Zum Inhalt springen

Datenschutz

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Out­look (mal wie­der) neu­gie­ri­ger als notwendig

Der eine oder ande­re Leser wird ein klei­nes Aha-Erleb­nis haben. Da war doch was? Genau. Im Zusam­men­hang mit den Out­look-Apps für Smart­phones wur­de Kri­tik an Micro­soft laut, weil Zugangs­da­ten auch von Nicht-Micro­soft-Mail-Kon­ten zu Micro­soft abge­flos­sen sind. Nun ist die neue Out­look for Desk­top Ver­si­on am Start und das Pro­blem scheint sich zu wiederholen.

Daten­schüt­zer schla­gen Alarm

Sobald die neue Ver­si­on von Out­look instal­liert und kon­fi­gu­riert bzw. in der bis­he­ri­gen Ver­si­on der Switch “Neue Ver­si­on nut­zen” akti­viert wird, flie­ßen die Zugangs­da­ten aller ein­ge­rich­te­ten Mail­kon­ten zu Micro­soft in die Cloud ab. Und das eben nicht nur für Mail­kon­ten, die bei Micro­soft gehos­tet wer­den, son­dern auch die von allen ande­ren Anbie­tern. Die sei­tens Micro­soft nur vage umris­se­nen Grün­de für die­ses Ver­hal­ten sind nicht sehr auf­schluß­reich, war­um dies so sein muss bzw. wel­chen Zweck das haben soll. So moniert der frü­he­re Lan­des­da­ten­schutz­be­auf­trag­te Baden-Würt­tem­berg, Brink gegen­über Hei­se die man­geln­de Transparenz.

Am 17.11.2023 ver­öf­fent­lich­te der Lan­des­da­ten­schutz­be­auf­trag­te Thü­rin­gen eine Pres­se­mel­dung und warn­te offi­zi­ell vor der Nut­zung des neu­en Out­look: “Momen­tan rät der TLf­DI daher drin­gend dazu, sich die Geneh­mi­gung für die­sen tief­grei­fen­den Ein­griff in die Pri­vat­sphä­re durch die App „Neu­es Out­look“ bes­tens zu über­le­gen.” Die Emp­feh­lung lau­tet deut­lich, wei­ter­hin die bis­he­ri­ge (“klas­si­sche”) Ver­si­on von Out­look zu nut­zen bzw. sich der Fol­gen der Nut­zung des neu­en Out­look bewusst zu sein.

Da Micro­soft nicht nur die Zugangs­da­ten abzieht, son­dern auch die Inhal­te der Post­fä­cher in sei­ne Cloud “spie­gelt” warnt Brink vor mög­li­chen Risi­ken im Hin­blick auf unbe­ab­sich­ti­ge Ver­öf­fent­li­chung von Geschäfts- /​ Dienst­ge­heim­nis­sen.

Wer “Do not track” (DNT) im Brow­ser igno­riert, muss fühlen

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Das Busi­ness-Netz­werk Lin­ke­dIn hat nach dem Abstieg von X (ehe­mals Twit­ter) wei­te­ren Zulauf zu ver­zeich­nen, wie eini­ge ande­re Alter­na­ti­ven (Mast­o­don, Blues­ky) auch. Umso inter­es­san­ter ist das durch die Bun­des­ver­brau­cher­zen­tra­le vor dem Land­ge­richt erstrit­te­ne Urteil gegen die Betrei­be­rin des Netz­werks, die Lin­ke­dIn Ire­land Unli­mi­t­ed Company.

Lin­ke­dIn weist auf sei­ner Web­sei­te (dem Netz­werk) dar­auf hin, dass es die Vor­ein­stel­lung Do-Not-Track (DNT) im Brow­ser eines Besu­chers igno­rie­ren wird. DNT wur­de vor Jah­ren als Kon­fi­gu­ra­ti­ons­mög­lich­keit in den meis­ten gän­gi­gen Brow­sern ein­ge­führt, um dem Betrei­ber einer Web­sei­te von vorn­her­ein zu signa­li­sie­ren, dass man nicht “getrackt” wer­den möch­te, das Surf­ver­hal­ten also nicht auf­ge­zeich­net und ana­ly­siert wer­den soll. Der Web­sei­ten­be­su­cher wider­spricht qua­si per Brow­ser-Vor­ein­stel­lung dem Web­track­ing. Wenig ver­wun­der­lich, dass die­ser Umstand dem einen oder ande­ren Web­sei­ten­be­trei­ber nicht in den Kram passt.

Lin­ke­dIn hat­te auf sei­ner Inter­net­sei­te mit­ge­teilt, dass es die­se DNT-Ein­stel­lung bewußt igno­riert und somit  gegen den Wil­len der Nut­zer per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se und Infor­ma­tio­nen über die Nut­zung der Web­sei­te etwa für Ana­ly­se- und Mar­ke­ting­zwe­cke aus­wer­tet und auch an Dritt­an­bie­ter wei­ter­ge­ben wird.

Das Land­ge­richt Ber­lin ent­schied im Sin­ne der Ver­brau­cher­zen­tra­le. Der Wider­spruch gegen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch auto­ma­ti­siert (also durch Vor­ein­stel­lung) aus­ge­spro­chen wer­den und muss vom ver­ant­wort­li­chen Web­sei­ten­be­trei­ber beach­tet wer­den. Der Wider­spruch sei wirksam.

Das Urteil mit dem Akten­zei­chen 16 O 420/​19 ist noch nicht rechts­kräf­tig, hat aber Signalwirkung.

Sie betrei­ben eine Web­sei­te mit Web­track­ing? Schau­en Sie sicher­heits­hal­ber mal nach, ob die Opti­on “DNT igno­rie­ren” akti­viert ist. Wenn ja … sie­he oben 🙂

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

In den meis­ten Brow­sern hat die­se Funk­ti­on ohne viel Tam­tam Ein­zug gehal­ten. Oft­mals gut ver­steckt in den Ein­stel­lungs­me­nüs und lei­der nicht immer vor­ein­ge­stellt aktiv. Hier erfah­ren Sie mehr über die Akti­vie­rung und Einstellmöglichkeiten:

In der Such­ma­schi­ne Ihrer Wahl fin­den Sie mit­tels Anga­be des Brow­ser­na­mens und des Begriffs “do not track” auch die Ein­stell­mög­lich­kei­ten für Brow­ser ande­rer Hersteller.

