FAQ

Hier können Sie die häufigsten an uns gerichteten Fragen und unsere kurzen Antworten dazu finden. Diese Seite wird von uns ständig weiterentwickelt und ergänzt. Wenn Sie umfangreichere Informationen zu den jeweiligen Themen suchen, können Sie diese auf unseren Themenseiten finden.

Filter

Hier können Sie gezielt das Themenfeld aussuchen, zu dem Sie FAQ/häufige Fragen angezeigt haben möchten.

FrageDarf mir per Post Wahlwerbung zugesandt werden?
AntwortDie politischen Parteien und Wählergruppen haben nach dem Meldegesetz die Möglichkeit, sich vor Wahlen Postadressen von Wahlberechtigten für Wahlwerbezusendungen geben zu lassen, soweit die betroffenen Personen dem nicht vorher bei der Meldebehörde widersprochen haben, um diese für Wahlwerbung zu nutzen.

Falls Sie künftig keine personalisierte Wahlwerbung wollen, sollten Sie bei Ihrem Meldeamt einen Werbewiderspruch für Wahlwerbung vormerken lassen.
Weitere Informationen: BayLfD Info Wahlwerbung
FrageDürfen externe Schriftarten z. B. Google Fonts auf der Website eingebunden werden?
AntwortGrundsätzlich ist es rechtlich begründbar, externe Schriftarten auf seiner Webseite einzubinden. Jedoch empfehlen wir, diese über den eigenen Webserver einzubinden und selbst zu hosten. Bei Aktivierung des Tools wird ansonsten eine Verbindung zu den Servern der Drittanbieter hergestellt, welche bei solchen Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer führt. Dies gilt z.B. bei Google Fonts, da bei Aufruf der Webseite der Browser des Nutzers die benötigten Webfonts lädt und zu diesem Zweck zu den Google-Servern Kontakt aufnimmt, so dass eine Datenübermittlung in die USA stattfinden kann. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ "Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?" unter dem Suchbegriff "Internationaler Datenverkehr") einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig. Außerdem ist die Einbindung externer Schriftarten auch bei der Datenschutzerklärung zu berücksichtigen.
FrageDürfen Kartendienste z. B. Google Maps auf der Website eingebunden werden?
AntwortZunächst sollten die Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z. B. durch einen extra Klick. Außerdem sind Kartendienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.
Da beim Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. Dies ist etwa der Fall bei der Einbindung von Google Maps. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II" zu erfüllen. Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageDürfen Captchas, die vor Bots schützen, auf der Website eingebunden werden?
AntwortJa. Der Website-Betreiber hat nicht nur ein berechtigtes Interesse, Captchas einzusetzen, sondern ist sogar dazu verpflichtet, da er die Verfügbarkeit des Dienstes sicherstellen muss.
FrageBrauche ich ein Cookie-Banner auf meiner Website?
AntwortDiese Frage kann nicht pauschal beantwortet werden. Immer dann, wenn einwilligungspflichtige Dienste auf der Website eingebunden werden oder Daten gem. Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten) verarbeitet werden, muss vorab eine Einwilligung eingeholt werden. Entsprechend Art. 5 Abs. 3 der RL 2002/58/EG (E-Privacy-Richtlinie in der Fassung der sog. Cookie-Richtlinie 2009/136/EG) sind grundsätzlich alle Cookies einwilligungspflichtig, eine Ausnahme gilt für technisch notwendige Cookies. Der BGH hat in seiner Entscheidung vom 28.05.2020 in Sachen "Planet49" hierfür § 15 Abs. 3 TMG richtlinienkonform ausgelegt und klargestellt, dass die Möglichkeit eines Opt-Outs nicht mehr ausreichend ist. Zur aktuellen Bewertung der Datenschutzaufsichtsbehörden wird auf die

Siehe Antwort zur Frage "Ist für technisch nicht notwendige Cookies immer eine Einwilligung erforderlich?"
FrageDürfen externe Videos z. B. Youtube oder Vimeo auf der Website eingebunden werden?
AntwortZunächst darf das Video erst dann starten, wenn der Nutzer das Video durch einen extra Klick startet. Startet das Video automatisch, kann der Nutzer eine Datenverarbeitung durch externe Anbieter nicht verhindern. Außerdem sind Dienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.

Da bei Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer (z.B. kann bei Einbindung von YouTube eine Datenübermittlung in die USA stattfinden). In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ "Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?" unter dem Suchbegriff "Internationaler Datenverkehr") einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageDürfen Social PlugIns z. B. von Twitter, Facebook, Instagram auf der Website eingebunden werden?
AntwortDie Einbindung ist rechtmäßig möglich, soweit vorher eine Einwilligung des Nutzers eingeholt und in der Datenschutzerklärung über den Einsatz informiert wird.
Hierzu kommen Zwei- Klicklösungen in Betracht beispielsweise von Shariff Wrapper und Embetty in Betracht.

Da bei Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ „Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?“ unter dem Suchbegriff „Internationaler Datenverkehr“) einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
Weitere Informationen: Heise 2-Klicklösung
FrageDarf Google Analytics ohne Einwilligung des Nutzers auf der Website eingesetzt werden?
AntwortNein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss bei Einsatz des Dienstes in der Standartkonfiguration eine Einwilligung eingeholt werden.
Weitere Informationen: DSK Beschluss zu Google Analytics
FrageDarf Google reCAPTCHA auf der Website eingebunden werden?
AntwortWebsite-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.

Da bei Aktivieren des Tools eine Verbindung zu den Servern von Google hergestellt wird und hierdurch eine Datenübermittlung in die USA stattfinden kann, sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ „Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?“ unter dem Suchbegriff „Internationaler Datenverkehr“) einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageWarum gibt es kein allgemein gültiges Muster einer Datenschutzerklärung für Websites?
AntwortEs gibt kein allgemein gültiges Muster, weil jede Website unterschiedliche Funktionen hat. Muster zum Anpassen gibt es von der Uni Münster und dem Deutschen Forschungsnetzwerk.
Weitere Informationen: Uni Münster DS-Erklärung
FrageDarf WhatsApp für die Kommunikation innerhalb des Unternehmens eingesetzt werden?
AntwortAufgrund der Tatsache, dass durch WhatsApp weiterhin Metadaten zu den WhatsApp-Nachrichten in den USA verarbeitet werden und Adressdaten aus den telefoneigenen Adressbuch des Nutzers ohne Einwilligung der Betroffenen und damit regelmäßig auch nicht dem Betrieb angehörende Dritter erhoben werden, ist ein datenschutzkonformer Einsatz des Messengers in der Regel nicht zu begründen. Wir empfehlen daher Alternativen zu WhatsApp, z.B. Threema, Signal und Hoccer.
FrageDürfen Fotos von Mitarbeitern, Vereinsmitgliedern oder Dritten auf der Website veröffentlicht werden?
AntwortSoweit die Fotos bei allgemein zugänglichen Veranstaltungen aufgenommen wurden, ist ihre Veröffentlichung in der Regel ebenso wie die Aufnahme der Bilder selbst auf Grundlage einer Interessenabwägung auch ohne Einwilligung zulässig. Sind Kinder, Jugendliche oder andere Schutzbedürftigen betroffen, sollten jedoch vorab aus Gründen der Rechtssicherheit Einwilligungen der Betroffenen bzw. gesetzlichen Vertreter eingeholt werden. Eine Einwilligung ist zudem erforderlich für die Anfertigung und Veröffentlichung von Fotos im Rahmen nicht allgemein zugänglicher Veranstaltungen. Von einer freiwilligen Einwilligung kann jedoch nur ausgegangen werden, wenn die betroffene Person auch die Möglichkeit hat, die Veranstaltung zu besuchen, ohne fotografiert zu werden. Weiterhin muss die betroffene Person bei einwilligungsbedürftigen Fotos entweder ausdrücklich eingewilligt haben bzw. sich durch ihr Verhalten, insbesondere bei einem Posieren, ausdrücklich zum Ausdruck gebracht haben, dass sie mit der Ablichtung einverstanden ist.
Die Veröffentlichung von Einzel-/Porträtfotos von (unbeteiligten) Personen sowie Beschäftigten auf der Website von Unternehmen oder anderer datenschutzrechtlich Verantwortlicher bedarf in der Regel der Einwilligung.
In allen Fällen müssen die abgebildeten Personen vorab im Rahmen der Informationspflichten nach Artikel 13 bzw. Artikel 14 DS-GVO über die Veröffentlichung informiert werden. Bei Einwilligung ist es zudem notwendig, die betroffenen Personen über ihr jederzeitiges Widerrufsrecht und wie sie dieses geltend machen können, zu informieren.
Weitere Informationen: BayLDA Praxisratgeber Bilder und Verein
FrageVon einer öffentlichen Veranstaltung z. B. Vereinsfeier, Wettkampf, Tag der offenen Tür sollen Fotos im Internet veröffentlicht werden. Müssen Besucher darüber informiert werden?
AntwortJa. Idealerweise werden die Besucher informiert, bevor fotografiert wird. Wie der Verantwortliche informiert, schreibt die DS-GVO nicht vor. Üblich ist es, in der Einladung oder auf einem Plakat bzw. Aushang auf dem Veranstaltungsgelände darauf hinzuweisen.
Weitere Informationen: BayLDA Praxisratgeber Bilder
FrageWelche Informationen müssen dem Besucher auf Veranstaltungen zur Verfügung gestellt werden?
AntwortBestandteil der (Basis-)Information müssen insbesondere sein:
  • Namen und Kontaktdaten des Verantwortlichen,
  • Zwecke, für die die Bilder verwendet werden sollen(Internet, Flyer, Weitergabe an die lokale Presse),
  • sowie Rechtsgrundlage der Verarbeitung und
  • die Information, dass den betroffenen Personen bestimmte Rechte im Hinblick auf den Umgang mit ihren Bildern zustehen.

