Informationspflichten

Wer “Do not track” (DNT) im Browser ignoriert, muss fühlen

von Sascha Kuhrau
30. Oktober 2023

Do-Not-Track ignorieren — Keine gute Idee

Das Business-Netzwerk LinkedIn hat nach dem Abstieg von X (ehemals Twitter) weiteren Zulauf zu verzeichnen, wie einige andere Alternativen (Mastodon, Bluesky) auch. Umso interessanter ist das durch die Bundesverbraucherzentrale vor dem Landgericht erstrittene Urteil gegen die Betreiberin des Netzwerks, die LinkedIn Ireland Unlimited Company.

LinkedIn weist auf seiner Webseite (dem Netzwerk) darauf hin, dass es die Voreinstellung Do-Not-Track (DNT) im Browser eines Besuchers ignorieren wird. DNT wurde vor Jahren als Konfigurationsmöglichkeit in den meisten gängigen Browsern eingeführt, um dem Betreiber einer Webseite von vornherein zu signalisieren, dass man nicht “getrackt” werden möchte, das Surfverhalten also nicht aufgezeichnet und analysiert werden soll. Der Webseitenbesucher widerspricht quasi per Browser-Voreinstellung dem Webtracking. Wenig verwunderlich, dass dieser Umstand dem einen oder anderen Webseitenbetreiber nicht in den Kram passt.

LinkedIn hatte auf seiner Internetseite mitgeteilt, dass es diese DNT-Einstellung bewußt ignoriert und somit gegen den Willen der Nutzer personenbezogene Daten wie die IP-Adresse und Informationen über die Nutzung der Webseite etwa für Analyse- und Marketingzwecke auswertet und auch an Drittanbieter weitergeben wird.

Das Landgericht Berlin entschied im Sinne der Verbraucherzentrale. Der Widerspruch gegen eine Verarbeitung personenbezogener Daten kann auch automatisiert (also durch Voreinstellung) ausgesprochen werden und muss vom verantwortlichen Webseitenbetreiber beachtet werden. Der Widerspruch sei wirksam.

Das Urteil mit dem Aktenzeichen 16 O 420/19 ist noch nicht rechtskräftig, hat aber Signalwirkung.

Sie betreiben eine Webseite mit Webtracking? Schauen Sie sicherheitshalber mal nach, ob die Option “DNT ignorieren” aktiviert ist. Wenn ja … siehe oben 🙂

Do-Not-Track im Browser aktivieren — wie geht das?

In den meisten Browsern hat diese Funktion ohne viel Tamtam Einzug gehalten. Oftmals gut versteckt in den Einstellungsmenüs und leider nicht immer voreingestellt aktiv. Hier erfahren Sie mehr über die Aktivierung und Einstellmöglichkeiten:

In der Suchmaschine Ihrer Wahl finden Sie mittels Angabe des Browsernamens und des Begriffs “do not track” auch die Einstellmöglichkeiten für Browser anderer Hersteller.

Mal eben kurz das Social Network scannen

von Sascha Kuhrau
6. Juni 2023

Der Hessische Datenschutz- und Informationsfreiheitsbeauftragte (HBDI) hat in seinem 51. Tätigkeitsbericht für das Jahr 2022 ein interessantes und auch bei unseren Kunden wiederkehrendes Thema aufgegriffen. Unter der etwas sperrigen Überschrift “Active Sourcing zur Gewinnung von Bewerberinnen und Bewerbern” befasst sich der HBDI auf den Seiten 156 bis 161 recht ausführlich mit der Fragestellung, ob und inwieweit Soziale Netzwerke wie LinkedIn oder XING, aber auch das Internet an sich zur aktiven Gewinnung neuer Mitarbeiter durch die Personalabteilung oder Personaldienstleister genutzt werden dürfen.

Der Stein des Anstoßes

Eine Beschwerdeführerin wandte sich an den HBDI, da sie ein Schreiben eines Personaldienstleisters erhielt, in dem sie gemäß Art. 14 DSGVO über die Aufnahme ihrer personenbezogenen Daten in eine Recruiting-Datenbank informiert wurde. Der Dienstleister stieß über eine Suchmaschine anhand von Qualifikationskriterien und Tätigkeitsangaben auf die im beruflichen Kontext betriebene Webseite der Beschwerdeführerin und entnahm dieser die Kontaktdaten (personenbezogene Daten). Über diese Verarbeitung personenbezogener Daten informierte der Dienstleister mit seinem Schreiben die Betroffene u.a. zu Aufnahme ihrer personenbezogenen Daten zum Zwecke der Personalvermittlung in die Datenbank des Dienstleisters, die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten und der Hinweis auf das mögliche Widerspruchsrecht. Der HBDI prüfte im Folgenden die Rechtmäßigkeit der Verarbeitung (Rechtsgrundlage) sowie die transparente und vollständige Erteilung der Informationspflichten nach Art. 14 DSGVO.

