Die Rechte der Menschen schützen, die Ihnen Ihre Daten preisgeben
Die Rechte der Menschen schützen, die Ihnen Ihre Daten preisgeben
Sie verarbeiten personenbezogene Daten, um ausgehend von dem Online-Verhalten von Menschen zielgerichtete Werbung über Suchmaschinen zu schalten.
Sie senden Ihren Kunden einmal im Jahr Werbung, um Ihr örtliches Lebensmittelunternehmen zu bewerben.
Sie sind Allgemeinmediziner und sammeln die Gesundheitsdaten Ihrer Patienten.
Sie verarbeiten für ein Krankenhaus personenbezogene Daten zu Genetik und Gesundheit.
bei nicht automatischer Verarbeitung durch mehr als 19 Personen
bei geschäftsmäßiger automatisierter Verarbeitung ZUM Zweck der Übermittlung, anonymisierter Übermittlung oder Markt und Meinungsforschung
Kompliziert wird es für die Unternehmen, die weniger als 10 Mitarbeiter beschäftigen bzw. weniger als 10 Mitarbeiter mit Zugang zu personenbezogenen Daten haben, aber umfangreich mit personenbezogenen Daten agieren. Hierunter dürften sicher Makler, Hausverwaltungen, Versicherungsagenturen und ähnliche Betriebe fallen. Entweder finden diese Branchen sich auf irgendwelchen Black- und White-Listen wieder oder sie
In Anbetracht der gesamten Datenschutzgrundverordnung hat das Thema Datenschutz im Unternehmen auf die meisten eine einschüchternde Wirkung. Wir haben Ihnen die 7 wichtigsten Punkte zusammengefasst, mit denen Sie sich vertraut machen sollten, damit der Datenschutz in Ihrem Unternehmen gelingt.
Ein DSB kann sowohl intern als auch extern benannt werden. Der Vorteil eines externen DSB ist, dass er oder sie speziell für das Thema Datenschutz geschult ist und sich beruflich darauf fokussiert. Als Erstes sollten Sie in Erfahrung bringen, ob für Ihr Unternehmen die Pflicht zur Ernennung eines Datenschutzbeauftragten besteht (siehe Art. 37 DSGVO) oder ob die Ernennung aufgrund der Komplexität des Themas sinnvoll wäre.
Alle betroffenen Personen müssen über die Datenverarbeitung informiert werden und dieser zustimmen. Jeder Website-Inhaber ist verpflichtet, eine Datenschutzerklärung in seine Website einzubetten.
Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen schriftlich zur Vertraulichkeit, also der Geheimhaltung aller unternehmensbezogenen Daten, verpflichtet werden.
Verarbeitet ein Dienstleister im Auftrag und auf Weisung eines Verantwortlichen personenbezogene Daten, muss in gewissen Fällen ein AV-Vertrag geschlossen werden, der die Pflichten und Verantwortlichkeiten beider Parteien festlegt.
Bei den TOM handelt es sich um ein Konzept zum Umgang mit personenbezogenen Daten. Sie können Punkte wie Mitarbeiter-Benutzerkonten, Berechtigungskonzepte, Videoüberwachung oder abschließbare Schränke für Akten beinhalten.
Datenschutz ist ein komplexes Thema, weswegen Schulungen der Mitarbeiter für den korrekten Umgang mit personenbezogenen Daten unerlässlich sind. Das größte Risiko in puncto Datenschutz stellt der Mitarbeiter selbst dar. Darum sollten auch regelmäßige Auffrischungen nicht vernachlässigt werden, um Verstößen und Bußgeldern vorzubeugen.
In Anbetracht der gesamten Datenschutzgrundverordnung hat das Thema Datenschutz im Unternehmen auf die meisten eine einschüchternde Wirkung. Wir haben Ihnen die 7 wichtigsten Punkte zusammengefasst, mit denen Sie sich vertraut machen sollten, damit der Datenschutz in Ihrem Unternehmen gelingt.
Ein DSB kann sowohl intern als auch extern benannt werden. Der Vorteil eines externen DSB ist, dass er oder sie speziell für das Thema Datenschutz geschult ist und sich beruflich darauf fokussiert. Als Erstes sollten Sie in Erfahrung bringen, ob für Ihr Unternehmen die Pflicht zur Ernennung eines Datenschutzbeauftragten besteht (siehe Art. 37 DSGVO) oder ob die Ernennung aufgrund der Komplexität des Themas sinnvoll wäre.
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten von Daten führen (siehe Art. 30 DSGVO). Darin werden z.B. Verantwortlichkeiten, die Zwecke der Datenverarbeitung und Löschfristen definiert.
Alle betroffenen Personen müssen über die Datenverarbeitung informiert werden und dieser zustimmen. Jeder Website-Inhaber ist verpflichtet, eine Datenschutzerklärung in seine Website einzubetten.
Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen schriftlich zur Vertraulichkeit, also der Geheimhaltung aller unternehmensbezogenen Daten, verpflichtet werden.
Verarbeitet ein Dienstleister im Auftrag und auf Weisung eines Verantwortlichen personenbezogene Daten, muss in gewissen Fällen ein AV-Vertrag geschlossen werden, der die Pflichten und Verantwortlichkeiten beider Parteien festlegt.
Bei den TOM handelt es sich um ein Konzept zum Umgang mit personenbezogenen Daten. Sie können Punkte wie Mitarbeiter-Benutzerkonten, Berechtigungskonzepte, Videoüberwachung oder abschließbare Schränke für Akten beinhalten.
Datenschutz ist ein komplexes Thema, weswegen Schulungen der Mitarbeiter für den korrekten Umgang mit personenbezogenen Daten unerlässlich sind. Das größte Risiko in puncto Datenschutz stellt der Mitarbeiter selbst dar. Darum sollten auch regelmäßige Auffrischungen nicht vernachlässigt werden, um Verstößen und Bußgeldern vorzubeugen.
Nach Art. 6 DSGVO ist eine Verarbeitung bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer Einwilligung des Betroffenen rechtmäßig.
Da die Generalklausel sehr abstrakt formuliert ist, ist eine Beurteilung nur am konkreten Einzelfall unter Beurteilung der Gesamtumstände möglich. Hierunter fällt beispielsweise der Vorrang der Direkterhebung, wonach der Verantwortliche personenbezogene Daten direkt beim Betroffenen und nicht indirekt durch einen Dritten erheben soll, da der Betroffene regelmäßig mit einer Dritterhebung nicht rechnen kann.
Dem Grundsatz der Transparenz soll etwa durch die Informationspflichten der Art. 12ff. DSGVO nachgekommen werden. Dieser Grundsatz soll gewährleisten, dass die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können und zu jederzeit wissen und verstehen, wer, wozu, wie ihre personenbezogenen Daten verarbeitet.
Jeder Verarbeitung personenbezogener Daten muss ein bestimmter Zweck zugrunde liegen. Die Erhebung personenbezogener Daten darf nach Art. 5 Abs. 1b DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1c DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es gilt also der Grundsatz: so wenig personenbezogene Daten wie möglich erheben.
