≡ Suche
≡ Login

Benutzeranmeldung

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:
Anmelden

schließen

Stichwortsuche

schließen

Skip to main content

FAQ zum Datenschutz

Die neue Datenschutz-Grundverordnung ergänzt und ersetzt ab dem 25. Mai 2018 das bisherige Bundesdatenschutzgesetz. Vielfach wird diese Gesetzesänderung stark dramatisiert. Wir haben den Versuch unternommen, die wichtigsten Fragen von Bestattern zu beantworten.

Welches Ziel verfolgt der gesetzliche Datenschutz?

Wie schon bisher beim Bundesdatenschutzgesetz geht es im Wesentlichen darum, dass die bei einem Unternehmen vorhandenen Daten natürlicher Personen nicht in die Hände unbefugter Dritter gelangen. Datenschutz meint also alle Vorkehrungen organisatorischer oder technischer Natur vor einem unberechtigten Zugriff auf Daten, die das Unternehmen/der Unternehmer eigentlich nur für seine Zwecke mit der entsprechenden Berechtigung gespeichert hat.

Wann muss ein Bestatter einen Datenschutzbeauftragten benennen?

Wenn im Betrieb mehr als neun Personen ständig mit der automatisierten Verarbeitung von Daten natürlicher Personen befasst sind. Es spielt keine Rolle, ob die betreffenden Personen geringfügig, in Teilzeit oder in Vollzeit beschäftigt sind. Nicht unter „Datenverarbeitung“ fällt die bloße Kenntnisnahme von Kundendaten. Wenn Mitarbeiter zum Beispiel nur mit der hygienischen Totenversorgung befasst sind oder ein Bestattungshelfer beim Leichentransport  hilft oder als Sargträger fungiert , handelt es sich gewiss nicht um Datenverarbeitung, selbst wenn der Mitarbeiter den Namen des Verstorbenen erfährt oder dem Mitarbeiter der Termin der Bestattung per E-Mail oder WhatsApp mitgeteilt wird. Es geht also vor allem darum, festzustellen, wie viele Mitarbeiter einen Zugriff auf die Kundendatenbank haben. Dann spielt es auch keine Rolle, wenn die Mitarbeiter auf einem Friedhof ein Erinnerungsfoto von der Blumendekoration für die Angehörigen machen.

Wann darf man Daten überhaupt verarbeiten bzw. nutzen?

Dies ist nur zulässig, wenn eine Einwilligung des Betroffenen vorliegt oder durch eine gesetzliche Vorschrift erlaubt wird. Allerdings muss es sich immer um die Daten einer natürlichen Person handeln. Unternehmensdaten fallen nicht unter die Datenschutz Grundverordnung!

Wann liegt eine gesetzliche Erlaubnis vor?

Am relevantesten ist sicherlich der Abschluss eines Bestattungsvertrages einschließlich dessen Anbahnung und sich daran anschließende weitere Kundenanschreiben, etwa im Zusammenhang mit einer Zufriedenheitsabfrage, wie sie bei der Initiative „QIH – Qualität im Handwerk“ erfolgt. Wirbt man per E-Mail, bedarf es der Einwilligung des Vertragspartners, der in einem Bestattungsverfall immer ein Verbraucher/natürliche Person ist. Andere Formen der Direktwerbung bleiben grundsätzlich zulässig.

Welche Anforderungen muss eine Einwilligung erfüllen?

Die Einwilligung darf nicht unter Druck oder Zwang zustande kommen. Es genügt die Textform. Dabei ist der jeweils Einwilligende auf sein jederzeitiges Widerrufsrecht hinzuweisen. Es versteht sich von selbst, dass der Einwilligungsempfänger seine Identität, den Umfang der erhobenen Daten und den Zweck seiner Datenerhebung offen legen muss. Die Einwilligungserklärung sollte optisch hervorgehoben sein und muss aktiv erfolgen, zum Beispiel durch das Anklicken eines entsprechenden Kästchens auf einer Internetseite. Die spezielle Einwilligung ist jedoch ausdrücklich nicht erforderlich, wenn die Daten des Kunden für die Abwicklung eines Vertrages mit ihm ohnehin erfasst werden!

Was verbirgt sich hinter Auftragsbearbeitung?

Der Begriff ist etwas missverständlich. Es geht nicht um den Auftrag, den der Wohnhandwerker von seinem Kunden erhält. Vielmehr geht es darum, dass ein Wohnhandwerker die Datenverarbeitung durch einen Dienstleister vornehmen lässt, etwa die Lohn- oder Finanzbuchhaltung durch einen Steuerberater. Dann sollte in Textform eine vertragliche Regelung zwischen dem Auftragverarbeiter (z. B. Steuerberater) und dem Bestatter bestehen hinsichtlich des Inhaltes des Auftrags, dessen Dauer und der organisatorischen Zusammenhänge. Vor allem hat der betreffende Dienstleister das Datenschutzgeheimnis zu wahren und Weisungen seines Auftraggebers, also des Bestatters, gerade auch in dieser Hinsicht Folge zu leisten.

Inwieweit sind Mitarbeiter, Subunternehmer oder andere an der Abwicklung des Bestattungsauftrages Beteiligte in den Datenschutz mit einzubeziehen?