New work und der Datenschutz

Die Coro­na-Pan­de­mie hat der Arbeits­welt gezeigt, dass es auch anders gehen kann bezie­hungs­wei­se anders gehen muss. Die Lern­kur­ve in Bezug auf mobi­les Arbei­ten, Arbei­ten aus dem Home Office und der dazu­ge­hö­ri­gen Nut­zung digi­ta­ler Tools wie Video­kon­fe­ren­zen war für zahl­rei­che Orga­ni­sa­tio­nen beacht­lich steil. Und als net­ten Neben­ef­fekt haben sich die Her­stel­ler von Head­sets und Web­cam dar­über auch sehr gefreut. Weni­ger erfreut sind die Ver­mie­ter von Büro­flä­chen, was auch nach­voll­zieh­bar ist. In der Fol­ge muss­ten sich auch Füh­rungs­kräf­te zwangs­läu­fig umstel­len. Denn die anver­trau­ten Mit­ar­bei­ter waren nun nicht mehr von “9 to 5” (Grü­ße an Dol­ly Par­ton) im Büro anwe­send und damit qua­si ihrer Auf­sicht ent­zo­gen. Und da gin­gen für die eine oder ande­re Füh­rungs­kraft die Pro­ble­me und Sor­gen los. 🙂

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — zustän­dig für nicht-öffent­li­che Stel­len, also Unter­neh­men in Bay­ern hat dazu einen inter­es­san­ten Arti­kel im 12. Tätig­keits­be­richt 2022 (Sei­te 54) geschrie­ben. Und die behan­del­ten Anfra­gen rund um das The­ma Mit­ar­bei­ter­über­wa­chung im Home Office hal­ten wir für erschre­ckend. Eigent­lich waren wir aber dann doch nicht wirk­lich über­rascht, da uns selbst zu Beginn von Coro­na eine Anfra­ge einer kom­mu­na­len Füh­rungs­kraft erreich­te: “Dür­fen wir unse­re Mit­ar­bei­ter im Home Office dazu ver­pflich­ten, sich zu Dienst­be­ginn in einem Video­ka­nal anzu­mel­den, in dem alle Mit­ar­bei­ter im Home Office auf­ge­schal­tet sind, und die Video­ka­me­ra den gan­zen Tag anzu­las­sen? Nur so kön­nen wir fest­stel­len, ob sich der Mit­ar­bei­ter wäh­rend der vor­ge­schrie­be­nen Arbeits­zeit am Schreib­tisch auf­hält. Die fort­lau­fen­de Sicht­kon­trol­le den Tag über wür­de ich als Füh­rungs­kraft von mei­nem PC aus durch­füh­ren.” Und damit ist eigent­lich auch schon viel zum The­ma Füh­rungs­kraft, aber auch der Akzep­tanz von new work gesagt 🙂

Doch schau­en wir mal in den Arti­kel des BayL­DA. Kern­the­ma der Anfra­gen war die daten­schutz­recht­li­che Zuläs­sig­keit einer Über­wa­chung der Mit­ar­bei­ter im Home Office. Und hier wur­den teil­wei­se wirk­lich schwe­re Geschüt­ze aufgefahren.

New work und GPS-Überwachung

Ein Arbeit­ge­ber woll­te die phy­si­ka­li­sche Anwe­sen­heit des Mit­ar­bei­ter im Home Office mit­tels GPS-Ortung sicher­stel­len. Beim Lesen des Tätig­keits­be­richts hat­ten wir bild­lich einen Mit­ar­bei­ter mit ange­leg­ter elek­tro­ni­scher GPS-Fuß­fes­sel vor Augen. Auf­grund des erheb­li­chen Miß­brauch­po­ten­ti­als die­ser Tech­no­lo­gie emp­fahl das BayL­DA auf mil­de­re Mit­tel wie z.B. einen Kon­troll­an­ruf per Tele­fon aus­zu­wei­chen. Die Nut­zung einer hier­für genutz­ten pri­va­ten Ruf­num­mer des Mit­ar­bei­ters wäre über die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu beschrei­ben und — sofern schon in den Stamm­da­ten vor­han­den — eine nach­träg­li­che Zweck­än­de­rung durch­zu­füh­ren und zu doku­men­tie­ren. Das BayL­DA schreibt im Zusam­men­hang mit die­sen Anru­fen zu Kon­troll­zwe­cken von Stich­pro­ben­an­ru­fen. Eine Stich­pro­be defi­niert sich dadurch, dass nicht alle Mit­ar­bei­ter im Home Office ange­ru­fen wer­den und auch nicht alle 30 Minu­ten das Tele­fon klin­gelt 🙂 Oder wie es das BayL­DA for­mu­liert: “Die Häu­fig­keit der Stich­pro­ben­kon­trol­len muss sich dabei an der Erfor­der­lich­keit und Ver­hält­nis­mä­ßig­keit mes­sen las­sen.” Als Rechts­grund­la­ge kann sich das BayL­DA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kon­trol­le (in) der Wohnung

Wie schreibt es das BayL­DA: “…, kri­tisch zu sehen.” Stich­wort: Unver­letz­lich­keit der Wohnung.

New work und Keylogger

Den Ein­satz von Key­log­gern (also das auto­ma­ti­sier­te und fort­lau­fen­de Auf­zeich­nen der gedrück­ten Tas­ten im Hin­ter­grund) stuft das BayL­DA als nicht zuläs­sig ein. Aus­nah­me: Einen auf kon­kre­te Tat­sa­chen gegrün­de­ten Ver­dacht zumin­dest einer schwer­wie­gen­den Pflicht­ver­let­zung oder Straf­tat. Gute Füh­rungs­kräf­te wis­sen, dass eine Über­wa­chungs­pa­ra­noia auf Ver­dacht damit nicht zu legi­ti­mie­ren ist.

Fazit

New work ist natür­lich mehr als das Arbei­ten im Home Office. Für vie­le Orga­ni­sa­tio­nen war durch Coro­na das Home Office jedoch ein ers­ter Kon­takt mit die­sem wirk­lich span­nen­den und zukunfts­träch­ti­gen The­ma. Das sich die Arbeits­welt und auch die Art, wie Arbeit geleis­tet wird, in einer umfas­sen­den Pha­se der Ver­än­de­rung sind, ist nicht zu bestrei­ten. Die Fra­ge ist, wie geht man als Orga­ni­sa­ti­on und als Füh­rungs­kraft damit um? Das der Daten­schutz einem über­bor­den­den Kon­troll­zwang einen Rie­gel vor­schiebt, mag die eine oder ande­re Füh­rungs­kraft nega­tiv emp­fin­den. Dazu soll­te man sich aber, mit einem Augen­zwin­kern, vor Augen hal­ten, dass die Leib­ei­gen­schaft dann doch schon vor eini­gen Jah­ren abge­schafft wur­de. 🙂 Ob der Auf­wand für die­se zuvor skiz­zier­ten Bei­spie­le inner­li­cher Kon­troll­zwän­ge im Ver­hält­nis zu dem mög­li­cher­wei­se ver­mut­lich fest­ge­stell­ten Arbeits­zeit­ver­lust besteht, darf man ruhig in Zwei­fel ziehen.

New work defi­niert unter dem Begriff new lea­der­ship: “Eine Ver­trau­ens­kul­tur und Empa­thie erset­zen streng hier­ar­chi­sche Füh­rungs­sti­le. Haupt­auf­ga­be der neu­en Füh­rungs­kräf­te ist es, die Mit­ar­bei­ter­zur Eigen­ver­ant­wor­tung zu befä­hi­gen und ihre Stär­ken zu för­dern.” Und dem steht der Daten­schutz mit Sicher­heit nicht im Weg 😉

 

 

 

 

Umgang mit Bewer­ber­da­ten aus Datenschutz-Sicht

Wer mit Bewer­bun­gen zu tun hat, der weiß, dar­in sind sehr vie­le per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Und nicht nur die Men­ge ist beacht­lich, auch die Sen­si­bi­li­tät der Daten muss berück­sich­tigt wer­den. Fal­len doch eini­ge der Anga­ben unter die sog. Arti­kel-9-Daten (die beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten). Grund genug, für die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit in ihrem Tätig­keits­be­richt 2022 unter 8.2 Löschung von Bewer­ber­da­ten etwas über den Umgang mit Bewer­ber­da­ten zu schreiben.