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und auf dem neuesten Stand sein. Betroffene haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger Daten zu verlangen.
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ist die Speicherung für die Zwecke, für die sie verarbeitet werden, nicht mehr notwendig, so müssen die Daten gemäß Art. 17 Abs.1a DSGVO gelöscht werden.
Personenbezogene Daten müssen darüber hinaus gemäß Art. 5 Abs. 1f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies soll durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO erfolgen.
Nach Art. 6 DSGVO ist eine Verarbeitung bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer Einwilligung des Betroffenen rechtmäßig.
Da die Generalklausel sehr abstrakt formuliert ist, ist eine Beurteilung nur am konkreten Einzelfall unter Beurteilung der Gesamtumstände möglich. Hierunter fällt beispielsweise der Vorrang der Direkterhebung, wonach der Verantwortliche personenbezogene Daten direkt beim Betroffenen und nicht indirekt durch einen Dritten erheben soll, da der Betroffene regelmäßig mit einer Dritterhebung nicht rechnen kann.
Dem Grundsatz der Transparenz soll etwa durch die Informationspflichten der Art. 12ff. DSGVO nachgekommen werden. Dieser Grundsatz soll gewährleisten, dass die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können und zu jederzeit wissen und verstehen, wer, wozu, wie ihre personenbezogenen Daten verarbeitet.
Jeder Verarbeitung personenbezogener Daten muss ein bestimmter Zweck zugrunde liegen. Die Erhebung personenbezogener Daten darf nach Art. 5 Abs. 1b DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1c DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es gilt also der Grundsatz: so wenig personenbezogene Daten wie möglich erheben.
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und auf dem neuesten Stand sein. Betroffene haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger Daten zu verlangen.
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ist die Speicherung für die Zwecke, für die sie verarbeitet werden, nicht mehr notwendig, so müssen die Daten gemäß Art. 17 Abs.1a DSGVO gelöscht werden.
Personenbezogene Daten müssen darüber hinaus gemäß Art. 5 Abs. 1f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies soll durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO erfolgen.
Finden wir nicht mindestens drei Datenschutzverstöße auf Ihrer Webseite so ist die Prüfung kostenlos. Jede Prüfung schließt mit einem Prüfbericht und Anleitung für Ihren Webmaster oder Webdesigner zur Beseitigung der Verstöße ab.
Nach der Beseitigung durch den Webmaster oder Webdesigner prüfen wir Ihre Webseite noch einmal!
Cookies sind Textdateien, die vorübergehend im Browser eines Website-Benutzers gespeichert werden. Sie werden häufig verwendet, um das Surfen für Benutzer komfortabler zu gestalten und um sicherzustellen, dass bestimmte Website-Anwendungen reibungslos funktionieren, z. B. Einkaufswagen in Online-Shops. Andere Cookies verfolgen beispielsweise das Einkaufsverhalten des Website-Nutzers und können so personalisierte Werbung anzeigen.
Nein, in der DSGVO wird das Cookie-Thema nicht explizit genannt. Stattdessen hat sich der Europäische Gerichtshof mit diesem Thema befasst. In einer Entscheidung von Ende 2019 urteilte er, dass, sofern Cookies nicht unbedingt für die Website-Funktion erforderlich sind, eine ausdrückliche Cookie-Einwilligung von den Website-Nutzern eingeholt werden muss.
Nein. Nur Websites, die andere als technisch notwendige Cookies erheben, brauchen einen Cookie Banner, um das Einverständnis der Websiteuser einzuholen. Websites, die nur technische Cookies verwenden, sind z.B. Seiten, die nicht vom Traffic oder ausgespielter Werbung profitieren und nur rein repräsentativ sind.
Nein. Technisch notwendige Cookies, die dafür sorgen, dass eine Website fehlerfrei läuft, brauchen keine Zustimmung. Ob Sie darüber hinaus andere Cookies akzeptieren hängt davon ab, ob Sie z.B. personalisierte Werbung erhalten möchten.
Bei Kontaktformularen im Internet endet der Datenschutz oftmals. Vor allem vom Grundsatz der Datensparsamkeit fehlt häufig jede Spur. Für Seitenbetreiber*innen kann das schnell teuer werden, denn hier drohen Bußgelder.
Beim Ausfüllen eines Kontaktformulars werden User*innen auf Webseiten vielfach aufgefordert, eine Fülle personenbezogener Daten preiszugeben. Das nimmt oftmals absurde Ausmaße an und manch einer wundert sich dann – vor allem bei kleineren Anfragen – ob nicht allein die Bekanntgabe der E-Mail-Adresse ausgereicht hätte. Ganz falsch liegen Betroffene mit diesem Einwand nicht: Auch das Kontaktformular der Webseite muss datenschutzkonform gestaltet werden
Finden wir nicht mindestens drei Datenschutzverstöße auf Ihrer Webseite so ist die Prüfung kostenlos. Jede Prüfung schließt mit einem Prüfbericht und Anleitung für Ihren Webmaster oder Webdesigner zur Beseitigung der Verstöße ab.
Nach der Beseitigung durch den Webmaster oder Webdesigner prüfen wir Ihre Webseite noch einmal!
Cookies sind Textdateien, die vorübergehend im Browser eines Website-Benutzers gespeichert werden. Sie werden häufig verwendet, um das Surfen für Benutzer komfortabler zu gestalten und um sicherzustellen, dass bestimmte Website-Anwendungen reibungslos funktionieren, z. B. Einkaufswagen in Online-Shops. Andere Cookies verfolgen beispielsweise das Einkaufsverhalten des Website-Nutzers und können so personalisierte Werbung anzeigen.
Nein, in der DSGVO wird das Cookie-Thema nicht explizit genannt. Stattdessen hat sich der Europäische Gerichtshof mit diesem Thema befasst. In einer Entscheidung von Ende 2019 urteilte er, dass, sofern Cookies nicht unbedingt für die Website-Funktion erforderlich sind, eine ausdrückliche Cookie-Einwilligung von den Website-Nutzern eingeholt werden muss.
Nein. Nur Websites, die andere als technisch notwendige Cookies erheben, brauchen einen Cookie Banner, um das Einverständnis der Websiteuser einzuholen. Websites, die nur technische Cookies verwenden, sind z.B. Seiten, die nicht vom Traffic oder ausgespielter Werbung profitieren und nur rein repräsentativ sind.
Nein. Technisch notwendige Cookies, die dafür sorgen, dass eine Website fehlerfrei läuft, brauchen keine Zustimmung. Ob Sie darüber hinaus andere Cookies akzeptieren hängt davon ab, ob Sie z.B. personalisierte Werbung erhalten möchten.
Bei Kontaktformularen im Internet endet der Datenschutz oftmals. Vor allem vom Grundsatz der Datensparsamkeit fehlt häufig jede Spur. Für Seitenbetreiber*innen kann das schnell teuer werden, denn hier drohen Bußgelder.
