Zum Inhalt springen

Einwilligung

Die DSGVO ver­bie­tet kei­ne Wunsch­zet­tel-Aktio­nen für Kin­der zu Weih­nach­ten — aus aktu­el­len Anlass

Kaum ist die Vor­weih­nachts­zeit auf Hoch­tou­ren star­ten erneut die Falsch­mel­dun­gen über die ach so böse Daten­schutz-Grund­ver­ord­nung (DSGVO). Wie schon im ver­gan­ge­nen Jahr ist nach Mel­dung des einen oder ande­ren Medi­en­ver­tre­ters die DSGVO erneut dar­an schuld, dass trau­ri­ge Kin­der­au­gen auf den lee­ren Weih­nachts­wunsch­baum in der einen oder ande­ren Kom­mu­ne in Deutsch­land star­ren. Das dem nicht so ist, hat bereits im Novem­ber 2018 die Ver­tre­tung in Deutsch­land der Euro­päi­schen Kom­mis­si­on in einer Klar­stel­lung ver­lau­ten lassen.

“Die Euro­päi­sche Daten­schutz­grund­ver­ord­nung ver­bie­tet in kei­ner Wei­se Wunsch­zet­tel-Aktio­nen zu Weih­nach­ten. Berich­te, die auf das Gegen­teil schlie­ßen las­sen, sind falsch. Um Geschen­ke an die Kin­der zu lie­fern, dür­fen die Kon­takt­da­ten der Fami­lie auf­ge­nom­men wer­den — vor­aus­ge­setzt, die Eltern stim­men zu. Das sind die Regeln, die schon seit 20 Jah­ren gel­ten. Die Daten­schutz­grund­ver­ord­nung hat dar­an nichts geändert.”

Wie auch schon zu Zei­ten der DSGVO wird bei Min­der­jäh­ri­gen eine Ein­wil­li­gung der Eltern nach gel­ten­dem Recht benö­tigt. Dabei muss klar dar­über infor­miert wer­den, zu wel­chem Zweck die Daten erho­ben und ver­ar­bei­tet sowie an wen sie wei­ter­ge­ge­ben werden.

Zur Klar­stel­lung aus 11/​2018

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

EuGH nimmt Web­sei­ten­be­trei­ber bei Face­books Like But­ton in die Pflicht

EuGH Urteil C‑40/​17 zu Face­books Like Button

Am Mon­tag, 29.07.2019 ver­kün­de­te der EuGH in sei­nem Urteil C‑40/​17 eigent­lich wenig Über­ra­schen­des. Das ein­fa­che Ein­bin­den von akti­ven Social Media Kom­po­nen­ten wie dem Face­book Like But­ton (um den ging es hier kon­kret), ist dann doch nicht so ein­fach, wie es sich manch Web­sei­ten­be­trei­ber erhofft.

Die Crux am Face­book Like Button

Als akti­ver Inhalt über­trägt der Face­book Like But­ton bereits beim Öff­nen der Web­sei­te Daten des Sei­ten­be­su­chers an Face­book. Dies geschieht, wenn kei­ne wei­te­ren Vor­keh­run­gen sei­tens des Web­sei­ten­be­trei­bers getrof­fen wer­den, noch bevor der Sei­ten­be­su­cher über die­se Art der Daten­wei­ter­ga­be infor­miert wur­de oder (und hier bleibt ein wei­te­res Urteil abzu­war­ten) in die Wei­ter­ga­be ein­ge­wil­ligt hat.

Ursprüng­lich als kom­for­ta­ble Mög­lich­keit gedacht, Inhal­te der besuch­ten Web­sei­te schnell in Face­books Netz­werk durch den Besu­cher tei­len zu las­sen und damit eine höhe­re Reich­wei­te für die eige­ne Web­sei­te zu erzie­len, bringt die­se Kom­fort­funk­ti­on jetzt Mehr­auf­wand für den Betrei­ber der Web­sei­te mit sich.

Emp­feh­lung zur Umset­zung bzw. Ein­bin­dung des Face­book Like But­ton in die eige­ne Webseite

Orga­ni­sa­tio­nen, die bereits den akti­ven Face­book Like But­ton auf der Web­sei­te nut­zen oder dies in naher Zukunft pla­nen, soll­ten als Reak­ti­on auf das EuGH Urteil zum Face­book Like But­ton nun reagie­ren. So gilt es, die Anga­ben zu den Infor­ma­ti­ons­pflich­ten bzw. die Daten­schutz­er­klä­rung um die Punk­te Erhe­bung und Wei­ter­lei­tung von Besu­cher­da­ten an Face­book zu ergän­zen, sofern noch nicht erfolgt.

