Dateigröße: 484 kB

Datenschutz
Nutzung von Kundendaten zu
Werbezwecken
Ein Leitfaden nebst Muster für
die tägliche Praxis
Bonn, April 2010
Der nachfolgende Leitfaden soll Ihnen einen ersten Überblick über das novellierte
Bundesdatenschutzgesetz unter besonderer Berücksichtigung der Nutzung und Verarbeitung
von Kundendaten zu Zwecken der Vertragsabwicklung und der Werbung im Kfz-Gewerbe
geben. Arbeitnehmerdatenschutz ist nicht Inhalt dieses Leitfadens.
In der Anlage des Leitfadens sind das novellierte Bundesdatenschutzgesetz und Muster
beigefügt, die von den Kfz-Betrieben in der täglichen Praxis verwendet werden können.
Der Leitfaden erhebt keinen Anspruch auf Vollständigkeit und ersetzt keine Überprüfung der
Nutzung und Verarbeitung von Kundendaten im konkreten Einzelfall.
Alle Angaben erfolgen nach bestem Wissen unter Berücksichtigung der gesetzlichen
Grundlagen sowie der aktuellen Rechtsprechung. Eine Gewähr für die Richtigkeit des Inhalts
kann jedoch nicht übernommen werden.
Bonn, 29.04.2010
Rechtsanwalt Ulrich Dilchert
Rechtsanwalt Patrick Kaiser, LL.M.
2
Inhaltsverzeichnis
A
Bundesdatenschutzgesetz (BDSG) und Gesetz gegen unlauteren
Wettbewerb (UWG).......................................................................................................5
B
Bundesdatenschutzgesetz ............................................................................................5
I.
Begriffsbestimmungen, § 3 BDSG.................................................................................6
II.
Verbot mit Erlaubnisvorbehalt, § 4 Absatz 1 BDSG.......................................................7
III.
Nutzung der Daten zur Durchführung des zugrunde liegenden Vertrages.....................7
IV.
Nutzung der Daten über den Vertragszweck hinaus, insbesondere für Werbung,
ohne Einwilligung des Kunden ......................................................................................8
1.
Werbung für eigene Produkte des Kfz-Betriebs (Eigenwerbung)..........................8
2.
Werbung für Dritte................................................................................................9
3.
Adresshandel .......................................................................................................9
4.
Werbung im B2B-Bereich...................................................................................10
C
UWG ...........................................................................................................................11
I.
Gesetzestext § 7 UWG................................................................................................11
II.
Werbung per Post .......................................................................................................11
III.
Werbung per E-Mail ....................................................................................................12
IV.
Werbung per Telefon, Fax und SMS ...........................................................................12
1.
Werbung per Telefon gegenüber Verbrauchern .................................................12
2.
Werbung per Telefon gegenüber Unternehmern ................................................12
3.
Keine Rufnummernunterdrückung......................................................................13
4.
Anrufe zur Erfüllung einer vertraglichen Nebenpflicht zulässig ...........................13
5.
Telefonische Kundenzufriedenheitsumfragen.....................................................13
6.
Adressankauf / Zusammenarbeit mit Callcentern ...............................................13
7.
Beweislast..........................................................................................................14
D
Zusammenfassung: Wann ist eine Einwilligung erforderlich? ......................................14
E
Anforderungen an eine Einwilligungserklärung des Kunden........................................15
I.
III.
Form der Einwilligungserklärung .................................................................................15
1.
Schriftlich erteilte Einwilligungen ........................................................................15
2.
Mündlich erteilte Einwilligungen .........................................................................15
3.
Online erklärte Einwilligungen ............................................................................15
4.
Allgemeine Geschäftsbedingungen....................................................................15
Inhalt der Einwilligungserklärungen.............................................................................16
1.
Opt-In Klauseln notwendig: Telefon, Fax, SMS, E-Mail ......................................16
2.
Opt-Out Klausel zulässig: Post...........................................................................16
Voraussetzungen nach UWG......................................................................................16
IV.
Gültigkeitsdauer der Einwilligungserklärung ................................................................17
V.
Muster-Einwilligungserklärungen des ZDK ..................................................................17
F
Übergangsfristen.........................................................................................................17
II.
3
G
Pflichten der verantwortlichen Stelle ...........................................................................17
I.
Informationspflicht vor der Datenerhebung, § 4 Abs. 3 BDSG .....................................17
II.
Hinweis auf Recht zum Werbewiderspruch, § 28 Abs. 4 BDSG ..................................18
III.
Datensparsamkeit und Löschungspflicht von Kundendaten ........................................18
IV.
Öffentliches Verfahrensverzeichnis, § 4g BDSG .........................................................18
H
Rechte des Kunden.....................................................................................................19
I.
Benachrichtigung, § 33 BDSG.....................................................................................19
II.
Auskunftsrecht, § 34 BDSG ........................................................................................19
III.
Berichtigung, Löschung und Sperrung von Daten, § 35 BDSG ...................................19
IV.
Widerspruchsrecht des Kunden gegen Werbung, § 28 Abs. 4 BDSG..........................19
I
Auftragsdatenverarbeitung, § 11 BDSG ......................................................................20
J
Datenschutz im Unternehmen .....................................................................................20
I.
Datensicherheit und die sog. 8 Gebote .......................................................................20
II.
III.
Datenschutzbeauftragter (DSB), § 4 f BDSG...............................................................22
1.
Wann ist ein DSB zu bestellen? .........................................................................22
2.
Wer darf zum DSB bestellt werden? ..................................................................22
3.
Kündigungsschutz des innerbetrieblichen DSB ..................................................23
4.
Aufgaben des Datenschutzbeauftragten, § 4 g BDSG........................................23
5.
Mögliche Folgen bei Nichtbestellung eines Datenschutzbeauftragten ................23
Verpflichtung der Mitarbeiter auf das Datengeheimnis, § 5 BDSG ..............................23
K
Sanktionen ..................................................................................................................24
I.
Sanktionen nach dem BDSG ......................................................................................24
II.
Sanktionen nach dem UWG........................................................................................26
III.
Sanktionen nach dem TKG, Rufnummernunterdrückung ............................................26
L
Anlagen.......................................................................................................................27
4
A
Bundesdatenschutzgesetz (BDSG) und Gesetz gegen unlauteren Wettbewerb
(UWG)
Grundsatz: Zur Beurteilung, ob Kundendaten zu Zwecken der Werbung erhoben und
genutzt werden dürfen, müssen sowohl die Regelungen im BDSG als auch im UWG
beachtet werden.
Es ist zunächst zu berücksichtigen, dass grundsätzlich der Kunde selbst Inhaber
seiner Daten ist.
Das BDSG regelt das Recht des Einzelnen, selbst darüber zu bestimmen, wer von seinen
persönlichen Daten Kenntnis hat und wer sie nutzt. Das UWG schützt den Einzelnen vor
Belästigung, z.B. in Form eines Werbeanrufs. Es beantwortet die Frage nach den
Werbekanälen, d.h. wie die Werbebotschaft übermittelt werden darf.
Erhebung und Nutzung von Kundendaten
BDSG
B
UWG
Bundesdatenschutzgesetz
Das BDSG schützt nach § 1 Absatz 1 BDSG das informationelle Selbstbestimmungsrecht
des Betroffenen. Vereinfacht ausgedrückt ist es das Recht, selbst darüber zu bestimmen,
wer von seinen persönlichen Daten Kenntnis haben und sie nutzen darf.
Die Regelungen des BDSG sind von Kfz-Betrieben grundsätzlich zu beachten, wenn diese
personenbezogene Daten erheben, verarbeiten und nutzen.
5
I.
Begriffsbestimmungen, § 3 BDSG
Das BDSG unterscheidet
Erhebung
Verändern
Speichern
•
Verarbeitung
Übermitteln
Nutzung
Sperren
Löschen
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), § 3
Absatz 1 BDSG.
-
Persönliche Verhältnisse sind u. a. Name, Anschrift, Familienstand, Geburtsdatum,
Staatsangehörigkeit, Beruf, Konfession, Krankheiten.
-
Sachliche Verhältnisse sind u. a. Einkommen, Eigentumsverhältnisse, Kfz-Typ, KfzKennzeichen, Steuern, Versicherungen, Kontonummer.
•
Erheben ist das Beschaffen von Daten über den Betroffenen, § 3 Absatz 3 BDSG.
•
Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen
personenbezogener Daten, § 3 Absatz 4 BDSG.
-
Speichern ist das Erfassen, Aufnehmen oder Aufbewahren personenbezogener
Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder
Nutzung.
-
Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
-
Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung
gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a)
die Daten an den Dritten weitergegeben werden oder
b)
der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten
einsieht oder abruft.
Dritter ist jede Person oder Stelle außerhalb der speichernden
Stelle, mit Ausnahme des Betroffenen selbst und einem im Auftrag
6
für andere Daten verarbeitende Stelle. Der Tatbestand des
Übermittelns ist auch bei der Veröffentlichung der Daten gegeben,
wie z. B. bei Einstellen personenbezogener Daten in das Internet.
-
Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre
weitere Verarbeitung oder Nutzung einzuschränken.
-
Löschen das Unkenntlich machen gespeicherter personenbezogener Daten.
•
Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um
Verarbeitung handelt.
•
Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich
selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
•
Empfänger ist jede Person oder Stelle, die Daten erhält.
II.
Verbot mit Erlaubnisvorbehalt, § 4 Absatz 1 BDSG
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nach § 4 Absatz 1
BDSG nur zulässig, wenn der Betroffene eingewilligt hat oder das Gesetz es erlaubt. Es
handelt sich um ein präventives Verbot mit Erlaubnisvorbehalt.
Spezialgesetz
BDSG
Einwilligung
Maßgeblicher Zulässigkeitstatbestand für die Zwecke der Erhebung, Verarbeitung und
Nutzung von Daten im Kfz-Bereich ist die Vorschrift des § 28 BDSG.
III.
Nutzung der Daten zur Durchführung des zugrunde liegenden Vertrages
Gemäß § 28 Absatz 1 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln
personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener
Geschäftszwecke zulässig,
1.
2.
3.
wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen
erforderlich ist, (z.B. ordnungsgemäße Durchführung des Vertragsverhältnisses,
tatsächliche Inanspruchnahme eines Garantieversprechen des Herstellers/
Importeurs),
soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich
ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des
Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt (z. B.
Rückrufaktionen), oder
wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie
veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen
an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten
Interesse der verantwortlichen Stelle offensichtlich überwiegt.
7
Für die ordnungsgemäße Durchführung des jeweils zugrunde liegenden Vertrages ist daher
keine Einwilligung des Kunden notwendig. Es sind jedoch Informationspflichten zu
beachten (siehe Abschnitt G, Seite 17).
IV.
Nutzung der Daten über den Vertragszweck hinaus, insbesondere für Werbung,
ohne Einwilligung des Kunden
§ 28 Abs. 3, Satz 1 BDSG setzt grundsätzlich eine Einwilligung für die Verarbeitung und
Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung
voraus.
Von diesem Grundsatz gilbt es folgende Ausnahmen:
1.
Werbung für eigene Produkte des Kfz-Betriebs (Eigenwerbung)
Kfz-Betriebe können ihre vorhandenen Kundendaten gemäß § 28 Abs. 3, Satz 2 BDSG für
Zwecke der Eigenwerbung nutzen, wenn die nachfolgend beschriebenen Voraussetzungen
erfüllt sind:
a.
Bei den Kundendaten muss es sich um sog. Listendaten handeln, d.h. um
personenbezogene Daten, die sich auf Angaben zu
Personengruppe,
Beruf,
Name,
Titel,
akademischer Grad,
Anschrift und
Geburtsjahr
beschränken. Weitergehende Daten, z.B. Daten über das Fahrzeugmodell,
Telefonnummern, E-Mail Adressen, Zahlungsverhalten etc. fallen nicht unter dieses
sog. Listenprivileg und dürfen daher grundsätzlich nicht genutzt werden. Eine
Ausnahme gilt nur für diejenigen Daten, die das werbende Unternehmen entweder per
Einwilligung erhoben oder aus allgemein zugänglichen Quellen (z.B. Telefon- und
Adressverzeichnisse) entnommen hat.
b.
Das werbende Unternehmen muss diese Listendaten entweder selbst beim
Betroffenen bei Vertragsschluss oder anlässlich eines geschäftlichen Kontakts erhoben
oder allgemein zugänglichen Verzeichnissen (s.o.) entnommen haben, § 28 Abs. 3 S. 2
Nr. 1 BDSG.
c.
Der Kunde darf der Nutzung zu Werbezwecken nicht widersprochen haben. Hier
ist insbesondere zu beachten, dass der Kunde bereits bei Vertragsschluss und nicht
erst bei der Werbeansprache über sein Widerspruchsrecht informiert werden muss
(siehe Abschnitt G, Seite 17).
Werden die vorgenannten Voraussetzungen erfüllt, darf ein Kfz-Betrieb seinen Bestandsund Neukunden weiterhin Werbung für eigene Angebote übersenden. Darüber hinaus darf
der Kfz-Betrieb zu den vorgenannten Listendaten noch weitere Daten hinzuspeichern, § 28
Abs. 3 Satz 3 BDSG. Diese Daten müssen aber in zulässiger Weise erhoben worden sein,
d.h. sie müssen entweder per Einwilligung erhoben werden oder etwa allgemein
zugänglichen Quellen entnommen worden sein.
8
2.
Werbung für Dritte
Zusätzlich kann auch für Dritte, d.h. Hersteller/Importeur, in Form einer sog. Beipack oder
Empfehlungswerbung geworben werden, § 28 Abs. 3 Satz 5 BDSG.
Demnach darf das werbende Unternehmen sowohl seinen eigenen Werbesendungen z.B.
einen Flyer seines Kooperationspartners/Herstellers/Importeurs beifügen (Beipack) als auch
den Flyer isoliert versenden (Empfehlungswerbung).