Beim Ausfüllen eines Kontaktformulars werden User*innen auf Webseiten vielfach aufgefordert, eine Fülle personenbezogener Daten preiszugeben. Das nimmt oftmals absurde Ausmaße an und manch einer wundert sich dann – vor allem bei kleineren Anfragen – ob nicht allein die Bekanntgabe der E-Mail-Adresse ausgereicht hätte. Ganz falsch liegen Betroffene mit diesem Einwand nicht: Auch das Kontaktformular der Webseite muss datenschutzkonform gestaltet werden
Datenschutz ist generell ein sehr komplexes Thema, bei dem man als Laie leicht den Überblick verlieren kann. Wir möchten Struktur und Ordnung in die Datenschutzbelange Ihres Unternehmens bringen und dafür sorgen, dass Sie das Thema Datenschutz proaktiv angehen können. Damit Sie sich schnell und unkompliziert einen Überblick verschaffen können, haben wir Ihnen oft gestellte Fragen zum Thema „Datenschutz im Unternehmen“ mit den dazugehörigen Antworten zusammengefasst. Sollten Sie weitere Fragen haben, zögern Sie nicht uns unter +49 40 / 210 911 040 zu kontaktieren.
Auf diese Frage kann man keine pauschale Antwort geben. Abhängig von der Unternehmensgröße oder der Art der personenbezogenen Daten, welche in einem Unternehmen verarbeitet werden, entstehen unterschiedliche Anforderungen an den Datenschutz. Mögliche Aufgaben bzw. Pflichten können sein:
Die Verantwortung für den Datenschutz kann nicht durch Bestellung an den Datenschutzbeauftragten abgegeben werden. Der Datenschutzbeauftragte überwacht und berät, ob der Datenschutz in einem Unternehmen korrekt umgesetzt wird und ob das Unternehmen eine geeignete Strategie zur Umsetzung verfolgt. Für die korrekte Umsetzung des Datenschutzes bleibt das Unternehmen bzw. der Vertretungsberechtigte des Unternehmens selbst verantwortlich.
Sind in einem Unternehmen mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt, muss das Unternehmen laut DSGVO einen Datenschutzbeauftragten benennen. Unabhängig von der Mitarbeiterzahl gilt diese Pflicht auch dann,
Die DSGVO und das BDSG-neu knüpfen die Benennungspflicht für einen Datenschutzbeauftragten also an verschiedene, niedrigschwellige Voraussetzungen.
Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:
Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.
Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.
Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.
Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.
Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Ein Datenschutzbeauftragter muss über verschiedene Fähigkeiten verfügen, um seiner Aufgabe angemessen nachkommen zu können. Die wichtigsten Fähigkeiten eines Datenschutzbeauftragten sind:
Zum Datenschutzbeauftragten eines Unternehmens darf also nur bestellt werden, wer die erforderliche berufliche Qualifikation und auch die Fähigkeit besitzt, um die für einen Datenschutzbeauftragten angedachten Aufgaben ordnungsgemäß erfüllen zu können (Artikel 37 Absatz 5 DSGVO).
Die notwendige berufliche Qualifikation ergibt sich bereits nach dem Wortlaut der DSGVO insbesondere aus dem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Das erforderliche Niveau des Fachwissens hängt von den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten ab. Das bedeutet: Je schutzwürdiger die Daten oder je intensiver die Verarbeitungen, desto höhere Anforderungen sind an das Fachwissen des Datenschutzbeauftragten zu stellen. Dieses ist bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter dem gesetzlich vorgeschriebenen „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ im Einzelnen gemeint ist, bedarf näherer Klärung, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben.
Um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen, muss der Beauftragte zunächst umfassende IT-Kenntnisse vorweisen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind ebenso tiefergehende juristische und betriebliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen informiert sein. Da ein interner Mitarbeiter noch andere Geschäftspflichten zu erfüllen hat, spricht auch dies oft für einen externen Datenschutzbeauftragten.
Neben der beruflichen Qualifikation muss der Beauftragte auch die Fähigkeit zur Erfüllung seiner Aufgaben mitbringen. Hierzu gehören solche persönlichen Eigenschaften wie soziale Kompetenz, Integrität, Verschwiegenheit und Kommunikationsfähigkeit, um die Informations- und Beratungsaufgaben sowie die Funktion als Ansprechpartner für die Unternehmen wahrzunehmen. Ferner ist von entscheidender Bedeutung, dass der Beauftragte seine Pflichten in vollständiger Unabhängigkeit ausüben kann. Er darf auch im Hinblick auf seine Aufgaben nicht in Interessenkonflikte geraten. Dies ist etwa der Fall, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind. Ein weiteres Beispiel für einen Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte sich selbst kontrollieren müsste, er also etwa zugleich Leiter der Personalabteilung wäre. Schließlich muss der Beauftragte in der Lage sein, gegenüber der Geschäftsleitung seine Stellung zu wahren und im Zweifel durchzusetzen, insbesondere im Falle von Meinungsverschiedenheiten hinsichtlich der datenschutzrechtlichen Anforderungen an die jeweiligen Verarbeitungsvorgänge.
Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.
Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes:
Zudem finden sich spezielle Grundsätze zur Datenverarbeitung auch im Telemediengesetz (TMG):
Die Einhaltung der DSGVO in einem Unternehmen wird sowohl vom Datenschutzbeauftragten als auch von der zuständigen Aufsichtsbehörde kontrolliert.
Gemäß Art. 39 Abs.1 lit. b DSGVO gehört die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften zu den Kernaufgaben eines DSB. Letzterer hat im Falle eines Verstoßes gegen die DSGVO das Unternehmen zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt.
Ferner werden Unternehmen hinsichtlich der Einhaltung der DSGVO-Regelungen von den zuständigen Aufsichtsbehörden kontrolliert (§ 40 BDSG-neu). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.
Seit dem Inkrafttreten der DSGVO stehen Unternehmen vor der Herausforderung, die neuen datenschutzrechtlichen Vorgaben in ihre Geschäftsprozesse zu implementieren.
Die Einhaltung dieser Änderungen liegt nämlich in der Verantwortung der Unternehmen, genauer gesagt der Geschäftsleitung selbst. Zu beachten ist, dass sich diese Verantwortung nicht auf den Datenschutzbeauftragten (DSB) übertragen lässt.
Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, ist eine schrittweise, systematische Herangehensweise notwendig. Hierzu gehört nicht nur ein gut strukturiertes Datenschutz-Managementsystem, sondern bspw. auch entsprechende Sensibilisierung sowie regelmäßige Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.
Mit Einführung der sog. „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) muss der Verantwortliche auch jederzeit in der Lage sein, die Einhaltung der datenschutzrechtlichen Regelungen nachzuweisen. Dies führt zu weitrechenden Dokumentationspflichten des Unternehmens.
Zu den wichtigsten Änderungen für Unternehmen gehören:
Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Grundsätzlich gibt es keine Einschränkung, wer die Rolle eines Verantwortlichen übernehmen kann. Es kann sich um eine Organisation, aber auch um eine Einzelperson oder eine Gruppe von Einzelpersonen handeln. Bei der Datenverarbeitung innerhalb einer Firmengruppe ist besonders darauf zu achten, ob eine Einrichtung als Verantwortlicher oder als Auftragsverarbeiter auftritt, z.B. bei der Datenverarbeitung im Auftrag der Muttergesellschaft.