Noch offen ist bzw. dis­ku­tiert wird die Fra­ge, ob eine Ein­wil­li­gung des Besu­chers für die Erhe­bung und Wei­ter­ga­be an Face­book not­wen­dig ist oder ob (zumin­dest nicht-öffent­li­che Stel­len) auf das sog. berech­tig­te Inter­es­se abstel­len kön­nen. In den aktu­el­len Dis­kus­sio­nen kris­tal­li­siert sich hier jedoch eine Mehr­heits­mei­nung her­aus, die eine akti­ve Ein­wil­li­gung wie z.B. bei den bereits gut ver­brei­te­ten 2‑Klick-Lösun­gen bevor­zugt bzw. voraussetzt.

2‑Klick-Lösun­gen für die eige­ne Webseite

Wer also so gar nicht ohne Face­books Like But­ton auf der eige­nen Web­sei­te aus­kom­men kann, dem ste­hen mit die­sen Lösun­gen prak­ti­sche Hel­fer­lein zur Ver­fü­gung. Bekannt sind z.B. die bei­den c’t Pro­jek­te Embet­ty und Sha­riff. Für zahl­rei­che Con­tent Manage­ment Sys­te­me wie Word­Press ste­hen fer­ti­ge Plug­ins zur Ver­fü­gung, die rela­tiv ein­fach in die Web­sei­te ein­zu­bin­den sind und den her­kömm­li­chen Like But­ton erset­zen. Optisch durch­aus an das Ori­gi­nal ange­lehnt, ver­fügt die­ser erst mal über kei­ne akti­ven Inhal­te. Erst nach einem ers­ten Klick auf den But­ton, der Anzei­ge und Bestä­ti­gung durch einen wei­tern Klick, um die akti­ven Inhal­te zu star­ten, beginnt die Erhe­bung und Wei­ter­ga­be an Face­book. Die meis­ten 2‑Klick-Lösun­gen kön­nen ent­spre­chend auch mit ande­ren akti­ven Con­nec­to­ren zu wei­te­ren sozia­len Netz­wer­ken umgehen.

Das Urteil des EuGH fußt noch auf der frü­he­ren EU Daten­schutz-Richt­li­nie 96/​45. Da die Grund­sät­ze in der DSGVO jedoch nicht son­der­lich abwei­chen, dürf­te sich in der Anwen­dung des EuGH Urteils wenig ändern.

Coo­kie Opt-In wird Pflicht — Abmahn­ri­si­ko steigt

Für viel weit­rei­chen­der als die kon­kre­ten Anmer­kun­gen zu Face­books Like But­ton hal­ten wir die Aus­sa­ge des EuGH, das Coo­kies ein­wil­li­gungs­pflich­tig sind. Damit setzt der EuGH hier ein deut­li­ches Signal zu den bis­he­ri­gen Unsi­cher­hei­ten aus der Coo­kie Richt­li­nie. Die Rand­be­mer­kun­gen 88–90 haben es hier deut­lich in sich. Details hier­zu lesen Sie aus kom­pe­ten­ter Feder des RA Tho­mas Schwen­ke in sei­nem Blog­bei­trag. Und neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Unse­re Bestands­kun­den haben wir zum The­ma Coo­kies im Rah­men eines Pakets mit wei­te­ren Infor­ma­tio­nen zur Umset­zung aus­ge­stat­tet. Lesern unse­res Blogs emp­feh­len wir den oben ver­link­ten Bei­trag von Schwenke.