Umgang mit Bewerberdaten

Irgend­wann ist die Aus­wahl geeig­ne­ter Beset­zun­gen für die aus­ge­schrie­be­nen Posi­tio­nen been­det. Doch was tun mit den ange­fal­le­nen Daten von Bewer­bern? Die­ser Fra­ge geht die Ber­li­ner Lan­des­da­ten­schutz­be­auf­trag­te in ihrem Tätig­keits­be­richt 2022 nach. Kur­ze Zusammenfassung:

  1. Wird die Bewer­bung zurück­ge­zo­gen, sind die Daten unver­züg­lich zu löschen.
  2. Lehnt man einen Bewer­ber ab, kön­nen die Unter­la­gen bis zu sechs Mona­te auf­be­wahrt wer­den zwecks Abwehr mög­li­cher Rechts­an­sprü­che (Rechts­mit­tel­fris­ten des All­ge­mei­nen Gleich­be­hand­lungs­ge­set­zes AGG und des Arbeits­ge­richts­ge­set­zes ArbGG).
  3. Beauf­tra­gung eines Dienst­leis­ters zur Per­so­nal­ge­win­nung zuläs­sig, aber im Zwei­fel eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO.
  4. Wird man ein­ge­stellt, sind alle für das Arbeits­ver­hält­nis nicht not­wen­di­gen Unter­la­gen aus der Bewer­bung zurück­zu­ge­ben bzw. zu löschen.
  5. Eine unbe­grenz­te Spei­che­rung der Bewer­bungs­un­ter­la­gen ist nicht zuläs­sig. Sie wol­len poolen? -> Akti­ve, frei­wil­li­ge und infor­mier­te Einwilligung
  6. Lösch­kon­zept für ana­lo­ge und digi­ta­le Bewer­ber­da­ten mehr als hilfreich.

Sie suchen Unter­stüt­zung im Umgang mit Bewer­ber­da­ten aus Daten­schutz-Sicht für Ihre Orga­ni­sa­ti­on? Spre­chen Sie uns doch ein­fach an. Seit 2007 ste­hen wir Unter­neh­men und Behör­den rund um die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit zur Seite.

Mal eben kurz das Social Net­work scannen

Der Hes­si­sche Daten­schutz- und Infor­ma­ti­ons­frei­heits­be­auf­trag­te (HBDI) hat in sei­nem 51. Tätig­keits­be­richt für das Jahr 2022 ein inter­es­san­tes und auch bei unse­ren Kun­den wie­der­keh­ren­des The­ma auf­ge­grif­fen. Unter der etwas sper­ri­gen Über­schrift “Acti­ve Sourcing zur Gewin­nung von Bewer­be­rin­nen und Bewer­bern” befasst sich der HBDI auf den Sei­ten 156 bis 161 recht aus­führ­lich mit der Fra­ge­stel­lung, ob und inwie­weit Sozia­le Netz­wer­ke wie Lin­ke­dIn oder XING, aber auch das Inter­net an sich zur akti­ven Gewin­nung neu­er Mit­ar­bei­ter durch die Per­so­nal­ab­tei­lung oder Per­so­nal­dienst­leis­ter genutzt wer­den dürfen.

Der Stein des Anstoßes

Eine Beschwer­de­füh­re­rin wand­te sich an den HBDI, da sie ein Schrei­ben eines Per­so­nal­dienst­leis­ters erhielt, in dem sie gemäß Art. 14 DSGVO über die Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten in eine Recrui­ting-Daten­bank infor­miert wur­de. Der Dienst­leis­ter stieß über eine Such­ma­schi­ne anhand von Qua­li­fi­ka­ti­ons­kri­te­ri­en und Tätig­keits­an­ga­ben auf die im beruf­li­chen Kon­text betrie­be­ne Web­sei­te der Beschwer­de­füh­re­rin und ent­nahm die­ser die Kon­takt­da­ten (per­so­nen­be­zo­ge­ne Daten). Über die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­mier­te der Dienst­leis­ter mit sei­nem Schrei­ben die Betrof­fe­ne u.a. zu Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten zum Zwe­cke der Per­so­nal­ver­mitt­lung in die Daten­bank des Dienst­leis­ters,  die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie des Daten­schutz­be­auf­trag­ten und der Hin­weis auf das mög­li­che Wider­spruchs­recht. Der HBDI prüf­te im Fol­gen­den die Recht­mä­ßig­keit der Ver­ar­bei­tung (Rechts­grund­la­ge) sowie die trans­pa­ren­te und voll­stän­di­ge Ertei­lung der Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO.

Um es kurz zu machen: Alles roger! In die­sem kon­kre­ten Fall

Als Rechts­grund­la­ge sieht der HBDI Art. 6. Abs. 1 Buch­sta­be f DSGVO, das sog. “berech­tig­te Inter­es­se” des Per­so­nal­dienst­leis­ters. Bei Gel­tend­ma­chung des berech­tig­ten Inter­es­ses gilt es, durch den Ver­ant­wort­li­chen zu prü­fen, ob nicht die Inter­es­sen des Betrof­fe­nen an einer Nicht-Ver­ar­bei­tung höher wie­gen als die eige­nen Inter­es­sen (sog. Inter­es­sens­ab­wä­gung, die auch zu doku­men­tie­ren ist). Das wirt­schaft­li­che Inter­es­se des Dienst­leis­ters wird in die­sem kon­kre­ten Fall sei­tens des HBDI als höher­wer­tig ange­se­hen. Dies ist jedoch an die Vor­aus­set­zun­gen geknüpft, dass die per­so­nen­be­zo­ge­nen Daten in berufs­be­zo­ge­nen Netz­wer­ken oder auf im beruf­li­chen Kon­text betrie­be­nen Web­sei­ten all­ge­mein zugäng­lich sind, d.h. es kei­ner­lei Zugriffs­be­schrän­kun­gen gibt. Dabei wäre nach unse­rem Dafür­hal­ten auch zu berück­sich­ti­gen, ob bei den Kon­takt­da­ten kei­ne ent­ge­gen­ste­hen­de Aus­sa­gen getrof­fen wer­den wie “Hier­mit wider­spre­che ich der Auf­nah­me mei­ner Kon­takt­da­ten in Recrui­ting-Daten­ban­ken” (oder sinn­ge­mäß ähnlich).

Als Beson­der­heit führt der HBDI den mög­li­chen Fall der Ein­schrän­kung von Nut­zer­pro­fi­len in Netz­wer­ken an. Hier­bei sind die Kon­takt­da­ten des Nut­zers erst nach einer sog. “Ver­net­zung” bzw. Kon­takt­an­fra­ge für den Anfra­gen­den sicht­bar. Der HBDI stellt klar, dass die rei­ne Akzep­tanz einer sol­chen Ver­net­zungs­an­fra­ge noch kei­ne Ein­wil­li­gung in die Auf­nah­me in eine Daten­bank durch den betrof­fe­nen Nut­zer dar­stellt. Viel­mehr muss der Anfra­gen­de in sei­ner Ver­net­zungs­an­fra­ge kon­kret auf den ange­dach­ten Zweck, näm­lich der Kon­takt­auf­nah­me zwecks Erfas­sung der Daten für die Recrui­ting-Daten­bank hin­wei­sen. Eigent­lich logisch, aber sehr gut, dass die­ser Sach­ver­halt noch­mals betont wird.

Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO nicht vergessen

Sind auf die­sem Wege per­so­nen­be­zo­ge­ne Daten für die eige­ne Recrui­ting-Daten­bank gewon­nen, gilt es nun, die Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO umfäng­lich gegen­über dem Betrof­fe­nen zu ertei­len. Dabei darf das Wider­spruchs­recht nach Art. 14 Abs. 2 Buch­sta­be c DSGVO nicht ver­ges­sen wer­den. Denn nur dann gilt in Ver­bin­dung mit der zuvor genann­ten Vor­ge­hens­wei­se lt. HDBI, “dass Acti­ve Sourcing in Über­ein­stim­mung mit den Bestim­mun­gen des Daten­schut­zes erfol­gen kann.”

Hap­py recruiting!

Früh­jahrs­putz für das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Unter dem Titel “Früh­jahrs­putz im Ver­ar­bei­tungs­ver­zeich­nis” hat der Der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz (kurz BayLfD) eine “Aktu­el­le Kurz­in­for­ma­ti­on” mit der Num­mer 47 in der Rei­he sei­ner Kurz­in­for­ma­tio­nen ver­öf­fent­licht. Auch wenn man mit den inhalt­li­chen Anfor­de­run­gen an ein VVT sei­tens des BayLfD nicht unbe­dingt ein­ver­stan­den sein muss (sie­he auch unse­ren Bei­trag unter https://​bdsg​-exter​ner​-daten​schutz​be​auf​trag​ter​.de/​d​a​t​e​n​s​c​h​u​t​z​/​v​e​r​z​e​i​c​h​n​i​s​-​v​o​n​-​v​e​r​a​r​b​e​i​t​u​n​g​s​t​a​e​t​i​g​k​e​i​t​e​n​-​v​v​t​-​s​i​n​n​v​o​l​l​-​u​n​d​-​p​r​a​k​t​i​s​c​h​-​e​r​s​t​e​l​l​e​n​-​u​n​d​-​e​i​n​s​e​t​z​en/, was man in die­sem Punkt bes­ser machen kann), so ist die Idee den­noch mehr als gut, Pro­zes­se zur Pfle­ge und die Aktua­li­tät des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten einer Früh­jahrs­kur zu unterziehen.

Die Abschnit­te der Kurz­in­for­ma­ti­on glie­dern sich wie folgt:

  1. Orga­ni­sa­ti­on: Prü­fen und bei Bedarf Fest­zur­ren von Ver­ant­wort­lich­kei­ten und Pro­zes­sen zum Erstel­len des VVT, Pfle­gen bzw. aktu­ell hal­ten des VVT, Mel­den von Ände­run­gen an bestehen­den Ver­ar­bei­tun­gen aber auch von nicht mehr vor­han­de­nen Ver­ar­bei­tun­gen: Hier­bei soll­te jedoch nicht nur auf die schrift­li­che Rege­lung hier­zu geach­tet wer­den. Die­se muss zwar auch aktu­ell sein, womit der BayLfD voll­kom­men rich­tig liegt. Aber noch viel wich­ti­ger ist, dass die­se Rege­lun­gen dann auch nicht nur auf dem Papier exis­tie­ren, son­dern mit Leben erfüllt wer­den. Fra­ge daher also: “Wer­den die doku­men­tier­ten Pro­zes­se auch tat­säch­lich ange­sto­ßen und durchlaufen?”
  2. Die Ver­zeich­nis­ein­trä­ge an sich prü­fen: Sind die­se aktu­ell? Sind alle neu­en Ver­ar­bei­tun­gen ent­hal­ten? Wur­den bis­he­ri­ge Ver­än­de­run­gen gemel­det und ein­ge­pflegt? Wur­den been­de­te Ver­ar­bei­tun­gen gemel­det und ent­fernt? Im Zwei­fel ist seit der erst­ma­li­gen Erstel­lung im Rah­men der DSGVO etwas Zeit ver­gan­gen und die Ein­trä­ge sind etwas ange­staubt. Prü­fen ist bes­ser als dar­auf ver­trau­en, dass Ver­än­de­run­gen schon irgend­wie an den DSB gemel­det wurden.
  3. Syn­er­gien heben: Scha­de, dass der BayLfD hier die Syn­er­gien z.B. zur Infor­ma­ti­ons­si­cher­heit nicht damit gemeint bzw. die­se nicht inklu­diert hat. Aber auch so ist der Punkt sehr wich­tig, denn zahl­rei­che wei­te­re Auf­ga­ben im Daten­schutz für die ver­ant­wort­li­che Stel­len sind nur mit einem aktu­el­len VVT zu bewäl­ti­gen. Das beginnt mit der rich­ti­gen und voll­stän­di­gen Bear­bei­tung von Betrof­fe­nen­rech­ten, geht über eine Lis­te aktu­el­ler Auf­trags­ver­ar­bei­ter wei­ter und hört mit den Anga­ben zu den Infor­ma­ti­ons­pflich­ten aus Art. 13, 14 DSGVO noch lan­ge nicht auf.

Iro­ni­scher­wei­se gibt es noch einen vier­ten Abschnitt “Fol­gen feh­len­der Aktua­li­tät”.  Bekann­ter­ma­ßen sind öffent­li­che Stel­len im Rah­men der Lan­des­da­ten­schutz­ge­set­ze von spür­ba­ren, sprich schmerz­haf­ten Kon­se­quen­zen bei Miß­ach­tung der Daten­schutz­rechts­vor­schrif­ten aus­ge­nom­men. Aber viel­leicht hilft ja auch der Hin­weis auf den erho­be­nen Zei­ge­fin­ger aus Mün­chen “Du, Du, Du! Du sollst Dich doch an die DSGVO und das BayDSG halten” 🙂

Aber ganz unge­ach­tet des­sen, ob es sich bei der eige­nen Orga­ni­sa­ti­on um eine öffent­li­che oder nicht-öffent­li­che Stel­le han­delt: Wie aktu­ell ist ihr VVT?

Kalen­der-Ein­la­dun­gen zu Bewer­bungs­ge­sprä­chen z.B. in Outloook

Im Tätig­keits­be­richt für das Jahr 2021 hat das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — exter­ner Link: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​b​a​y​l​d​a​_​r​e​p​o​r​t​_​1​1​.​pdf — ein inter­es­san­tes The­ma aus dem Arbeits­all­tag einer jeden Orga­ni­sa­ti­on beleuch­tet. Näm­lich den Umgang mit Bewer­ber­da­ten im Rah­men der Orga­ni­sa­ti­on von Bewer­bungs­ge­sprä­chen. An Bewer­ber­ge­sprä­chen neh­men in den meis­ten Orga­ni­sa­tio­nen nor­ma­ler­wei­se meh­re­re Per­so­nen teil. Eine Ter­min­ein­la­dung über Out­look oder ver­gleich­ba­re Tools bringt die not­wen­di­gen inter­nen Per­so­nen und den /​ die Bewer­ber zum rich­ti­gen Zeit­punkt an den Tisch. Was dabei aus Sicht des BayL­DA so alles aus Sicht des Daten­schut­zes schief­ge­hen kann, fin­det sich ab Sei­te 50 des TB 2021 (oben verlinkt).