Die folgende Beschreibung bezieht sich im Wesentlichen auf Websites, gilt sinngemäß aber auch für Apps auf Smartphones und Tablets oder Desktop-Programmen. Die folgenden FAQ geben einen Überblick zu Cookies und Tracking.
Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge [1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden (siehe Kasten auf Seite 13 der Orientierungshilfe). Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer (siehe Frage 5 dieser FAQ sowie Seite 8 ff der Orientierungshilfe).
Bei der Einbindung von Elementen Dritter, z.B. Reichweiteanalyse-Tools oder Social-Media-Plugins, ist regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich (vgl. Anhang I der Orientierungshilfe). Eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer ist insbesondere erforderlich, wenn Dritten die Möglichkeit gegeben wird, Nutzungsverhalten zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Letzteres findet üblicherweise bei der Einbindung externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt. Es ist auch wichtig zu prüfen, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung notwendig ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist.
[1] Ein Beispiel für ein entsprechendes Analyse-Tool ist die kostenlose Open-Source-Software Matomo, siehe https://matomo.org/ – aber auch hier sind datenschutzfreundliche Voreinstellungen zu wählen.
Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig auf (vor-) vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.
In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen. Wenn die entgegenstehenden Belange der Nutzer in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig.
Weitere Informationen zu der durchzuführenden Interessenabwägung finden sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.[1] Zum Widerspruchsrecht nach Artikel 21 DSGVO und entsprechende Voreinstellungen des Nutzers wie beispielsweise eine „Do Not Track“ Einstellung siehe Seite 17 f der Orientierungshilfe.
[1] Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.
Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer (vgl. Seite 8 ff der Orientierungshilfe und Frage 5 dieser FAQ). Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken.
Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.
Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies), für die keine Einwilligung erforderlich ist, müssen nur in der Datenschutzerklärung dargestellt werden. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend, sondern es müssen die oben genannten Anforderungen (siehe Frage 5) und die folgenden Vorgaben für die Einwilligung beachtet werden (vergleiche Seite 8 ff der Orientierungshilfe):
Notwendige Elemente:
Nein. Zwar stellt jede Fotografie, auf der ein Mensch abgebildet ist, ein personenbezogenes Datum dar, in Zeiten der Digitalfotografie liegt auch stets eine automatisierte Verarbeitung dieser personenbezogenen Daten vor.
Jedoch fallen aber solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c) DS-GVO) gemacht werden (sog. Haushaltsausnahme) nicht in den Anwendungsbereich der DS-GVO. Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Diese Ausnahme wird jedoch sehr eng verstanden:
Sollen Fotos in einer durch Nutzernamen und Passwort geschützten Gruppe oder einem geschlossenen Forum über eine Webseite zugänglich gemacht werden, so fällt dies noch unter die Haushaltsausnahme. Anderes gilt, wenn ein bestimmter Bereich einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann. So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DS-GVO in diesen Fällen Anwendung findet.
Daneben sind aber noch andere Gesetze beim Fotografieren zu beachten: Das Kunsturhebergesetz (KUG) und das in der Rechtsprechung entwickelte Allgemeine Persönlichkeitsrecht (APR).
Das Verhältnis dieser Rechtsgrundlagen zueinander ist ziemlich kompliziert und umstritten. Die aktuelle Diskussion kreist im Wesentlichen um die Frage, ob das KUG, speziell dessen § 23, unter der DS-GVO weiterhin Bestand hat. Unabhängig davon, welche Auffassung man hierzu vertritt, sind die praktischen Auswirkungen der jeweiligen Sichtweisen im Ergebnis wenig spürbar, da die Wertungen des KUG jedenfalls in die Abwägungsentscheidung nach Art. 6 Abs. 1 lit. f) DS-GVO einfließen.
Das KUG regelt insbesondere drei Fälle, bei denen es keiner Einwilligung des Fotografierten für die Verbreitung der Aufnahmen bedarf:
Das APR kommt in Betracht, wenn durch das Fotografieren oder die Verbreitung von Fotos Menschen in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Das kann etwa sein, wenn Menschen an privaten Orten (in der Wohnung, im eigenen Garten, in der Kirche) oder in intimen Situationen (Sex, Familienfeier, ärztliche Behandlung) fotografiert werden. Das APR ist auch über den Tod hinaus geschützt (postmortales APR) und ist immer neben der DS-GVO einschlägig. Bei diesem geht es um die Geltendmachung zivilrechtliche Unterlassungs- und Schadensersatzansprüche, die neben das Datenschutzrecht treten und auch auf anderem Weg, nämlich privat, ggfls. mit einer Klage vor den Zivilgerichten, geltend zu machen sind.
Bildaufnahmen sind zunächst nach Art. 6 Abs. 1 DSGVO verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können. Wenn die Datenverarbeitung der Erfüllung eines Vertrages mit dem Betroffenen dient, ihre Grundlage in den Bestimmungen einer (Vereins-)Satzung hat, oder im überwiegenden Interesse des Verantwortlichen erforderlich ist, spricht viel dafür, die Verarbeitung auch auf die entsprechende Rechtfertigung in der DS-GVO zu stützen (hier insbes. Art. 6 Abs. 1 b und f DS-GVO). Eine Einwilligung ist dann nur noch in sonstigen Fällen (etwa bei Aufnahmen von Kindern, die nicht lediglich als Beiwerk auf der Aufnahme erscheinen) erforderlich.
Einwilligung in Erhebung und Verbreitung
Eine Einwilligung muss hierbei nicht zwingend schriftlich erfolgen. Vielmehr ermöglicht es die DS-GVO, die Einwilligung elektronisch, mündlich oder sogar konkludent (z.B. durch Posieren oder Lächeln in die Kamera) abzugeben. Jedoch muss der Verantwortliche für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DS-GVO). Ferner hat der Verantwortliche die betroffene Person vor Abgabe der Einwilligung darauf hinzuweisen, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen Art. 7 Abs. 3 DS-GVO). Bei Minderjährigen ist es erforderlich, dass die Einwilligung von den Erziehungsberechtigten erteilt wird.
Weitere Rechtsgrundlagen für die Erhebung
Im Regelfall kann die Anfertigung von Bildaufnahmen nach Art. 6 Abs. 1 lit. f) DS-GVO gerechtfertigt werden. Die Datenverarbeitung ist dann rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Rechte der betroffenen Person überwiegen. Letzteres ist insbesondere dann der Fall, wenn es sich bei der betroffenen Person um ein Kind handelt.
Es ist also eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen einerseits mit den Interessen oder Grundrechten der betroffenen Person andererseits vorzunehmen.
Im Rahmen dieser Abwägung sind insbesondere die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (Erwägungsgrund 47 DS-GVO).