Zu beachten ist, dass in diesen Fällen aus der Werbung eindeutig erkennbar
hervorgehen muss, wer die für die Nutzung der Daten verantwortliche Stelle ist, § 28
Abs. 3 S. 5 BDSG. Für den Bestandskunden muss also deutlich erkennbar sein, dass der
Kfz-Betrieb seine Daten auch für fremde Werbung nutzt (z.B. „Diese Werbung wird Ihnen
von uns, Autohaus xy, übersendet“).
3.
Adresshandel
Die Daten, die der Kfz-Betrieb für eigene Werbemaßnahmen nutzt, darf er auch anderen
Stellen übermitteln.
Die Anforderungen an diesen sog. Adresshandel, d.h. die Übermittlung von Daten zu
Werbezwecken, verlangen eine hohe Transparenz.
Nach § 28 Abs. 3 Satz 4 BDSG ist die Übermittlung von Listendaten an Dritte, z.B. den
Hersteller/Importeur, zu Werbezwecken möglich. Werden diese Daten von dem Dritten zu
Werbezwecken genutzt, muss aus der Werbung jedoch eindeutig hervorgehen, wer die
Daten erstmals erhoben hat.
Ab dem 01.04.2010 ist die übermittelnde Stelle zusätzlich verpflichtet, die Herkunft der
Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu
speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und
den Empfänger zu erteilen. Die gleiche Pflicht trifft auch den Empfänger der Daten, § 34 Abs.
1 Ziffer 1a BDSG. In einer Lieferkette von Daten trifft diese Pflicht also alle beteiligten
Unternehmen.
Der Verstoß gegen diese Verpflichtung stellt ab dem 01.04.2010 eine Ordnungswidrigkeit
dar, die mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann.
Mit dieser neuen Dokumentations- und Auskunftspflicht erhofft sich der Gesetzgeber einen
dämpfenden Effekt für die erstmalig erhebende Stelle, personenbezogene Daten für Zwecke
der Werbung zu verarbeiten, d.h. an Dritte zu übermitteln.
Mögliche Fallkonstellationen in der täglichen Kfz-Praxis:
Beispiel 1:
Ein Autohaus erwirbt von C (Werbeagentur etc.) listenmäßig zusammengefasste
personenbezogene Daten potentieller Kunden und erstellt damit eigene Werbeschreiben. C
hat die Daten zuvor von B bezogen. Letzterer hat die Daten von A, der die Daten erstmals
beim Kunden erhoben hat.
In diesem Fall muss das Autohaus in der Werbung darauf hinweisen, wer die Daten erstmals
erhoben hat, d.h. A muss in dem Werbeschreiben genannt werden.
Der Datenlieferant C muss dem Autohaus diese Informationen bereits bei Übermittlung der
Kundendaten liefern. Das Autohaus muss die Herkunft der Daten für die Dauer von zwei
9
Jahren speichern, d.h. die Stelle, die die Daten erstmals erhoben hat, A, und seinen
unmittelbaren Datenlieferanten C.
Der Kunde kann gemäß § 34 Abs. 1 Ziffer 1a BDSG von dem Autohaus Auskunft über die
Herkunft der Daten verlangen. Das Autohaus muss ihm seinen Datenlieferanten C nennen.
Der Kunde kann sich sodann an den C wenden, der ihm ebenfalls Auskunft erteilen muss,
wer sein Datenlieferant war (hier: B). B muss auf Verlangen des Kunden dann A benennen.
Damit soll sichergestellt werden, dass der Kunde die Lieferkette seiner Daten nachvollziehen
kann.
Beispiel 2:
Ein Autohaus gibt Kundendaten (Listendaten) an seinen Hersteller weiter. Dieser sendet die
Daten an eine Werbeagentur, die Werbemailings für den Hersteller verschickt.
Auch hier ist in der Werbung darauf hinzuweisen, wer die Daten erstmals erhoben hat, d.h.
das Autohaus ist zu nennen.
Beispiel 3:
Ein Autohaus hat mit einer Agentur einen Auftragsdatenverarbeitungsvertrag (zum
Auftragsdatenverarbeitungsvertrag siehe Abschnitt I, Seite 20) geschlossen, d.h. die Agentur
wird im Auftrag des Autohauses tätig. Das Autohaus stellt der Agentur seine Kundendaten
(Listendaten) zur Verfügung. Ein Werbeschreiben mit dem Briefkopf des Autohauses wird
direkt von der Agentur an die Kunden geschickt.
Es liegt keine Übermittlung i.S.d. BDSG der Kundendaten vom Autohaus an die Agentur vor.
Das Autohaus, welches sich wie in diesem Fall eines Dritten zur Verarbeitung personenbezogener Daten bedient (Auftraggeber), bleibt für die Einhaltung der Regelungen des
BDSG verantwortlich, während die Agentur als Auftragnehmer lediglich als dessen
verlängerter Arm betrachtet wird. Die o.g. Pflichten zum Adresshandel sind daher auf diesen
Fall nicht anwendbar.
Beispiel 4:
Ein Autohaus beauftragt eine Werbeagentur seines Herstellers mit der Versendung von
Werbeschreiben. Die Agentur verwendet eigene Datenbestände und schickt Werbeschreiben
unter Nennung des Autohauses als Absender an die Kundenadressen. Zu einer Datenübermittlung an das Autohaus kommt es nicht. Dieses erfährt die Kundendaten erst später
direkt von den Kunden selbst, wenn diese auf die Werbeansprache reagieren.
Es liegt keine Übermittlung von Daten vor. Die o.g. Pflichten zum Adresshandel sind daher
auf diesen Fall nicht anwendbar. Vielmehr dürfte eine Variante des sog. LettershopVerfahrens vorliegen, § 28 Abs. 3 S. 5 BDSG. Hierbei dürfen personenbezogene Daten für
Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der
Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle
eindeutig erkennbar ist. Mithin müsste die Werbeagentur in dem Werbeschreiben des
Autohauses genannt werden.
4.
Werbung im B2B-Bereich
Im B-2-B-Bereich dürfen personenbezogene Listendaten (s.o.) für Werbezwecke genutzt
werden, wenn die Werbung unter der Geschäftsadresse erfolgt.
Neu ist, dass auch die Ansprechpartner in den Unternehmen direkt und persönlich adressiert
werden dürfen, z.B. darf der zuständige Einkaufsleiter eines Unternehmens persönlich per
Werbebrief angeschrieben werden.
10
C
UWG
Soweit eine Werbemaßnahme durch Nutzung von Kundendaten nach dem BDSG zulässig
ist, bedeutet dies nicht gleichzeitig auch eine Vereinbarkeit mit dem UWG.
Alle Werbemaßnahmen müssen daher auch die Vorgaben des UWG erfüllen.
Maßgebliche Vorschrift ist § 7 UWG.
I.
Gesetzestext § 7 UWG
(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise
belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass
der angesprochene Marktteilnehmer diese Werbung nicht wünscht.
(2) Eine unzumutbare Belästigung ist stets anzunehmen
1.
bei Werbung unter Verwendung eines in den Nummern 2 und 3 nicht aufgeführten,
für den Fernabsatz geeigneten Mittels der kommerziellen Kommunikation, durch die
ein Verbraucher hartnäckig angesprochen wird, obwohl er dies erkennbar nicht
wünscht;
2.
bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen
vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen
Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,
3.
bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines
Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche
Einwilligung des Adressaten vorliegt, oder
4.
bei Werbung mit einer Nachricht, bei der die Identität des Absenders, in dessen
Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der
keine gültige Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur
Einstellung solcher Nachrichten richten kann, ohne dass hierfür andere als die
Übermittlungskosten nach den Basistarifen entstehen.
(3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer
Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn
1.
ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung
von dem Kunden dessen elektronische Postadresse erhalten hat,
2.
der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder
Dienstleistungen verwendet,
3.
der Kunde der Verwendung nicht widersprochen hat und
4.
der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich
darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann,
ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen
entstehen.
II.
Werbung per Post
Eine Werbung des Kfz-Betriebs per Post ist grundsätzlich zulässig.
Eine Ausnahme gilt jedoch dann, wenn erkennbar ist, dass der Kunde die Werbung nicht will
und er dennoch hartnäckig angesprochen wird, § 7 Abs. 2 Nr. 1 UWG. Eine unzulässige
wettbewerbwidrige Ansprache wird z.B. dann anzunehmen sein, wenn der Briefkasten des
Kunden den Sperrvermerk „Bitte keine Werbung“ trägt oder der Kunde anderweitig
widersprochen hat.
11
III.
Werbung per E-Mail
Eine Werbung per E-Mail bedarf grundsätzlich
Einwilligung des Kunden, § 7 Abs. 2 Nr. 3 UWG.
der
vorherigen
ausdrücklichen
Eine Ausnahme gilt gemäß § 7 Abs. 3 UWG dann, wenn:
1.
2.
3.
4.
der Kfz-Betrieb die E-Mail Adresse des Kunden im Zusammenhang mit dem
Verkauf einer Ware oder Dienstleistung erhalten hat,
der Kfz-Betrieb die E-Mail Adresse nur zur Direktwerbung für eigene (auch
ähnliche) Waren oder Dienstleistungen verwendet,
der Kunde der Verwendung nicht widersprochen hat,
der Kunde bei Erhebung der E-Mail Adresse und bei jeder Ansprache per E-Mail
klar und deutlich auf sein Recht zum jederzeitigen Widerspruch hingewiesen wird.
Die gesetzliche Regelung privilegiert insoweit Daten aus bestehenden Kundenbeziehungen.
Im Streitfall trägt der Kfz-Betrieb die Beweislast für das Vorliegen einer
Einwilligungserklärung bzw. der o.g. Voraussetzungen.
Beim Versenden einer Werbe-E-Mail muss der Kfz-Betrieb zusätzlich die Hinweispflichten
des Telemediengesetzes (TMG) beachten. Demnach darf in der Kopf- und Betreffzeile
weder der Absender noch der kommerzielle Charakter der E-Mail verschleiert werden, § 6
Abs. 2 TMG. Darüber hinaus muss eine gültige E-Mail-Adresse angegeben werden, an die
sich der Kunde zwecks Einstellung solcher E-Mails wenden kann. Die Werbe-E-Mail muss
zudem eine Anbieterkennzeichnung im Sinne des § 5 TMG aufweisen.
IV.
Werbung per Telefon, Fax und SMS
1.
Werbung per Telefon gegenüber Verbrauchern
Eine Werbung per Telefon, Fax und SMS bedarf einer vorherigen ausdrücklichen
Einwilligung des Kunden.
Unzulässig ist daher ein Anruf, bei dem der Kunde zu Beginn des Telefonats gefragt wird, ob
er mit dem Anruf einverstanden ist. Die Einwilligung des Kunden muss vielmehr vorab erklärt
worden sein („vorherige“).
Die vorsätzliche oder fahrlässige Telefonwerbung gegenüber einem Kunden ohne dessen
vorherige ausdrückliche Einwilligung stellt eine Ordnungswidrigkeit (§ 20 UWG) dar, die von
der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen mit
einer Geldbuße bis zu 50.000 Euro geahndet werden kann. Ein Kunde, der sich durch
unerbetene Werbeanrufe belästigt fühlt, kann dies der Bundesnetzagentur melden.
2.
Werbung per Telefon gegenüber Unternehmern
Gegenüber einem Unternehmer wird für einen Werbeanruf zumindest eine mutmaßliche
Einwilligung verlangt, § 7 Abs. 2 Nr. 2 UWG. Eine mutmaßliche Einwilligung setzt voraus,
dass auf Grund konkreter Umstände ein sachliches Interesse des Anzurufenden am Anruf
durch den Anrufer vermutet werden kann. Dabei genügt es nicht, dass der Werbende von
einem aktuellen oder konkreten Bedarf für die angebotene Ware oder Dienstleistung
ausgehen darf. Vielmehr muss hinzukommen, dass der Angerufene mutmaßlich auch mit
einer telefonischen Werbung einverstanden sein wird. Ein mutmaßliches Einverständnis
12
(zum Begriff kann auf die bisherige Rechtsprechung zu E-Mail- und Fax-Werbung
zurückgegriffen werden) wird im Verhältnis Automobilhändler zu Automobilhändler
grundsätzlich z.B. bei Werbeangeboten anzunehmen sein, die den Handel mit
Kraftfahrzeugen zum Gegenstand haben und ungefragt per E-Mail oder Fax versandt
werden, wenn die Faxnummer oder die E-Mail Adresse aus öffentlich zugänglichen Daten
ermittelbar ist. Im gewerblichen Handel wird unter diesen Voraussetzungen ein
konkludentes Einverständnis des Werbeempfängers vermutet, wenn nicht andere
Umstände dagegen sprechen. Dieses mutmaßliche Einverständnis gilt aber nur für die
Nutzung der Kommunikationsmittel, wenn sie dieselbe geschäftliche Tätigkeit des
Absenders und des Empfängers betreffen. Bezogen auf den Automobilhandel bedeutet
dies, dass ausschließlich Angebote und Nachfragen betreffend den konkreten Handel mit
Kraftfahrzeugen übermittelt werden dürfen. Werbe-E-Mails oder Werbe-Faxe von anderen
Unternehmen (z.B. Büromöbelausstatter etc.) müssen vom Automobilhändler nicht geduldet
werden. Gleichzeitig darf ein Automobilhändler seine Fahrzeuge oder Dienstleistungen auch
nicht ungefragt anderen Wirtschaftsteilnehmern (z.B. Büromöbelausstattern) per E-Mail oder
Telefax anbieten. Außerhalb der eigenen beruflichen Geschäftstätigkeiten darf eine Werbung
per E-Mail oder per Telefax nur mit vorheriger ausdrücklicher (schriftlicher) Einwilligung des
Adressaten erfolgen. (Zu Werbemaßnahmen im B-2-B-Bereich siehe auch ZLW-Rundschreiben Nr. 14/08 vom 09.09.2008)
3.