Um es kurz zu machen: Alles roger! In diesem konkreten Fall

Als Rechtsgrundlage sieht der HBDI Art. 6. Abs. 1 Buchstabe f DSGVO, das sog. “berechtigte Interesse” des Personaldienstleisters. Bei Geltendmachung des berechtigten Interesses gilt es, durch den Verantwortlichen zu prüfen, ob nicht die Interessen des Betroffenen an einer Nicht-Verarbeitung höher wiegen als die eigenen Interessen (sog. Interessensabwägung, die auch zu dokumentieren ist). Das wirtschaftliche Interesse des Dienstleisters wird in diesem konkreten Fall seitens des HBDI als höherwertig angesehen. Dies ist jedoch an die Voraussetzungen geknüpft, dass die personenbezogenen Daten in berufsbezogenen Netzwerken oder auf im beruflichen Kontext betriebenen Webseiten allgemein zugänglich sind, d.h. es keinerlei Zugriffsbeschränkungen gibt. Dabei wäre nach unserem Dafürhalten auch zu berücksichtigen, ob bei den Kontaktdaten keine entgegenstehende Aussagen getroffen werden wie “Hiermit widerspreche ich der Aufnahme meiner Kontaktdaten in Recruiting-Datenbanken” (oder sinngemäß ähnlich).

Als Besonderheit führt der HBDI den möglichen Fall der Einschränkung von Nutzerprofilen in Netzwerken an. Hierbei sind die Kontaktdaten des Nutzers erst nach einer sog. “Vernetzung” bzw. Kontaktanfrage für den Anfragenden sichtbar. Der HBDI stellt klar, dass die reine Akzeptanz einer solchen Vernetzungsanfrage noch keine Einwilligung in die Aufnahme in eine Datenbank durch den betroffenen Nutzer darstellt. Vielmehr muss der Anfragende in seiner Vernetzungsanfrage konkret auf den angedachten Zweck, nämlich der Kontaktaufnahme zwecks Erfassung der Daten für die Recruiting-Datenbank hinweisen. Eigentlich logisch, aber sehr gut, dass dieser Sachverhalt nochmals betont wird.

Informationspflichten nach Art. 14 DSGVO nicht vergessen

Sind auf diesem Wege personenbezogene Daten für die eigene Recruiting-Datenbank gewonnen, gilt es nun, die Informationspflichten nach Art. 14 DSGVO umfänglich gegenüber dem Betroffenen zu erteilen. Dabei darf das Widerspruchsrecht nach Art. 14 Abs. 2 Buchstabe c DSGVO nicht vergessen werden. Denn nur dann gilt in Verbindung mit der zuvor genannten Vorgehensweise lt. HDBI, “dass Active Sourcing in Übereinstimmung mit den Bestimmungen des Datenschutzes erfolgen kann.”

Happy recruiting!

Informationspflichten für Vereine nach Art. 13 DSGVO

von Sascha Kuhrau
15. März 202115. März 2021
3 Kommentare

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für “Datenschutzinformationen” auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber “Datenschutz im Verein nach der DS-GVO” (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO geleakt

von Sascha Kuhrau
22. Dezember 20207. Juli 2021
7 Kommentare

Auch wenn sich die meisten Betroffenen nicht für die Angaben zu den Informationspflichten nach Art. 13 und 14 DSGVO interessieren, ist es uns gelungen, diese Angaben dem Weihnachtsmann und seinem Team zu entlocken. Wie es scheint, gab es da oben aber schon einiges an Glühwein. Anders können wir uns dieses Dokument nicht erklären. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wünschen allen LeserInnen unseres Blogs und Newsletters ein gesegnetes Weihnachtsfest und einen guten Rusch ins Neue Jahr. Bitte bleiben Sie gesund #flattenthecurve

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO

Im Rahmen dieses Dokuments informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten in unserer Organisation, auch wenn das eigentlich niemanden interessiert. Alle wollen immer nur Geschenke.