Zusätzlich sind insbesondere folgende Informationen zur Verfügung zu stellen (kann auch auf Webseite sein):

  • Speicherdauer,
  • wenn die Verarbeitung Ergebnis einer Interessenabwägung ist, Angabe der Interessen des Verantwortlichen an der Verarbeitung der Bilder,
  • gegebenenfalls Empfänger der Bilder, wenn diese weitergegeben werden sollen (z. B. an den Dachverband),
  • Möglichkeit des Widerrufs einer Einwilligung und
  • Bestehen eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde
Weitere Informationen: Informationspflichten
FrageIch betreibe einen privaten Blog. Brauche ich eine Datenschutzerklärung auf der Website?
AntwortJa. Die Ausnahme für private und familiäre Tätigkeiten greift nicht. Jede Website, die für eine unbestimmte Zielgruppe erreichbar ist - und das sind im Internet die meisten Websites - benötigt eine Datenschutzerklärung.
FrageAuf unserer Website sind keine Drittinhalte eingebunden. Auch ein Kontaktformular gibt es nicht. Benötigen wir trotzdem eine Datenschutzerklärung?
AntwortJa, denn die Nutzer müssen wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden. Als Vorlage kann die Datenschutzerklärung des BayLDA verwendet werden.
Weitere Informationen: BayLDA Datenschutzerklärung
FrageBraucht eine App auch eine Datenschutzerklärung?
AntwortJa. Die Informationspflicht unterscheiden sich nicht zu denen bei Websites. Es ist lediglich darauf zu achten, dass die Datenschutzerklärung zusätzlich im App-Store zur Verfügung steht.
FrageGehört ein Impressum auf die Website? Wir haben doch schon eine Datenschutzerklärung.
AntwortJa. Das Impressum richtet sich nicht nach der DS-GVO und ist keine datenschutzrechtliche Pflicht. Dennoch benötigt jede Website ein Impressum. Der Inhalt des Impressums richtet sich nach § 5 des Telemediengesetzes (TMG).
Weitere Informationen: Reg. v. Mfr Hinweis Impressum
FrageWie muss ein Cookie-Banner gestaltet sein, damit eine zulässige Einwilligung eingeholt werden kann?
AntwortDie Datenschutzaufsichtsbehörden haben die Anforderungen für Cookie-Banner in der Orientierungshilfe für Anbieter von Telemedien formuliert.
Weitere Informationen: DSK OH Telemedien
FrageIst eine Facebook Fanpage zulässig?
AntwortNein. Nach derzeitigem Stand können Facebook Fanpages nicht rechtmäßig betrieben werden. Das liegt u. a. daran, dass Fanpage-Betreiber ihre Rechenschaftspflicht gem. Art. 5 Abs. 1, 2 DS-GVO nicht erfüllen können.
Weitere Informationen: DSK Positionierung Fanpage
FrageDarf innerhalb des Vereins WhatsApp genutzt werden?
AntwortAuch wenn eine allgemeine Klärung der datenschutzrechtlichen Zulässigkeit von WhatsApp weiterhin aussteht, trägt jeder Nutzer bzw. auch der Verein selbst im Falle einer Nutzung für die vereinseigene Kommunikation die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung etwa bei der Übermittlung von Adressbuchdaten Dritter an WhatsApp. WhatsApp ist daher auch für Verein kein geeignetes Mittel für datenschutzgerechte, rechtssichere Kommunikation. Wir empfehlen daher Alternativen zu WhatsApp, z. B. Threema oder Signal.
FrageSind Steuerberater Auftragsverarbeiter?
AntwortDie Einbeziehung eines Steuerberaters ist keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Steuerberater sind nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit eines Auftragsverarbeiters. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt. Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.
Weitere Informationen: BayLDA TB Nr. 8 DSK KP 13 Auftragsverarbeitung BayLDA Auslegungshilfe Steuerberater - keine Auftragsverarbeitung
FrageDarf das Verhalten der Empfänger eines Newsletters nachverfolgt werden?
AntwortJa. In vielen Fällen muss jedoch für das Newsletter-Tracking die Einwilligung des Nutzers eingeholt werden.
Weitere Informationen: DSK OH Telemedien
FrageMuss für jeden Newsletter-Versand eine Einwilligung eingeholt werden?
AntwortIn der Regel ist eine Einwilligung erforderlich. Nur ausnahmsweise können Newsletter auch ohne Einwilligung verschickt werden. Dies gilt nur dann, wenn
  • der Verantwortliche die E-Mail-Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
  • er diese E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Nutzung seiner E-Mail-Adresse nicht widersprochen hat und
  • der Kunde darauf hingewiesen wird, dass er jederzeit widersprechen kann.
FrageDarf Facebook Custom Audience über die Kundenliste ohne Einwilligung des Nutzers bzw. Kunden eingesetzt werden?
AntwortNein. Es muss vorher die Einwilligung des Betroffenen eingeholt werden.
Weitere Informationen: BayVGH Facebook Custom Audience
FrageKann Facebook Custom Audience über das Pixel-Verfahren ohne Einwilligung verwendet werden?
AntwortNein. Es ist vorab die Einwilligung der Nutzer einzuholen. Wie die Einwilligung am besten eingeholt wird, ist in der Orientierungshilfe für Anbieter von Telemedien erklärt.
Weitere Informationen: DSK Orientierungshilfe Telemedien
FrageWie muss ein Vertrag zur Auftragsverarbeitung gestaltet sein?
AntwortDie inhaltlichen Anforderungen richten sich nach Art. 28 Abs. 3 DS-GVO. Ein Muster für einen Vertrag zur Auftragsverarbeitung gibt es hier Muster_AV-Vertrag.
FrageWann sind mehrere Beteiligte gemeinsam Verantwortliche?
AntwortImmer dann, wenn zwei oder mehr Beteiligte gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen, sind sie gemeinsam verantwortlich und müssen die Anforderungen des Art. 26 DS-GVO beachten. In der Praxis kommt eine gemeinsame Verantwortlichkeit z. B. in Betracht bei
  • Facebook Fanpages zwischen Facebook und dem Fanpage-Betreiber
  • klinischen Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsamer Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
  • gemeinsamer Informationspool/ Warndatei mehrerer Verantwortlicher (z. B. Banken) über säumige Schuldner
  • E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen.
Weitere Informationen: DSK KP 16 Gemeinsam Verantwortliche
FrageWelche Anforderungen müssen gemeinsam Verantwortliche beachten?
AntwortArt. 26 DS-GVO schreibt vor, dass die gemeinsam Verantwortlichen in einer Vereinbarung festlegen müssen, wer von ihnen welche Verpflichtungen der DS-GVO erfüllt, insbesondere die Betroffenenrechte und die Informationspflicht nach Art. 13 und 14. Zusätzlich muss den Betroffenen das Wesentliche dieser Vereinbarung - eine Art Zusammenfassung - zur Verfügung gestellt werden. Wichtig ist, dass der Betroffene sich an jeden der Verantwortlichen wenden kann, um seine Rechte geltend zu machen. Die Verantwortlichen müssen daher sicherstellen, dass Anfragen von Betroffenen in jedem Fall bearbeitet werden, unabhängig davon, was die Verantwortlichen intern vereinbart haben.
Weitere Informationen: DSK KP 16 Gemeinsam Verantwortliche
FrageWelche Form schreibt die DS-GVO für einen Vertrag zur Auftragsverarbeitung vor?
AntwortDie DS-GVO schreibt in Art. 28 Abs. 9 DS-GVO vor, dass der Vertrag zur Auftragsverarbeitung schriftlich abzufassen ist. Schriftlich im Sinne der DS-GVO meint nicht die strengen Anforderungen der Schriftform gem. § 126 BGB. Es genügt, wenn der Vertrag elektronisch vorliegt. Dadurch haben die Beteiligten den Vertragsschluss zu Beweiszwecken dokumentiert und können im Falle einer Kontrolle den Aufsichtsbehörden den Inhalt des Vertrags darlegen.
Weitere Informationen: BayLDA Auslegungshilfe AV Form
FrageAuf der Website bzw. in der App werden keine Angaben wie Namen, E-Mail-Adresse oder Telefonnummer verarbeitet. Gilt die DS-GVO trotzdem?
AntwortJa. Bei der Nutzung einer Website oder App fallen technisch bedingt eine Vielzahl an Nutzungsdaten an. Diese technischen Informationen, wie z. B. IP-Adresse, MAC-Adresse, Werbe-ID oder sonstige Geräte-Identifikationsnummern gelten auch nach der DS-GVO als personenbezogene Daten, weil sie Rückschluss auf einen konkreten Nutzer ermöglichen. Aus diesem Grund sind die Pflichten der DS-GVO zu beachten.
FrageKönnen Einwilligungen verfallen?
AntwortDie DS-GVO enthält keine spezifische Frist, wie lange eine Einwilligung gilt. Wie lange die Einwilligung gültig ist, hängt vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Partei ab. Als bewährte Praxis wird empfohlen, die Einwilligung in angemessenen Zeitabständen zu erneuern. Das hilft sicherzustellen, dass die betroffene Person gut darüber informiert bleibt, wie ihre Daten verwendet werden. Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung "ihre Aktualität verliert" und deshalb insoweit keine rechtliche Grundlage mehr ist.