Ter­min­ver­ein­ba­run­gen mit Bewer­bern via (Out­look-) Kalendereinladung

Bewer­ber­ma­nage­ment benö­tigt unter ande­rem Ter­mi­ne für die Vor­stel­lungs­ge­sprä­che. Aktu­el­le Kol­la­bo­ra­ti­ons­tools wie z.B. Out­look ver­wal­ten die Ter­mi­ne für die nöti­gen Bewer­bungs­ge­sprä­che samt der dazu­ge­hö­ri­gen Ein­la­dun­gen an die dafür not­wen­di­gen Per­so­nen im Kalen­der der orga­ni­sie­ren­den Per­so­nal­ab­tei­lung aber auch der Teil­neh­mer. Die Ein­tra­gun­gen ent­hal­ten für gewöhn­lich den Namen des Bewer­bers oder der Bewer­be­rin und zumeist Anga­ben zu der Stel­le, auf die sich das Bewer­bungs­ge­spräch bezieht. In man­chen Fäl­len kom­men noch wei­te­re Infor­ma­tio­nen hin­zu. Gele­gent­lich sind zur Infor­ma­ti­ons­ver­tei­lung sogar noch­mals die Bewer­bungs­un­ter­la­gen beigefügt.

Kalen­der-Ein­tra­gun­gen gera­ten schnell zum Datenschutz-Problem

Das BayL­DA hat kei­ne Pro­ble­me damit, dass der Name des Bewer­bers im Kalen­der und in der Ein­la­dung ste­hen. Es hat auch nichts dage­gen, dass das Stich­wort „Bewer­bungs­ge­spräch“ ent­hal­ten ist. Bei allem, was dar­über hin­aus­geht, sieht das BayL­DA jedoch fol­gen­de daten­schutz­recht­li­che Pro­ble­me bzw. Anforderungen

Ein­ge­schränk­ter Zugriff auf die Daten des Bewer­bers (Ver­trau­lich­keit) und Ein­hal­tung eines geeig­ne­ten Lösch­kon­zepts müs­sen sicher­ge­stellt sein

Orga­ni­sa­tio­nen dür­fen Daten von Per­so­nen, die sich bewer­ben, nur an einem Spei­cher­ort spei­chern, der dazu aus der Sicht des Daten­schut­zes geeig­net ist. Dafür muss die­ser Spei­cher­ort zumin­dest zwei Kri­te­ri­en genügen:

  • Es muss ein Zugriffs­kon­zept vor­han­den sein. Es muss also genau defi­niert sein, wer auf die Daten zugrei­fen kann. Der Kreis der Zugriffs­be­rech­tig­ten muss auf ein Min­dest­maß beschränkt sein.
  • Es muss fest­ste­hen, wann und wie gespei­cher­te Daten des Bewer­bers wie­der gelöscht wer­den. Sie dür­fen nur so lan­ge gespei­chert wer­den, wie das erfor­der­lich ist. Auch die­ses Prin­zip ist im Daten­schutz nicht neu.

Bei Kalen­der-Ein­trä­gen und geteil­ten Kalen­ders ist bei­des oft schwierig

Wich­tig dabei: Die­se Kon­zep­te soll­ten nicht nur auf dem Papier vor­han­den sein, son­dern auch — beleg- und nach­voll­zieh­bar — gelebt wer­den. Nicht ganz zu Unrecht kom­men­tiert das BayL­DA dazu, dass “die bei­den zuvor genann­ten Kri­te­ri­en bei Kalen­der­nut­zun­gen in den meis­ten Anwendungsfällen der Pra­xis nicht erfüllt wer­den.” Dies schei­tert zumeist schon an den übli­chen Ver­tre­tungs­re­ge­lun­gen für Mail-Post­fä­cher und Kalen­der. Sie füh­ren dazu, dass immer wie­der auch sol­che Mit­ar­bei­ter  auf Daten Zugriff haben, die über­haupt nicht an Bewer­bungs­ge­sprä­chen betei­ligt sind.

Out­look und ande­re Tools ver­lei­ten zu groß­zü­gi­gen Zugriffsregelungen

Sol­che Kalen­der­frei­ga­ben sind viel­fach sehr groß­zü­gig aus­ge­stal­tet. Das soll Ter­min­pla­nun­gen unter meh­re­ren Betei­lig­ten erleich­tern, was ja durch­aus prak­tisch ist. Es kann aber auch dazu füh­ren, dass Mit­ar­bei­ter Zugriff auf Kalen­der­da­ten haben, obwohl es nicht erfor­der­lich wäre. Das­sel­be gilt bei Grup­pen­post­fä­chern, auf die meh­re­re Per­so­nen Zugriff haben.

Kon­se­quenz des BayL­DA: Ergän­zen­de Unter­la­gen gehö­ren nicht in Outlook-Kalender

Vor die­sem Hin­ter­grund sieht es das BayL­DA sehr kri­tisch, wenn Bewer­bungs­un­ter­la­gen, Gesprächs­no­ti­zen und Vor­be­rei­tungs­ver­mer­ke für ein Bewer­bungs­ge­spräch im Out­look-Kalen­der gespei­chert wer­den. Sie gehö­ren dort nicht hin, son­dern viel­mehr in die Obhut der Stel­le, die für Per­so­nal­an­ge­le­gen­hei­ten der Orga­ni­sa­ti­on zustän­dig ist. Die­se kann bei kon­kre­tem Bedarf den Per­so­nen einen Zugriff ein­räu­men, die am Bewer­bungs­ver­fah­ren mit­wir­ken müssen.

Die Löschung aller Daten muss sicher­ge­stellt sein (Lösch­kon­zept)

Beson­de­ren Wert legt das BayL­DA auf die ord­nungs­ge­mä­ße Löschung der Daten nach dem Abschluss eines Bewer­bungs­ver­fah­rens. Dabei sieht es durch­aus, dass auch dann noch ein Zugriff auf Bewer­ber­da­ten erfor­der­lich sein kann. Das gilt etwa, wenn Berichts­pflich­ten der Orga­ni­sa­ti­on z.B. gegen­über der Agen­tur für Arbeit bestehen.

Vor­sicht Fal­le: Der Aus­kunfts­an­spruch von Bewer­bern geht sehr weit

In der Pra­xis soll­te man sich die Fra­ge stel­len, ob man nicht sogar auf den Namen des Bewer­bers im Out­look-Kalen­der ver­zich­ten soll­te. Denn es kommt immer wie­der vor, dass ein Bewer­ber Aus­kunfts­an­sprü­che nach Art. 15 DSGVO gel­tend macht. Dies ist beson­ders häu­fig, wenn jemand die Stel­le nicht bekom­men hat und bei­spiels­wei­se behaup­tet, das lie­ge an einer Dis­kri­mi­nie­rung sei­ner Per­son. Vie­le Juris­ten sind der Auf­fas­sung, dass sich der Aus­kunfts­an­spruch dann auch auf die Ein­tra­gun­gen im Out­look-Kalen­der erstreckt.