 

Knack­punkt Geburtstagsliste

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtstag­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

“Anwen­dungs­hin­wei­se zur Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten für werb­li­che Zwe­cke” veröffentlicht

Das baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat einen Leit­fa­den für Wer­be­trei­ben­de als PDF ver­öf­fent­licht. Im Vor­wort heißt es hierzu:

“Der Düs­sel­dor­fer Kreis als Gre­mi­um der Daten­schutz­auf­sichts­be­hör­den nach § 38 BDSG hat­te eine Ad-hoc-Arbeits­grup­pe “Wer­bung und Adress­han­del” unter Lei­tung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ein­ge­rich­tet und die­se mit der Erar­bei­tung von Anwen­dungs­hin­wei­sen zu den BDSG-Rege­lun­gen für den werb­li­chen Umgang mit per­so­nen­be­zo­ge­nen Daten beauf­tragt. In einer Sit­zung und im schrift­li­chen Aus­tausch wur­den Anwen­dungs­hin­wei­se for­mu­liert, die ‑soweit sie ein­stim­mig oder von einer gro­ßen Mehr­heit mit­ge­tra­gen wer­den- nach­ste­hend abge­druckt sind.”

Die­ser Leit­fa­den ist auf­grund sei­nes Ursprungs im Düs­sel­dor­fer Kreis in sei­ner Anwen­dung nicht auf  Bay­ern beschränkt. Die Lek­tü­re emp­fiehlt sich bun­des­weit für Wer­be­trei­ben­de aller Bran­chen und Richtungen.

The­men­aus­zug:

  • Lis­ten­pri­vi­leg
  • Ein­wil­li­gung
  • Nut­zungs­dau­er /​ Ver­falls­da­tum
  • Anrei­chern mit wei­te­ren Informationen
  • Trans­pa­renz­ge­bot
  • Quel­len­an­ga­be
  • Wider­spruchs­hin­weis
  • Dou­ble Opt-In für Newsletter-Anmeldungen
  • Gewinn­spie­le
  • und vie­le mehr

Zum Down­load

 

 

Nächs­te Über­gangs­frist läuft aus, Buß­geld­ri­si­ko für Werbetreibende

Zum 31.08.2012 läuft die Über­gangs­re­ge­lung für § 28 BDSG für Wer­be­zwe­cke aus. Ab dem 01.09.2012 heißt es dann, per­so­nen­be­zo­ge­ne Daten und die soge­nann­ten “Lis­ten­da­ten” aus­schließ­lich noch mit wirk­sa­mer Ein­wil­li­gung für Wer­be­zwe­cke zu nut­zen. Laut dem Buß­geld­ka­ta­log des Bun­des­da­ten­schutz­ge­set­zes kön­nen durch­aus Beträ­ge bis 300.000 Euro bei Nicht­ein­hal­tung fäl­lig wer­den. Grund genug für alle Wer­be­trei­ben­den, sich mit den aktu­el­len Rege­lun­gen auseinanderzusetzen.

Was sind Listendaten?

Die Defi­ni­ti­on lie­fert § 28 Absatz 3 BDSG: ” Dar­über hin­aus ist die Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten zuläs­sig, soweit es sich um lis­ten­mä­ßig oder sonst zusam­men­ge­fass­te Daten über Ange­hö­ri­ge einer Per­so­nen­grup­pe han­delt, die sich auf die Zuge­hö­rig­keit des Betrof­fe­nen zu die­ser Per­so­nen­grup­pe, sei­ne Berufs‑, Bran­chen- oder Geschäfts­be­zeich­nung, sei­nen Namen, Titel, aka­de­mi­schen Grad, sei­ne Anschrift und sein Geburts­jahr beschrän­ken, und die Ver­ar­bei­tung oder Nut­zung erfor­der­lich ist”

Hier soll­te gleich beach­tet wer­den, dass wei­te­re Anga­ben wie Tele­fon- und Fax­num­mern, Email-Adres­se oder das voll­stän­di­ge Geburts­da­tum nicht unter die­se Defi­ni­ti­on fallen!

Betrof­fen sind eben­falls Lis­ten­da­ten, die noch vor der BDSG Novel­le vom 01.09.2009 erho­ben wurden.

Was bedeu­tet das nun konkret?

Per­so­nen­be­zo­ge­ne Daten, unab­hän­gig ob Alt- oder Neu­be­stand, wie Tele­fon­num­mer und Email-Adres­se dür­fen ab dem 01.09.2012 nur noch mit gül­ti­ger Ein­wil­li­gung des Betrof­fe­nen zu Wer­be­zwe­cken genutzt werden.

Eine elek­tro­ni­sche Ein­wil­li­gung muss durch den Wer­be­trei­ben­den pro­to­kol­liert wer­den und auf Anfor­de­rung nach­weis­bar sein. Hier gilt es, aktu­el­le Ver­fah­rens­wei­sen sorg­fäl­tig zu prü­fen und anzupassen.