Weitere Informationen: EDSA Leitlinie zu Einwilligung
FrageWir verarbeiten Daten von Kindern und Jugendlichen. Gibt es dafür eine feste Altersgrenze in der DS-GVO?
AntwortNein. Die DS-GVO kennt keine allgemeine Altersgrenze für die Verarbeitung von personenbezogenen Daten eines Kindes oder Jugendlichen. Lediglich in Art. 8 legt die DS-GVO fest, dass bei Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, die Verarbeitung der personenbezogenen Daten des Kindes nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Anderenfalls müssen die Eltern die Zustimmung erteilen. Die Altersgrenze des Art. 8 DS-GVO gilt nur unter diesen engen Voraussetzungen und hat in der Praxis eine untergeordnete Bedeutung. Es besteht auch kein Bedürfnis, die strenge Altersgrenze auf andere Sachverhalte pauschal zu übertragen.
Weitere Informationen:
FrageDürfen Unternehmen, Vereine oder andere Stellen Cloud-Dienste nutzen, um Dateien zu speichern und mit anderen Nutzern zu teilen? Die Datenverarbeitung findet in den USA statt.
AntwortDas sog. Schrems-II-Urteils des Europäischen Gerichtshofs hat verdeutlicht, dass die Inanspruchnahme von US-Cloud-Diensten vor durchaus hohen datenschutzrechtlichen Hürden steht und in einigen Fällen keine datenschutzkonforme Lösung möglich ist. Basis-Anforderung ist, dass mit dem Dienstleister ein sog. Standardvertrag "EU controller to non-EU or EEA processor" (Muster) und zudem auch ein Vertrag zur Auftragsverarbeitung (AVV) nach Artikel 28 DSGVO abgeschlossen werden muss. Nutzer müssen somit prüfen, ob der US-Cloud-Dienst in seinen Bedingungen einen solchen Standardvertrag anbietet und ob dieser auch die zusätzlichen Anforderungen an einen AVV nach Artikel 28 DSGVO erfüllt. Zusätzlich muss geprüft werden, ob der Cloud-Dienst Datenzugriffen durch US-amerikanische Nachrichtendienste unterliegt, die über das nach EU-Recht akzeptable Maß hinausgehen. Ist das der Fall, darf der Dienst nur in Anspruch genommen werden, wenn es gelingt, solche Zugriffe mit Hilfe von zusätzlichen Maßnahmen auszuschließen (Näheres zu diesen Anforderungen hier). Gerade bei Cloud-Diensten, die über die bloße Speicherung hinausgehen, wird das in vielen Fällen nicht möglich sein (siehe die Leitlinien des Europäischen Datenschutzausschusses 1/2020, Use Case 6; bislang leider nur auf Englisch). In einem solchen Fall muss die Nutzung des Cloud-Dienstes für personenbezogene Daten unterbleiben. Verbleiben Zweifel, sollte der Datenschutzbeauftragte oder ein fachkundiger Berater - ggf. bei einem Interessenverband - konsultiert werden. Sofern auch danach Zweifel an der Datenschutzkonformität bleiben, können Sie sich an unser Haus wenden.
FrageMüssen wir mit unserem Steuerberater einen Vertrag zur Auftragsverarbeitung schließen?
AntwortNein. Steuerberater sind nach dem geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 Buchstabe a DS-GVO.
Weitere Informationen: BayLDA Auslegungshilfe Steuerberater - keine Auftragsverarbeitung
FrageBei uns findet eine Videoüberwachung statt. Müssen wir darüber umfassend informieren oder genügt ein Hinweis mit einem Kamera-Symbol?
AntwortUnternehmen und andere nicht-öffentliche Stellen, die Videoüberwachung betreiben, müssen die hierfür einschlägigen Vorschriften der DS-GVO einhalten. Auch nach der DS-GVO muss auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung über die wesentlichen Elemente der Videoüberwachung informiert werden; allerdings hat sich der Umfang der dabei zu erteilenden Informationen durch die Transparenzvorschriften der DS-GVO (Art. 12 ff.) erweitert. Die DSK hat sich auf ein - als Beispiel zu verstehendes - Muster für ein solches Hinweisschild verständigt, das hier abrufbar ist.
FrageMuss ich mein eingescanntes Einwilligungsformular zwingend in Papierform aufbewahren?
AntwortEs ist völlig ausreichend, wenn Sie die unterzeichneten Einwilligungen einscannen und speichern. Die Einwilligungen müssen nicht zwingend im Original archiviert werden.
FrageGilt das Datenschutzrecht auch im privaten Bereich?
AntwortDie DS-GVO findet nach ihrem Art. 2 Abs. 2 Buchstabe c keine Anwendung, wenn es um die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht. Darunter fallen z. B. private Telefon- und Adressverzeichnisse zu Verwandten und Bekannten, Urlaubsfotos oder der eigene Facebook-Account zur Selbstdarstellung. Werden allerdings Daten, Bilder, Videos etc. zu anderen Personen im Internet veröffentlicht oder mit Videokameras und Dashcams Aufnahmen von anderen Personen gefertigt, ist der persönlich-familiäre Bereich überschritten und deren Zulässigkeit ist nach Datenschutzrecht zu prüfen.
FrageIst Markt- und Meinungsforschung erlaubt?
AntwortDie wissenschaftliche Markt- und Meinungsforschung nimmt eine wichtige gesellschaftliche Aufgabe wahr. Sie stellt danach für öffentliche und private Auftraggeber mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen bereit und schafft damit eine wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung der Bundesrepublik Deutschland. Dementsprechend darf die wissenschaftliche Markt- und Meinungsforschung wegen ihrer allgemeinen Bedeutung für die Gesellschaft im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO grundsätzlich Befragungen bei Bürgerinnen und Bürgern durchführen, auch telefonisch, solange dem nicht von der betroffenen Person widersprochen wurde.
FrageWo finde ich Informationen zur Bestimmung des Risikos für die Rechte und Freiheiten, um feststellen zu können, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortAllgemeine Informationen zur Bestimmung des Datenschutzrisikos finden sich im DSK-Kurzpapier Nr. 18 Risiko. Bei Datenschutzverletzungen ist die Meldeschwelle unter der DS-GVO geringer, als es beim § 42a BDSG (alt) der Fall war. Dies führt dazu, dass eine Meldung nach Art. 33 DS-GVO die Regel ist, sofern eine Verletzung der Sicherheit festgestellt wurde.
Weitere Informationen: DSK-Kurzpapier Nr. 18 Risiko
FrageWas ist eine Verletzung der Sicherheit, nach der ermittelt wird, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortEine Verletzung der Sicherheit, die zu einer Verpflichtung einer Meldung nach Art. 33/34 führt, ist eine Verletzung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten, den bei der Verarbeitung beteiligten IT-Systemen und Fachprozessen. Diese Schutzziele sind auch aus der Informationssicherheit bekannt, wobei darauf geachtet werden muss, dass das Datenschutzrisiko des einzelnen Betroffenen und nicht das Unternehmensrisiko bewertet wird.
FrageEs ist noch nicht 100% sicher, ob eine Datenschutzverletzung vorliegt. Muss trotzdem gemeldet werden?
AntwortEine Verpflichtung zur Meldung besteht dann, wenn mit einer hinreichenden Wahrscheinlichkeit angenommen werden kann, dass eine Datenschutzverletzung aufgetreten ist. Dies bedeutet, dass es zwar mehr als einen vagen Anfangsverdacht geben muss, dass bspw. eine unbefugte Datenweitergabe stattgefunden hat, eine vollständige Aufarbeitung aber nicht abgewartet werden darf. Weitere Informationen können bei Bedarf als "Folgemeldung" über unser Online-Formular nachgereicht werden.
FrageAb wann gilt der Zeitpunkt der 72-Stunden-Regelung? Wie sieht es dabei mit Wochenenden/Feiertagen aus?
AntwortWir zählen die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die 72-Stunden-Frist am Sonntag um 23:59 Uhr abläuft. Bei der Festlegung der 72 Stunden werden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet.
FrageEs fand ein Fehlversand mittels Brief für nur einen Betroffenen statt? Muss bei nur einer einzelnen betroffenen Person trotzdem gemeldet werden?
AntwortDas Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Risiko) betrifft immer die Grundrechte und Grundfreiheiten einer einzelnen Person. Insofern muss das Risiko für jeden einzelnen Betroffenen bestimmt werden - sollte mindestens ein Risiko dabei festgestellt werden, ist eine Meldung nach Art. 33 DS-GVO erforderlich.