Keine Rufnummernunterdrückung
Schließlich darf das werbende Unternehmen seine Rufnummernanzeige nicht mehr unterdrücken, damit die Identifizierung des Anrufers möglich ist, § 102 Abs. 2 Telekommunikationsgesetz (TKG). Eine Zuwiderhandlung stellt gemäß § 149 Abs. 1 Nr. 17c TKG eine
Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu 10.000 Euro geahndet werden kann.
4.
Anrufe zur Erfüllung einer vertraglichen Nebenpflicht zulässig
Im Rahmen eines bestehenden Vertragsverhältnisses können Anrufe dagegen getätigt
werden, soweit es sich um die Erfüllung einer vertraglichen Nebenpflicht handelt (z.B. Anruf
einer Werkstatt beim Kunden, um den Reparaturumfang abzustimmen). Ein solcher Anruf,
der nicht als Werbung gewertet wird, ist also weiterhin möglich.
5.
Telefonische Kundenzufriedenheitsumfragen
Bisher noch nicht höchstrichterlich geklärt ist die Frage, inwieweit telefonische Umfragen
eines Meinungsforschungsinstituts, z.B. Kundenzufriedenheitsumfragen, die im Auftrag
eines Unternehmens durchgeführt werden, unlauter im Sinne des § 7 Abs. 2 Nr. UWG sind,
wenn die Angerufenen in den Telefonanruf nicht ausdrücklich eingewilligt haben. Einige
Gerichte lassen es für eine Unlauterkeit ausreichend sein, dass mit der Umfrage mittelbar
der Absatz des Produkts gefördert werden soll. Insoweit ist die Einholung einer
ausdrücklichen Einwilligungserklärung auch für telefonische Umfragen dringend ratsam.
6.
Adressankauf / Zusammenarbeit mit Callcentern
Die von Adresshändlern angebotenen Telefonnummern von potenziellen Kunden sind nur
noch dann verwendbar, wenn eine ausdrückliche Einwilligung des Verbrauchers für den
vom Kfz-Betrieb getätigten Anruf zu Werbezwecken vorliegt. Gleiches gilt, wenn der KfzBetrieb mit dem Telefonmarketing ein Callcenter beauftragt. Um keine Ordnungswidrigkeit zu
begehen, muss der Kfz-Betrieb, der mit Telefonanrufen werben will, dafür Sorge tragen, dass
für alle anzurufenden Verbraucher eine vorherige ausdrückliche Einwilligung vorliegt, die im
Zeitpunkt des Anrufs noch nicht widerrufen wurde.
13
7.
Beweislast
Die Beweislast für das Vorliegen einer vorherigen ausdrücklichen Einwilligungserklärung
oder einer mutmaßlichen Einwilligungserklärung obliegt dem Kfz-Betrieb.
D
Zusammenfassung: Wann ist eine Einwilligung erforderlich?
Medium
BDSG / UWG
Anforderung des BDSG
• Zulässigkeit der Werbung nach
§ 28 Abs. 3 BDSG Hinweis auf
Werbewiderspruch
oder
• schriftliche Einwilligung nach
§ 4 a BDSG
oder
• falls Einwilligung nicht schriftlich:
Anforderungen des § 28 Abs. 3a
Brief
UWG: kein hartnäckiges Ansprechen,
obwohl erkennbar nicht erwünscht
Geschäftskunde
Verbraucher
Verbraucher
Telefon
Geschäftskunde
vorherige ausdrückliche Einwilligung
(schriftlich?)
(Bußgeld bis 50.000 €)
mutmaßliche Einwilligung
Keine Rufnummernunterdrückung bei Werbeanrufen!
(Bußgeld bis 10.000 €)
keine Einwilligung, wenn
• Mailadresse mit Vertrag erhalten
• eigene ähnliche Produkte
• kein Widerspruch
• Hinweis auf Widerspruchsrecht ohne
Zusatzkosten
E-Mail
vorherige ausdrückliche Einwilligung
• zur Werbung für fremde Produkte
• zur Übermittlung der E-Mail-Adresse
Beweislast: Der Kfz-Betrieb trägt die Beweislast für das Vorliegen einer
Einwilligungserklärung oder der sonstigen vorgenannten Voraussetzungen.
14
E
Anforderungen an eine Einwilligungserklärung des Kunden
Wie dargestellt, ist in nahezu allen Fällen der Werbeansprache eine Einwilligung des Kunden
erforderlich. Insoweit kommt der inhaltlichen Ausgestaltung einer Einwilligungserklärung, die
für das Massengeschäft sicherlich überwiegend in vorformulierter Form Verwendung findet,
eine maßgebliche Bedeutung zu. Auch hier gilt, dass die Einwilligung grundsätzlich sowohl
den Anforderungen des BDSG als auch denen des UWG genügen muss.
Der Betroffene ist darauf hinzuweisen, dass seine Angaben freiwillig erfolgen.
Gemäß § 4 Absatz 2 Satz 1 BDSG sind personenbezogene Daten grundsätzlich beim
Betroffenen zu erheben (Grundsatz der Direkterhebung). Der Betroffene muss seine Daten
demnach bewusst preisgeben. Er soll wissen, wer seine Daten erhebt. Ausnahmen gelten,
wenn die Daten bei Dritten oder aus öffentlich zugänglichen Quellen entnommen werden.
Die Beweislast für das Vorliegen einer Einwilligungserklärung des Kunden obliegt dem KfzBetrieb.
I.
Form der Einwilligungserklärung
Für die Form der Einwilligungserklärung ist neben den §§ 4, 4a auch § 28 Abs. 3a BDSG zu
beachten. Für die Einwilligung in die E-Mail Werbung gelten zudem die besonderen
Voraussetzungen der §§ 12 ff. Telemediengesetz (TMG), die dem BDSG vorgehen, vgl. § 1
Abs. 3 BDSG. Wird die Einwilligung „offline“ erteilt, gelten wiederum die vorgenannten
Regeln des BDSG.
1.
Schriftlich erteilte Einwilligungen
Wird die Einwilligung schriftlich eingeholt, z.B. über eine Bestellpostkarte, muss die
Einwilligung im Sinne des § 126 Abs. BGB von dem Kunden unterzeichnet werden und dem
Werbenden zugehen.
2.
Mündlich erteilte Einwilligungen
Nach § 28 Abs. 3a BDSG ist die Einwilligung zu bestätigen, wenn sie mündlich erteilt wird.
Dies soll dem Kunden der Kontrolle dienen, dass das Unternehmen seine Einwilligung richtig
dokumentiert hat.
3.
Online erklärte Einwilligungen
Eine elektronisch abgegebene Einwilligungserklärung, z.B. auf einer Internetseite, ist gemäß
§ 28 Abs. 3a S. 1 BDSG zu protokollieren und muss jederzeit vom Kunden abrufbar und
widerrufbar sein. Gleiches gilt für die Einwilligung in die E-Mail Werbung, die elektronisch
eingeholt wird, nach §§ 13 Abs. 2 und 3 TMG.
4.
Allgemeine Geschäftsbedingungen
Vorformulierte Einwilligungserklärungen unterliegen der AGB-Kontrolle. Wird die
Einwilligungserklärung im Rahmen von Allgemeinen Geschäftsbedingungen erhoben, ist sie
gemäß § 28 Abs. 3a S. 2, § 4a BDSG besonders hervorzuheben, z.B. durch die
Schriftgröße oder einen Rahmen.
15
II.
Inhalt der Einwilligungserklärungen
Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht
bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
a.
die Identität der verantwortlichen Stelle,
b.
die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung der Daten
und
c.
die Kategorien von Empfängern, soweit der Betroffene nach den Umständen des
Einzelfalles nicht mit der Übermittlung an diese rechnen muss,
zu unterrichten.
Soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen des Betroffenen
ist dieser darauf hinzuweisen, welche Folgen eine Verweigerung der Einwilligung hat, § 4a
Abs. 1 BDSG.
Nicht erlaubt ist es, den Vertragsschluss von der datenschutzrechtlichen Zustimmung des
Kunden abhängig zu machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen
vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich
ist (sog. Kopplungsverbot, § 28 Abs. 3 b; bußgeldbewehrt in § 43 Abs. 2 Nr. 5a BDSG).
1.
Opt-In Klauseln notwendig: Telefon, Fax, SMS, E-Mail
Unter Zugrundelegung der vom BGH in seinem sog. Payback-Urteil vom 16.07.2008 entwickelten Maßstäbe muss der Kunde seine Zustimmung für alle Kommunikationswege, mit
Ausnahme der Werbung per Post, aktiv geben.
Eine ausreichende Einwilligung liegt nur vor, wenn der Kunde eine gesonderte Erklärung
durch zusätzliche Unterschrift oder individuelles Markieren eines entsprechenden
Feldes (sog. Opt-In-Erklärung) vornimmt. Sog. Opt-Out-Erklärungen, bei denen der Kunde
tätig werden muss, wenn er z.B. keine Telefonwerbung wünscht, stellen eine
unangemessene Benachteiligung im Sinne des § 307 Abs. 2 Nr. 1 BGB dar.
2.
Opt-Out Klausel zulässig: Post
In dem sog. Happy Digits Urteil vom 11.11.2009 hat der BGH ausgeführt, dass auch nach
der neuen Fassung des BDSG eine Opt-Out Erklärung zur Erteilung der Einwilligung in die
Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung per Post
zulässig ist.
III.
Voraussetzungen nach UWG
Eine datenschutzrechtliche Einwilligung muss sich zudem an den Regelungen des UWG
orientieren:
Besonders streng ist die Rechtsprechung im Bereich der Telefonwerbung, bei der sie zu
pauschale Einwilligungserklärungen regelmäßig kippt. So darf die Erklärung z.B. nicht so
gefasst sein, dass der Verbraucher in Werbung einwilligt, die über den Vertragszweck des
bereits bestehenden bzw. des konkret anzubahnenden Vertrages hinausgeht.
16
Ebenso streng sind die Maßstäbe, die für Werbung per SMS, E-Mail und Fax gelten.
Insoweit ist auch hier von zu pauschalen Einwilligungserklärungen, die über den konkreten
Vertragszweck hinausgehen, abzuraten.
Im Bereich der Postwerbung kann die im Payback-Urteil des BGH verwendete Klausel als
Orientierungshilfe dienen. Es sollten daher die Art der Ansprache (per Post), die Werbemaßnahmen (Newsletter, Werbeflyer, Aktionen) und vor allem die Partnerunternehmen
(Hersteller/Importeure und sonstige Dritte, an die Daten übermittelt werden und die auch
Werbung senden) möglichst konkret bezeichnet werden.
Die Beweislast für die Erfüllung der UWG-Anforderungen obliegt dem Kfz-Betrieb.
IV.
Gültigkeitsdauer der Einwilligungserklärung
Grundsätzlich gilt die einmal wirksam abgegebene Einwilligungserklärung bis zu ihrem
Widerruf fort.
V.
Muster-Einwilligungserklärungen des ZDK
Die Muster-Einwilligungserklärungen des ZDK nebst Erläuterungen sind diesem Leitfaden
als Anlage 1, Seite 27, beigefügt.
F
Übergangsfristen
§ 47 BDSG regelt folgende Übergangsfristen:
Für die Verarbeitung und Nutzung vor dem 01. September 2009 erhobener oder
gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden
1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010,
2. für Zwecke der Werbung bis zum 31. August 2012.
Dies bedeutet, dass das Listenprivileg wie bisher Anwendung findet (siehe ZDK
Rundschreiben F08-124 vom 29.10.2008). Die vorhandenen Datenbestände dürfen genutzt,
jedoch nicht aktualisiert werden. Ab dem 01.09.2009 wird es also zwei Datensätze in
Unternehmen geben, die unterschiedlich genutzt werden dürfen. Die Unternehmen sollten
die vorhandenen Datenbestände daher zu Beweiszwecken möglichst trennen. Sofern
für den (Alt-) Datenbestand Einwilligungserklärungen der Kunden vorliegen, können diese
weiterhin verwendet werden. Voraussetzung ist allerdings, dass diese Einwilligungen den
Anforderungen, die das UWG und die AGB-Regelungen stellen, entsprechen.
G
Pflichten der verantwortlichen Stelle
I.
Informationspflicht vor der Datenerhebung, § 4 Abs. 3 BDSG
Wie bereits unter Abschnitt D. III. ausgeführt, ist jede verantwortliche Stelle, die
personenbezogene Daten beim Kunden erhebt, nach § 4 Abs. 3 BDSG diesem gegenüber
zur Nennung der Identität der verantwortlichen Stelle, der Zweckbestimmungen der
Erhebung, Verarbeitung oder Nutzung sowie der Kategorien der Empfänger verpflichtet,
sofern dieser nicht bereits auf andere Weise Kenntnis davon erlangt hat.
17
II.
Hinweis auf Recht zum Werbewiderspruch, § 28 Abs. 4 BDSG
Bei der Ansprache zum Zwecke der Werbung oder Markt- und Meinungsforschung sowie
bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses, d.h. bei Datenerhebung für die Vertragsdurchführung (§ 28 Abs. 4 S. 2 BDSG)
muss der Betroffene über sein Widerspruchsrecht gegen Verarbeitung und Nutzung seiner
Daten für Zwecke der Werbung oder Markt- oder Meinungsforschung informiert werden.
Für den Widerspruch darf keine strengere Form verlangt werden als für die Begründung des
rechtsgeschäftlichen/rechtsgeschäftsähnlichen Schuldverhältnisses. Bestellt der Kunde z.B.
per E-Mail muss auch ein Widerspruch per E-Mail möglich sein.
