Kaum ist die Vor­weih­nachts­zeit auf Hoch­tou­ren star­ten erneut die Falsch­mel­dun­gen über die ach so böse Daten­schutz-Grund­ver­ord­nung (DSGVO). Wie schon im ver­gan­ge­nen Jahr ist nach Mel­dung des einen oder ande­ren Medi­en­ver­tre­ters die DSGVO erneut dar­an schuld, dass trau­ri­ge Kin­der­au­gen auf den lee­ren Weih­nachts­wunsch­baum in der einen oder ande­ren Kom­mu­ne in Deutsch­land star­ren. Das dem nicht so ist, hat bereits im Novem­ber 2018 die Ver­tre­tung in Deutsch­land der Euro­päi­schen Kom­mis­si­on in einer Klar­stel­lung ver­lau­ten lassen.

“Die Euro­päi­sche Daten­schutz­grund­ver­ord­nung ver­bie­tet in kei­ner Wei­se Wunsch­zet­tel-Aktio­nen zu Weih­nach­ten. Berich­te, die auf das Gegen­teil schlie­ßen las­sen, sind falsch. Um Geschen­ke an die Kin­der zu lie­fern, dür­fen die Kon­takt­da­ten der Fami­lie auf­ge­nom­men wer­den — vor­aus­ge­setzt, die Eltern stim­men zu. Das sind die Regeln, die schon seit 20 Jah­ren gel­ten. Die Daten­schutz­grund­ver­ord­nung hat dar­an nichts geändert.”

Wie auch schon zu Zei­ten der DSGVO wird bei Min­der­jäh­ri­gen eine Ein­wil­li­gung der Eltern nach gel­ten­dem Recht benö­tigt. Dabei muss klar dar­über infor­miert wer­den, zu wel­chem Zweck die Daten erho­ben und ver­ar­bei­tet sowie an wen sie wei­ter­ge­ge­ben werden.

Zur Klar­stel­lung aus 11/​2018

Meerschweinchen Geburtstag

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Paragraphenzeichen

EuGH Urteil C‑40/​17 zu Face­books Like Button

Am Mon­tag, 29.07.2019 ver­kün­de­te der EuGH in sei­nem Urteil C‑40/​17 eigent­lich wenig Über­ra­schen­des. Das ein­fa­che Ein­bin­den von akti­ven Social Media Kom­po­nen­ten wie dem Face­book Like But­ton (um den ging es hier kon­kret), ist dann doch nicht so ein­fach, wie es sich manch Web­sei­ten­be­trei­ber erhofft.

Die Crux am Face­book Like Button

Als akti­ver Inhalt über­trägt der Face­book Like But­ton bereits beim Öff­nen der Web­sei­te Daten des Sei­ten­be­su­chers an Face­book. Dies geschieht, wenn kei­ne wei­te­ren Vor­keh­run­gen sei­tens des Web­sei­ten­be­trei­bers getrof­fen wer­den, noch bevor der Sei­ten­be­su­cher über die­se Art der Daten­wei­ter­ga­be infor­miert wur­de oder (und hier bleibt ein wei­te­res Urteil abzu­war­ten) in die Wei­ter­ga­be ein­ge­wil­ligt hat.

Ursprüng­lich als kom­for­ta­ble Mög­lich­keit gedacht, Inhal­te der besuch­ten Web­sei­te schnell in Face­books Netz­werk durch den Besu­cher tei­len zu las­sen und damit eine höhe­re Reich­wei­te für die eige­ne Web­sei­te zu erzie­len, bringt die­se Kom­fort­funk­ti­on jetzt Mehr­auf­wand für den Betrei­ber der Web­sei­te mit sich.

Emp­feh­lung zur Umset­zung bzw. Ein­bin­dung des Face­book Like But­ton in die eige­ne Webseite

Orga­ni­sa­tio­nen, die bereits den akti­ven Face­book Like But­ton auf der Web­sei­te nut­zen oder dies in naher Zukunft pla­nen, soll­ten als Reak­ti­on auf das EuGH Urteil zum Face­book Like But­ton nun reagie­ren. So gilt es, die Anga­ben zu den Infor­ma­ti­ons­pflich­ten bzw. die Daten­schutz­er­klä­rung um die Punk­te Erhe­bung und Wei­ter­lei­tung von Besu­cher­da­ten an Face­book zu ergän­zen, sofern noch nicht erfolgt.

Noch offen ist bzw. dis­ku­tiert wird die Fra­ge, ob eine Ein­wil­li­gung des Besu­chers für die Erhe­bung und Wei­ter­ga­be an Face­book not­wen­dig ist oder ob (zumin­dest nicht-öffent­li­che Stel­len) auf das sog. berech­tig­te Inter­es­se abstel­len kön­nen. In den aktu­el­len Dis­kus­sio­nen kris­tal­li­siert sich hier jedoch eine Mehr­heits­mei­nung her­aus, die eine akti­ve Ein­wil­li­gung wie z.B. bei den bereits gut ver­brei­te­ten 2‑Klick-Lösun­gen bevor­zugt bzw. voraussetzt.