In manchen Fällen kann eine große Anzahl von Betroffenen allerdings die Eintrittswahrscheinlichkeit eines Missbrauchs erhöhen (z. B. Hacking eines Online-Shops), was dann auch zu unterschiedlichen Risikohöhen für die einzelnen betroffenen Personen führt.
Weitere Informationen:
FrageDürfen nach der DS-GVO nur noch inhaltsverschlüsselte Mails (z. B. PGP oder S/MIME) versendet werden?
AntwortNach Art. 32 DS-GVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.
Weitere Informationen:
FrageHaben besondere Arten personenbezogener Daten nach Art. 9 DS-GVO immer eine hohes Risiko?
AntwortNein. Das Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Nr. 18 Risiko) bestimmt sich immer bei der konkreten Verarbeitung unter Berücksichtigung der spezifischen Eintrittswahrscheinlichkeit und Schwere des Risikos. Es ist aber so, dass die unter den rechtlichen Schutzbereich des Art. 9 DS-GVO fallenden personenbezogenen Daten häufiger zu einem hohen Risiko und den damit verbundenen Rechtsfolgen (z. B. Datenschutz-Folgenabschätzung) führen werden.
FrageMuss bei einer Videoüberwachung eine Datenschutz-Folgenabschätzung durchgeführt werden?
AntwortEine Datenschutz-Folgenabschätzung muss nur bei einem hohen Risiko für die Rechte und Freiheiten durchgeführt werden. Dieser Schwellwert des hohen Risikos wird nach Anwendung der technischen und organisatorischen Maßnahmen (TOM) bestimmt, die aufgrund von Art. 25 DS-GVO (Datenschutz durch Technikgestaltung) nachweisbar dargelegt werden können. Bei Videoüberwachungen sind deswegen in der Regel keine Datenschutz-Folgenabschätzungen durchzuführen, sondern - im Prinzip wie bei der Vorabkontrolle unter BDSG-alt - Schutzmaßnahmen ohne detaillierte Risikoanalyse auszuwählen (z. B. Begrenzung Speicherdauer, Aufzeichnungsbereich, ...).
Weitere Informationen:
FrageMit welcher Methode soll ein bayerisches Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
AntwortDie DS-GVO legt in Art. 35 einige formale Rahmenbedingungen fest, die unbedingt von einer eingesetzten Methode eingehalten werden müssen. Ansonsten können beliebige Methoden eingesetzt werden. Wichtig ist uns allerdings, dass das Kernstück einer DSFA, die Risikobeurteilung, sehr systematisch und ausführlich durchgeführt wird.