Die fehlende Unterrichtung über das Widerrufsrecht stellt eine Ordnungswidrigkeit dar, die
mit einem Bußgeld bis zu 50.000 Euro geahndet werden kann.
III.
Datensparsamkeit und Löschungspflicht von Kundendaten
Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten und die Auswahl
und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig
personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen, § 3a
BDSG.
Personenbezogene Daten sind gemäß § 35 Abs. 2 BDSG u.a. dann zu löschen, wenn ihre
Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, d.h.
grundsätzlich nach Ablauf der Garantie bzw. Sachmangelhaftungsfristen.
Ist konkret mit der Geltendmachung z.B. von Schadensersatzansprüchen des Kunden zu
rechnen, zu deren Geltendmachung oder Abwehr die personenbezogenen Daten notwendig
sind, wird aufgrund einer Abwägung zwischen dem Speicherinteresse der verantwortlichen
Stelle, d.h. der Kfz-Betrieb, und dem Löschungsinteresse der betroffenen Person das weitere
Vorhalten der personenbezogenen Daten bis zur Geltendmachung der Ansprüche oder bis
zum Ablauf der Verjährungsfrist als rechtmäßig angesehen. Ist die verlängerte
Aufbewahrung im Einzelfall ausnahmsweise zulässig, obwohl keine Erforderlichkeit zur
Vertragserfüllung mehr gegeben ist, so sind die Daten zu sperren, § 35 Abs. 3 Nr. 1 und 2
BDSG, d.h. sie dürfen z.B. nicht mehr für Werbezwecke genutzt werden.
An die Stelle einer Löschung tritt ebenfalls eine Sperrung u.a. dann, wenn einer Löschung
gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, § 35
Abs. 3 Nr. 1 BDSG (siehe auch Abschnitt H, Ziffer III, Seite 18). Dies kann z.B. für die
Speicherung der Daten für Betriebsprüfungen der Fall sein. Auch hier ist die Nutzung zu
Werbezwecken unzulässig.
Um eine Löschung oder Sperrung von Kundendaten zu vermeiden, sollte daher
dringend eine Einwilligungserklärung des Kunden eingeholt werden, damit die
Kundendaten weiterhin zu den durch die Einwilligungserklärung legitimierten
Zwecken verwendet werden können.
IV.
Öffentliches Verfahrensverzeichnis, § 4g BDSG
Jedermann kann auf Antrag von der verantwortlichen Stelle Einsicht in das sog. öffentliche
Verfahrensverzeichnis verlangen. Die darin enthaltenen Angaben richten sich nach § 4e Satz
1 Nr. 1 bis 8 BDSG. Dem Kunden ist das Verfahrensverzeichnis in geeigneter Weise zur
Verfügung zu stellen.
18
In Anlage 2, Seite 35, ist ein entsprechendes Muster eines Verfahrensverzeichnisses
beigefügt. Dieses kann z.B. auf der Internetseite Ihres Betriebes unter Impressum oder unter
der Rubrik Datenschutz eingestellt werden.
H
Rechte des Kunden
I.
Benachrichtigung, § 33 BDSG
Damit der Kunde seine Rechte überhaupt ausüben kann, muss er wissen, wer über ihn
welche Daten zu welchem Zweck gespeichert hat.
Erfolgt die Speicherung der Daten ohne Kenntnis des Kunden, ist er daher bei der
erstmaligen Speicherung über die Tatsache der Speicherung, die Art der Daten, die
Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identität der
verantwortlichen Stelle zu benachrichtigen, § 33 Abs. 1 BDSG. Ausnahmen von dieser
Verpflichtung sind in § 33 Abs. 2 BDSG aufgelistet, auf die an dieser Stelle nicht näher
eingegangen werden braucht.
II.
Auskunftsrecht, § 34 BDSG
§ 34 BDSG räumt dem Kunden ein umfassendes Auskunftsrecht ein. Auf Verlangen des
Kunden hat der Kfz-Betrieb demnach u.a. unentgeltlich Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft
dieser Daten beziehen,
2. den Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben
werden, und
3. den Zweck der Speicherung.
Der Kunde hat also das Recht zu erfahren, welche seiner Daten von wem und zu welchem
Zweck gespeichert werden und an wen sie übermittelt werden.
III.
Berichtigung, Löschung und Sperrung von Daten, § 35 BDSG
Der Kunde kann nach § 35 BDSG eine Berichtigung, Löschung oder Sperrung verlangen. Zu
löschen sind personenbezogene Daten u.a., wenn sie im Hinblick auf den erforderlichen
Zweck nicht mehr erforderlich sind und sie keiner Aufbewahrungspflicht unterliegen. Daten,
die für den ursprünglichen Zweck, z.B. der Erfüllung des Kaufvertrages, nicht mehr
erforderlich sind, jedoch wegen entgegenstehender Aufbewahrungsfristen nicht gelöscht
werden dürfen, müssen gesperrt werden, d.h. sie dürfen zur Kundenansprache nicht mehr
genutzt werden.
IV.
Widerspruchsrecht des Kunden gegen Werbung, § 28 Abs. 4 BDSG
Der Kunde kann gemäß § 28 Abs. 4 BDSG bei der verantwortlichen Stelle der Verarbeitung
oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung widersprechen. In diesem Fall ist eine Verarbeitung und Nutzung für diese Zwecke
unzulässig.
19
I
Auftragsdatenverarbeitung, § 11 BDSG
Die Anforderungen an die Auftragsdatenverarbeitung wurden deutlich verschärft.
Bei der Auftragsdatenverarbeitung nutzt der Auftraggeber Dritte bei der Verarbeitung seiner
personenbezogenen Daten (sog. Outsourcing). Der Dritte, z.B. eine Werbeagentur oder auch
der Hersteller/Importeur, führt dabei ausschließlich Hilfs- und Unterstützungstätigkeiten
durch, die in voller Verantwortung und nach abschließenden Weisungen des Auftraggebers
durchgeführt wurden.
Eine Übermittlung von Daten zu Werbezwecken ist in diesem Fall auch außerhalb des
Listenprivilegs möglich ist, wenn die Daten des Auftraggebers nur in dessen Auftrag
verarbeitet werden.
Der Auftraggeber, also der Kfz-Betrieb, bleibt verantwortlich für die Sicherheit der Daten,
während der Auftragnehmer lediglich als dessen verlängerter Arm betrachtet wird.
Aufträge zur Auftragsdatenverarbeitung sind schriftlich abzufassen und müssen einen
Mindestkatalog enthalten, der in § 11 Abs. 2 BDSG aufgelistet ist. Im Einzelnen müssen
festgelegt werden:
1.
2.
der Gegenstand und die Dauer des Auftrags
der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder
Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von
ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und
Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag
getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem
Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer
gespeicherter Daten nach Beendigung des Auftrags
Ein Verstoß gegen die Vorschriften zur Auftragsdatenverarbeitungen können mit einem
Bußgeld von bis zu 50.000 Euro geahndet werden, § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG.
Ein Vertragsmuster zur Auftragsdatenverarbeitung ist als Anlage 3, Seite 37, beigefügt.
J
Datenschutz im Unternehmen
I.
Datensicherheit und die sog. 8 Gebote
§ 9 BDSG führt hierzu grundsätzlich aus:
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten
erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses
20
Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu
gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem
angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Die Anlage zu § 9 nennt und definiert die sog. 8 Gebote der Datensicherung, die bei der
innerbetrieblichen Organisation zu beachten sind:
•
Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden (Computer, Notebooks
etc.) zu verwehren.
•
Zugangskontrolle
Es ist zu verhindern, dass Unbefugte auf Computersysteme zugreifen können, an
denen personenbezogene Daten verarbeitet werden (Passwörter, Firewall etc.)
•
Zugriffskontrolle
Es ist sicherzustellen, dass die Berechtigten nur auf die Daten zugreifen können, für
die sie eine Zugriffsberechtigung haben. Zudem dürfen personenbezogene Daten bei
der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden.
•
Weitergabekontrolle
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass
überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen
ist.
•
Eingabekontrolle
Es muss nachträglich überprüft und festgestellt werden können, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind.
•
Auftragskontrolle
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden
können.
•
Verfügbarkeitskontrolle
Es ist sicherzustellen, dass personenbezogene Daten gegen zufällig Zerstörung oder
Verlust geschützt sind (Datensicherung etc.)
•
Gebot der Datentrennung
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.
21
II.
Datenschutzbeauftragter (DSB), § 4 f BDSG
1.
Wann ist ein DSB zu bestellen?
Beschäftigt ein Betrieb als verantwortliche Stelle mehr als neun Personen mit der
automatisierten Verarbeitung oder mindestens 20 Personen mit der herkömmlichen
manuellen Verarbeitung personenbezogener Daten, hat er einen betrieblichen
Datenschutzbeauftragten (DSB) zu bestellen, vgl. § 4 f BDSG.
2.
Wer darf zum DSB bestellt werden?
Zum DSB darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche
Fachkunde und Zuverlässigkeit besitzt, § 4 Abs. 2 BDSG.
Der DSB darf weder zur Geschäftsleistung noch zum leitenden Personal gehören. Der
Gesetzgeber verlangt eine klare Trennung zwischen der verantwortlichen Stelle und dem
Beauftragten. Wo diese Trennung fehlt, entstehen Interessenkonflikte, die eine konsequente
Anwendung der gesetzlichen Anforderungen an den Beauftragten infrage stellt, so der
Gesetzgeber.
Beispiel: Der Beauftragte ist am Unternehmen beteiligt = unzulässig.
Bei leitenden Angestellten hängt die vom Gesetz geforderte Zuverlässigkeit bei einer
Bestellung zum nebenberuflichen Beauftragten davon ab, ob die weiteren Tätigkeiten mit der
primären Verpflichtung des Beauftragten kompatibel sind, für eine datenschutzkonforme
Verarbeitung zu sorgen. Eine Unvereinbarkeit ist grundsätzlich immer dann zu bejahen,
wenn es um Tätigkeiten geht, die mit der Verarbeitung personenbezogener Daten
zusammenhängen oder sich auf diese auswirken. So darf der Beauftragte nicht nebenher
Leiter der EDV-Abteilung sein.
Nicht zulässig bzw. Bedenken bestehen auch bei folgenden Personen:
•
•
•
•
•
•
•
Leiter der Marketing Abteilung
Personalleiter
Leiter der Rechtsabteilung
Leiter der Revisionsabteilung
Vertriebs- und Betriebsleiter
Mitarbeiter der EDV Abteilung
Betriebs- und Personalräte
Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der
verantwortlichen Stelle bestellt werden (externer Datenschutzbeauftragter).
Sofern ein Datenschutzbeauftragter nicht zu bestellen ist, obliegt es der
Geschäftsleitung des Betriebs, die Aufgaben des Datenschutzbeauftragten in anderer
Weise sicherzustellen.
In Anlage 4, Seite 47, ist eine Muster- Stellenbeschreibung des betrieblichen DSB beigefügt.
22
3.
Kündigungsschutz des innerbetrieblichen DSB
§ 4 f Abs. 3 BDSG statuiert ein Kündigungsschutz für den Fall, dass ein
Datenschutzbeauftragter zu bestellen ist. Demnach ist eine Kündigung des
Arbeitsverhältnisses während der Bestellung als Datenschutzbeauftragter unzulässig, es sei
denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus
wichtigem Grund berechtigen.
4.
Aufgaben des Datenschutzbeauftragten, § 4 g BDSG
•
•
•
•
•
Hinwirken auf die Einhaltung der Vorschriften zum Datenschutz
Überwachung der personenbezogenen Datenverarbeitung
Mitarbeiterinformation
Verfügbarmachung des sog. Verfahrensverzeichnisses für jedermann
Vorabkontrolle bei kritischen Datenverarbeitungen
Der DSB ist unmittelbar der Geschäftsleitung zu unterstellen. Er ist weisungsfrei und darf
wegen seiner Aufgaben nicht benachteiligt werden. Der Betrieb hat den DSB bei der
Wahrnehmung seiner Kontrollfunktion zu unterstützen und insbesondere eine Übersicht über
die stattfindenden Verarbeitungen zu Verfügung zu stellen (Verfahrensverzeichnis), welches
er bzw. die verantwortliche Stelle, wenn ein DSB nicht zu bestellen ist, auf Antrag jedermann
zugänglich machen muss, vgl. § 4g Abs. 2 BDSG.
5.
Mögliche Folgen bei Nichtbestellung eines Datenschutzbeauftragten
Wird ein Datenschutzbeauftragter entgegen der Verpflichtung nach § 4f Abs. 1 BDSG nicht,
nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, so kann dies durch die
Aufsichtsbehörde mit einem Bußgeld bis zu 50.000 Euro geahndet werden, vgl. § 43 Abs. 1
Nr. 2, Abs. 3 BDSG.
III.
Verpflichtung der Mitarbeiter auf das Datengeheimnis, § 5 BDSG
Gemäß § 5 BDSG ist es den bei der Datenverarbeitung beschäftigten Personen untersagt,
personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen
(Datengeheimnis).
Jeder einzelne Mitarbeiter ist bei der Aufnahme seiner Tätigkeit auf das Datengeheimnis zu
verpflichten.
Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit des einzelnen
Mitarbeiters fort.
Jeder Mitarbeiter muss sich darüber bewusst sein, dass eine unbefugte Nutzung von Daten
und Verstöße gegen Datenschutznormen als Straftat oder Ordnungswidrigkeit geahndet
werden oder Schadensersatzpflichten und arbeitsrechtliche Konsequenzen bis hin zur
fristlosen Kündigung nach sich ziehen können.
Ein Mitarbeiter-Merkblatt zum Datenschutz ist als Anlage 5, Seite 49, beigefügt.
23
K
Sanktionen
I.