Der Auf­wand, der dadurch ent­steht, ist erheb­lich. Die Orga­ni­sa­ti­on muss näm­lich den gesam­ten Out­look-Kalen­der durch­su­chen las­sen. Außer­dem ist unter Umstän­den eine Abfra­ge dazu erfor­der­lich, wel­che Mit­ar­bei­ter Ein­tra­gun­gen dar­aus über­nom­men und lokal abge­spei­chert haben. Dies alles lässt sich ver­mei­den, wenn der Name des Bewer­bers nicht in den Out­look-Kalen­der auf­ge­nom­men wird.

Fazit: Struk­tur und orga­ni­sa­ti­ons­wei­te Rege­lung notwendig

Im Rah­men eines struk­tu­rier­ten Bewer­bungs­pro­zes­ses soll­te jede Orga­ni­sa­ti­on die­se Aspek­te bereits berück­sich­ti­gen und ver­bind­li­che Vor­ge­hens­wei­sen fest­schrei­ben. Das erleich­tert eine ein­heit­li­che und ver­ein­fach­te Vor­ge­hens­wei­se gegen­über der Metho­de “Jeder macht, was er will” 🙂

Der böse Daten­schutz mal wie­der. Ups, ist ja doch das UWG (Gesetz gegen den unlau­te­ren Wettbewerb)!

Nicht erst seit Mai 2018 und dem Wirk­sam­wer­den der DSGVO hör­te man das Jam­mern ver­schie­de­ner Wer­be­trei­ben­der, man dür­fe ja eigent­lich gar kei­ne Wer­bung mehr machen wegen die­ses blö­den Daten­schut­zes. Oder noch fata­lis­ti­scher: “Dann kann ich mei­nen Ver­trieb gleich ent­las­sen und den Laden dicht­ma­chen!”. Gut. Das kann man so sehen, ist aber halt unrichtig 🙂

Wenn man jede Art von gesetz­li­chem Ver­bot in den gro­ßen und bei den meis­ten auch unde­fi­nier­ten Sam­mel­topf Daten­schutz wirft, dann mag die­ser Trug­schluss nahe lie­gen. Schließ­lich ist Daten­schutz auch am schlech­ten Wet­ter schuld oder dar­an, dass ver­un­fall­te Men­schen auf der Stra­ße lie­gen blei­ben müs­sen und weder vom Not­arzt noch dem Kran­ken­haus nach Ein­lie­fe­rung behan­delt wer­den kön­nen, “weil Daten­schutz” — wie sich ein Ver­tre­ter der medi­zi­ni­schen Lob­by-Zunft letz­tes Jahr hef­tig dane­ben geäu­ßert hat. Kann man alles so sehen, ist aber halt am Ende doch falsch. Wäh­rend man die ers­te Aus­sa­ge noch humor­voll sport­lich neh­men kann, zeugt die zwei­te Aus­sa­ge — wie vie­le ande­re zum The­ma Daten­schutz — von einem hohen Maß von Unkennt­nis oder schlim­mer von beab­sich­tig­ter Igno­ranz der Sach­la­ge. Doch zurück zum ver­meint­li­chen Wer­be­ver­bot durch den bösen Datenschutz.

Rele­van­ter Side­kick: Das Gesetz gegen den unlau­te­ren Wett­be­werb, kurz UWG

Da gibt es seit eini­gen Jah­ren ein Gesetz mit dem Ziel, Mit­be­wer­ber von Unter­neh­men, die Ver­brau­cher (“Betrof­fe­ne” im Sin­ne des Daten­schut­zes) und die All­ge­mein­heit (Drei­glied­rig­keit des Schutz­zwe­ckes) vor einer unge­rech­ten Wett­be­werbs­ver­zer­rung bei­spiels­wei­se durch irre­füh­ren­de Wer­bung zu schüt­zen. New­co­mer im Wer­be­be­reich mögen nun dem Irr­glau­ben anheim­fal­len, das UWG gäbe es erst seit der Ent­ste­hung sozia­ler Netz­wer­ke oder — deut­lich frü­her — dem Zeit­punkt, als das Medi­um Email welt­weit mas­sen­taug­lich leicht ver­füg­bar und zugäng­lich wur­de (Stich­wor­te “Bin ich schon drin?” und AOL-CD). Aber das UWG hat dann doch noch mal ein paar Jähr­chen mehr auf dem Buckel. Es datiert auf das Jahr 1896 und  wur­de seit­her nach Bedarf immer wie­der mal novelliert.

Nun, auch kein Wun­der, dass die meis­ten Gerich­te mitt­ler­wei­le davon aus­ge­hen, dass nach fast 130 Jah­ren die Inhal­te und Sach­ver­hal­te des UWG durch­aus bei den Wer­be­trei­ben­den bekannt sein könn­ten und das auch in ihre Urtei­le ein­flie­ßen las­sen 🙂 Natür­lich zu Las­ten der­je­ni­gen, die das UWG nicht ganz so ernst neh­men oder mehr für eine Emp­feh­lung halten.

Jetzt ist das UWG, wie jedes ande­re Gesetz kei­ne ein­fa­che Fei­er­abend­lek­tü­re (außer für Anwäl­te und Rich­ter viel­leicht). Und von daher macht es durch­aus Sinn, sich mit Kom­men­ta­ren oder aktu­el­len Gerichts­ur­tei­len aus­ein­an­der­zu­set­zen, um die Anfor­de­run­gen und Wirk­wei­se zu bes­ser zu ver­ste­hen. Aber eins lässt sich sofort und für jeden her­aus­le­sen: Ein­fach Wer­bung [mög­lichst noch als digi­ta­le Mas­sen­aus­sendung] an alle poten­ti­el­len Adres­sa­ten raus­hau­en, deren Daten man irgend­wo im Inter­net gefun­den oder aus alten haus­in­ter­nen Daten­ban­ken her­vor­ge­klaubt hat, ist eben nicht ein­fach so mög­lich bzw. schnell ein Rechts­ver­stoß. Und es gibt bei allen Wer­be­ka­nä­len wie Tele­fon, SMS, Fax, Email oder Post eini­ge Fal­len, in die ger­ne immer wie­der mal getappt wird. Und ja, das steht im UWG (der Stein des Ansto­ßes ist dort meist der § 7 UWG). Mit­nich­ten sind die DSGVO oder das BDSG schuld. Sowas aber auch!

“Ja, aber mit der DSGVO wur­de das alles noch viel här­ter gere­gelt für uns Wer­be­trei­ben­de!”. — “Noch­mal: Nö :-)” (Ja, das wird zum Man­tra die­ses Beitrags)

Bit­te beach­ten Sie, dass wir mit die­sem Bei­trag einen all­ge­mei­nen Über­blick geben möch­ten. Die­ser erhebt kei­nen Anspruch auf Voll­stän­dig­keit und stellt auch kei­ne recht­li­che Bera­tung dar. Der Bei­trag ersetzt kei­nes­falls die Bera­tung durch einen Rechts-/Fach­an­walt. Weder für die Rich­tig­keit noch Voll­stän­dig­keit der Anga­ben kön­nen wir daher eine Haf­tung über­neh­men. Eine abschlie­ßen­de Rechts­be­ra­tung ist allein der Rechts­an­walt­schaft vor­be­hal­ten. Und da es im UWG schnell unwit­zig und teu­er wird, soll­ten Sie sich stets anwalt­lich bera­ten las­sen, bevor das Kind in den Brun­nen gefal­len ist. Doch schau­en wir uns ein­fach mal ein paar Bei­spie­le an.