Momentan sehen wir mindestens drei Methoden als grundsätzlich geeignet an, sofern eben auf die Risikobeurteilung besonderer Wert gelegt wird: ISO 29134, SDM, CNIL-Methode.
FrageMuss bei Personaldaten eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?
AntwortIn der Regel ist bei Verarbeitung von Personaldaten keine DSFA durchzuführen. Eine Ausnahme stellen ggf. umfangreiche zentrale Personalverwaltungen in (internationalen) Konzernstrukturen dar.
FrageWie erfahre ich, welche Daten mein Auto speichert?
AntwortFür in einem Auto gespeicherte Daten ist nicht der Kfz-Hersteller Verantwortlicher und dazu auskunftspflichtig, sondern dies ist Sache des Eigentümers des Fahrzeugs, des Kfz-Halters (ähnlich wie wenn jemand z. B. privat seinen PC benutzt und hierzu PC-intern Nutzungsdaten protokolliert werden). Erst wenn die Daten das Kfz verlassen, z. B. bei einem Werkstattbesuch per Diagnose-Stecker oder wenn mit dem Kfz-Hersteller oder Dritten (z. B. Versicherungen, Service-Diensten) eine Online-Verbindung zu dem Kfz vertraglich vereinbart wurde, kommen andere Verantwortliche ins Spiel, die dann über bei ihnen insoweit gespeicherte Daten auf Antrag grundsätzlich auch Auskunft nach Art. 15 DS-GVO erteilen müssen. Die deutschen Datenschutzaufsichtsbehörden haben die Grundsätze der Kfz-IT in den unten verlinkten Papieren festgehalten.
Weitere Informationen: Erklärung DSK und VDA VDA Mustertext
FrageIst teiladressierte Werbung (z. B. An die Bewohner des Haushaltes XY) nach der DS-GVO zulässig?
AntwortJa, teiladressierte Postwerbung "an die Bewohner des Haushalts XY" ist grundsätzlich zulässig, solange von dem betreffenden Haushalt kein Werbewiderspruch vorliegt(z. B. ein Schild mit "Bitte keine Werbung" am Briefkasten).
FrageWas kann ich als Verbraucher gegen unerwünschte Telefonwerbung tun?
AntwortSachverhalte unerwünschter Telefonwerbung verfolgt in erster Linie die Bundesnetzagentur, bei der betroffene Personen hierzu Beschwerden einreichen können, siehe dazu die Links unten. Wir bitten Sie, sich mit Ihrem Anliegen dorthin zu wenden. Ergänzender Hinweis: Beim illegalen Telefonmarketing werden teilweise nicht irgendwelche bekannten Telefon- oder Handynummern angerufen, sondern es werden computergesteuert bestimmte Ziffernreihenfolgen angewählt, bis eine gültige/vergebene Rufnummer gefunden wird.
Weitere Informationen: BNetzAgentur Rufnummernmissbrauch BNetzAgentur Maßnahmenliste
FrageGelten Alteinwilligungen bei Banken und Sparkassen fort?
AntwortIn aller Regel ja. Ein eventuelles künftiges Mehr an Information kann auch über die Umsetzung der Informationspflicht nach Art. 13 und 14 DS-GVO gegenüber den betroffenen Personen erfolgen.
Weitere Informationen: DSK Kurzpapier 20 Einwilligung
FrageMuss ich mit einem Dolmetscher oder Übersetzer einen Auftragsverarbeitungsvertrag abschließen?
AntwortNein. Dolmetscher sind Verantwortliche, die ihre fachliche Fremdsprachenleistung eigenständig erbringen.
Weitere Informationen: Auslegungshilfe Abgrenzung Auftragsverarbeitung
FrageDarf ich Kontaktdaten aus dem Impressum von Webseiten für Werbezusendungen nutzen?
AntwortNein, weil hier Anbieter zu einer Veröffentlichung ihrer Kontaktdaten gesetzlich verpflichtet sind.
Weitere Informationen: DSK Orientierungshilfe Werbung
FrageWie lange darf ich die Daten von Bewerbern speichern?
AntwortÜber das Auswahlverfahren hinaus dürfen Bewerberdaten (nach entsprechender Information der Bewerber) noch maximal sechs Monate aufgehoben werden, um bei Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Darüber hinaus ist die weitere Speicherung (nur) mit Einwilligung der Bewerber zulässig.
FrageWelche Informationspflicht bestehen bei Übergabe einer Visitenkarte?
AntwortIn den meisten Fällen keine, da die Kontaktdaten der Verantwortlichen und der Zweck (Zusendung von Infomaterial) klar sind. Nur wenn ein abweichender Zweck beabsichtigt ist, bestehen weitergehende Informationspflicht.
FrageWie kann ich meine Informationspflicht erfüllen?
AntwortDie Informationspflicht nach Art. 13 und 14 DS-GVO können auch in abgestufter Form (mit "Medienbruch") erfüllt werden. In der ersten Stufe ist "weniger oft mehr". Alle notwendigen Informationen müssen aber "irgendwo", z. B. auf der Webseite oder als Infoblatt, bereitgehalten werden, worauf hinzuweisen ist.
Weitere Informationen: EDSA WP 260
FrageDarf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen.
AntwortDie Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.
FrageDarf ich eine Dashcam benutzen?
AntwortDie Nutzung einer Dashcam in der Weise, dass permanent aufgenommen wird, ist unzulässig. Die Aufnahme einzelner besondere (z. B. Unfall-)Situationen kann zulässig sein. Die Verwertung unzulässig entstandener Dashcamaufnahmen durch Gerichte beurteilt sich nicht nach Datenschutzvorschriften.
Weitere Informationen: DSK Positionierung Dashcam
FrageMuss ich, wenn ich mein Auskunftsrecht geltend mache, wirklich eine Personalausweiskopie vorlegen?
AntwortWer Auskunft erteilen soll, muss sicher sein, dass er die Auskunft an den Richtigen schickt. Nicht generell, aber je nach Sensibiltät der Daten kann es gerechtfertigt sein, eine Kopie des Personalausweises zu verlangen (wie z. B. SCHUFA).
FrageWann kann die Auskunft über gesperrte Daten gemäß § 34 Abs. 1 Nr. 2 BDSG wegen unverhältnismäßigen Aufwands verweigert werden?
AntwortDer Verantwortliche muss bei Berufung auf § 34 Abs. 1 Nr. 2 BDSG sowohl uns gegenüber als auch gegenüber der betroffenen Person konkrete Umstände darlegen, die den unverhältnismäßigen Aufwand begründen. Eine bloße pauschale Berufung auf Berechtigungskonzepte oder ein genereller Hinweis, dass über gesperrte Daten keine Auskunft erteilt werde, sind hierfür jedenfalls nicht ausreichend.
FrageMeine Daten wurden von einem Insolvenzverwalter an ein Inkassounternehmen weitergegeben. Hierzu habe ich keine Einwilligung erteilt. Ist dies zulässig?
AntwortGrundsätzlich ja. Klassischerweise besteht in derartigen Fällen eine vertragliche Beziehung zwischen der Person, deren Daten weitergegeben wurden, und der insolventen Person. Mit Eröffnung des Insolvenzverfahrens geht die Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter als nunmehr Verantwortlichen über (§ 80 Abs. 1 InsO). Der Insolvenzverwalter hat dann die Befugnis, die Forderungen des insolventen Vertragspartners geltend zu machen. Hiervon gedeckt ist auch die Einschaltung eines Inkassounternehmens. Rechtsgrundlage für die Datenübermittlung ist insoweit Art. 6 Abs. 1 S. 1 b) DS-GVO.
FrageIm Rahmen einer Streitigkeit, die aktuell vor Gericht ausgetragen wird, wurden meine Daten vom Anwalt der gegnerischen Partei an das Gericht weitergeleitet. Ist dies datenschutzrechtlich zulässig?
AntwortGrundsätzlich ja. Die Datenverarbeitung kann in solchen Konstellationen meist auf Art. 6 Abs. 1 S. 1 f) DS-GVO gestützt werden. In Gerichtsverfahren muss es den Parteien und ihren Prozessvertretern möglich sein, ihre Rechtsposition inklusive aller Angriffs- und Verteidigungsmittel umfassend darzulegen, um ihrer prozessualen Pflicht, sich zu den Tatsachen vollständig und wahrheitsgemäß zu erklären, nachkommen zu können. Gerade im Zusammenhang mit Beweisanträgen ist es dabei häufig erforderlich, Daten anderer Personen zu verarbeiten, bspw. bei der Benennung von Zeugen. Das Interesse der betroffenen Personen daran, dass ihre Daten nicht in einer öffentlichen Gerichtsverhandlung genannt werden, muss daher regelmäßig zugunsten eines fairen Verfahrens, in dem die Parteien sich umfassend erklären können (vgl. auch Art. 103 Abs. 2 GG), zurücktreten. Für die Fälle, in denen die betroffenen Personen ein besonders schutzwürdiges Interesse daran haben, dass ihre Daten nicht in einem Gerichtsverfahren öffentlich gemacht werden, hat der Gesetzgeber mit §§ 170 ff. GVG Möglichkeiten für das Gericht geschaffen, die Öffentlichkeit auszuschließen.
FrageDarf eine Arztpraxis Werbung mit Gesundheitsdaten betreiben?
AntwortGesundheitsdaten nach Art. 9 Abs. 1 DS-GVO dürfen nur zum Zweck der Werbung verarbeitet werden, wenn dazu eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Bei der Verarbeitung von Gesundheitsdaten zum Zweck des Marketings empfehlen wir generell, eine Einwilligung des betreffenden Patienten einzuholen.
FrageWie lange sind Patientenakten aufzubewahren?
AntwortPatientenakten sind gemäß § 630f Abs. 3 BGB vom Arzt bzw. Psychotherapeuten nach Abschluss der Behandlung für die Dauer von 10 Jahren aufzubewahren. Allerdings können nach anderen Vorschriften (z. B. bei der Strahlentherapie oder der berufsgenossenschaftlichen Behandlung) auch längere Aufbewahrungsfristen bestehen. Eine längere Aufbewahrung kann auch vorgenommen werden, wenn der Arzt bzw. Psychotherapeut dies aus medizinischen Gründen für erforderlich hält. Zu den Aufbewahrungsfristen verweisen wir Sie auf die Ausführungen der Kassenärztlichen Vereinigung Bayerns.
Weitere Informationen: KVB-Broschüre zum Datenschutz
FrageDürfen Arzt und Patient via E-Mail kommunizieren?
AntwortEin Arzt darf grundsätzlich mit seinen Patienten per E-Mail kommunizieren. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 Buchst. f) DS-GVO, da der Arzt ein berechtigtes Interesse an der effizienten Abwicklung der Kommunikation hat. Der Arzt muss in diesem Fall nach Art. 32 DS-GVO als Verantwortlicher technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Soweit im Einzelfall ein hohes Risiko besteht, darf der Mailversand nur inhaltsverschlüsselt erfolgen.
Weitere Informationen: Tätigkeitsbericht 2019
FrageWie kann Diskretion in der Arztpraxis gewährleistet werden?
AntwortIm Empfangsbereich sowie im Behandlungszimmer sollten PCs, Patientenakten oder sonstige Patienteninformationen für die ankommenden und wartenden Patienten nicht einsehbar sein. Die namentliche Ansprache von Patienten in der Arztpraxis ist auch unter der DS-GVO weiter zulässig. Allgemeine Hilfestellungen rund um das Thema Diskretion in der Arztpraxis bieten Veröffentlichungen der Kassenärztlichen Vereinigung Bayerns sowie der Ärztekammer.
FrageWie kann ich als Arzt Videosprechstunden durchführen?
AntwortSeit April 2017 kann die Videosprechstunde durchgeführt und abgerechnet werden. Hierdurch können Ärzte ihren Patienten beispielsweise die weitere Therapie erläutern oder den Heilungsprozess von Wunden begutachten. Den Patienten erspart sich dadurch der Weg zur Praxis.
Weitere Informationen: KVB-Info zur Videosprechstunde
FrageGibt es in der Versicherungsbranche spezifische Regelungen für die Einhaltung des Datenschutzes?
AntwortJa. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erarbeitete mit den Aufsichtsbehörden Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Versicherungswirtschaft. Diesen Verhaltensregeln (auch „Verhaltenskodex“ oder auf Englisch „Code of Conduct“ genannt) sind bisher die meisten Versicherer beigetreten. Durch die Anwendung dieser Regeln werden die Vorgaben der DS-GVO für die Versicherungswirtschaft branchenspezifisch datenschutzrechtlich zulässig konkretisiert.
Weitere Informationen: Code of Conduct
FrageIst es zulässig, dass meine Daten innerhalb einer Versicherungsgruppe weitergegeben werden?
AntwortGrundsätzlich ja. Die Weitergabe innerhalb einer Versicherungsgruppe ist insb. in folgenden Konstellationen gestattet: Wenn eine betroffene Person mit mindestens einem Unternehmen einer Versicherungsgruppe einen Vertrag geschlossen hat, dürfen auch die anderen Unternehmen dieser Versicherungsgruppe auf die Stammdaten der betroffenen Person zugreifen, soweit dies für den jeweiligen Zweck erforderlich ist. Im Rahmen der Auftragsverarbeitung kann ein anderes Unternehmen innerhalb der Versicherungsgruppe mit der Verarbeitung personenbezogener Daten der Versicherten beauftragt werden (z.B. bei Leistungsabrechnungen). Ist es zur Erfüllung des Versicherungsvertrages erforderlich, können personenbezogene Daten an Dienstleister übermittelt werden, wie beispielsweise an Sachverständige zur Begutachtung des Versicherungsfalles. Nicht gestattet ist dies bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), insb. bei Gesundheitsdaten. Hierfür ist eine Einwilligungs- und Schweigepflichtentbindungserklärung notwendig. In den genannten Fallgruppen kann die Datenverarbeitung regelmäßig auf Art. 6 Abs. 1 S. 1 b) DS-GVO gestützt werden. Für diejenigen Versicherungen, die den Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Versicherungswirtschaft beigetreten sind, gelten insoweit auch die speziellen Vorgaben der Verhaltensregeln.
FrageDarf meine Versicherung – ohne meine Zustimmung – eine Einmeldung in das Hinweis- und Informationssystem (HIS) vornehmen?
AntwortGrundsätzlich ja. Einmeldungen in das HIS erfolgen nur bei Vorliegen bestimmter Meldegründe. Dabei handelt es sich um risikorelevante Informationen oder betrugsgeneigte Auffälligkeiten im Einzelfall. Die Einmeldung in das HIS kann daher grds. auf Art. 6 Abs. 1 S. 1 f) DS-GVO gestützt werden, da sie der Erkennung, Verhinderung und Aufklärung von Versicherungsbetrug dient (vgl. Erwägungsgrund 47, Satz 6 zur DS-GVO). Überdies werden keine besonderen Kategorien personenbezogener Daten in das HIS eingemeldet. Eine Einmeldung in das HIS hat auch nicht automatisch zur Folge, dass der Abschluss eines Versicherungsvertrags oder die Schadensregulierung abgelehnt wird. Um den Anforderungen an die Transparenz nach Art. 12 ff. DS-GVO gerecht zu werden, werden Sie sowohl vorab als auch bei jeder konkreten Einmeldung in das HIS von Ihrer Versicherung informiert. Zudem haben Sie ggü. der Betreiberin des HIS, der informa HIS GmbH, ein Auskunftsrecht gem. Art. 15 DS-GVO, um – sofern nicht ohnehin bekannt – die Hintergründe Ihrer Einmeldung zu erfahren.
FrageDarf ein Rechtsanwalt personenbezogene Daten per E-Mail versenden?
AntwortEine Kommunikation per E-Mail zwischen Rechtsanwalt und Mandant bzw. Gegenseite ist grundsätzlich möglich, da Rechtsanwälte gemäß Art. 6 Abs. 1 Satz 1 f) DS-GVO insoweit ein berechtigtes Interesse an der effizienten Abwicklung ihres Schriftverkehrs geltend machen können. Dies gilt ebenso für den Erstkontakt. Nach Art. 32 Abs. 1 DS-GVO muss der Rechtsanwalt beim Versand von E-Mails jedoch geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies setzt grundsätzlich das Vorhandensein einer TLS Transportverschlüsselung (heutzutage Standard) voraus. Alle Daten, die zwischen den Kommunikationspartnern hierbei ausgetauscht werden, sind unter diesen Voraussetzungen während des Versands verschlüsselt. Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person, ist zusätzlich eine Inhaltsverschlüsselung (beispielsweise mittels PGP oder SMIME) vorzusehen. Weitere Informationen hierzu sind unserem Tätigkeitsbericht 2019 unter 18.5 zu entnehmen.
FrageWas ist unter Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO zu fassen?
AntwortZu den gesundheitsbezogenen Daten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, wie bspw. Nummern, Symbole oder Kennzeichen, die ihr zugeteilt werden, um sie für gesundheitliche Zwecke eindeutig identifizieren zu können (vgl. Erwägungsgrund 35 zur DS-GVO).

