer (Subunternehmer) erhält von seinem Auftraggeber (Bauunternehmer) die persönlichen Daten seiner Kunden. Aber im Kern steht der Werkvertrag: Heizung bauen – und nicht die Datenverarbeitung. Der Subunternehmer braucht ja zur ordentlichen Dokumentation und Anreiseplanung die Anschrift der Baustelle und einen Ansprechpartner vor Ort. Hierzu verlangte aktuell auch ein Unternehmen von einem meiner DSGVO Datenschutzbeauftragter Mandanten einen AV-Vertrag. Nein!!! Niemals. Schlimm ist das absolut herrschende Halbwissen und der damit verbundene unnötige Arbeitsaufwand. Und die sind ja schon allein für die sonstige Umsetzung der Datenschutz-Grundverordnung enorm. Warum also das Leben unnötig schwer machen?
Haben Sie Fragen wie …
- Wo finde ich einen guten externen Datenschutzbeauftragten?
- Ist mein bestellter Datenschutzbeauftragter wirklich ein Fachmann?
- Was muss bei der DSGVO im Detail im Betrieb umgesetzt werden?
… dann sollten Sie mit mir unbedingt in Kontakt treten. Das Erstgespräch ist selbstverständlich ohne Honorar-Rechnung, wie es sich gehört. Kontaktaufnahme ganz einfach hier:
Beitragsfoto: geralt / Pixabay.