Sanktionen nach dem BDSG
Der Gesetzgeber hat in dem novellierten BDSG insgesamt zwölf neue Bußgeldtatbestände
geschaffen; neun gegen formelle (§ 43 Abs.1 BDSG) und drei gegen materielle Verstöße des
Datenschutzrechts (§ 43 Abs. 2 BDSG). Der Bußgeldrahmen für Verstöße nach § 43 Abs. 1
BDSG beträgt bis zu 50.000 Euro und für Verstöße nach § 43 Abs. 2 BDSG bis zu 300.000
Euro. § 43 Abs. 3 BDSG stellt klar, dass die Geldbuße den wirtschaftlichen Vorteil, den der
Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Falls dies einmal nicht der
Fall sein sollte, können die Bußgeldbetragsgrenzen überschritten werden.
Die Aufsichtsbehörden kontrollieren die Ausführung des BDSG, § 38 BDSG. Anders als
unter dem alten BDSG können sie nunmehr auch materielle – und nicht wie früher nur
technische – Verstöße rügen und diesbezüglich Anordnungen treffen.
Die Aufsichtsbehörden haben u.a. folgende Kompetenzen:
Wahrnehmung der Kontrollkompetenzen
•
•
•
anlassunabhängige Kontrolle
(§ 38 Abs. 1 Satz 1 BDSG)
Informations-, Betretens-, Besichtigungs-, Prüfungs- und Einsichtsrecht
(§ 38 Abs. 3 und 4 BDSG)
Führung des öffentlichen Registers meldepflichtiger Verarbeitungen
(§ 38 Abs. 2 BDSG)
Durchsetzungs-/Sanktionsmaßnahmen nach pflichtgemäßem Ermessen
•
•
•
•
•
Durchführung von Bußgeldverfahren nach § 43 BDSG
Eigenständiges Strafantragsrecht bei BDSG-Straftatbeständen
(§ 44 Abs. 2 BDSG)
Unterrichtung der Gewerbeaufsicht bei schwerwiegenden Verstößen
(§ 38 Abs. 1 Satz 4 BDSG)
Anordnung von Maßnahmen zur Beseitigung von Verstößen gegen die Zulässigkeit
der Datenverarbeitung oder technisch-organisatorischer Mängel mit Zwangsgeld
(§ 38 Abs. 5 Sätze 1 und 2 BDSG)
Untersagung der Datenverarbeitung oder einzelner Verfahren bei schwerwiegenden
Verstößen
(§ 38 Abs. 5 Satz 2 BDSG)
Auf Antrag der verantwortlichen Stelle
•
•
•
Allgemeine Unterstützung des DSB
(§ 4g Abs. 1 Satz 2 BDSG)
Mitwirkung bei der Vorabkontrolle
(§ 4d Abs. 6 Satz 3 BDSG)
Überprüfung vorgelegter Verhaltensregelungen
(§ 38a BDSG)
24
Anschriften der einzelnen Aufsichtsbehörden:
Baden-Württemberg
Innenministerium des Landes BadenWürttemberg, Stuttgart
Dorotheenstr. 6
70173 Stuttgart
Telefon Pressestelle: 0711/231-3030
Telefon Zentrale: 0711/231-4
Telefax Pressestelle: 0711/231-3039
E-Mail: [email protected]
Berlin
Berliner Beauftragter für Datenschutz und
Informationsfreiheit
An der Urania 4-10
10787 Berlin
Tel.: +49 030 / 13889-0
Fax: +49 030 / 215 50 50
E-Mail: [email protected]
Bremen
Die Landesbeauftragte für Datenschutz und
Informationsfreiheit, Bremerhaven
Arndtstraße 1
27570 Bremerhaven
Tel.: (0471) 596-2010
oder: (0421) 361-2010
Fax.: (0421) 496-18495
E-Mail: [email protected]
Hessen
Regierungspräsidium Darmstadt
Luisenplatz 2
64283 Darmstadt
Tel.: 06151 12 0
Fax: 06151 12 6313
E-Mail: [email protected]
Niedersachsen
Landesbeauftragter für den Datenschutz
Niedersachsen, Hannover
Brühlstr. 9
30169 Hannover
Postfach: 221, 30002 Hannover
Telefon: (0511) 120-4500
Telefax: (0511) 120-4599
Email: [email protected]
Bayern
Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken,
Ansbach
Promenade 27
91522 Ansbach
Tel: 0981/530
Fax: 0981/531206 oder -1456
E-Mail: [email protected]
Brandenburg
Ministerium des Innern des Landes
Brandenburg, Potsdam
Henning-von-Tresckow-Str. 9-13
14467 Potsdam
Telefon (0331) 866-0
E-Mail: [email protected]
Hamburg
Der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit
Klosterwall 6, Block C
20095 Hamburg
Telefon: (040) 42854-4040
Telefax: (040) 42854-4000
Email: [email protected]
Mecklenburg-Vorpommern
Landesbeauftragter für Datenschutz und
Informationsfreiheit MecklenburgVorpommern, Schwerin
Johannes-Stelling-Straße 21
19053 Schwerin
Telefon: (0385) 59494-0
Telefax: (0385) 59494-58
Email: [email protected]
Nordrhein-Westfalen
Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen,
Düsseldorf
Kavalleriestr. 2 - 4
40213 Düsseldorf
Postfach: 20 04 44, 40102 Düsseldorf
Telefon: (0211) 38424-0
Telefax: (0211) 38424-10
Email: [email protected]
25
Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz
Rheinland-Pfalz, Mainz
Hintere Bleiche 34
55116 Mainz
Postfach: 30 40, 55020 Mainz
Telefon: (06131) 208-2449
Telefax: (06131) 208-2497
Email: [email protected]
Sachsen
Der Sächsische Datenschutzbeauftragte,
Dresden
Bernhard-von-Lindenau-Platz 1
01067 Dresden
Telefon: 0351/493-5401
Telefax: 0351/493-5490
Email: [email protected]
Schleswig-Holstein
Unabhängiges Landeszentrum für
Datenschutz, Kiel
Holstenstr. 98
24103 Kiel
Postfach: Postfach 71 21, 24171 Kiel
Telefon: (0431) 988 1200
Telefax: (0431) 988 1223
Email: [email protected]
II.
Saarland
Ministerium für Inneres und SportAufsichtsbehörde für den Datenschutz,
Saarbrücken
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Postfach: Postfach 10 26 31, 66026
Saarbrücken
Telefon: (0681) 947 81 0
Telefax: (0681) 947 81 29
Email: [email protected]
Sachsen-Anhalt
Landesverwaltungsamt Sachsen-Anhalt,
Halle
Ernst-Kamieth-Straße 2
06112 Halle (Saale)
Fax: +49 345 514-3799
Thüringen
Thüringer Landesverwaltungsamt, Weimar
Weimarplatz 4
99423 Weimar
Tel: 0361/3773-7258
Fax: 0361/3773-7346
Sanktionen nach dem UWG
Verstöße gegen die Einwilligungspflicht bei der telefonischen Kontaktaufnahme eines
Verbrauchers zu Werbezwecken werden von der Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen verfolgt. Sie kann je nach Einzelfall Geldbußen
bis zu 50.000 Euro verhängen, § 20 UWG.
Fälle unzulässiger Werbung können u.a. vom betroffenen Verbraucher, Verbraucherverbänden, Wettbewerbsverbänden und Mitbewerbern verfolgt werden, § 8 Abs. 3 UWG.
Dies kann durch eine Abmahnung nebst Einforderung einer
Unterlassungserklärung oder auf dem ordentlichen Rechtweg erfolgen.
III.
strafbewehrten
Sanktionen nach dem TKG, Rufnummernunterdrückung
Bei Verstößen gegen das Verbot der Rufnummernunterdrückung drohen Geldbußen bis zu
10.000 Euro, § 149 Abs. 1 Nummer 17c TKG. Zuständig ist auch hier die Bundesnetzagentur.
26
L
Anlagen
Anlage 1:
Muster-Einwilligungserklärungen des ZDK
Muster-Einwilligungserklärungen des ZDK
Die nachfolgenden Muster-Einwilligungserklärungen wurden in enger Abstimmung mit dem
Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
erstellt und von diesem freigegeben.
Zusätzlich wurden die Muster von den Teilnehmern des so genannten Düsseldorfer Kreises
geprüft. Der Düsseldorfer Kreis ist eine informelle Vereinigung der obersten Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen
Bereich überwachen. Die Änderungsvorschläge des Düsseldorfer Kreises wurden in
den Mustern berücksichtigt, so dass grundsätzlich sichergestellt ist, dass diese von
den jeweiligen Landesdatenschutzbehören als zulässige Einwilligungserklärungen
anerkannt werden (für Baden-Württemberg siehe Fußnote 10 in Muster 1 und Fußnote
14 in Muster 2).
Für die Verwendung der Einwilligungserklärungen ist zu berücksichtigen, dass es sich um
Muster handelt, die auf die konkrete Ausgestaltung der Nutzung und Verarbeitung von
Kundendaten durch den Kfz-Betrieb angepasst werden müssen. Eine Hilfestellung für
entsprechende Ergänzungen oder Änderungen bieten die Fußnoten nebst weitergehenden
Informationen in den Mustern.
Die Muster differenzieren grundsätzlich danach, ob die Kundendaten neben der
eigentlichen Vertragsabwicklung für weitergehende Zwecke, z.B. Werbung,
nur vom Kfz-Betrieb (z.B. Werkstatt, Gebrauchtwagenhändler) ohne Übermittlung
an einen Dritten (Muster 1)
oder
vom Kfz-Betrieb und zusätzlich von einem Dritten (z.B. Hersteller / Importeur /
Bank / sonstigen Dritten) (Muster 2)
erhoben, genutzt und verarbeitet werden.
Je nach Einzelfall und der konkreten Nutzung der Daten ist daher ein entsprechendes
Muster zu wählen.
Die Muster stehen Ihnen im Mitgliederbereich auf unserer Internetseite www.kfzgewerbe.de
zum Download zur Verfügung.
27
Muster 1:
Datenschutzrechtliche Einwilligungserklärung des Kunden
- Unverbindliche Empfehlung des Zentralverband Deutsches Kraftfahrzeuggewerbe e.V. (ZDK) Unser Unternehmen nimmt den Schutz der Kundendaten ernst und möchte, dass sich jeder Kunde beim Besuch
unserer Geschäftsräume wohl fühlt. Der Schutz der individuellen Privatsphäre bei der Speicherung und
Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen, das wir bei unseren Geschäftsprozessen mit
hoher Aufmerksamkeit berücksichtigen. [1]
A.
Datenerhebung und Datenverwendung zur Vertragsabwicklung [2]
Wir verarbeiten und nutzen die von Ihnen schriftlich angegebenen personenbezogenen Daten, insbesondere zu
Name, Anschrift, Telefon, Fax, Mail oder Handy in Verbindung mit den technischen Daten Ihres Fahrzeugs zur
ordnungsgemäßen Abwicklung des zugrunde liegenden Vertragsverhältnisses (Übermittlung an Garantiegeber,
Leasinggeber und Finanzierungsinstitute, Mietwagenfirmen) und soweit dies gesetzlich notwendig ist, z.B. zur
Einhaltung von Vorhaltefristen gegenüber dem Finanzamt.
Eine darüber hinausgehende, unter Abschnitt B. beschriebene Nutzung Ihrer personenbezogenen Daten erfolgt
nur mit Ihrer Einwilligung (freiwillig).
B.
Einwilligung in die Datenverwendung zu weiteren Zwecken
1. [3]
Ich bin damit einverstanden, dass das Autohaus, ggf. auch unter Einschaltung eines beauftragten Dienstleisters
(Name, Anschrift) [4], meine von mir im Rahmen des zugrunde liegenden Vertragsverhältnisses schriftlich [5]
angegebenen Daten in Verbindung mit den technischen Daten meines Fahrzeugs zum Zwecke der Werbung [6]
(z.B. Kundeninformation und -betreuung, Einladungen zu Produktvorstellungen, Mitteilung über technische
Neuerungen zu meinem Fahrzeug, Reifenwechsel, HU/AU Fälligkeit, Serviceinformationen und Serviceaktionen,
Anschlussangebote bei Auslauf des Leasing- /Finanzierungsvertrages, Neukaufoption für mein aktuelles
Fahrzeug, Versendung von Kundenmagazinen, Befragung meiner Zufriedenheit mit den Leistungen des
Autohauses), bis auf Widerruf [7] verwendet.
Hierzu kann ich auf dem Postwege kontaktiert werden.
Sind Sie nicht einverstanden, streichen Sie diese Klausel ganz oder teilweise.
2. [8]
Zu dem unter Ziffer B1. genannten Zweck der Werbung bin ich einverstanden, (auch) per
E-Mail
Telefon
Fax
SMS
(Zutreffendes – soweit gewünscht – bitte ankreuzen)
kontaktiert zu werden.
_____________
(Ort, Datum)
C.
______________________________
(Unterschrift des Kunden) [9]
Auskunft, Berichtigung, Löschung oder Sperrung Ihrer personenbezogenen Daten /
Widerspruchsrecht [10]
Sie können von dem Autohaus Max Mustermann GmbH, Musterstraße 33, 53129 Bonn, unter vorgenannter
Adresse oder unter der E-Mail: [email protected] oder der Telefonnummer: 0228-xxxxx jederzeit
Auskunft über Ihre gespeicherten personenbezogenen Daten erhalten und jederzeit deren Berichtigung,
Löschung oder Sperrung verlangen. Ebenfalls können Sie Ihre Einwilligungserklärung jederzeit ohne Angabe von
Gründen mit Wirkung für die Zukunft ändern oder widerrufen. Hierfür entstehen Ihnen keine anderen als die
Portokosten bzw. Übermittlungskosten nach den Basistarifen.
Das Original dieser Erklärung verbleibt beim Kfz-Betrieb. Der Kunde erhält eine Kopie.
28
Anmerkungen zum Muster 1:
[1]
Die Einleitung kann individuell formuliert werden.