Informationen über den Gesundheitszustand einer Person können sich aus unmittelbaren und mittelbaren Angaben ergeben. Bei mittelbaren Angaben muss jedoch im Einzelfall auf deren Verwendungszusammenhang abgestellt werden, denn erst durch den Verwendungszusammenhang (Verwendung der mittelbaren Angaben durch bestimmte Personen oder Stellen zu bestimmten Zwecken) ergibt sich oft die Sensitivität bzw. Sensibilität sowie die besondere Schutzwürdigkeit der Daten.

Beispiel:
Die Konfektionsgröße einer Person stellt ein mittelbares Gesundheitsdatum einer Person dar. Generell sind zusätzlich zur Konfektionsgröße weitere Daten zu der Person notwendig, wie bspw. die Körpergröße der Person, um daraus gesundheitliche Einschätzungen ableiten zu können. Im Bereich von Textil-Einzelhandelsunternehmen wird die Konfektionsgröße nicht im Hinblick auf die in ihr vermeintlich enthaltene Gesundheitsinformation verarbeitet. Vielmehr dient die Angabe bzw. Verarbeitung der Konfektionsgröße hier dem Verkauf passender Kleidungsstücke. In diesem Kontext ist die Konfektionsgröße daher nicht als Gesundheitsdatum zu werten.

Dahingegen sind unmittelbare Angaben zu dem Gesundheitsstand einer betroffenen Person generell als sensitiv gemäß Art. 9 DS-GVO zu behandeln. Darunter fallen u. a. Informationen, wie bspw. Röntgenbilder, Blutgruppe, Untersuchungsergebnisse, Unfälle, Impfungen und Krankheiten.
FrageDürfen Unternehmen ihren Kunden Kontakt über WhatsApp anbieten?
AntwortSoweit das Unternehmen den datenschutzgerechten Einsatz von WhatsApp auch vor allem im Hinblick auf Adressbuchdaten gewährleisten können sollte, bleibt für das Kommunikationsangebot an seine Kunden erforderlich, dass diesen jederzeit an gleichwertige andere Kontaktaufnahme zur Verfügung steht. Aufgrund fortbestehender Rechtsunsicherheiten um den datenschutzgerechten Einsatz des Messengerdienstes "WhatsApp" raten wir generell dazu, Alternativen wie beispielsweise z.B. Threema, Signal, oder Hoccer zu prüfen.
FrageBrauche ich ein Cookie- Banner auf meiner Webseite wenn ich nur "technisch notwendige" Cookies einsetze?
AntwortNein, sofern nur technisch notwendige Cookies eingesetzt werden ist ein Cookie- Banner nicht erforderlich. Es ist ausreichend, dass in der Datenschutzerklärung über deren Verwendung und Funktionsweise informiert wird.
FrageIst für technisch nicht notwendige Cookies immer eine Einwilligung erforderlich?
AntwortEntsprechend Art. 5 Abs. 3 der RL 2002/58/EG (E-Privacy-Richtlinie in der Fassung der sog. Cookie-Richtlinie 2009/136/EG) sind grundsätzlich alle Cookies einwilligungspflichtig, sofern sie nicht technisch notwendig sind. Bis zur Umsetzung dieser Vorgaben durch den Bundesgesetzgeber erkennen die deutschen Aufsichtsbehörden nach der Orientierungshilfe für Anbieter von Telemedien DSK OH Telemedien, die Möglichkeit an, den Einsatz von Cookies auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DS-GVO zu stützen. Dieses berechtigte Interesse muss aber durch eine detaillierte Interessensabwägung dargelegt werden und ist im Regelfall bei Third-Party- Cookies, die dem Webtracking dienen, zu verneinen. Soweit das berechtigte Interesse von dem Verantwortlichen im Rahmen seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO belegt werden kann und über den Einsatz und die Funktionsweise technisch nicht notwendiger Cookies in der Datenschutzerklärung hinreicht informiert wird, wird das BayLDA auch bei Fehlen einer Einwilligung derzeit von aufsichtlichen Schritten absehen.
FrageMeine Daten wurden von einer anderen Person an einen Rechtsanwalt weitergegeben. Ist dies datenschutzrechtlich zulässig?
AntwortGrundsätzlich ja. Die Datenverarbeitung kann in solchen Konstellationen meist auf Art. 6 Abs. 1 S. 1 f) DS-GVO (ggf. i.V.m. Art. 9 Abs. 2 f) DS-GVO) gestützt werden. Die Einschaltung eines Rechtsanwalts ist grundsätzlich als berechtigtes Interesse des Verantwortlichen, also der übermittelnden Person, anzusehen. Die Interessen der betroffenen Person an der Nichtübermittlung haben hier i.d.R. zurückzutreten. Dies gilt unabhängig davon, ob bereits ein etwaiger Rechtsstreit bei einem Gericht anhängig ist oder nicht.
FrageDarf ein Rechtsanwalt eine Honorarforderung an einen weiteren Rechtsanwalt abtreten?
AntwortJa, die Abtretung von Honorar- bzw. Vergütungsforderungen eines Rechtsanwaltes oder die Übertragung ihrer Einziehung an Rechtsanwälte ist grundsätzlich zulässig (vgl. hierzu § 49b Abs. 4 Satz 1 Bundesrechtsanwaltsordnung (BRAO)). Zu beachten ist jedoch, dass die Rechtmäßigkeit dieser Forderungen nicht durch eine Datenschutzaufsichtsbehörde beurteilt werden kann, da es sich hierbei um eine zivilrechtliche Fragestellung handelt.
FrageGibt es eine Hilfestellung für Vereine bei der Erstellung von Datenschutzhinweisen nach Art. 13 DS-GVO für die Vereinswebseite?
AntwortJa. Die Stiftung Datenschutz stellt unter https://stiftungdatenschutz.org/ehrenamt neben Informationen zum Datenschutz im Ehrenamt auch einen Generator für Datenschutzhinweise zur Verfügung. Mit Hilfe dieses Generators kann eine Vorlage für die vereinseigenen Datenschutzhinweise erstellt werden. Der so erzeugte Text ist sodann auf seine Richtigkeit und Vollständigkeit zu prüfen. Näheres wird in den dazugehörigen Nutzungshinweisen erläutert.
FrageWie lange darf ein Verein Mitgliederdaten verarbeiten?
AntwortMitgliederdaten dürfen nur so lange aufbewahrt werden, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist (Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 Buchst. e DS-GVO). Eine darüberhinausgehende Speicherung ist nur zulässig, wenn eine Rechtsgrundlage hierfür besteht, insbesondere wenn eine gesetzliche Verpflichtung zur weiteren Aufbewahrung besteht. Werden die Daten jedoch nur noch für die Erfüllung gesetzlicher Aufbewahrungspflichten gespeichert, so ist die Verarbeitung einzuschränken, d.h. insbesondere, dass die Datensätze entsprechend markiert sein sollten, ein Zugriff nur noch durch einen kleinen Kreis berechtigter Personen erfolgen können sollte und die Daten nicht mehr verändert werden können sollten.
FrageWer darf auf die Mitgliederdaten zugreifen?
AntwortEine Zugriffsberechtigung auf die Mitgliederdaten dürfen nur diejenigen Funktionsträger im Verein haben, die diesen auch für eine zulässige Datenverarbeitung benötigen. Die Zugriffsberechtigungen sollten in der Satzung oder in einem gesonderten Regelwerk („Datenschutzordnung“ o.ä.) festgelegt werden.
FrageWie ist mit einem Verlangen nach Auskunft oder Löschung umzugehen?
Antwort

Auf Auskunfts- oder Löschverlangen einer Person ist unverzüglich, spätestens innerhalb eines Monats nach Eingang des Verlangens zu reagieren.

Wird ein Auskunftsersuchen gestellt, ist zu prüfen, ob überhaupt personenbezogene Daten zu der Person verarbeitet werden. Trifft dies nicht zu, ist dies mitzuteilen (sog. Negativauskunft). Werden personenbezogene Daten zu der Person verarbeitet, sind diese ebenso wie die weiteren Informationen gem. Art. 15 Abs. 1 DS-GVO mitzuteilen.

Bei einem Löschersuchen ist zu prüfen, ob Gründe einer Löschung entgegenstehen, beispielsweise weil noch Aufbewahrungspflichten bestehen bzw. die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden.