Gibt es Ausnahmen?

Der Gesetz­ge­ber hat eini­ge Aus­nah­men vor­ge­se­hen, den Rah­men jedoch recht eng gestellt:

  1. Für Wer­bung an Bestands­kun­den dür­fen Lis­ten­da­ten ohne Ein­wil­li­gung genutzt wer­den (Ach­tung: beach­ten Sie, was Lis­ten­da­ten kon­krekt sind, sie­he Defi­ni­ti­on wei­ter oben)
  2. Lis­ten­da­ten aus all­ge­mein zugäng­li­chen Adress- und Bran­chen­ver­zeich­nis­sen dür­fen eben­falls ohne Ein­wil­li­gung genutzt werden
  3. Für berufs­be­zo­ge­ne Wer­bung an eine beruf­li­che Anschrift wird eben­falls kei­ne Ein­wil­li­gung benö­tigt (pos­ta­lisch)
  4. Gemein­nüt­zi­ge Orga­ni­sa­tio­nen dür­fen für Spen­den­auf­ru­fe eben­falls Lis­ten­da­ten ohne Ein­wil­li­gung nutzen
Doch Ach­tung: die­se Aus­nah­men gel­ten nur für Brief­wer­bung. Für Tele­fon- und Email-Wer­bung wird die Ein­wil­li­gung zwin­gend benötigt.
Tipps zur Umsetzung
  1. Tren­nen Sie Alt­da­ten von Neu­da­ten, das erleich­tert das Hand­ling unge­mein. Für Neu­da­ten holen Sie selbst­ver­ständ­lich bereits heu­te die not­wen­di­ge Ein­wil­li­gung beim Betrof­fe­nen ein. Wol­len Sie Alt­da­ten nut­zen, kön­nen Sie auf die­se über­sicht­lich zurück­grei­fen und die feh­len­de Ein­wil­li­gung nachholen.
  2. Daten­sät­ze soll­ten gene­rell mit den fol­gen­den Merk­ma­len ver­se­hen wer­den: Datum des Zugangs, Daten­her­kunft und idea­ler­wei­se die dazu­ge­hö­ri­ge Zweckbindung
  3. Ver­mei­den Sie pau­scha­le Anga­ben in der Ein­wil­li­gung
  4. Fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? For­dern Sie Ihr Ange­bot kom­for­ta­bel online an.
 Wol­len Sie mehr über die in 2009 ange­stos­se­nen Ände­run­gen des Bun­des­da­ten­schutz­ge­set­zes erfah­ren? Dann fin­den Sie in unse­rem Part­ner­fach­blog daten​schutz​be​auf​trag​ter​-info​.de eine gute Übersicht.

 

Mit Ein­wil­li­gung wäre das wohl nicht passiert

Sicher haben Sie es in der Pres­se der letz­ten Wochen ver­folgt: ein bekann­ter Auto­ver­mie­ter mit Sitz in Ham­burg wur­de zur Zah­lung eines Buß­gelds in Höhe von 54.000 Euro ver­pflich­tet. Die zustän­di­ge Daten­schutz­be­hör­de nahm Anstoß an der Art und Wei­se der Umset­zung einer in der Bran­che übli­chen Siche­rungs­maß­nah­me hoch­wer­ti­ger Miet­fahr­zeu­ge mit­tels GPS Ortung. Erschwe­rend kam eine feh­len­de Rege­lung zur sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG mit dem ein­ge­setz­ten Dienst­leis­ter hinzu.

Der ham­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par äußer­te sich dahingehend:

“Grund­sätz­lich ist die Moti­va­ti­on von Europ­car nach­voll­zieh­bar. Die heim­li­che Ortung von Miet­fahr­zeu­gen und die heim­li­che Kon­trol­le der Mie­ter stel­len jedoch einen schwe­ren Ein­griff  in deren Per­sön­lich­keits­recht dar. Der Auto­ver­mie­ter hat es dadurch in der Hand, Bewe­gungs­pro­fi­le sei­ner Kun­den zu erstel­len. Mit Hil­fe der Ortungs­tech­nik lässt sich nicht nur rekon­stru­ie­ren, wer sich wann wo auf­ge­hal­ten hat, son­dern auch, wer zu wel­chem Zeit­punkt mit wel­cher Geschwin­dig­keit gefah­ren ist. Ins­be­son­de­re durch die anlass­lo­se Ortung wer­den die Mie­ter regel­mä­ßig unter einen Gene­ral­ver­dacht gestellt.”