Wer­bung per ana­lo­ger Briefpost

Fan­gen wir mit den guten Nach­rich­ten an: Wer­bung per Brief­post ist grund­sätz­lich erst mal erlaubt. Aus­nah­me: Der Emp­fän­ger hat Ihnen gegen­über direkt wider­spro­chen oder steht z.B. auf der sog. “Robin­son­lis­te”. Und ja, es gibt ihn noch, den klas­si­schen Brief in Papierform 🙂

Klin­geln an der Haustür

Auch die klas­si­schen Ver­tre­ter­be­su­che sind ein mög­li­cher Wer­be­ka­nal. Aus­nah­me auch hier: Der zu Besu­chen­de hat sich gegen Besu­che gene­rell bzw. gegen zukünf­ti­ge Besu­che gegen­über dem Wer­ben­den aus­ge­spro­chen. Und sofern an der Tür bzw. Klin­gel­an­la­ge ein Hin­weis der Art “Ver­tre­ter­be­su­che nicht erwünscht” prangt, soll­te die­ser auch ernst genom­men wer­den. Dabei kommt es nicht auf den zuvor genann­ten Wort­laut an. Ist ersicht­lich, dass Wer­be­be­su­che nicht erwünscht sind, ist das zu respektieren.

Wir haben die­sen Hin­weis auch schon in Impres­sums­an­ga­ben auf Unter­neh­mens­web­sei­ten gele­sen. Soll­ten Sie Ihr Adress­ma­te­ri­al für die Kalt­ak­qui­se über die­sen Kanal erho­ben haben, wür­den wir eine Beach­tung eben­falls nahelegen.

Das gute alte Telefon

“Na, dann ruf ich dort eben an. Schließ­lich steht deren Tele­fon­num­mer auf der Web­sei­te und /​ oder im Tele­fon­buch. Wer nicht ange­ru­fen wer­den will zu Wer­be­zwe­cken, darf da halt sei­ne Ruf­num­mer nicht ver­öf­fent­li­chen!” — “Kann man so machen, wird aber unangenehm :-)”

So gehört z.B. die Tele­fon­num­mer zu den Pflicht­an­ga­ben im Impres­sum. Und das sicher nicht, weil der Gesetz­ge­ber damit sicher­stel­len möch­te, dass poten­ti­el­le Wer­be­trei­ben­de die Ruf­num­mer leich­ter aus­fin­dig machen kön­nen. Nur mal so als Denkanstoß 🙂

Gene­rell gilt erst mal: Wer­be­an­ru­fe am Tele­fon sind ver­bo­ten, außer es liegt vor­her (kann man nicht fett genug her­vor­he­ben) eine Wer­be­ein­wil­li­gung des Anzu­ru­fen­den vor. Bit­te nicht ver­wech­seln mit der Daten­schutz-Ein­wil­li­gung, auch wenn bei­des durch­aus ver­knüpft wer­den kann. Die Beto­nung liegt hier auf vor­her. Es gab näm­lich auch schon das eine oder ande­re Cle­ver­le, dass ange­ru­fen hat, um zu fra­gen, ob man zukünf­tig zu Wer­be­zwe­cken anru­fen darf. Qua­si vor­ab am Tele­fon durch einen Anruf die Ein­wil­li­gung für Tele­fon­wer­bung einholen.

Nun, kann man machen, ist aber dann .… Also hal­ten wir ein­fach kurz fest: “Cold call nix gut”.

Für Unter­neh­men, die ande­re Unter­neh­men zu Wer­be­zwe­cken anru­fen wol­len, gibt es jedoch eine klei­ne Erleich­te­rung. Aber die­se ist kein gene­rel­ler Frei­brief und es gilt, die Rah­men­be­di­nun­gen dafür mög­lichst kon­se­quent ein­zu­hal­ten. Die Rede ist von der sog. “mut­maß­li­chen Ein­wil­li­gung”, die man als Anru­fer erst mal annimmt. Die­se ist aber nur denk­bar, wenn die bewor­be­nen Pro­duk­te und Leis­tun­gen dem Kern­ge­schäft des Ange­ru­fe­nen die­nen. In der Recht­spre­chung wird dabei meist auch vor­aus­ge­setzt, dass vor­her bereits irgend­ein Kon­takt bestan­den hat. Dies kann durch ein frü­he­res Ver­trags­ge­schäft, aber auch durch einen Kon­takt auf einer Mes­se o.ä. erfolgt sein.

Anruf bei End­ver­brau­chern? Puh. Sor­gen Sie bit­te im eige­nen Inter­es­se dafür, dass Sie dafür eine kor­rek­te Wer­be­ein­wil­li­gung nach­wei­sen kön­nen. Bei die­ser Wer­be­ein­wil­li­gung sind bei der zwangs­läu­fi­gen Nut­zung von per­so­nen­be­zo­ge­nen Daten dann auch die Anfor­de­run­gen der DSGVO an eine infor­mier­te und frei­wil­li­ge Ein­wil­li­gung zu beachten.

“Hah, doch der Daten­schutz schuld.” — “Nö.”

Denn in den meis­ten Fäl­len schei­tert es bereits an den Anfor­de­run­gen des UWG, bevor in zwei­ter Stu­fe mög­li­che Anfor­de­run­gen aus Sicht des Daten­schut­zes zum Tra­gen kom­men. Lei­der wie­der nix mit “Der Daten­schutz ist schuld! Not sorry!”

“Und nein, da hat sich durch die DSGVO auch nix geän­dert. Ja, isso!”

Neben den zuvor genann­ten Cle­ver­les gibt es aber auch noch die Schlau­mis. Die rufen mit unter­drück­ter Ruf­num­mer an. Mensch, wie­so ist da nicht schon mal vor­her jemand dar­auf gekom­men? Denn dabei sieht der Ange­ru­fe­ne nicht, wel­che Ruf­num­mer ver­wen­det wur­de. So ist man ganz toll ver­steckt und nie­mand kommt dem unzu­läs­si­gen Wer­be­an­ru­fer auf die Schli­che. Für die tech­nisch weni­ger Ver­sier­ten: Doch. Denn in den Ver­mitt­lungs­stel­len wird die Num­mer des anru­fen­den Anschluss­ses doch pro­to­kol­liert. Nur die Anzei­ge am End­ge­rät des Ange­ru­fe­nen wird damit unter­drückt. Man ist dann durch­aus mit einem Ord­nungs­geld bis zu 300.000 Euro dabei. Okay, auch da gibt es noch wei­te­re Tricks, aber dazu braucht man schon eine gewis­se Por­ti­on an kri­mi­nel­ler Energie.

“Again what learned”.

Ok, wenn Brief­post erlaubt ist, dann mach ich halt Email-Mar­ke­ting. Da wird ja wohl das sel­be gelten.

