Darf WhatsApp zur Kommunikation mit Kunden/Mitarbeitern verwendet werden?

Der Einsatz von WhatsApp sollte gut überlegt sein. Hierfür gibt es mehrere Gründe. Zum einen synchronisiert WhatsApp alle Kontakte, die im Telefonbuch gespeichert sind. Unabhängig davon, ob der Kontakt bereits WhatsApp nutzt oder nicht. Man spricht hier von einer sog. Datenübermittlung an WhatsApp, die einer Rechtmäßigkeit nach Art. 6 DSGVO bedarf. Zudem teilt WhatsApp viele Informationen zur Kommunikation innerhalb der Facebook-Unternehmensgruppe. Alternativen zu WhatsApp können z.B. Threema, Hoccer oder Wire darstellen.

Gilt das Datenschutzrecht auch im privaten Bereich?

Die DSGVO findet keine Anwendung, wenn es um die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht (Art. 2 Abs. 2 lit c DSGVO). D.h. Sie müssen Ihre Bekannten nicht gemäß Art. 13 DSGVO informieren, sobald Sie deren Kontaktdaten in Ihrem privaten Adressbuch speichern. Ebenso bedarf es hier auch keiner Rechtmäßigkeit nach Art. 6 DSGVO.

Wie kann ich meine Informationspflichten erfüllen?

Die Informationspflichten nach Art. 13 und 14 DSGVO können auch in abgestufter Form (mit „Medienbruch“) erfüllt werden. So können die „ersten“ Informationen direkt gegeben werden. Auf die Weiteren kann etwa per Link oder QR-Code verwiesen werden (z.B. auf der Website). Eine weitere Möglichkeit wäre ein Verweis auf ein Infoblatt, das an einem bestimmten Ort bereitgehalten wird.

Welche Arten von Daten sind durch die DSGVO geschützt?

Die DSGVO schützt alle Arten von Daten, die einen Personenbezug aufweisen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „betroffene Person“) beziehen lassen. D. h. auch Kennungen wie z.B. eine Mitarbeiternummer sind personenbezogene Daten im Sinne der DSGVO.
Beispiele für personenbezogene Daten:
• Name, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail-Adresse
• Konto-, Kreditkartennummer
• Kfz-Kennzeichen
• Personalausweisnummer
• IP-Adresse
• Werturteile wie zum Beispiel Zeugnisse
• Fotos
Sind Daten nicht personenbeziehbar (anonymisierte Daten), so sind Datenschutzgesetze nicht zu beachten.

Ich habe nur Firmenkunden. Muss ich den Datenschutz trotzdem beachten?

Der Datenschutz ist grundsätzlich auch bei Firmenkunden zu beachten. Einzelangaben über juristische Personen, wie z.B. ein Firmenname und -anschrift oder eingetragene Vereine, sind keine personenbezogenen Daten.
In der Regel haben Sie bei Firmenkunden aber einen Ansprechpartner und verarbeiten dessen Name, E-Mail-Adresse, Funktion im Unternehmen. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Gilt die DSGVO auch bei Daten, die nur in Papierform verarbeitet werden?

Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung.
Es wird lediglich von einer Verarbeitung in einem Dateisystem gesprochen. In der Praxis heißt dies, dass eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein muss, damit sich die DSGVO auf Papierverarbeitung auswirkt (geordnet abgelegt).

Ist eine Einwilligung immer notwendig?

Nein. Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, rechtliche Grundlage, berechtigtes Interesse). Typisch für eine einwilligungspflichtige Verarbeitung wäre das Anmelden bei einem Newsletter. Beruht die Datenverarbeitung auf einer anderen Basis gemäß Art. 6 DSGVO, ist eine zusätzliche Einwilligung nicht notwendig.
Wichtig zu wissen: Die Verarbeitungsgrundlage bezieht sich immer auf den zuvor bestimmten Zweck. Sollte sich hier eine Veränderung ergeben, ist auch eine neue Rechtmäßigkeit gem. Art. 6 DSGVO notwendig.

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn der Zweck, für den sie erhoben worden sind, erfüllt ist.
Zu beachten sind hier jedoch die gesetzlichen Aufbewahrungsfristen. D. h. auch wenn der Zweck weggefallen ist, sind aufbewahrungspflichtige Dokumente weiterhin zu speichern bzw. erst nach Ablauf der Frist zu löschen (Bsp. HGB, AO).
Vor dem Hintergrund der Datenminimierung und Speicherbegrenzung ist daher ein Löschkonzept für jedes Unternehmen zu empfehlen.

Muss Datenschutz nur beachtet werden, wenn ein Unternehmen in der Pflicht ist, einen Datenschutzbeauftragten zu bestellen?

Nein, auch wenn keine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, sind die Vorgaben der DSGVO trotzdem einzuhalten. Dies kann dann Aufgabe der Geschäftsführung sein.

Wie können die Informationspflichten am Telefon oder bei Visitenkarten erfüllt werden? Muss man hier ein Informationsblatt vorlesen/ausgeben?

Nein, während des Telefonats oder des Austausches von Visitenkarten können die Informationspflichten zunächst vernachlässigt werden. Wird mit dem Interessenten jedoch zum ersten Mal Kontakt aufgenommen (per Mail, Brief) sollte hier auf die datenschutzrechtlichen Informationen verwiesen werden. Dies kann z.B. wieder mit einem Link oder einem QR-Code auf die Website erfolgen.