Bei einer größeren Veranstaltung auf Einladung dürfte die Erwartungshaltung der Gäste und der an der Durchführung Beteiligten regelmäßig dahin gehen, dass eine Dokumentation in Form von Fotografien stattfinden wird. Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden. Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen. Das kann bei öffentlich beworbenen Veranstaltungen anders zu bewerten sein.
Erhebung auf vertraglicher Grundlage (Dokumentation einer Vereinsveranstaltung/Hochzeitsfotos)
Hiernach ist die Anfertigung von Fotografien zunächst zulässig, wenn dies Teil oder originärer Inhalt eines Vertrages ist, z. B. bei der Beauftragung eines Veranstaltungsfotografen (Art. 6 Abs. 1 lit. b) DS-GVO). In diesem Fall ist jedoch zunächst nur die Anfertigung von Fotos des unmittelbaren Vertragspartners zulässig, z. B. des Hochzeitspaares, welches einen Fotografen beauftragt hat. In Bezug auf die Gäste und sonstige Anwesende einer Veranstaltung wäre jedoch eine andere Rechtsgrundlage erforderlich, da sie nicht Vertragspartei werden.
Besonderes Widerspruchsrecht nach Art. 21 wegen besonderer Situation der fotografierten Person
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Veröffentlichung von Fotos Widerspruch einzulegen. Der Verantwortliche darf die Fotos dann nicht mehr veröffentlichen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen, welche die Interessen der fotografierten Person überwiegen. Auf dieses Widerspruchsrecht hat der Verantwortliche ausdrücklich hinzuweisen (Art. 21 Abs. 4 DS-GVO).
Informationspflichten des Verantwortlichen
Der Verantwortliche muss auf die geplante Veröffentlichung hinweisen und den Betroffenen sämtliche Informationen des Art. 13 DS-GVO mitteilen. Es ist also genau über die Zwecke, für die die Fotos verarbeitet werden, sowie über die Rechtsgrundlage zu informieren. Auch ist darüber zu informieren, ob die Fotos ggf. an Dritte weitergegeben werden. Ferner ist über die Dauer, für die die personenbezogenen Daten erhoben werden sollen, das Recht auf Auskunft bzw. Berichtigung und Löschung, auf das Recht, die Einwilligung jederzeit zu widerrufen sowie über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde zu informieren.
Erfolgt die Verarbeitung auf Grundlage des Art. 6 Abs. 1 lit f) DS-GVO, so ist im Rahmen der Informationspflichten auch auf das berechtigte Interesse des Verantwortlichen hinzuweisen.
Hinsichtlich der Informationspflichten bei einer unüberschaubaren Menschenmenge ist aus es aus der Sicht des LfDI vertretbar, dass das Fotografieren mit einer heimlichen Datenerhebung vergleichbar ist. Für diese wird Art. 14 DS-GVO herangezogen, wobei nach Art. 14 Abs. 5 lit. b) Satz 1 DS-GVO eine Pflicht zur individuellen Information entfällt, wenn sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. In diesen Fällen ist nach Art. 14 Abs. 5 lit. b) Satz 2 DS-GVO die Information für die Öffentlichkeit bereitzustellen. Dies könnte etwa durch einen Aushang an den Eingängen einer Sportstätte erfolgen, der die wesentlichen Angaben nach Art. 14 Abs. 1 DS-GVO enthält und insbesondere darüber informiert, an wen man sich wenden kann, , wenn man aus besonderen Gründen nicht abgelichtet werden will (Art. 21 DS-GVO).
Diese Informationspflichten können auch „gestuft“ erfüllt werden: So können in einem ersten Schritt nur die „Basisinformationen“ aufgeführt werden (z.B. Name und Kontaktdaten des Verantwortlichen, Zwecke, für die die Bilder verwendet werden, Rechtsgrundlage der Verarbeitung, Speicherdauer, Bestehen von Betroffenenrechten, ggfls. die Möglichkeit des Widerrufs der Einwilligung), während weitergehende Informationen in einem nachgelagerten Schritt etwa über eine Webseite oder detailliertere Informationsblätter gegeben werden.
Sowohl Gaststätten als auch Gäste stehen nach der vorsichtigen Lockerung der Beschränkungen nicht nur vor neuen gesundheits-, sondern auch vor neuen datenschutzrechtlichen Herausforderungen.
Zur Angabe seiner persönlichen Daten ist der Gast nicht verpflichtet; auch wird die Richtigkeit seiner Angaben vom Betreiber der Gaststätte nicht überprüft. Sollten der Gast seine persönlichen Daten allerdings nicht zur Verfügung stellen, darf er die Gaststätte nicht besuchen und darin nichts verzehren und lediglich einen evtl. vorhandenes Take Away-Angebot oder einen Lieferdienst nutzen.
Nach § 2 Absatz 3 der Corona-Verordnung Gaststätten dürfen folgende Daten beim Besuch (Betreten) einer Gaststätte erhoben werden:
Name und Vorname des Gastes, Datum sowie Beginn und Ende des Besuchs und Telefonnummer oder Adresse des Gastes.
Für die Informationspflichten der Gaststättenbetreiber wurde unter Mitarbeit des LfDI ein Muster erstellt, das u.a. vom DEHOGA unter https://www.dehogabw.de/servicecenter/servicecenter-details/formular_gaesteregistrierung.html veröffentlicht ist. Dieses Muster enthält auch die notwendigen Datenschutzhinweise nach Art. 13 der Datenschutz-Grundverordnung (DS-GVO).
Mit den Daten sollen im Falle eines Falles mögliche Infektionsketten zurückverfolgt werden. Für andere Zwecke (z.B. Werbung) dürfen diese Daten nicht verwendet werden (strenge Zweckbindung).
Die o.g. Daten sind vom Betreiber der Gaststätte vier Wochen nach der Erhebung (also nach dem Ausfüllen durch den Gast) zu löschen.
Für die Einhaltung des Datenschutzes ist der Betreiber der Gaststätte verantwortlich. Datenschutzaufsichtsbehörde und somit Ansprechpartner bei Rückfragen oder Beschwerden ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Ja, falls dies nicht ohnehin schon geschehen ist (gilt als sog. technisch-organisatorische Maßnahme, TOM, Art. 32 DS-GVO). Auch hierfür ist der Betreiber der Gaststätte verantwortlich.
Entscheidend ist: Ein Gast darf keinesfalls die Möglichkeit haben, die Daten vorheriger Gäste einzusehen. Auch dies wäre ein Verstoß des Betreibers gegen den Datenschutz.
Diese Daten können von den Gesundheitsbehörden (der Ortspolizeibehörde und dem Gesundheitsamt) nach Maßgabe der §§ 16 und 25 des Infektionsschutzgesetzes genutzt werden.
Datenschutz ist generell ein sehr komplexes Thema, bei dem man als Laie leicht den Überblick verlieren kann. Wir möchten Struktur und Ordnung in die Datenschutzbelange Ihres Unternehmens bringen und dafür sorgen, dass Sie das Thema Datenschutz proaktiv angehen können. Damit Sie sich schnell und unkompliziert einen Überblick verschaffen können, haben wir Ihnen oft gestellte Fragen zum Thema „Datenschutz im Unternehmen“ mit den dazugehörigen Antworten zusammengefasst. Sollten Sie weitere Fragen haben, zögern Sie nicht uns unter +49 40 / 210 911 040 zu kontaktieren.