[2]
In Abschnitt A ist dem Kunden die Verwendung seiner Daten zur Abwicklung des zugrunde
liegenden Vertrages so transparent und ausführlich wie möglich zu beschreiben.
[3]
Diese Klausel beschreibt die Nutzung und ggf. Übermittlung der Kundendaten durch den
Markenbetrieb zum Zwecke der Werbung per Post.
[4]
Sofern externe Dienstleister vom Markenbetrieb eingeschaltet werden, sind diese zu
benennen.
[5]
Für den Kunden muss ersichtlich sein, welche Daten konkret für die Werbung genutzt werden.
Um etwaige Irritationen zu vermeiden, wird daher ausschließlich auf die vom Kunden
schriftlich mitgeteilten Daten, z.B. auf dem Kaufvertrag etc., abgestellt. Nur diese dürfen für
Werbezwecke genutzt werden. Alternativ können auch Datenfelder aufgelistet werden, die der
Kunde ausfüllen kann. Eine Werbung erfolgt dann nur auf der Grundlage der vom Kunden in
diesen Feldern angegeben Daten.
[6]
Die Zweckbestimmung der Nutzung der Kundendaten ist zu benennen und möglichst
umfassend zu beschreiben. Die Auflistung bzw. Definition der Werbung innerhalb des
Klammerzusatzes ist auf den konkreten Einzelfall anzupassen.
[7]
Die Einwilligung des Kunden gilt grundsätzlich bis auf Widerruf und muss nicht bei jedem
Folgekontakt neu eingeholt werden.
[8]
Streicht der Kunde die Klausel B1, ist dies dahingehend zu verstehen, dass der Kunde
keinerlei Werbung wünscht. Die Klausel B2 ist in diesem Fall hinfällig. Wünscht der Kunde
z.B. Werbung ausschließlich per E-Mail, ist in B1 lediglich der Satz „Hierzu kann ich auf dem
Postwege kontaktiert werden“ zu streichen und unter B2 ein entsprechendes Häkchen bei EMail zu setzen.
[9]
Die Unterschrift des Kunden legitimiert die Werbung in Form der in Abschnitt B beschriebenen
und ausgewählten Kontaktarten. Erfolgt keine Unterschrift, ist eine Kontaktaufnahme des
Kunden zu Zwecken der Werbung unzulässig.
[10]
Der Kunde ist bereits bei der Datenerhebung auf sein Widerspruchsrecht unter Angabe der
hierfür erforderlichen Kontaktadresse(n) hinzuweisen. Ferner sollte vom Kfz-Betrieb im Falle
eines Auskunfts-/Berichtigungs-/Sperrungs- oder Löschungsverlangens des Kunden
sichergestellt werden, dass es sich auch wirklich um den betreffenden Kunden handelt. Das
Innenministerium Baden-Württemberg vertritt hierzu die Auffassung, dass der Hinweis auf den
Auskunftsanspruch gemäß § 34 BDSG dergestalt abgefasst sein sollte, dass sie nur
handschriftlich unterschriebene Auskunftsanträge des Kunden vorsähen und diese auch
schriftlich zu beantworten seien. Nur so sei sichergestellt, dass personenbezogene Daten
nicht unbefugten Dritten mitgeteilt würden.
In Baden Württemberg ist daher folgende Formulierung zu empfehlen:
„Sie können von dem Autohaus Max Mustermann GmbH, Musterstrasse 33, 53129 Bonn,
unter vorgenannter Adresse jederzeit schriftlich Auskunft über Ihre gespeicherten
personenbezogenen Daten erhalten und jederzeit deren Berichtigung, Löschung oder
Sperrung verlangen. Um etwaige Missbrauchsfälle zu vermeiden, ist das Auskunftsverlangen
mit einer handschriftlichen Unterschrift zu versehen. Unter Einhaltung der vorgenannten
Voraussetzungen können Sie Ihre Einwilligungserklärung auch jederzeit ohne Angabe von
Gründen mit Wirkung für die Zukunft ändern oder widerrufen. Hierfür entstehen Ihnen keine
anderen als die Portokosten.“
29
Muster 2:
Datenschutzrechtliche Einwilligungserklärung des Kunden
Nutzung für eigene Zwecke und Übermittlung an Hersteller/Importeur/Bank
- Unverbindliche Empfehlung des Zentralverband Deutsches Kraftfahrzeuggewerbe e.V. (ZDK) Unser Unternehmen nimmt den Schutz der Kundendaten ernst und möchte, dass sich jeder Kunde beim Besuch
unserer Geschäftsräume wohl fühlt. Der Schutz der individuellen Privatsphäre bei der Speicherung und
Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen, das wir bei unseren Geschäftsprozessen mit
hoher Aufmerksamkeit berücksichtigen. [1]
Datenerhebung und Datenverwendung zur Vertragsabwicklung [2]
A.
Wir verarbeiten und nutzen die von Ihnen schriftlich angegebenen personenbezogenen Daten, insbesondere zu
Name, Anschrift, Telefon, Fax, Mail oder Handy in Verbindung mit den technischen Daten Ihres Fahrzeugs zur
ordnungsgemäßen Abwicklung des zugrunde liegenden Vertragsverhältnisses (Übermittlung an
Hersteller/Importeur zur Inanspruchnahme von Garantieleistungen und Rückrufaktionen, ggf. sonstige
Garantiegeber, Leasinggeber und Finanzierungsinstitute, Mietwagenfirmen) und soweit dies gesetzlich notwendig
ist, z.B. zur Einhaltung von Vorhaltefristen gegenüber dem Finanzamt.
Eine darüber hinausgehende, unter Abschnitt B und C beschriebene Nutzung Ihrer personenbezogenen Daten
erfolgt nur mit Ihrer Einwilligung (freiwillig).
B.
Einwilligung in die Datenverwendung zu weiteren Zwecken
(Optionaler Platz für eine allgemeine Botschaft des Autohauses zum Zweck der nachfolgend beschriebenen
Datennutzung)
1. [3]
Ich bin damit einverstanden, dass das Autohaus, ggf. auch unter Einschaltung eines beauftragten Dienstleisters
(Name, Anschrift [4]), meine von mir im Rahmen des zugrunde liegenden Vertragsverhältnisses schriftlich [5]
angegebenen Daten in Verbindung mit den technischen Daten meines Fahrzeugs zum Zwecke der Werbung [6]
(z.B. schriftliche Kundeninformation und -betreuung, Einladungen zu Produktvorstellungen, Mitteilung über
technische Neuerungen zu meinem Fahrzeug, Reifenwechsel, HU/AU Fälligkeit, Serviceinformationen und
Serviceaktionen, Anschlussangebote bei Auslauf des Leasing- /Finanzierungsvertrages, Neukaufoption für mein
aktuelles Fahrzeug, Versendung von Kundenmagazinen, Befragung meiner Zufriedenheit mit den Leistungen des
Autohauses), bis auf Widerruf [7] verwendet.
Hierzu kann ich auf dem Postwege kontaktiert werden.
Sind Sie nicht einverstanden, streichen Sie diese Klausel ganz oder teilweise.
2. [8]
Zu dem unter Ziffer B1. genannten Zweck der Werbung bin ich einverstanden, (auch) per
E-Mail
Telefon
Fax
SMS
(Zutreffendes – soweit gewünscht – bitte ankreuzen)
kontaktiert zu werden.
_____________
(Ort, Datum)
______________________________
(Unterschrift des Kunden) [9]
Seite 1 von 2
30
C.
Einwilligung in die Übermittlung Ihrer Daten an den Hersteller/Importeur und die anschließende
Verwendung für Werbezwecke und Kundenzufriedenheitsbefragungen [10]
1.
Ich bin damit einverstanden, dass das Autohaus die unter B. genannten Daten für Zwecke der postalischen
•
•
Werbung und
Kundenzufriedenheitsbefragungen
an den Hersteller/Importeur, Anschrift, übermittelt. Hierfür kann der Hersteller/Importeur ggf. auch Agenturen oder
Meinungsforschungsinstitute (möglichst namentlich angeben) [11] beauftragen.
Sind Sie nicht einverstanden, streichen Sie diese Klausel ganz oder teilweise.
2. [12]
Zu den unter Ziffer C1. genannten Zwecken bin ich einverstanden, (auch) per
E-Mail
Telefon
Fax
SMS
(Zutreffendes – soweit gewünscht –- bitte ankreuzen)
kontaktiert zu werden.
_____________
(Ort, Datum)
D.
______________________________
(Unterschrift des Kunden) [13]
Auskunft, Berichtigung, Löschung oder Sperrung Ihrer personenbezogenen Daten /
Widerspruchsrecht [14]
Sie können von dem Autohaus Max Mustermann GmbH, Musterstraße 33, 53129 Bonn, E-Mail:
[email protected] oder dem Hersteller/Importeur GmbH, Anschrift, E-Mail jederzeit Auskunft über
Ihre gespeicherten personenbezogenen Daten erhalten und jederzeit deren Berichtigung, Löschung oder
Sperrung verlangen. Ebenfalls können Sie Ihre Einwilligungserklärung jederzeit ohne Angabe von Gründen mit
Wirkung für die Zukunft ändern oder widerrufen. Hierfür entstehen Ihnen keine anderen als die Portokosten bzw.
Übermittlungskosten nach den Basistarifen.
Das Original dieser Erklärung verbleibt beim Kfz-Betrieb. Der Kunde erhält eine Kopie.
Seite 2 von 2
31
Anmerkungen zum Muster 2:
[1]
Die Einleitung kann individuell formuliert werden.
[2]
In Abschnitt A ist dem Kunden die Verwendung seiner Daten zur Abwicklung des zugrunde
liegenden Vertrages so transparent und ausführlich wie möglich zu beschreiben.
[3]
Diese Klausel beschreibt die Nutzung und ggf. Übermittlung der Kundendaten durch den
Markenbetrieb zum Zwecke der Werbung per Post.
[4]
Sofern externe Dienstleister vom Markenbetrieb eingeschaltet werden, sind diese zu
benennen.
[5]
Für den Kunden muss ersichtlich sein, welche Daten konkret für die Werbung genutzt werden.
Um etwaige Irritationen zu vermeiden, wird daher ausschließlich auf die vom Kunden
schriftlich mitgeteilten Daten, z.B. auf dem Kaufvertrag etc., abgestellt. Nur diese dürfen für
Werbezwecke genutzt werden. Alternativ können auch Datenfelder aufgelistet werden, die der
Kunde ausfüllen kann. Eine Werbung erfolgt dann nur auf der Grundlage der vom Kunden in
diesen Feldern angegeben Daten.
[6]
Die Zweckbestimmung der Nutzung der Kundendaten ist zu benennen und möglichst
umfassend zu beschreiben. Die Auflistung bzw. Definition der Werbung innerhalb des
Klammerzusatzes ist auf den konkreten Einzelfall anzupassen.
[7]
Die Einwilligung des Kunden gilt grundsätzlich bis auf Widerruf und muss nicht bei jedem
Folgekontakt neu eingeholt werden.
[8]
Streicht der Kunde die Klausel B1, ist dies dahingehend zu verstehen, dass der Kunde
keinerlei Werbung wünscht. Die Klausel B2 ist in diesem Fall hinfällig. Wünscht der Kunde
z.B. Werbung ausschließlich per E-Mail, ist in B1 lediglich der Satz „Hierzu kann ich auf dem
Postwege kontaktiert werden“ zu streichen und unter B2 ein entsprechendes Häkchen bei EMail zu setzen.
[9]
Die Unterschrift des Kunden legitimiert die Werbung in Form der in Abschnitt B beschriebenen
und ausgewählten Kontaktarten. Erfolgt keine Unterschrift, ist eine Kontaktaufnahme des
Kunden zu Zwecken der Werbung unzulässig.
[10]
Die Trennung zwischen der Nutzung der Kundendaten durch den Markenbetrieb und dem
Hersteller/Importeur dient der besseren Übersichtlichkeit und dem besseren Verständnis für
den Kunden. Wir halten es grundsätzlich für möglich, die Abschnitte B und C auch zusammen
zu fassen, wenngleich der Düsseldorfer Kreis über diese Möglichkeit nicht befinden musste
und daher keine entsprechende Empfehlung ausgesprochen werden kann.
Werden die Daten zusätzlich an Dritte, wie z.B. Banken und Leasinggesellschaften
übermittelt, so ist für diese Übermittlung ein zusätzlicher Abschnitt einzufügen, der dem
Aufbau des Abschnitt C entspricht und inhaltlich an die entsprechenden Datenempfänger und
deren Nutzung der Daten angepasst wird.
In jedem Fall ist zu prüfen, ob zwischen dem Markenbetrieb und dem Hersteller/Importeur
oder sonstigen Dritten ggf. ein Auftragsdatenverarbeitungsverhältnis (siehe Abschnitt I des
Leitfadens) besteht. Sofern ein solches Verhältnis besteht und der Hersteller/Importeur oder
sonstige Dritte die Daten ausschließlich für den Markenbetrieb nutzt, ist Abschnitt C
überflüssig.
[11]
siehe Fußnote 4
[12]
siehe Fußnote 8
[13]
siehe Fußnote 9
[14]
Der Kunde ist bereits bei der Datenerhebung auf sein Widerspruchsrecht unter Angabe der
hierfür erforderlichen Kontaktadresse(n) hinzuweisen. Ferner sollte vom Kfz-Betrieb im Falle
32
eines Auskunfts-/Berichtigungs-/Sperrungs- oder Löschungsverlangens des Kunden
sichergestellt werden, dass es sich auch wirklich um den betreffenden Kunden handelt. Das
Innenministerium Baden-Württemberg vertritt hierzu die Auffassung, dass der Hinweis auf den
Auskunftsanspruch gemäß § 34 BDSG dergestalt abgefasst sein sollte, dass sie nur
handschriftlich unterschriebene Auskunftsanträge des Kunden vorsähen und diese auch
schriftlich zu beantworten seien. Nur so sei sichergestellt, dass personenbezogene Daten
nicht unbefugten Dritten mitgeteilt würden.