Verantwortliche Stelle: Der Weihnachtsmann, Christbaumstraße, 99999 Wolkenschlosss. Wir sind ausschließlich per Wunschzettel erreichbar.

Datenschutzbeauftragter: Das Christkind. Kontakt via Notiz auf dem Wunschzettel.

Sie wollen doch was von uns, nämlich Geschenke. Also her mit Vornamen (bei Kindern unter 18 Jahren ausreichend) und / oder Nachname, Adresse (wäre toll, wenn Sie ausnahmsweise mal nicht verschlüsselt, sondern leserlich schreiben), dem Weihnachtswunsch (Dezenter Hinweis: Das sind Wünsche, keine Bestellungen!). Wir ergänzen unsererseits Ihr Betragen im letzten Jahr.

Die Rechtsgrundlagen unserer Verarbeitung sind ganz einfach: Sie bekommen Geschenke, wir Ihre Daten.

Falls Rudi und seine Kollegen mal wieder zu viele Weihnachtskekse gefressen haben, geben wir Ihre Daten ungefragt an Versanddienstleister zwecks Zustellung der Geschenke weiter. Da wir auch in Deutschland tätig sind, erhält die Buchhaltung noch über alles einen Beleg. Sie kennen das ja mit diesem Finanzamt, die verstehen keinen Spaß.

Wir erbringen unsere Leistungen zwar aus einem Wolkenschloss, nutzen aber ansonsten keinerlei Cloud-Services. Zur Sicherstellung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO stehen uns jedoch ausreichend Schutzmaßnahmen in Form von

zur Verfügung. Lassen Sie sich vom niedlichen Äußeren nicht täuschen.

Ihre Daten löschen wir direkt bei Wegfall des Verwendungszwecks mit der Zustellung des Geschenks. Reklamationen direkt bei uns sind daher ausgeschlossen. Wir wissen von nichts! Nachfragen zwecklos.

Für gewöhnlich erhalten wir Ihre Daten direkt von Ihnen. Ausnahmen sind Wünsche, die von Verwandten in direkter bzw. indirekter Linie für Sie übermittelt werden. Ok, manchmal auch von Freunden. Aber nur von wirklich guten Freunden … „Engel!! Wer hat jetzt schon wieder das Wasser gegen diesen Anisschnaps ausgetauscht?“

Wir selbst recherchieren keine personenbezogenen Daten z.B. in sozialen Netzwerken. Das würde uns zwar einiges an Arbeit sparen, da zahlreiche Geschenke entfallen könnten, aber wir wollen mal nicht so sein. Ist ja schließlich Weihnachten. Aber: „Maik und Ingrid, löscht doch bitte mal die Bilder von eurem letzten Party-Absturz. Die will wirklich keiner sehen!“

Sie haben zwar das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO), nur was wollen Sie fragen, was Sie nicht selbst schon alles über sich wissen? Nein, unser Auskunftsservice steht nicht zur Verfügung, um die Lücken Ihres letzten Hang Over zu schließen.

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch keine Geschenke – ganz einfach. Allabätsch!

Weiterhin besteht ein Beschwerderecht bei einer Datenschutzaufsicht Ihrer Wahl. Auswirkungen einer solchen Beschwerde auf zukünftige Geschenke sind Zufall und keinesfalls in Verbindung mit Ihrer Beschwerde zu sehen.

Und jetzt: Gesegnete Feiertage! Wir haben zu arbeiten, also sehen Sie bitte von Nachfragen ab.

Weihnachtsmann und Team

PS: Bitte schwärzen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunschzettel. DANKE!

Jetzt herunterladen!

291 Downloads

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Dashcams erlaubt? Im Datenschutz Check

von Sascha Kuhrau
25. Mai 20209. Dezember 2020
6 Kommentare

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag.

Die Funktionsweise

Dashcams sollen insbesondere das Verkehrsgeschehen und ‑unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können — einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht.

Dashcams in der praktischen Anwendung

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden.

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter.

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite.

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.

Überwiegende Interessen beim Einsatz von Dashcams

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten.

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.

Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster

von Sascha Kuhrau
11. Mai 20207. Juli 2021
10 Kommentare

Seit Montag, den 11. Mai 2020 (in Bayern ab 18.05.) dürfen Gastronomiebetriebe und zahlreiche andere Einrichtungen des alltäglichen Lebens wieder öffnen. Die Auflagen zu Abstand und maximale Gäste- / Käufer-Zahl auf der Verkaufsfläche sind durchaus eine Herausforderung für die Betreiber der Einrichtungen. Bei all den Anforderungen wird der Datenschutz schnell vergessen. Wir helfen mit unserem kostenlosen Muster Informationspflichten für Besucher von Gastronomie und anderen Einrichtungen im Zuge der Corona-Pandemie, entwickelt gemeinsam mit RA Stephan Hansen-Oest.