Auf diese Frage kann man keine pauschale Antwort geben. Abhängig von der Unternehmensgröße oder der Art der personenbezogenen Daten, welche in einem Unternehmen verarbeitet werden, entstehen unterschiedliche Anforderungen an den Datenschutz. Mögliche Aufgaben bzw. Pflichten können sein:
Die Verantwortung für den Datenschutz kann nicht durch Bestellung an den Datenschutzbeauftragten abgegeben werden. Der Datenschutzbeauftragte überwacht und berät, ob der Datenschutz in einem Unternehmen korrekt umgesetzt wird und ob das Unternehmen eine geeignete Strategie zur Umsetzung verfolgt. Für die korrekte Umsetzung des Datenschutzes bleibt das Unternehmen bzw. der Vertretungsberechtigte des Unternehmens selbst verantwortlich.
Sind in einem Unternehmen mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt, muss das Unternehmen laut DSGVO einen Datenschutzbeauftragten benennen. Unabhängig von der Mitarbeiterzahl gilt diese Pflicht auch dann,
Die DSGVO und das BDSG-neu knüpfen die Benennungspflicht für einen Datenschutzbeauftragten also an verschiedene, niedrigschwellige Voraussetzungen.
Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:
Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.
Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.
Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.
Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.
Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Ein Datenschutzbeauftragter muss über verschiedene Fähigkeiten verfügen, um seiner Aufgabe angemessen nachkommen zu können. Die wichtigsten Fähigkeiten eines Datenschutzbeauftragten sind:
Zum Datenschutzbeauftragten eines Unternehmens darf also nur bestellt werden, wer die erforderliche berufliche Qualifikation und auch die Fähigkeit besitzt, um die für einen Datenschutzbeauftragten angedachten Aufgaben ordnungsgemäß erfüllen zu können (Artikel 37 Absatz 5 DSGVO).
Die notwendige berufliche Qualifikation ergibt sich bereits nach dem Wortlaut der DSGVO insbesondere aus dem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Das erforderliche Niveau des Fachwissens hängt von den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten ab. Das bedeutet: Je schutzwürdiger die Daten oder je intensiver die Verarbeitungen, desto höhere Anforderungen sind an das Fachwissen des Datenschutzbeauftragten zu stellen. Dieses ist bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter dem gesetzlich vorgeschriebenen „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ im Einzelnen gemeint ist, bedarf näherer Klärung, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben.
Um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen, muss der Beauftragte zunächst umfassende IT-Kenntnisse vorweisen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind ebenso tiefergehende juristische und betriebliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen informiert sein. Da ein interner Mitarbeiter noch andere Geschäftspflichten zu erfüllen hat, spricht auch dies oft für einen externen Datenschutzbeauftragten.
Neben der beruflichen Qualifikation muss der Beauftragte auch die Fähigkeit zur Erfüllung seiner Aufgaben mitbringen. Hierzu gehören solche persönlichen Eigenschaften wie soziale Kompetenz, Integrität, Verschwiegenheit und Kommunikationsfähigkeit, um die Informations- und Beratungsaufgaben sowie die Funktion als Ansprechpartner für die Unternehmen wahrzunehmen. Ferner ist von entscheidender Bedeutung, dass der Beauftragte seine Pflichten in vollständiger Unabhängigkeit ausüben kann. Er darf auch im Hinblick auf seine Aufgaben nicht in Interessenkonflikte geraten. Dies ist etwa der Fall, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind. Ein weiteres Beispiel für einen Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte sich selbst kontrollieren müsste, er also etwa zugleich Leiter der Personalabteilung wäre. Schließlich muss der Beauftragte in der Lage sein, gegenüber der Geschäftsleitung seine Stellung zu wahren und im Zweifel durchzusetzen, insbesondere im Falle von Meinungsverschiedenheiten hinsichtlich der datenschutzrechtlichen Anforderungen an die jeweiligen Verarbeitungsvorgänge.
Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.
Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes:
Zudem finden sich spezielle Grundsätze zur Datenverarbeitung auch im Telemediengesetz (TMG):
Die Einhaltung der DSGVO in einem Unternehmen wird sowohl vom Datenschutzbeauftragten als auch von der zuständigen Aufsichtsbehörde kontrolliert.
Gemäß Art. 39 Abs.1 lit. b DSGVO gehört die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften zu den Kernaufgaben eines DSB. Letzterer hat im Falle eines Verstoßes gegen die DSGVO das Unternehmen zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt.
Ferner werden Unternehmen hinsichtlich der Einhaltung der DSGVO-Regelungen von den zuständigen Aufsichtsbehörden kontrolliert (§ 40 BDSG-neu). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.
Seit dem Inkrafttreten der DSGVO stehen Unternehmen vor der Herausforderung, die neuen datenschutzrechtlichen Vorgaben in ihre Geschäftsprozesse zu implementieren.
Die Einhaltung dieser Änderungen liegt nämlich in der Verantwortung der Unternehmen, genauer gesagt der Geschäftsleitung selbst. Zu beachten ist, dass sich diese Verantwortung nicht auf den Datenschutzbeauftragten (DSB) übertragen lässt.
Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, ist eine schrittweise, systematische Herangehensweise notwendig. Hierzu gehört nicht nur ein gut strukturiertes Datenschutz-Managementsystem, sondern bspw. auch entsprechende Sensibilisierung sowie regelmäßige Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.
Mit Einführung der sog. „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) muss der Verantwortliche auch jederzeit in der Lage sein, die Einhaltung der datenschutzrechtlichen Regelungen nachzuweisen. Dies führt zu weitrechenden Dokumentationspflichten des Unternehmens.
Zu den wichtigsten Änderungen für Unternehmen gehören:
Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Grundsätzlich gibt es keine Einschränkung, wer die Rolle eines Verantwortlichen übernehmen kann. Es kann sich um eine Organisation, aber auch um eine Einzelperson oder eine Gruppe von Einzelpersonen handeln. Bei der Datenverarbeitung innerhalb einer Firmengruppe ist besonders darauf zu achten, ob eine Einrichtung als Verantwortlicher oder als Auftragsverarbeiter auftritt, z.B. bei der Datenverarbeitung im Auftrag der Muttergesellschaft.
Die folgende Beschreibung bezieht sich im Wesentlichen auf Websites, gilt sinngemäß aber auch für Apps auf Smartphones und Tablets oder Desktop-Programmen. Die folgenden FAQ geben einen Überblick zu Cookies und Tracking.
Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge [1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden (siehe Kasten auf Seite 13 der Orientierungshilfe). Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer (siehe Frage 5 dieser FAQ sowie Seite 8 ff der Orientierungshilfe).