Oder anders aus­ge­drückt: “Wir haben ein Bin­go”. Nur lei­der nicht in der vom Wer­be­trei­ben­den gewünsch­ten Art. Denn laut dem jetzt schon mehr­fach zitier­ten Gesetz gegen unlau­te­ren Wett­be­werb darf Wer­bung per Email nur dem­je­ni­gen geschickt wer­den, der dazu aus­drück­lich sei­ne Ein­wil­li­gung erteilt hat. Und die­se Ein­wil­li­gung muss den sel­ben Anfor­de­run­gen genü­gen, wie schon zuvor beschrie­ben. Und dazu jeder­zeit beleg­bar sein.

“Na toll, da hat uns die DSGVO ja ganz schön was ein­ge­brockt.” — “Mit­nich­ten. Das regel­te das UWG schon zu Zei­ten wei­ter vor der DSGVO so.”

Aber eine klei­ne Erleich­te­rung gibt es auch hier. Die­se Ein­wil­li­gung kann gemäß § 7 Absatz 3 UWG ent­fal­len, wenn

  • der Wer­be­trei­ben­de die Email-Adres­se im Zusam­men­hang mit dem Ver­kauf einer Ware oder Dienst­leis­tung von dem Kun­den erhal­ten hat UND
  • er spä­ter nur für eige­ne, ähn­li­che Waren oder Dienst­leis­tun­gen wirbt UND
  • der Kun­de der Ver­wen­dung nicht wider­spro­chen hat UND
  • er den Kun­den schon bei der ers­ten Erhe­bung der Adres­se und auch bei jeder Ver­wen­dung klar und deut­lich dar­auf hin­ge­wie­sen hat, dass er der Ver­wen­dung jeder­zeit für die Zukunft wider­spre­chen kann, ohne dass hier­für ande­re als die Über­mitt­lungs­kos­ten nach den Basis­ta­ri­fen entstehen.”

Die­ses UND kann ganz schön ner­ven, ist aber in dem Zusam­men­hang echt wich­tig. Es müs­sen näm­lich wirk­lich alle 4 Bedi­nun­gen erfüllt sein und nicht nur 1, 2 oder 3 (Grü­ße von Micha­el Schan­ze).

Life hacks

Sinn­vol­ler­wei­se schafft man die Vor­aus­set­zun­gen für spä­te­re Wer­be­ak­tio­nen bereits zum Zeit­punkt des Erst­kon­takts. Das lässt sich zwar für Alt­da­ten nur schwer rechts­kon­form nach­ho­len, aber für die Zukunft kann man es ja bes­ser machen. Stich­wort ler­nen­de Orga­ni­sa­ti­on.

Auch die­se “Wie zufrie­den waren Sie mit uns?”-Mails wur­den bereits mehr­fach gericht­lich als Wer­bung ein­ge­stuft. Char­man­te Idee. Aber dün­nes Eis, die­se als Auf­hän­ger zu nehmen.

“Dann machen wir halt Berech­tig­tes Inter­es­se nach Art. 6 Abs. 1 Buch­sta­be f DSGVO” rufen die cle­ve­ren Ober­schlau­mis. “Steht ja schließ­lich so auch in der Ori­en­tie­rungs­hil­fe Direkt­mar­ke­ting der DSK!” Ja, da steht aber auch dabei, dass dies nur für pos­ta­li­sche Wer­bung grei­fen kann. 😉

Wenn auch aus 2020, so fin­den Sie in der Prä­sen­ta­ti­on der Kanz­lei Dr. Bahr eine leicht ver­ständ­li­che Dar­stel­lung rele­van­ter Urtei­le und deren prak­ti­schen Aus­wir­kun­gen für Wer­be­maß­nah­men. Auch die DSK (Daten­schutz­kon­fe­renz) hat sich zum The­ma Direkt­mar­ke­ting und auch  zu den Anfor­de­run­gen an Wer­be­ein­wil­li­gun­gen im Daten­schutz-Kon­text geäu­ßert. Als Ori­en­tie­rungs­hil­fe erst mal nicht verkehrt

Nur weil Sie mal mit jeman­dem per Email Kon­takt hat­ten, stellt das noch kei­ne wirk­sa­me Ein­wil­li­gung in die Auf­nah­me Ihres News­let­ters dar. “Nein?!” — “Doch” — “Oh”.

Übri­gens ist auch die Reak­ti­on eines Auto­re­spon­ders in der Art “Ich bin dann mal bis zum xx.xx.xxxx nicht im Büro” auf die Fra­ge “Dür­fen wir Sie in unse­ren Email-Ver­tei­ler auf­neh­men?” kei­ne Zustim­mung /​ Ein­wil­li­gung 🙂 Alles schon vor­ge­kom­men und im Zwei­fel gericht­lich geklärt.

“Und das alles nur wegen der DSGVO, super!” -> Wir emp­feh­len, den Arti­kel noch mal von vor­ne zu lesen 🙂

Mal in ein paar Urtei­len stöbern?

Der geschätz­te Mar­tin Rät­ze hat hier ein Urteil des BGH aus 2009 vor­ge­stellt. Eine ein­zi­ge Wer­be­mail reicht schon aus für Unge­mach. Und wie Chris­ti­an Sol­me­cke von WBS Law aus­führt, hat im sel­ben Jahr eben­falls der BGH klar­ge­stellt, dass eine Email im Impres­sum kei­ne Wer­be­ein­wil­li­gung dar­stellt. Wie­so man bei News­let­ter-Anmel­dun­gen nicht mehr als die Mail-Adres­se zum Pflicht­feld machen soll­te, erklärt Dr. Mar­tin Schirm­ba­cher in die­sem Bei­trag. Die Such­ma­schi­nen sind voll von wei­te­ren Urtei­len rund um das The­ma Wer­bung. Viel Spaß beim Stöbern.

Kur­zes Fazit

Rechts­kon­for­me Wer­bung ist mach­bar. Aber mög­li­cher­wei­se ist das nicht ganz so tri­vi­al, wie der eine oder ande­re mög­li­cher­wei­se annimmt. Vie­les mag einem als Wer­be­trei­ben­den auch unge­recht erschei­nen. In dem Fall soll­te man sich bei all denen bedan­ken, die es bis­her bei Wer­bung ein­fach über­trie­ben haben. Irgend­wann reagie­ren sowohl der Gesetz­ge­ber als auch Gerich­te und zie­hen die Dau­men­schrau­ben enger an. Die viel­fäl­ti­gen Wer­be-Mög­lich­kei­ten und Kanä­le las­sen sich auch nicht immer 1:1 abbil­den. Dazu gibt es zahl­rei­che Spe­zi­al­fäl­le, Aus­nah­men und Beson­der­hei­ten. Und ab und zu über­holt sich auch der eine oder ande­re Aspekt schnel­ler, als man es nie­der­schrei­ben kann. Von daher wen­den Sie sich bit­te immer an Ihren juris­ti­schen Bei­stand für Wer­be­an­ge­le­gen­hei­ten. Fire and for­get ist im Kon­text von Wer­bung nicht immer der bes­te Ansatz, außer Sie haben die Kos­ten für Abmah­nun­gen etc. bereits von vorn­her­ein ein­ge­plant und sind sich sicher, dass die aus der Wer­bung gene­rier­ten Zusatz­ein­nah­men höher sein wer­den. Damit wird Ihre Wer­be­maß­nah­me aber nicht rechts­kon­form, nur “bezahlt” 😉

Und übri­gens: Der Daten­schutz ist nicht schuld 🙂 Sor­ry, das muss­te sein.

Die mobile Version verlassen