Welche personenbezogenen Daten von Besuchern sind zu notieren?

Einig sind sich die Länderverordnungen in dem Punkt, dass Name und Rufnummer der Besucher zu notieren und auf Verlangen der Gesundheitsbehörde im Verdachtsfall einer Infektion herauszugeben sind. Teilweise sind die dazugehörigen Verordnungen bzw. Anforderungen noch etwas schwammig bzw. zu unkonkret. Das wird in den nächsten Tagen sicher nachjustiert. So steht z.B. noch die Frage im Raum, ob die jeweilige Einrichtung die notierten Angaben z.B. anhand eines Ausweisdokuments verifizieren muss. Auch bei den Löschfristen finden sich nicht überall konkrete Angaben. Das Bundesland NRW sieht beispielsweise die Vernichtung der personenbezogenen Daten nach 1 Monat vor.

Übrigens: Da nirgendwo von einer Unterschrift durch die Besucher die Rede ist, wäre es auch eine Möglichkeit, die Daten auf elektronischem Wege zu erheben. So könnten Sie auch Reservierungssysteme nutzen, sofern die Angaben darin zusätzlich / ergänzend erfasst werden können.

Um der Papierflut bzw. Zettelwirtschaft Herr zu werden, wäre auch die abendliche Digitalisierung sprich das Einscannen der erfassten Daten in einen dazugehörigen Datums-Ordner vielleicht ganz hilfreich. Würde nebenbei die Übergabe an die zuständige Gesundheitsbehörde im Rahmen einer Anforderungen der Daten erleichtern und es reihen sich bei Ihnen nicht Ordner an Ordner mit den erhobenen Daten. Die Kür wäre natürlich ein Scan mit OCR, was aber eine möglichst “unverschlüsselte” Handschrift der Eintragen voraussetzt 🙂

Informationspflichten nach Art. 13 DSGVO an die Besucher nicht vergessen

Egal, in welchem Umfang oder auf welche Art (analog per Formular / Besucherliste oder digital z.B. in Form von Excel-Tabellen) Sie die Daten Ihrer Besucher erheben, es sind die Angaben zu den Informationspflichten nach Art. 13 DSGVO zu erfüllen. Dies kann beispieslweise mittels Aushang vor Ort und einem mündlichen Hinweis an Ihre Besucher geschehen. Hier zählt Pragmatismus in Anbetracht der angespannten Situation. Ein passendes kostenloses Muster hierzu haben wir gemeinsam mit dem in der Branche wohlbekannten Rechtsanwalt Stephan Hansen-Oest (https://www.datenschutz-guru.de) entwickelt. Nach dem Download sollten sie dieses bitte auf Ihre Einrichtung anpassen und bei Bedarf ergänzen oder überflüssige Angaben streichen.

Denken Sie bitte an das Verzeichnis für Verarbeitungstätigkeiten

Diese Erhebung von personenbezogenen Daten im Rahmen der Corona-Pandemie sollte sich ebenfalls in Ihrem Verzeichnis für Verarbeitungstätigkeiten wiederfinden. Sie haben noch keins? Tipps und Tricks dazu entweder bei RA Hansen-Oest oder bei uns hier im Blog.

Kostenloses Muster Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie

Wir, also Stephan Hansen-Oest und a.s.k. Datenschutz, stellen Ihnen dieses unverbindliche Muster kostenfrei zur Verfügung. Bitte beachten Sie dabei:

Passen Sie bitte die Bezüge zu den aktuell geltenden Landesverordnungen bzw. Rechtsanwendungen an
Fair Use: Diese Vorlage kann gerne in der Praxis von Organisationen genutzt und verändert werden. Wir (RA Hansen-Oest und a.s.k. Datenschutz Sascha Kuhrau) möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.
Haftung: Diese Vorlage stellt lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen

Anregungen und Ergänzungen für die Vorlagen? Dann immer her damit.

Allgemeines Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher

Jetzt herunterladen!

19608 Downloads

Auf Freistaat Bayern angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher in Bayern

Jetzt herunterladen!

12426 Downloads

Auf Hessen angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher Hessen

Jetzt herunterladen!