In allen Fällen sollten die vorgenannten Dritten zumindest eine Verschwiegenheitsverpflichtung unterschreiben. Die vom Auftraggeber des Bestatters erteilte Vollmacht zur Abwicklung der Formalitäten sollte umfassend sein. Damit kann verhindert werden, dass zum Beispiel Kirchengemeinden für die Veröffentlichung des Sterbefalls und damit zusammenhängender Termine in eigenen kirchlichen Publikationen zusätzlich eine Unterschrift von Angehörigen unter der diesbezüglichen Einverständniserklärung fordern.

Wie muss sich der Bestatter gegenüber der natürlichen Person verhalten, von der die Daten erhoben werden?

Der Bestatter muss seinem Kunden auf dessen Ersuchen hin Auskunft erteilen über die gespeicherten Daten. In aller Regel wird es sich um die normalen Kontaktdaten der betreffenden Person handeln wie Name, Adresse und Bankverbindung sowie der für die Abwicklung der Bestattung notwendigen Angaben des Verstorbenen. Vor allem soll auch angegeben werden, wie lange die Daten gespeichert werden. Dies wird vor allem abhängig sein davon, aus welchen anderen Gründen der Bestatter als Unternehmer verpflichtet ist, Daten vorzuhalten im Hinblick auf seine Pflichten aus kaufmännischer bzw. steuerlicher Sicht und aus landesspezifischen bestattungsrechtlichen Vorgaben.

Was hat es mit den sogenannten Dokumentationspflichten auf sich?

Jeder Bestatter, der personenbezogene Daten verarbeitet, ist verpflichtet, seine sämtlichen Verarbeitungsprozesse im sogenannten Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Dieses Verarbeitungsverzeichnis muss enthalten die genauen Angaben zum Betrieb und seiner eventuellen gesetzlichen Vertreter, den Zweck der Verarbeitung, die Unterscheidung von Kategorien verschiedener betroffener Personen (Kunden, Zulieferer, Mitarbeiter…), Beschreibung der Kategorien personenbezogener Daten (gibt es besonders sensible Daten etwa von Mitarbeitern), eine Darstellung, an wen die Daten gegebenenfalls weitergegeben werden (zum Beispiel Inkasso-  oder Factoring-Unternehmen), die Fristen für die Löschung von Daten und eine Beschreibung der technischen und organisatorischen Maßnahmen zur Vertraulichkeit, Integrität, Verfügbarkeit und Trennung der Daten verschiedener Personenkategorien.

Wann und wem ist das Verarbeitungsverzeichnis vorzulegen?

Lediglich der Aufsichtsbehörde müssen die Verzeichnisse der Verarbeitungstätigkeiten zur Verfügung gestellt werden und das auch nur auf Anfrage. Zugleich ist die bisherige Regelung im BDSG, welche ein allgemeines öffentliches Verfahrensverzeichnis mit einem Einsichtsrecht für jedermann vorsah, entfallen!

Was hat es mit dem Datenschutzhinweis auf sich?

Bei einer Website muss sich auf der ersten Seite schon direkt ein Hinweis auf das Impressum und auf den Bereich Datenschutz befinden. Es genügt nicht, dass unter dem Hinweis „Impressum“ auch Datenschutzhinweise stehen. Vielmehr muss auf den Datenschutz gleich schon auf der ersten Seite hingewiesen werden etwa durch die Anklickmöglichkeit „Impressum/Datenschutzhinweis“. Wir halten im Downloadbereich verschiedene Formulare für den Datenschutzhinweis vor, u. a. in einer ausführlichen Fassung unter Berücksichtigung, dass soziale Medien und Analysewerkzeuge genutzt werden. Es ist immer notwendig, mit seinem Dienstleister, der die Websites betreut, abzuklären, in welchem Umfang der Datenschutzhinweis abgedruckt werden muss. Normalerweise genügt es, die vereinfachte Version des Datenschutzhinweises auf seiner Internetseite unter einem eigenen Klick anzulegen.

Muss ich bei meiner Website noch etwas beachten?

Wenn Ihre Website über ein Kontaktformular verfügt, muss die Webseite in jedem Fall mit einem Sicherheitszertifikat ausgestattet sein, erkennbar etwa an der Internetseitenbezeichnung https statt http. Es ist strittig, ob generell alle Webseiten umgestellt werden müssen. Bei ganz einfachen Webseiten wird dies wohl nicht notwendig sein. Auf der sicheren Seite ist man in jedem Fall mit der Umstellung auf https mit einer sogenannten SSL-Verschlüsselung. Soweit personenbezogene Daten auf der Internetseite verarbeitet werden, ist die Umstellung auf https als technisch-organisatorische Maßnahme anzusehen, die vor unbefugten Datenzugriffen schützt. Da die Umstellung ohne großen Aufwand erfolgen kann, kann man das Unterlassen dem Betreiber der Website als fehlende technisch-organisatorische Schutzmaßnahme anlasten – unter Umständen mit der Folge, dass eine wettbewerbsrechtliche Abmahnung erfolgreich sein könnte.

Darf ich ein Kontaktformular auf meiner Website benutzen?

Sofern ein Kontaktformular auf der Website benutzt wird, ist ein Pflichtfeld vorzusehen, wonach der Nutzer aufgefordert wird, ein Häkchen zu setzen, dass er den Datenschutzhinweis gelesen hat.

 

Weitere Infos unter: www.bfdi.de

Dort finden sich auch Musterformulare!