Weitere Informationen: Auskunft gem. Art. 15 DS-GVO, Löschung
FrageWas ist zu beachten, wenn personenbezogene Daten abhanden kommen?
Antwort

Ist der Schutz personenbezogener Daten verletzt, wenn z.B. Daten abhanden gekommen sind (Datenleck, Verlust von Datenträgern o.ä.) bzw. unbefugt offengelegt wurden, muss dies innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, die Verletzung führt nicht zu einem erheblichen Risiko.

Insbesondere wenn ein Datenschutzbeauftragter aufgrund der Größe des Vereins nicht bestellt werden muss, sollte eindeutig geregelt sein, wer Ansprechpartner für eine Verletzung des Schutzes personenbezogener Daten ist und für die Meldung an die Aufsichtsbehörde zuständig ist.

Weitere Informationen: Flyer Datenschutzverletzung
FrageWo finde ich weitere Informationen zur Datenverarbeitung im Verein?
AntwortWeitere Informationen und Verlinkungen zum Datenschutz im Verein finden Sie auf unserer Homepage unter der Themenseite für Vereine.
FrageWo finde ich Informationen zum Themenfeld 'Datenschutz und KI'?
AntwortInformationen und Verlinkungen zum Themenfeld 'Datenschutz und KI' finden Sie auf unserer Homepage unter der Themenseite für Künstliche Intelligenz.
FrageDerzeit sind noch keine FAQs zur Digitalrechtsakte vorhanden.
Antwort.
FrageDarf ich in meine Patientenakte beim Arzt Einsicht nehmen und habe ich das Recht, davon eine (Foto-)Kopie zu bekommen?
AntwortJa, gemäß § 630g Abs. 1 BGB ist den Patienten auf Verlangen unverzüglich Einsicht in die vollständige Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche, therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Gemäß Art. 15 Abs. 1 DS-GVO steht den Patienten ein Auskunftsrecht zu. Die Patienten können zugleich die Anfertigung von Kopien verlangen. Die erste Kopie ist dabei kostenfrei zur Verfügung zu stellen.
FrageKönnen Übermittlungen in die USA zugleich auf den EU-U.S. Data Privacy Framework (nachfolgend „DPF“) und auf die Standarddatenschutzklauseln (Standard Contractual Clauses / SCC) gestützt werden?
AntwortDer DPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45(3) DSGVO. Nach dem Wortlaut von Art. 46(1) DSGVO („Falls kein Beschluss nach Art. 45 Absatz 3 vorliegt…“) verdrängt ein Angemessenheitsbeschluss die in Artikel 46 DSGVO geregelten Garantie-Instrumente, z.B. die SCC. Übermittlungen an DPF-zertifizierte US-Datenempfänger, die unter den DPF fallen, richten sich daher nach dem DPF. Möglich ist es aber, mit solchen US-Datenempfängern gleichzeitig SCC vorsorglich für den Fall abzuschließen, dass der DPF für ungültig erklärt oder aufgehoben werden sollte. Die SCC sind in diesem Fall rechtlich zunächst schwebend unwirksam und würden erst wirksam, falls der DPF aufgehoben oder für ungültig erklärt werden sollte; allerdings muss der Datenexporteur bei Wegfall des DPF zusätzlich zu den SCC noch ein Transfer Impact Assessment (TIA) zur Rechtslage und -praxis in den USA durchführen (so ausdrücklich Klausel 14 der SCC).

Gegenüber betroffenen Personen muss der Datenexporteur in einem solchen Fall im Rahmen der Information nach Art. 13(1)(f) DSGVO angeben, dass die Übermittlung auf den DPF gestützt wird; sofern der DPF wegfällt, muss die Information dahingehend abgeändert werden, dass die Übermittlung auf SCC und ggf. etwaige sog. zusätzliche Maßnahmen (vgl. dazu Zusätzliche Schutzmaßnahmen bei Datenübermittlungen in unsichere Drittländer) gestützt wird.
FrageMuss für Übermittlungen an US-Unternehmen, die nicht auf den DPF gestützt werden, ein Transfer Impact Assessment („TIA“; Prüfung der Rechtslage und -praxis in den USA) vorgenommen werden?
AntwortJa, allerdings kann der TIA in diesem Fall darauf beschränkt werden, auf das (positive) Ergebnis der Prüfung der Rechtslage und -praxis in den USA zu verweisen, zu dem die Europäische Kommission im DPF-Angemessenheitsbeschluss gekommen ist.
FrageMuss bei Übermittlung an einen DPF-zertifizierten US-Auftragsverarbeiter mit diesem ein Auftragsverarbeitungsvertrag nach Art. 28(3) DSGVO abgeschlossen werden?
AntwortJa, denn der DPF deckt nicht gleichzeitig die Anforderungen an einen AV-Vertrag nach Art. 28(3) DSGVO ab.
FrageMuss bei Übermittlung an einen US-Auftragsverarbeiter, mit dem SCC gemäß dem Durchführungsbeschluss 2021/914 der Kommission vom 04.06.2021 (Modul 2 = „Controller-to-Processor“) abgeschlossen sind, der aber anschließend eine DPF-Zertifizierung erwirbt, noch ein separater Auftragsverarbeitungsvertrag nach Art. 28(3) DSGVO abgeschlossen werden, sofern die Übermittlung vom DPF umfasst ist?
AntwortNein; zwar werden die SCC vom DPF verdrängt (siehe dazu bereits oben), jedoch kann das mit dem US-Datenempfänger bereits abgeschlossene Modul 2 der SCC in diesem Falle beibehalten werden, weil es als solches auch die Anforderungen an einen Auftragsverarbeitungsvertrag nach Art. 28(3) DSGVO abdeckt (siehe dazu Ziffer 29 der FAQ der Europäischen Kommission zu den SCC - New Standard Contractual Clauses - Questions and Answers overview - European Commission), so dass sich ein separater Abschluss eines Auftragsverarbeitungsvertrags erübrigt.
FrageUnter welchen Umständen ist die Benennung eines DSB verpflichtend?
Antwort

Grundsätzlich möchten wir klarstellen, dass die Frage des Vorliegens oder Fehlens einer Benennpflicht keine Auswirkungen auf die Geltung aller übrigen datenschutzrechtlichen Verpflichtungen hat. Ein Verantwortlicher oder Auftragsverarbeiter ohne DSB-Benennpflicht hat also, abgesehen vom Fehlen dieser Benennpflicht, dieselben datenschutzrechtlichen Verpflichtungen bei seinen Verarbeitungen zu beachten, wie eine Organisation ohne DSB-Benennpflicht.

Bei nichtöffentlichen Stellen, auf die sich unsere behördliche Zuständigkeit beschränkt, besteht die Pflicht zur Benennung eines DSB, sobald mindestens eine der folgenden Voraussetzungen erfüllt ist:

  1. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters liegt in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (vgl. Art. 37 Abs. 1 lit. b DS-GVO)
    Siehe zur weiteren Auslegung z.B. Kap. 2.1 der vom EDSA übernommenen „Leitlinie in Bezug auf Datenschutzbeauftragte“ der Art.-29-Datenschutzgruppe (WP 243 rev.01).
  2. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters liegt in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (vgl. Art. 9 DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (vgl. Art. 37 Abs. 1 lit. c DS-GVO)
    Siehe zur weiteren Auslegung z.B. Kap. 2.1 der vom EDSA übernommenen „Leitlinie in Bezug auf Datenschutzbeauftragte“ der Art.-29-Datenschutzgruppe (WP 243 rev.01).
  3. Der Verantwortliche oder Auftragsverarbeiter nimmt Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen (vgl. § 38 Abs. 1 Satz 2 BDSG)
    Eine (nicht abschließende) Liste, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist, finden Sie entsprechend Art. 35 Abs. 4 DS-GVO hier.
  4. Der Verantwortliche oder Auftragsverarbeiter verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, zum Zweck der anonymisierten Übermittlung oder zu Zwecken der Markt- und Meinungsforschung (vgl. § 38 Abs. 1 Satz 2 BDSG)
  5. Der Verantwortliche oder Auftragsverarbeiter beschäftigt in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (vgl. § 38 Abs. 1 Satz 1 BDSG)

Hierbei stellt „in der Regel“ darauf ab, dass die 20 Personen die übliche Anzahl der maßgeblichen Beschäftigten darstellen. Lediglich kurzfristige Unter- oder Überschreitungen bleiben außer Betracht.

Der Begriff „ständig“ bedeutet, dass es sich um einen Schwerpunkt der Tätigkeit handelt. So hat beispielsweise ein Handwerker, der vor Ort beim Kunden ein Tablet zur Eingabe der Arbeitszeit oder seiner Auftragsdaten nutzt, überwiegend mit seiner handwerklichen Tätigkeit zu tun. Ebenso ist bei Versandmitarbeitern eines Lieferdienstes, die ein Unterschriftspad zur elektronischen Unterschrift des Kunden über ein erhaltenes Paket nutzen, die Tätigkeit regelmäßig weit überwiegend das Zusammenstellen und Ausliefern von Waren. Diese Beispiele zeigen, dass gerade solche Gruppen von Personen dann allenfalls untergeordnet mit der automatisierten Verarbeitung personenbezogener Daten von Betroffenen / Kunden befasst sind, sodass diese bei der vorher genannten Grenze von 20 Personen nicht mitzuzählen sind. Gleiches gilt bspw. auch für Kassenkräfte in Einzelhandelsgeschäften, wenn diese im Schwerpunkt ihrer Tätigkeit Waren über Scanner ziehen, Waren einpacken, anonyme Barkäufe kassieren, eventuell daneben noch Waren einräumen und letztlich nur untergeordnet personalisierte Kartenzahlungen entgegennehmen.
Beschäftigte der Personal- oder Finanzbuchhaltung zählen hingegen beispielsweise in aller Regel zu den 20 Personen dazu, da hier der Begriff „ständig“ regelmäßig erfüllt sein dürfte. Auch die Geschäftsleitung einer Organisation, ist mitzuzählen, wenn bei ihrer Tätigkeit die Anforderungen vorliegen.