In Baden Württemberg ist daher folgende Formulierung zu empfehlen:
„Sie können von dem Autohaus Max Mustermann GmbH, Musterstrasse 33, 53129 Bonn oder
dem Hersteller/Importeur GmbH, Anschrift, jederzeit schriftlich Auskunft über Ihre
gespeicherten personenbezogenen Daten erhalten und jederzeit deren Berichtigung,
Löschung oder Sperrung verlangen. Um etwaige Missbrauchsfälle zu vermeiden, ist das
Auskunftsverlangen mit einer handschriftlichen Unterschrift zu versehen. Unter Einhaltung der
vorgenannten Voraussetzungen können Sie Ihre Einwilligungserklärung auch jederzeit ohne
Angabe von Gründen mit Wirkung für die Zukunft ändern oder widerrufen. Hierfür entstehen
Ihnen keine anderen als die Portokosten.“
33
Anlage 2:
Öffentliches Verfahrensverzeichnis
Öffentliches Verfahrensverzeichnis, § 4e BDSG
(Unverbindliches Muster)
Gemäß § 4g Abs. 2 S.2 BDSG macht der Datenschutzbeauftragte die Angaben nach § 4e
S. 1 Nr. 1-8 BDSG auf Antrag jedermann in geeigneter Weise verfügbar. Sofern ein DSB
nicht bestellt ist, obliegt diese Verpflichtung der verantwortlichen Stelle, d.h. der Geschäftsleitung des Kfz-Betriebs.
Zur Verwendung des nachfolgenden Muster-Verzeichnisses müssen die einzelnen Punkte
vom Kfz-Betrieb individuell vervollständigt werden.
Text in Rot
=
Zusatzinformationen, die nur zu Ihrer Information dienen. Die Inhalte
müssen von jedem Kfz-Betrieb individuell angepasst werden.
Öffentliches Verfahrensverzeichnis nach § 4 e Bundesdatenschutzgesetz (BDSG)
1. Name oder Firma der verantwortlichen Stelle:
(bitte ausfüllen)
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der
Verfassung des Unternehmens berufene Leiter und die mit der Leitung der
Datenverarbeitung beauftragten Personen:
(bitte ausfüllen)
3. Anschrift der verantwortlichen Stelle:
(bitte ausfüllen)
4. Zweckbestimmung der Datenerhebung, -Verarbeitung oder –Nutzung:
Kfz-Betriebe sollten an dieser Stelle die einzelnen Betätigungsfelder angeben, zu deren
Zwecke sie Kundendaten nutzen und ggf. an Dritte übermitteln.
Dies können z.B. sein: Erstellen von Angeboten und Verträgen für den An- und Verkauf von
Neuwagen und Gebrauchtwagen, Handel mit Ersatzteilen, Motoren und Zubehör,
Serviceleistungen: Reparatur und Wartung von Fahrzeugen aller Marken, Vermittlung von
Finanzierungs-, Leasing- und Versicherungsverträgen, Vermietung von Kfz und Vermittlung
von Kfz-Vermietungen, Zulassung von Kfz etc.
Die Datenerhebung, -verarbeitung und -nutzung erfolgt zur Ausübung der oben
angegebenen Zwecke.
5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten
oder Datenkategorien:
Kundendaten, Mitarbeiterdaten sowie Daten von Lieferanten werden nur erhoben, verarbeitet
oder genutzt, sofern diese zur Erfüllung der unter Punkt 4 genannten Zwecke erforderlich
sind.
34
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden
können:
-
öffentliche Stellen bei Vorliegen vorrangiger Rechtsvorschriften
interne Stellen, die an der Ausübung und Erfüllung der jeweiligen Geschäftsprozesse
beteiligt sind
externe Auftragnehmer (Dienstleistungsunternehmen) gemäß § 11 BDSG
externe Stellen, soweit dies zur Erfüllung der unter Punkt 4 genannten Zwecke
erforderlich ist
7. Regelfristen für die Löschung der Daten:
Nach Ablauf der jeweiligen gesetzlichen Aufbewahrungsfristen werden die entsprechenden
Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung erforderlich sind.
Nicht von gesetzlichen Aufbewahrungspflichten betroffene Daten werden gelöscht, sobald
die und Punkt 4 genannten Zwecke weggefallen sind.
8. Geplante Übermittlung in Drittstaaten:
Eine Übermittlung von Daten in Drittstaaten ist nicht geplant.
(Wenn doch: Zwecke, betroffene Datenkategorien und die Länder oder Kategorien von
Ländern angeben)
9. Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die
Maßnahmen nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung
angemessen sind.
Die Angaben sind vom Kfz-Betrieb individuell zu treffen. Da nur eine vorläufige Einschätzung
ermöglicht werden soll, reichen kategorisierende Angaben wie „Einsatz von
Antivirusprogrammen“ etc. aus.
Beispiel:
Wie setzen technische und organisatorische Sicherheitsmaßnahmen ein, um durch uns
verwaltete Daten gegen zufällige Manipulationen, Verlust, Zerstörung oder gegen den Zugriff
unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend
der technologischen Entwicklung fortlaufend verbessert.
35
Anlage 3:
Auftrag gemäß § 11 BDSG
Hinweise: Der nachstehende Mustertext soll eine Orientierungshilfe bieten. Er ist je nach den
Umständen des konkreten Einzelfalls anzupassen. Bei komplexen Auftragsverhältnissen oder
der Verarbeitung sensibler personenbezogener Daten im Auftrag werden weitere bzw.
ergänzende Vertragsklauseln notwendig sein.
Die einzelnen schriftlichen Festlegungen nach § 11 Abs. 2 Nr. 1 bis Nr. 10 BDSG sollten
vollständig in die Vereinbarung übernommen und wie eine Checkliste abgearbeitet werden.
Die für das konkrete Dienstleistungsverhältnis zutreffenden Alternativen sollten angekreuzt
werden. Leerfelder sind ggf. entsprechend des konkreten Auftrags auszufüllen.
Auftrag gemäß § 11 BDSG
Vereinbarung
(Unverbindliches Muster)
zwischen dem / der
........................................................................................................................................
............
- nachstehend Auftraggeber genannt und dem / der
........................................................................................................................................
............
- nachstehend Auftragnehmer genannt -
1.
Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags
Der Gegenstand des Auftrags ergibt sich aus der Leistungsvereinbarung / SLA /
................................................. vom ......................, auf die hier verwiesen wird (im
Folgenden Leistungsvereinbarung).
oder
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender
Aufgaben durch den Auftragnehmer:
……………………………………………………………………… (Definition der Aufgaben)
36
Dauer des Auftrags
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
oder (insbesondere, falls keine Leistungsvereinbarung zur Dauer besteht)
Der Auftrag wird zur einmaligen Ausführung erteilt.
oder
Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum............
oder
Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von
................... zum ............... gekündigt werden. Die Möglichkeit zur fristlosen Kündigung
bleibt hiervon unberührt.
2.
Konkretisierung des Auftragsinhalts
Umfang, Art und Zweck
der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung
personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind
konkret beschrieben in der Leistungsvereinbarung vom .....................
oder
Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und
Zweck der Aufgaben des Auftragnehmers: ........................................
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede
Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf
nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
Art der Daten
Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung
konkret beschrieben unter: .......................
oder
Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezoger Daten
sind folgende Datenarten / -kategorien (Aufzählung / Beschreibung der
Datenkategorien)
□
□
□
□
□
□
□
□
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen
Verzeichnissen)
...
37
Kreis der Betroffenen
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen
dieses Auftrags Betroffenen ist in der Leistungsvereinbarung konkret beschrieben
unter: ..................................
oder
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen
dieses Auftrags Betroffenen umfasst (Aufzählung / Beschreibung der betroffenen
Personenkategorien):
□
□
□
□
□
□
□
□
3.
Kunden
Interessenten
Abonnenten
Beschäftigte i. S. d. § 3 Abs. 11 BDSG
Lieferanten
Handelsvertreter
Ansprechpartner
...
Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten
technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere
hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber
zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische
Maßnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle,
Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des
Trennungsgebots (vgl. Anlage ...), sowie andererseits um auftragsspezifische Maßnahmen,
insbesondere im Hinblick auf die Art des Datenaustauschs / Bereitstellung von Daten, Art /
Umstände der Verarbeitung / der Datenhaltung sowie Art / Umstände beim Output / Datenversand, die – soweit sie sich nicht aus der zugrunde liegenden Leistungsvereinbarung
ergeben – wie folgt gesondert beschrieben werden:
..............................
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt
und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative
adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der
Auftragnehmer hat auf Anforderung die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem
Auftraggeber zur Verfügung zu stellen.
38
4.
Berichtigung, Sperrung und Löschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag
verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich
unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden
sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
5.
Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach
§ 11 Abs. 4 BDSG folgende Pflichten:
Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Dessen
Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme
mitgeteilt.
Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die
auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können,
müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag
ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw.
Zweckbindung belehrt werden.
Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und
organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage.
Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige
Behörde nach §§ 43, 44 BDSG beim Auftragnehmer ermittelt.
Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den
Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen
gegenüber dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate,
Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision,
Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit
(z.B. nach BSI-Grundschutz) vorlegen.
6.
Unterauftragsverhältnisse
Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers
Unterauftragnehmer einbezogen werden sollen, wird dies genehmigt, wenn folgende
Voraussetzungen vorliegen:
Die Einschaltung von Unterauftragnehmern ist grundsätzlich nur mit schriftlicher
Zustimmung des Auftraggebers gestattet. Ohne schriftliche Zustimmung kann der
Auftragnehmer zur Vertragsdurchführung unter Wahrung seiner unter Punkt 5 erläuterten
Pflicht zur Auftragskontrolle konzernangehörige Unternehmen sowie im Einzelfall andere
Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem
Auftraggeber vor Beginn der Verarbeitung oder Nutzung mitteilt.
39
Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den
Unterauftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im
Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen.
Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte
entsprechend dieser Vereinbarung und des § 11 BDSG i.V.m. Nr. 6 der Anlage zu § 9
BDSG beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des
Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über den
wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten
Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die
relevanten Vertragsunterlagen, zu erhalten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen
zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen,
Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von
Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes
und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen
Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu
treffen sowie Kontrollmaßnahmen zu ergreifen.
7.
Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene
Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner
Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die
entsprechenden Nachweise verfügbar zu machen.
Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG
vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der
Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen
technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der
Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und
organisatorischen Maßnahmen gemäß § 9 BDSG und der Anlage nach. Dabei kann der
Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag
betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen
unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, ITSicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten
Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz)
erbracht werden.
8.
Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn
oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz
personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen
Festlegungen vorgefallen sind.
Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der
Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwer-
40
wiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen
Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim
Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat im
Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie
zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den
Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu
unterstützen.
9.
Weisungsbefugnis des Auftraggebers
Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisung des Auftraggebers (vgl. § 11 Abs. 3 Satz 1 BDSG). Der
Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der
Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und
zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur
nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in
Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke
und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate
werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind
Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2
BDSG zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen
datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der
entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim
Auftraggeber bestätigt oder geändert wird.
10.
Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den
Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das
Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner
Entlastung bei Vertragsende dem Auftraggeber übergeben.
41
Hinweise zur Erstellung einer
Anlage zur Vereinbarung nach § 11 BDSG:
Allgemeine technische und organisatorische
Maßnahmen nach § 9 BDSG und Anlage
1.
Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur
Legitimation der Berechtigten:
Beispiele
Zutrittskontrollsystem,
Ausweisleser, Magnetkarte, Chipkarte zu beachten: § 6c BDSG
Schlüssel / Schlüsselvergabe
Türsicherung (elektrische Türöffner usw.)
Werkschutz, Pförtner
Überwachungseinrichtung
Alarmanlage, Video- / Fernsehmonitor zu beachten: § 6b BDSG
2.
Zugangskontrolle
Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern.
Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz)
Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:
Beispiele
Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des
Kennworts)
Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)
Einrichtung eines Benutzerstammsatzes pro User
Verschlüsselung von Datenträgern
3.
Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu
verhindern.
Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie
deren Überwachung und Protokollierung:
Beispiele
Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
Auswertungen
Kenntnisnahme
Veränderung
Löschung
42
4.
Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische
Übertragung, Datentransport, Übermittlungskontrolle ...
Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger
(manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:
Beispiele
Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
Elektronische Signatur
Protokollierung
Transportsicherung
5.
Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu
gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert
oder entfernt (gelöscht) worden sind:
Beispiel
Protokollierungs- und Protokollauswertungssysteme
6.
Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten.
Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen
Auftraggeber und Auftragnehmer:
Beispiele
Eindeutige Vertragsgestaltung
Formalisierte Auftragserteilung (Auftragsformular)
Kriterien zur Auswahl des Auftragnehmers
Kontrolle der Vertragsausführung
7.
Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Maßnahmen zur Datensicherung (physikalisch / logisch):
Beispiele
Backup-Verfahren
Spiegeln von Festplatten, z.B. RAID-Verfahren
Unterbrechungsfreie Stromversorgung (USV)
Getrennte Aufbewahrung
Virenschutz / Firewall
Notfallplan
43
8.
Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu
verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
Beispiele
"Interne Mandantenfähigkeit" / Zweckbindung
Funktionstrennung /Produktion / Test)
Quelle: GDD e.V.
44
Anlage 4:
Stellenbeschreibung des betrieblichen Datenschutzbeauftragen
Stellenbeschreibung des betrieblichen Datenschutzbeauftragten
(Unverbindliches Muster)
Bei der Bestellung des DSB empfiehlt es sich in einer Stellenbeschreibung, die von ihm
gesetzlich und ggf. darüber hinaus wahrzunehmenden Aufgaben zu konkretisieren.