Bei der Einbindung von Elementen Dritter, z.B. Reichweiteanalyse-Tools oder Social-Media-Plugins, ist regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich (vgl. Anhang I der Orientierungshilfe). Eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer ist insbesondere erforderlich, wenn Dritten die Möglichkeit gegeben wird, Nutzungsverhalten zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Letzteres findet üblicherweise bei der Einbindung externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt. Es ist auch wichtig zu prüfen, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung notwendig ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist.
[1] Ein Beispiel für ein entsprechendes Analyse-Tool ist die kostenlose Open-Source-Software Matomo, siehe https://matomo.org/ – aber auch hier sind datenschutzfreundliche Voreinstellungen zu wählen.
Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig auf (vor-) vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.
In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen. Wenn die entgegenstehenden Belange der Nutzer in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig.
Weitere Informationen zu der durchzuführenden Interessenabwägung finden sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.[1] Zum Widerspruchsrecht nach Artikel 21 DSGVO und entsprechende Voreinstellungen des Nutzers wie beispielsweise eine „Do Not Track“ Einstellung siehe Seite 17 f der Orientierungshilfe.
[1] Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.
Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer (vgl. Seite 8 ff der Orientierungshilfe und Frage 5 dieser FAQ). Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken.
Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.
Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies), für die keine Einwilligung erforderlich ist, müssen nur in der Datenschutzerklärung dargestellt werden. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend, sondern es müssen die oben genannten Anforderungen (siehe Frage 5) und die folgenden Vorgaben für die Einwilligung beachtet werden (vergleiche Seite 8 ff der Orientierungshilfe):
Notwendige Elemente:
Nein. Zwar stellt jede Fotografie, auf der ein Mensch abgebildet ist, ein personenbezogenes Datum dar, in Zeiten der Digitalfotografie liegt auch stets eine automatisierte Verarbeitung dieser personenbezogenen Daten vor.
Jedoch fallen aber solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c) DS-GVO) gemacht werden (sog. Haushaltsausnahme) nicht in den Anwendungsbereich der DS-GVO. Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Diese Ausnahme wird jedoch sehr eng verstanden:
Sollen Fotos in einer durch Nutzernamen und Passwort geschützten Gruppe oder einem geschlossenen Forum über eine Webseite zugänglich gemacht werden, so fällt dies noch unter die Haushaltsausnahme. Anderes gilt, wenn ein bestimmter Bereich einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann. So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DS-GVO in diesen Fällen Anwendung findet.
Daneben sind aber noch andere Gesetze beim Fotografieren zu beachten: Das Kunsturhebergesetz (KUG) und das in der Rechtsprechung entwickelte Allgemeine Persönlichkeitsrecht (APR).
Das Verhältnis dieser Rechtsgrundlagen zueinander ist ziemlich kompliziert und umstritten. Die aktuelle Diskussion kreist im Wesentlichen um die Frage, ob das KUG, speziell dessen § 23, unter der DS-GVO weiterhin Bestand hat. Unabhängig davon, welche Auffassung man hierzu vertritt, sind die praktischen Auswirkungen der jeweiligen Sichtweisen im Ergebnis wenig spürbar, da die Wertungen des KUG jedenfalls in die Abwägungsentscheidung nach Art. 6 Abs. 1 lit. f) DS-GVO einfließen.
Das KUG regelt insbesondere drei Fälle, bei denen es keiner Einwilligung des Fotografierten für die Verbreitung der Aufnahmen bedarf:
Das APR kommt in Betracht, wenn durch das Fotografieren oder die Verbreitung von Fotos Menschen in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Das kann etwa sein, wenn Menschen an privaten Orten (in der Wohnung, im eigenen Garten, in der Kirche) oder in intimen Situationen (Sex, Familienfeier, ärztliche Behandlung) fotografiert werden. Das APR ist auch über den Tod hinaus geschützt (postmortales APR) und ist immer neben der DS-GVO einschlägig. Bei diesem geht es um die Geltendmachung zivilrechtliche Unterlassungs- und Schadensersatzansprüche, die neben das Datenschutzrecht treten und auch auf anderem Weg, nämlich privat, ggfls. mit einer Klage vor den Zivilgerichten, geltend zu machen sind.
Bildaufnahmen sind zunächst nach Art. 6 Abs. 1 DSGVO verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können. Wenn die Datenverarbeitung der Erfüllung eines Vertrages mit dem Betroffenen dient, ihre Grundlage in den Bestimmungen einer (Vereins-)Satzung hat, oder im überwiegenden Interesse des Verantwortlichen erforderlich ist, spricht viel dafür, die Verarbeitung auch auf die entsprechende Rechtfertigung in der DS-GVO zu stützen (hier insbes. Art. 6 Abs. 1 b und f DS-GVO). Eine Einwilligung ist dann nur noch in sonstigen Fällen (etwa bei Aufnahmen von Kindern, die nicht lediglich als Beiwerk auf der Aufnahme erscheinen) erforderlich.
Einwilligung in Erhebung und Verbreitung
Eine Einwilligung muss hierbei nicht zwingend schriftlich erfolgen. Vielmehr ermöglicht es die DS-GVO, die Einwilligung elektronisch, mündlich oder sogar konkludent (z.B. durch Posieren oder Lächeln in die Kamera) abzugeben. Jedoch muss der Verantwortliche für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DS-GVO). Ferner hat der Verantwortliche die betroffene Person vor Abgabe der Einwilligung darauf hinzuweisen, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen Art. 7 Abs. 3 DS-GVO). Bei Minderjährigen ist es erforderlich, dass die Einwilligung von den Erziehungsberechtigten erteilt wird.
Weitere Rechtsgrundlagen für die Erhebung
Im Regelfall kann die Anfertigung von Bildaufnahmen nach Art. 6 Abs. 1 lit. f) DS-GVO gerechtfertigt werden. Die Datenverarbeitung ist dann rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Rechte der betroffenen Person überwiegen. Letzteres ist insbesondere dann der Fall, wenn es sich bei der betroffenen Person um ein Kind handelt.
Es ist also eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen einerseits mit den Interessen oder Grundrechten der betroffenen Person andererseits vorzunehmen.
Im Rahmen dieser Abwägung sind insbesondere die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (Erwägungsgrund 47 DS-GVO).
Bei einer größeren Veranstaltung auf Einladung dürfte die Erwartungshaltung der Gäste und der an der Durchführung Beteiligten regelmäßig dahin gehen, dass eine Dokumentation in Form von Fotografien stattfinden wird. Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden. Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen. Das kann bei öffentlich beworbenen Veranstaltungen anders zu bewerten sein.
Erhebung auf vertraglicher Grundlage (Dokumentation einer Vereinsveranstaltung/Hochzeitsfotos)
Hiernach ist die Anfertigung von Fotografien zunächst zulässig, wenn dies Teil oder originärer Inhalt eines Vertrages ist, z. B. bei der Beauftragung eines Veranstaltungsfotografen (Art. 6 Abs. 1 lit. b) DS-GVO). In diesem Fall ist jedoch zunächst nur die Anfertigung von Fotos des unmittelbaren Vertragspartners zulässig, z. B. des Hochzeitspaares, welches einen Fotografen beauftragt hat. In Bezug auf die Gäste und sonstige Anwesende einer Veranstaltung wäre jedoch eine andere Rechtsgrundlage erforderlich, da sie nicht Vertragspartei werden.