9610 Downloads

Auf Schleswig-Holstein angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Kostenloses Muster Mitteilungspflichtige Informationen Corona Besucher Schleswig Holstein

Jetzt herunterladen!

1340 Downloads

Fragen Sie Ihren (externen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpassung von diesen Vorlagen für Ihre Organisation etwas schief geht und Ihnen möglicherweise Ungemach durch die Datenschutzaufsicht droht, binden Sie bitte Ihren Datenschutzbeauftragten frühzeitig in das Thema Informationspflichten mit ein. Sie haben keinen Datenschutzbeauftragten? Möglicherweise unterliegen Sie der gesetzlichen Pflicht zur Benennung, aber auch ohne deren Vorliegen ist ein Datenschutzbeauftragter der Profi für Ihre Fragen rund um das Thema Datenschutz. Gerne unterbreiten wir Ihnen ein Angebot für einen externen Datenschutzbeauftragten.

Versionshistorie

Update 12.05.2020: Nutzerhinweis auf Benennung statt Bestellung eines DSB aufgegriffen und Wortwahl entsprechend angepasst

Update 13.05.2020: Mustervorlage zur Datenerfassung Gastronomie als Anhang ergänzt

Update 14.05.2020: Version mit ersten Anpassungen auf Freistaat Bayern veröffentlicht

Update 16.05.2020: Version mit Anpassungen auf konkrete Verordnung in Hessen veröffentlicht

Update 18.05.2020: Version Schleswig-Holstein veröffentlicht

Informationspflichten

Wer “Do not track” (DNT) im Brow­ser igno­riert, muss fühlen

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

Mal eben kurz das Social Net­work scannen

Der Stein des Anstoßes

Um es kurz zu machen: Alles roger! In die­sem kon­kre­ten Fall

Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO nicht vergessen

Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Wenn alle Stri­cke reißen

Infor­ma­ti­ons­pflich­ten des Weih­nachts­manns zu Art. 13 und 14 DSGVO geleakt

Infor­ma­ti­ons­pflich­ten des Weih­nachts­manns zu Art. 13 und 14 DSGVO

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Dash­cams erlaubt? Im Daten­schutz Check

Die Funk­ti­ons­wei­se

Dash­cams in der prak­ti­schen Anwen­dung

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams

Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Coro­na-Pan­de­mie – ein kos­ten­lo­ses Muster

Wel­che per­so­nen­be­zo­ge­nen Daten von Besu­chern sind zu notieren?

Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO an die Besu­cher nicht vergessen

Den­ken Sie bit­te an das Ver­zeich­nis für Verarbeitungstätigkeiten

Kos­ten­lo­ses Mus­ter Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Corona-Pandemie

All­ge­mei­nes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Auf Frei­staat Bay­ern ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Auf Hes­sen ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Auf Schles­wig-Hol­stein ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Fra­gen Sie Ihren (exter­nen) Datenschutzbeauftragten

Ver­si­ons­his­to­rie

Wer “Do not track” (DNT) im Browser ignoriert, muss fühlen

Do-Not-Track ignorieren — Keine gute Idee

Do-Not-Track im Browser aktivieren — wie geht das?

Mal eben kurz das Social Network scannen

Um es kurz zu machen: Alles roger! In diesem konkreten Fall

Informationspflichten nach Art. 14 DSGVO nicht vergessen

Informationspflichten für Vereine nach Art. 13 DSGVO

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

Weitere Hilfestellungen für Vereine durch den LfDI BW

Wenn alle Stricke reißen

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO geleakt

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

Einige Zahlen zur Tätigkeit des BfDI

Empfehlungen des BfDI für Einrichtungen und Bürger

Gremienarbeit und Gesetzgebung

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

Zusammenfassung

Dashcams erlaubt? Im Datenschutz Check

Die Funktionsweise

Dashcams in der praktischen Anwendung

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

Überwiegende Interessen beim Einsatz von Dashcams

Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster

Welche personenbezogenen Daten von Besuchern sind zu notieren?

Informationspflichten nach Art. 13 DSGVO an die Besucher nicht vergessen

Denken Sie bitte an das Verzeichnis für Verarbeitungstätigkeiten

Kostenloses Muster Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie

Allgemeines Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Freistaat Bayern angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Hessen angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Auf Schleswig-Holstein angepasstes Muster zu den Informationspflichten für Besucher im Rahmen der Corona-Pandemie

Fragen Sie Ihren (externen) Datenschutzbeauftragten

Versionshistorie