Der Inhalt der Stellen-/Aufgabenbeschreibung ist ggf. individuell anzupassen. Dies gilt v.a.
für die farblich markierten Textpassagen.
Bestellung und Stellen-/Aufgabenbeschreibung des betrieblichen
Datenschutzbeauftragten der XY-GmbH
Hiermit wird Frau/Herr ……………. mit Wirkung vom ……………… zur/zum betrieblichen
Datenschutzbeauftragten der XY-GmbH bestellt.
Gemäß § 4g BDSG werden ihr/ihm damit folgende gesetzlich vorgegebenen Aufgaben
übertragen:
1. Sie/Er überwacht und unterstützt die Einhaltung aller datenschutzrechtlichen Vorschriften
bei der XY-GmbH. Hierzu gibt sie/er Anregungen und macht Vorschläge zur ständigen
Fortentwicklung der betrieblichen Datenschutzorganisation. Hierbei stimmt er sich mit den
Bereichen Revision und Organisation ab.
2. In Erfüllung seiner Aufgabe hat sie/er ein ungehindertes Kontroll-, Zutritts- und
Auskunftsrecht im gesamten Unternehmen. Müssen bei Kontrolle personenbezogene Daten
zur Kenntnis genommen werden, ist dem Verhältnismäßigkeitsprinzip Rechnung zu tragen.
Sie/Er unterliegt insoweit der Verpflichtung zur Wahrung des Datengeheimnisses nach
§ 5 BDSG.
3. Vor der Einführung neuer und der Änderung bestehender Datenverarbeitungsmaßnahmen
bzw. automatisierter Verfahren wird sie/er beteiligt.
4. Sie/Er hat die Beschäftigten in geeigneter Weise mit den Bestimmungen des BDSG sowie
den sonstigen Vorschriften über den Datenschutz vertraut zu machen.
5. Die ihr/ihm von der DV-Abteilung zur Verfügung gestellten Unterlagen nach § 4g Abs. 2
Satz 1 BDSG (Verfahrensverzeichnis) führt sie/er in geordneter Form. Sie/Er hält das
Verzeichnis gem. § 4 Abs. 2 Satz 2 BDSG zur Einsicht bereit.
6. Stellt der DSB bei der Information über neue Verarbeitungsvorhaben fest, dass diese der
Vorabkontrolle bedürfen, teilt er dies unverzüglich mit. Die Verarbeitung darf erst nach
Vorlage der Stellungnahme des DSB erfolgen. In Zweifelsfällen entscheidet die
Geschäftsleitung.
7. Sie/Er hat allen Angelegenheiten des Datenschutzes nachzugehen, die von den
Beschäftigen der XY-GmbH oder von Betroffenen an sie/ihn herangetragen werden. Dies
erfordert eine Prüfung des zur Grunde liegenden Sachverhaltes und in angemessener Frist
45
eine Stellungnahme gegenüber dem Beschwerdeführer. Bei der Überprüfung des
Sachverhalts darf auf die Einhaltung des Dienstweges nicht bestanden werden.
8. Stellt sie /er Verstöße gegen die Vorschriften des BDSG oder gegen andere
Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener
Daten fest, fordert sie/er die jeweils zuständigen Mitarbeiterinnen oder Mitarbeiter zur
Mängelbeseitigung auf. Mit der Feststellung von Mängeln sollten Vorschläge zu deren
Beseitigung und sonstigen Verbesserungen des Datenschutzes verbunden werden. Bei
Meinungsverschiedenheiten entscheidet die Geschäftsleitung, die darüber hinaus über alle
ihr/ihm bedeutsam erscheinenden datenschutzrechtlich relevanten Sachverhalte die
Geschäftsleitung unmittelbar zu informieren hat.
9. Will sie/er von ihrem/seinem Recht zur Einschaltung der zuständigen Datenschutzaufsichtsbehörde Gebrauch machen, hat sie/er sich zunächst mit der Geschäftsleitung ins
Benehmen zu setzen.
10. Sie/Er hat sich so aus- und fortzubilden, dass sie/er die für die Erledigung der
übertragenen Aufgaben erforderliche Fachkunde besitzt.
11. Neben der Tätigkeit als betriebliche(r) Datenschutzbeauftragte(r) übt sie/er keine
weiteren Aufgaben aus. (oder: Neben der Tätigkeit als betriebliche(r) Datenschutzbeauftragte(r) übt sie/er die im jeweils gültigen Geschäftsverteilungsplan mit etwa -- % der
regelmäßigen Arbeitszeit ausgewiesenen Aufgaben aus. Sollten sich hierdurch oder aus
anderen Gründen Konfliktsituationen oder Beeinträchtigungen der Tätigkeit als betriebliche(r)
Datenschutzbeauftragte(r) ergeben, ist dies der Geschäftsleitung anzuzeigen.)
12. Sie/er ist (bei Teiltätigkeit: in der Funktion als Datenschutzbeauftragte/r) der
Geschäftleitung (ggf. Bereich angeben) unmittelbar unterstellt und vortragsberechtigt.
Hinsichtlich der Beurteilung datenschutzrechtlicher Fragen ist sie/er weisungsfrei.
13. Im Verhinderungsfall wird sie/er durch den Leiter der Abteilung Recht vertreten (hier
sollte nach Möglichkeit ein Funktionsinhaber und nicht ein namentlicher Mitarbeiter
benannt sein; hat der DSB ihm zugeordnetes Personal, sollte sinnvollerweise hieraus
der Vertreter bestellt werden).
14. Art und Umfang der zur Erfüllung der Aufgaben notwendigen Mittel sind bei der
Geschäftsleitung rechtzeitig anzumelden.
Sie/Er kann jederzeit von dem Amt zurücktreten. Eine Niederlegung des Amtes kann die
Kündigung des Arbeitsvertrages zur Folge haben.
Ort/Datum
Unterschrift der Geschäftsleitung
(Quelle: GDD e.V.)
46
Anlage 5:
Mitarbeiter-Merkblatt zum Datenschutz
Mitarbeiter-Merkblatt zum Datenschutz
(Unverbindliches Muster)
Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit
personenbezogenen Daten oder ansonsten gesetzlich geschützten Daten in Berührung
kommen, sei es als „Betroffener“ oder weil Sie beim Umgang mit solchen Daten mitwirken
bzw. weil Ihnen solche Angaben während Ihrer Tätigkeit zur Kenntnis gelangen. Bereits auf
Grund allgemeiner arbeitsvertraglicher Regelungen und gesetzlicher Vorschriften dürfte
Ihnen das Gebot zur vertraulichen Handhabung von Personaldaten und Geschäfts- und
Betriebsgeheimnissen bekannt sein. Für die Mitarbeiter, die bei der Verarbeitung
personenbezogener Daten im Geltungsbereich des Bundesdatenschutzgesetzes (BDSG)
beschäftigt sind, gilt darüber hinaus die Verpflichtung zur Wahrung des Datengeheimnisses
(§ 5 BDSG), auf die Sie in einer schriftlich abzugebenden Erklärung besonders hingewiesen
werden.
Verpflichtung zur Wahrung des Datengeheimnisses
Allen Mitarbeitern, die dienstlichen Zugang zu personenbezogenen Daten haben, ist es
untersagt, solche Daten unbefugt zu verarbeiten oder zu nutzen; dies gilt auch nach
Beendigung ihrer Tätigkeit.
Hierin besteht Ihre spezielle Verpflichtung, zur Wahrung des Datenschutzes beizutragen.
Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, dass durch den
Umgang mit seinen personenbezogenen Daten seine Persönlichkeitsrechte
beeinträchtigt werden.
Das erfordert ein verantwortliches Handeln beim Umgang mit personenbezogenen Daten,
aber auch die risikobewusste Nutzung von IT-Systemen und –Anwendungen. Fehlverhalten
kann zu materiellen und immateriellen Schäden mit teilweise beträchtlichen negativen
Kundeneffekten führen.
Zur Gewährleistung der Vorschriften des Datenschutzes und zur Sicherung der Daten gegen
Verlust oder ungefugten Zugriff sind in unserem Unternehmen Maßnahmen bzw. Richtlinien
getroffen worden. Informieren Sie sich hierüber bei Ihrem Vorgesetzten und machen Sie sich
mit den Regelungen vertraut.
Denken Sie stets daran: Sie sind dafür verantwortlich, dass
●
die Ihnen anvertrauten Daten, Datenträger und Ausdrucke unter Verschluss gehalten
werden, wenn Sie nicht unmittelbar daran arbeiten. Hierzu sind insbesondere
Bildschirme und PC bei Abwesenheit vom Arbeitsplatz zu sperren.
●
Ihr PC/Ihre Anwendungen/Ihr Passwort keinem Unbefugten zugänglich wird. Daher
sollen Sie nur sichere Passwörter auswählen (z. B. Sonderzeichen, keine Namen)
und diese regelmäßig wechseln.
●
nicht mehr benötigte Datenträger und Ausdrucke so vernichtet werden, dass eine
missbräuchliche Verwendung nicht möglich ist.
47
●
Laptops bei Reisen sorgfältig gesichert werden, besonders im Auto, Hotel oder auf
Flughäfen.
●
keine vertraulichen Informationen per Fax verschickt werden. Falls Sie dies doch in
Ausnahmefällen müssen, treffen Sie besondere Vorkehrungen (z. B. telefonische
Absprache wegen Anwesenheit des Empfängers, Doppelkontrolle der Richtigkeit der
eingegebenen Fax-Nummer vor Versand).
●
Sie nicht einfach mit Antwortfunktion auf E-Mail mit vertraulichem Inhalt reagieren,
vorher Absenderlisten überprüfen (Achtung: vertrauliche Informationen über E-Mail
grundsätzlich nicht versenden, wenn keine Verschlüsselung genutzt werden kann)!
●
keine vertraulichen Telefonate vom Handy in der Öffentlichkeit geführt werden z. B.
auf Reisen im Zug.
Ihnen ist untersagt, Unternehmensgeräte privat zu nutzen oder private Computer, Software
und Datenträger in das Unternehmen einzubringen.
Falls Sie sich als Betroffener in Ihren Datenschutzrechten verletzt sehen oder falls Sie
sonstige Fragen bei der Anwendung der Datenschutzvorschriften bzw. der hierzu
ergangenen Regelungen haben:
Bei Fragen zum Thema Datenschutz bzw. Datensicherung oder in Zweifelsfällen
wenden Sie sich bitte an Ihren Beauftragten für den Datenschutz.
(Quelle: GDD e.V.)
48
Anlage 5a:
Ergänzung des Merkblatts
Auszug aus dem Bundesdatenschutzgesetz
(Stand: 30.04.2010)
§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese
Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der
Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis
besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 43 Bußgeldvorschriften
(1)
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1.
entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht
richtig, nicht vollständig oder nicht rechtzeitig macht,
entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6,
einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise
oder nicht rechtzeitig bestellt,
entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung
festgestellt und überprüft werden kann,
entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht
in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht
vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer
getroffenen technischen und organisatorischen Maßnahmen überzeugt,
entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig
unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann,
entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt,
entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt,
entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder
nicht rechtzeitig macht,
entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und
Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder
gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse
aufnimmt,
entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt,
entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig
benachrichtigt,
entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz
1a, entgegen § 34 Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen §
34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in
Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert,
entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig übermittelt,
entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die
andere Stelle verweist,
2.
2a.
2b.
3.
3a.
4.
4a.
5.
6.
7.
8.
8a.
8b.
8c.
49
9.
10.
11.
(2)
1.
2.
3.
4.
5.
5a.
5b.
6.
7.
(3)
entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,
entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig,
nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder
einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder
verarbeitet,
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf
mittels automatisierten Verfahrens bereithält,
unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder
sich oder einem anderen aus automatisierten Verarbeitungen oder nicht
automatisierten Dateien verschafft,
die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind,
durch unrichtige Angaben erschleicht,
entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4,
§ 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des
Betroffenen abhängig macht,
entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder
Meinungsforschung verarbeitet oder nutzt,
entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein
dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig macht.
Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu
fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu
dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen
Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen
die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten
werden.
§ 44 Strafvorschriften
(1)
Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der
Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen,
begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2)
Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die
verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit und die Aufsichtsbehörde.
50
Anlage 5b:
Verpflichtung auf das Datengeheimnis, § 5 BDSG
für Arbeitnehmer / -innen sowie Auszubildende
(Unverbindliches Muster)
Hiermit erkläre ich,
dass ich heute über die einschlägigen Vorschriften des Bundesdatenschutzgesetzes (BDSG)
in Kenntnis gesetzt, über die sich daraus ergebenden besonderen Anforderungen an die
Datensicherheit und den Datenschutz bei der Ausübung meiner Tätigkeit vertraut gemacht
und auf das Datengeheimnis (§ 5 BDSG) verpflichtet wurde. Ich wurde insbesondere darüber
belehrt, dass es mir untersagt ist, geschützte personenbezogene Daten zu einem anderen
als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten
und zu nutzen. Diese Pflicht besteht auch nach Beendigung meiner Tätigkeit fort. Mir ist
bekannt, dass Verstöße gegen das Datengeheimnis sowohl arbeits- als auch strafrechtlich
verfolgt werden können. Sie können auch Anlass einer außerordentlichen Kündigung sein.
Meine sich aus Arbeitsvertrag und -ordnung ergebende Geheimhaltungsverpflichtung wird
durch diese Verpflichtung nicht berührt. Eine Kopie dieser Verpflichtungserklärung und ein
Merkblatt zum Datenschutz habe ich erhalten.
Ort, Datum
______________________________________
(Unterschrift Arbeitnehmer/in / Auszubildende/r
Kopien:
1x Arbeitnehmer/in / Auszubildende/r
1x Personalakte
51
Anlage 6:
Gesetzestext BDSG
52