Besonderes Widerspruchsrecht nach Art. 21 wegen besonderer Situation der fotografierten Person
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Veröffentlichung von Fotos Widerspruch einzulegen. Der Verantwortliche darf die Fotos dann nicht mehr veröffentlichen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen, welche die Interessen der fotografierten Person überwiegen. Auf dieses Widerspruchsrecht hat der Verantwortliche ausdrücklich hinzuweisen (Art. 21 Abs. 4 DS-GVO).
Informationspflichten des Verantwortlichen
Der Verantwortliche muss auf die geplante Veröffentlichung hinweisen und den Betroffenen sämtliche Informationen des Art. 13 DS-GVO mitteilen. Es ist also genau über die Zwecke, für die die Fotos verarbeitet werden, sowie über die Rechtsgrundlage zu informieren. Auch ist darüber zu informieren, ob die Fotos ggf. an Dritte weitergegeben werden. Ferner ist über die Dauer, für die die personenbezogenen Daten erhoben werden sollen, das Recht auf Auskunft bzw. Berichtigung und Löschung, auf das Recht, die Einwilligung jederzeit zu widerrufen sowie über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde zu informieren.
Erfolgt die Verarbeitung auf Grundlage des Art. 6 Abs. 1 lit f) DS-GVO, so ist im Rahmen der Informationspflichten auch auf das berechtigte Interesse des Verantwortlichen hinzuweisen.
Hinsichtlich der Informationspflichten bei einer unüberschaubaren Menschenmenge ist aus es aus der Sicht des LfDI vertretbar, dass das Fotografieren mit einer heimlichen Datenerhebung vergleichbar ist. Für diese wird Art. 14 DS-GVO herangezogen, wobei nach Art. 14 Abs. 5 lit. b) Satz 1 DS-GVO eine Pflicht zur individuellen Information entfällt, wenn sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. In diesen Fällen ist nach Art. 14 Abs. 5 lit. b) Satz 2 DS-GVO die Information für die Öffentlichkeit bereitzustellen. Dies könnte etwa durch einen Aushang an den Eingängen einer Sportstätte erfolgen, der die wesentlichen Angaben nach Art. 14 Abs. 1 DS-GVO enthält und insbesondere darüber informiert, an wen man sich wenden kann, , wenn man aus besonderen Gründen nicht abgelichtet werden will (Art. 21 DS-GVO).
Diese Informationspflichten können auch „gestuft“ erfüllt werden: So können in einem ersten Schritt nur die „Basisinformationen“ aufgeführt werden (z.B. Name und Kontaktdaten des Verantwortlichen, Zwecke, für die die Bilder verwendet werden, Rechtsgrundlage der Verarbeitung, Speicherdauer, Bestehen von Betroffenenrechten, ggfls. die Möglichkeit des Widerrufs der Einwilligung), während weitergehende Informationen in einem nachgelagerten Schritt etwa über eine Webseite oder detailliertere Informationsblätter gegeben werden.
Sowohl Gaststätten als auch Gäste stehen nach der vorsichtigen Lockerung der Beschränkungen nicht nur vor neuen gesundheits-, sondern auch vor neuen datenschutzrechtlichen Herausforderungen.
Zur Angabe seiner persönlichen Daten ist der Gast nicht verpflichtet; auch wird die Richtigkeit seiner Angaben vom Betreiber der Gaststätte nicht überprüft. Sollten der Gast seine persönlichen Daten allerdings nicht zur Verfügung stellen, darf er die Gaststätte nicht besuchen und darin nichts verzehren und lediglich einen evtl. vorhandenes Take Away-Angebot oder einen Lieferdienst nutzen.
Nach § 2 Absatz 3 der Corona-Verordnung Gaststätten dürfen folgende Daten beim Besuch (Betreten) einer Gaststätte erhoben werden:
Name und Vorname des Gastes, Datum sowie Beginn und Ende des Besuchs und Telefonnummer oder Adresse des Gastes.
Für die Informationspflichten der Gaststättenbetreiber wurde unter Mitarbeit des LfDI ein Muster erstellt, das u.a. vom DEHOGA unter https://www.dehogabw.de/servicecenter/servicecenter-details/formular_gaesteregistrierung.html veröffentlicht ist. Dieses Muster enthält auch die notwendigen Datenschutzhinweise nach Art. 13 der Datenschutz-Grundverordnung (DS-GVO).
Mit den Daten sollen im Falle eines Falles mögliche Infektionsketten zurückverfolgt werden. Für andere Zwecke (z.B. Werbung) dürfen diese Daten nicht verwendet werden (strenge Zweckbindung).
Die o.g. Daten sind vom Betreiber der Gaststätte vier Wochen nach der Erhebung (also nach dem Ausfüllen durch den Gast) zu löschen.
Für die Einhaltung des Datenschutzes ist der Betreiber der Gaststätte verantwortlich. Datenschutzaufsichtsbehörde und somit Ansprechpartner bei Rückfragen oder Beschwerden ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Ja, falls dies nicht ohnehin schon geschehen ist (gilt als sog. technisch-organisatorische Maßnahme, TOM, Art. 32 DS-GVO). Auch hierfür ist der Betreiber der Gaststätte verantwortlich.
Entscheidend ist: Ein Gast darf keinesfalls die Möglichkeit haben, die Daten vorheriger Gäste einzusehen. Auch dies wäre ein Verstoß des Betreibers gegen den Datenschutz.
Diese Daten können von den Gesundheitsbehörden (der Ortspolizeibehörde und dem Gesundheitsamt) nach Maßgabe der §§ 16 und 25 des Infektionsschutzgesetzes genutzt werden.
Die fachgerechte Umsetzung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfordert nicht nur sehr viel Erfahrung und Expertise, sondern auch die optimierte Integration in bestehende Systeme. Eine große Herausforderung für viele Unternehmen – egal ob Start-Up oder Großkonzern ist es einen Mehrwert und keinen Mehraufwand zu schaffen.
REFA Industrial Engineer
Datenschutzfachkraft für die DSGVO in Verbindung mit dem BDSG
Erstellung und Einführung von Managementsysteme
Datenschutzfachkraft für
die DSGVO in Verbindung mit dem BDSG
Förderung und Dokumentation
Die fachgerechte Umsetzung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfordert nicht nur sehr viel Erfahrung und Expertise, sondern auch die optimierte Integration in bestehende Systeme. Eine große Herausforderung für viele Unternehmen – egal ob Start-Up oder Großkonzern ist es einen Mehrwert und keinen Mehraufwand zu schaffen.
REFA Industrial Engineer
Datenschutzfachkraft für die DSGVO in Verbindung mit dem BDSG
Erstellung und Einführung von Managementsysteme
Datenschutzfachkraft für
die DSGVO in Verbindung mit dem BDSG
Förderung und Dokumentation