2‑Klick-Lösun­gen für die eige­ne Webseite

Wer also so gar nicht ohne Face­books Like But­ton auf der eige­nen Web­sei­te aus­kom­men kann, dem ste­hen mit die­sen Lösun­gen prak­ti­sche Hel­fer­lein zur Ver­fü­gung. Bekannt sind z.B. die bei­den c’t Pro­jek­te Embet­ty und Shariff. Für zahl­rei­che Con­tent Manage­ment Sys­te­me wie Wor­d­Press ste­hen fer­ti­ge Plugins zur Ver­fü­gung, die rela­tiv ein­fach in die Web­sei­te ein­zu­bin­den sind und den her­kömm­li­chen Like But­ton erset­zen. Optisch durch­aus an das Ori­gi­nal ange­lehnt, ver­fügt die­ser erst mal über kei­ne akti­ven Inhal­te. Erst nach einem ers­ten Klick auf den But­ton, der Anzei­ge und Bestä­ti­gung durch einen wei­tern Klick, um die akti­ven Inhal­te zu star­ten, beginnt die Erhe­bung und Wei­ter­ga­be an Face­book. Die meis­ten 2‑Klick-Lösun­gen kön­nen ent­spre­chend auch mit ande­ren akti­ven Con­nec­to­ren zu wei­te­ren sozia­len Netz­wer­ken umgehen.

Das Urteil des EuGH fußt noch auf der frü­he­ren EU Daten­schutz-Richt­li­nie 96/​45. Da die Grund­sät­ze in der DSGVO jedoch nicht son­der­lich abwei­chen, dürf­te sich in der Anwen­dung des EuGH Urteils wenig ändern.

Coo­kie Opt-In wird Pflicht — Abmahn­ri­si­ko steigt

Für viel weit­rei­chen­der als die kon­kre­ten Anmer­kun­gen zu Face­books Like But­ton hal­ten wir die Aus­sa­ge des EuGH, das Coo­kies ein­wil­li­gungs­pflich­tig sind. Damit setzt der EuGH hier ein deut­li­ches Signal zu den bis­he­ri­gen Unsi­cher­hei­ten aus der Coo­kie Richt­li­nie. Die Rand­be­mer­kun­gen 88–90 haben es hier deut­lich in sich. Details hier­zu lesen Sie aus kom­pe­ten­ter Feder des RA Tho­mas Schwen­ke in sei­nem Blog­bei­trag. Und neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Unse­re Bestands­kun­den haben wir zum The­ma Coo­kies im Rah­men eines Pakets mit wei­te­ren Infor­ma­tio­nen zur Umset­zung aus­ge­stat­tet. Lesern unse­res Blogs emp­feh­len wir den oben ver­link­ten Bei­trag von Schwenke.

 

aboutpixel.de / Vorsicht in s/w © Peter Ehmann

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtsta­g­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungDas baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat einen Leit­fa­den für Wer­be­trei­ben­de als PDF ver­öf­fent­licht. Im Vor­wort heißt es hierzu:

“Der Düs­sel­dor­fer Kreis als Gre­mi­um der Daten­schutz­auf­sichts­be­hör­den nach § 38 BDSG hat­te eine Ad-hoc-Arbeits­grup­pe “Wer­bung und Adress­han­del” unter Lei­tung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ein­ge­rich­tet und die­se mit der Erar­bei­tung von Anwen­dungs­hin­wei­sen zu den BDSG-Rege­lun­gen für den werb­li­chen Umgang mit per­so­nen­be­zo­ge­nen Daten beauf­tragt. In einer Sit­zung und im schrift­li­chen Aus­tausch wur­den Anwen­dungs­hin­wei­se for­mu­liert, die ‑soweit sie ein­stim­mig oder von einer gro­ßen Mehr­heit mit­ge­tra­gen wer­den- nach­ste­hend abge­druckt sind.”

Die­ser Leit­fa­den ist auf­grund sei­nes Ursprungs im Düs­sel­dor­fer Kreis in sei­ner Anwen­dung nicht auf  Bay­ern beschränkt. Die Lek­tü­re emp­fiehlt sich bun­des­weit für Wer­be­trei­ben­de aller Bran­chen und Richtungen.

The­men­aus­zug:

  • Lis­ten­pri­vi­leg
  • Ein­wil­li­gung
  • Nut­zungs­dau­er /​ Ver­falls­da­tum
  • Anrei­chern mit wei­te­ren Informationen
  • Trans­pa­renz­ge­bot
  • Quel­len­an­ga­be
  • Wider­spruchs­hin­weis
  • Dou­ble Opt-In für Newsletter-Anmeldungen
  • Gewinn­spie­le
  • und vie­le mehr

Zum Down­load