In der Pres­se­mit­tei­lung vom 17.07.2012 heißt es weiterhin:

“Da die Über­mitt­lung der Ortungs­da­ten ohne Wis­sen und ohne Ein­wil­li­gung der Mie­ter erfolg­te, war sie ord­nungs­wid­rig. Dane­ben gab es zwi­schen der Europ­car GmbH und der aus­füh­ren­den Fir­ma kei­nen Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung nach dem Bun­des­da­ten­schutz­ge­setz.  Die Höhe des Buß­gel­des wur­de zudem maß­geb­lich davon beein­flusst, dass die Europ­car GmbH dem Daten­schutz­be­auf­trag­ten anfäng­lich kei­ne voll­stän­di­gen Aus­künf­te erteilt und trotz Auf­for­de­rung das unzu­läs­si­ge Ver­hal­ten zunächst nicht been­det hatte.”

§4a BDSG defi­niert Form und Inhalt einer rechts­wirk­sa­men Einwilligungserklärung:

  • Erfor­der­nis der Schrift­form (Aus­nah­me: elek­tro­ni­sche Ein­wil­li­gung, an die genaue Vor­ga­ben geknüpft sind)
  • Frei­wil­lig­keit der Einwilligung
  • Genaue Zweck­be­schrei­bung
  • Fol­gen der Nichterteilung
  • Opti­sche Her­vor­he­bung der Einwilligung

Pau­scha­le Ein­wil­li­gun­gen in der Form “Ich wil­li­ge in die Nut­zung mei­ner Daten zu jedem erdenk­li­chen Zweck im Sin­ne des Unter­neh­mens ein” soll­ten sich dem­nach mitt­ler­wei­le über­holt haben.

Das OLG Köln hat in sei­ner Ent­schei­dung vom 17.06.2011, AZ: 6 U 8/​11 eine durch eine Ver­brau­cher­schutz­be­hör­de bean­stan­de­te Ein­wil­li­gungs­er­klä­rung inhalt­lich und der Form nach geprüft und deren Wirk­sam­keit bestä­tigt. Es emp­fiehlt sich durch­aus, die Begrün­dung und Bewer­tung des OLG vor dem Erar­bei­ten einer eige­nen Ein­wil­li­gungs­er­klä­rung zu prüfen.

Hilf­reich ist eben­falls, sich in die Posi­ti­on des Ein­wil­li­gen­den zu ver­set­zen. Die­ser muss klar erkennen:

  • Han­delt es sich um eine Einwilligung?
  • War­um soll ich einwilligen?
  • Wel­che mei­ner per­so­nen­be­zo­ge­nen Daten sind kon­kret betroffen?
  • Für wel­chen kon­kre­ten Ver­wen­dungs­zweck soll ich einwilligen?
  • Wel­che Kon­se­quen­zen hat es für mich, wenn ich nicht einwillige?
  • An wen gibt das Unter­neh­men mei­ne Daten wei­ter und warum?

Ver­mei­den Sie dabei auf jeden Fall all­ge­mei­ne For­mu­lie­run­gen! In eine Ein­wil­li­gung soll­te aus­rei­chend Zeit und Pla­nung inves­tiert wer­den. Sind die kon­kre­ten Zwe­cke nicht aus­rei­chend und umfäng­lich defi­niert, so ent­fällt auf­grund der im BDSG fest­ge­schrie­be­nen Zweck­bin­dung jeg­li­che wei­te­re Verwendungsmöglichkeit.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kennt sich mit die­sem The­ma bes­tens aus. Spre­chen Sie ihn doch ein­fach recht­zei­tig an. Sie haben kei­nen? Dann for­dern Sie noch heu­te Ihr Ange­bot an. Er unter­stützt Sie auch bei der Umset­zung einer daten­schutz­kon­for­men Auf­trags­da­ten­ver­ar­bei­tung.

Neben dem Bun­des­da­ten­schutz­ge­setz spie­len je nach Fall wei­te­re Geset­ze bei der Erstel­lung und Umset­zung einer (elek­tro­ni­schen oder schrift­li­chen) Ein­wil­li­gung eine Rol­le. Mehr erfah­ren Sie in unse­rem Part­ner­blog.

Die mobile Version verlassen