Stand 10.02.2026

FrageWelche formellen Anforderungen gelten für die Benennung eines DSB?
Antwort

Anders als im früheren Datenschutzrecht, besteht heute keine explizite gesetzliche Verpflichtung mehr, eine DSB-Benennung schriftlich vorzunehmen.
Gleichwohl ist eine schriftliche Benennung zu empfehlen, um zum einen im Innenverhältnis klare Verhältnisse zu schaffen und zum anderen ggf. der Aufsicht darlegen zu können, welche Aufgaben dem DSB übertragen wurden und welcher Status diesem innerhalb der Organisation eingeräumt wird.

In einem solchen Benenndokument können also beispielsweise die konkreten Aufgaben und Befugnisse des DSB, dessen Pflichten und seine Weisungsfreiheit nachvollziehbar dokumentiert werden. Ein besonderes Augenmerk richten wir bei unseren Prüfungen auch auf die Dokumentation des Berichtswegs und das jederzeitige Berichtsrecht zur obersten Managementebene der Organisation.

Stand 10.02.2026

FrageWelche (Ausbildungs-)Anforderungen gibt es für die Position des DSB? Kann das BayLDA Anbieter empfehlen?
Antwort

Konkrete gesetzliche Vorgaben oder ein Anerkennungsverfahren für Ausbildungsanforderungen, Lehrpläne etc. für die Schulung von DSB sind derzeit nicht geregelt, sodass wir diesbezüglich auch keine Genehmigungen oder Ähnliches für entsprechende Aus- und Weiterbildungen prüfen oder aussprechen können.

Uns bleibt hier also nur der Verweis auf die allgemein geregelten Fachkunde-Anforderungen für einen DSB, wie sie (zusätzlich zu Art. 37 Abs. 5 DS-GVO und EG 97 zur DS-GVO) zum Beispiel den Leitlinien in Bezug auf Datenschutzbeauftragte (WP 243) der EU-Art.-29-Datenschutzgruppe (dort unter Nr. 2.5) oder entsprechender Kommentarliteratur entnommen werden können.

Auch grundsätzlich ist es uns als öffentliche Stelle aus Neutralitätsgründen nicht möglich, einen Anbieter entsprechender Fortbildungen gegenüber anderen Wettbewerbern durch eine Empfehlung zu bevorzugen.

Eine etwaige Prüfung der hinreichenden Fachkunde werden wir also stets anhand des jeweiligen Einzelfalls vornehmen. Betonen möchten wir jedoch, dass die Gewährleistung einer hinreichenden Fachkunde auch voraussetzt, dass dem DSB entsprechende (auch zeitliche) Ressourcen i.S.d. Zugangs zu laufender Rechtsprechung und Literatur, sowie zur regelmäßigen Fortbildung bereitgestellt werden.

Stand 10.02.2026

FrageKönnen Familienangehörige der Geschäftsleitung als DSB benannt werden?
Antwort

Diese Frage ist aktuell noch nicht abschließend geklärt, aber wir beanstanden bislang eine Benennung von Familienmitgliedern nicht als unzulässig.
Dennoch möchten wir bei einer solchen familiären Nähe auf mögliche negative Auswirkungen auf das Vertrauensverhältnis zwischen Betroffenen / Mitarbeitern und DSB hinweisen. Auch etwaige Interessenkonflikte aufgrund wirtschaftlicher Beteiligung, sind in einer solchen Konstellation besonders sorgfältig anhand des Einzelfalls zu betrachten.

Stand 10.02.2026

FrageDie Zusammenarbeit mit unserem DSB hat geendet. Wie schnell muss eine Ersatzbenennung erfolgen?
Antwort

Ganz grundsätzlich erfordert die Erfüllung der Benennpflicht, dass zu jedem Zeitpunkt wirksam ein DSB benannt ist, sodass eine vorliegende Benennpflicht sofort bzw. permanent (weiter)besteht. Somit lautet die Antwort, dass unverzüglich, also ohne schuldhaftes Zögern des Verantwortlichen, eine Ersatzbenennung vorzunehmen ist.

Stand 10.02.2026

FrageMuss für einen Betriebsrat ein eigener DSB benannt werden?
Antwort

Nach § 79a BetrVG ist der Betriebsrat kein eigener Verantwortlicher, sondern Teil des Unternehmens und damit Teil des Verantwortlichen oder Auftragsverarbeiters. Der Betriebsrat ist deshalb nicht verpflichtet, einen separaten DSB zu benennen, sondern der Betriebsrat ist vom Aufgabenbereich des DSB erfasst, der für den Verantwortlichen oder Auftragsverarbeiter benannt ist.
§ 79a BetrVG enthält darüber hinaus weitere Anforderungen, die das besondere Verhältnis zwischen Arbeitgeber und Betriebsrat bei der Erfüllung datenschutzrechtlicher Pflichten berücksichtigen.

Stand 10.02.2026

FrageKann der DSB gleichzeitig weitere Aufgaben wahrnehmen? Beispiele zum Thema Interessenkonflikt
Antwort

Entsprechend Art. 38 Abs. 6 DS-GVO kann ein DSB auch andere Aufgaben und Pflichten wahrnehmen, wobei sichergestellt sein muss, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Beispiele solcher Tätigkeiten, die regelmäßig zu einem Interessenkonflikt führen, wären Mitglieder der Geschäftsleitung, IT-Administratoren, Personalverwaltung, Geheimschutzbeauftragte, Organisationseinheiten mit besonders umfangreicher oder sensibler Verarbeitung personenbezogener Daten. Außerdem gilt dies generell für jede Tätigkeit, die dazu führen würde, dass ein DSB sich selbst kontrollieren müsste, indem er z.B. über die Zwecke und Mittel der Verarbeitung beim Verantwortlichen oder Auftragsverarbeiter mitentscheidet.

Unabhängig von der Frage eines aufgabenbezogenen Interessenkonflikts, kann die Übertragung zusätzlicher Aufgaben auch Auswirkungen auf die Frage haben, ob dem DSB zur Erfüllung seiner Aufgaben ausreichende (zeitliche) Ressourcen zur Verfügung stehen (Art. 38 Abs. 2 DS-GVO).
Es erscheint deshalb als empfehlenswert, den für die DSB-Aufgaben zur Verfügung stehenden Zeitanteil nachvollziehbar intern festzuschreiben und regelmäßig hinsichtlich erforderlicher Anpassung zu evaluieren; auch um dies z.B. im Rahmen einer aufsichtlichen Prüfung darlegen zu können.

Weitere Beispiele für bereits behandelte Fallgestaltungen:

Informationssicherheitsbeauftragter:
Nach unserem Verständnis hat ein Informationssicherheitsbeauftragter primär beratende und kontrollierende Funktionen innerhalb einer Institution und es bestehen ähnliche Anforderungen an dessen Unabhängigkeit und Eingliederung / Berichtswege im Unternehmen, wie bei einem DSB.
Wir würden aus rein datenschutzrechtlicher Perspektive die Funktion des DSB zumindest so lange mit der des Informationssicherheitsbeauftragten als vereinbar betrachten, wie ausgeschlossen ist, dass der DSB im Rahmen dieser Zusatzfunktion in die Situation kommen kann, über Verarbeitungsvorgänge, bzw. die Zwecke und Mittel der Verarbeitung beim Verantwortlichen oder Auftragsverarbeiter, mitzuentscheiden.

Vorsitz (und Mitglieder) des Personal- / Betriebsrats:
Die gleichzeitige Wahrnehmung einer der genannten Vorsitztätigkeiten begründet regelmäßig das Bestehen eines Interessenkonflikts. Personenbezogene Daten dürfen, z.B. im Fall des Betriebsrats, diesem nur im Rahmen der vom Betriebsverfassungsgesetz vorgesehenen Zwecke zur Verfügung gestellt werden. Der Betriebsrat entscheidet durch Beschluss darüber, welche personenbezogenen Daten er in Ausübung seiner gesetzlichen Aufgaben vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet, sodass letztlich eine Beteiligung an einer Entscheidung über die Zwecke und Mittel der Verarbeitung besteht.

Da letztlich nicht der Vorsitz alleine handelt, sondern das Gremium als Ganzes, wobei auch jedes einzelne Mitglied entsprechende Anträge einbringen kann, spricht zudem vieles dafür, dass neben dem Vorsitz auch ein Einzelmitglied den entsprechenden Anlass für Verarbeitungen setzen kann, also die Schlussfolgerung eines Interessenkonflikts auch auf ein Einzelmitglied zu übertragen ist.

Meldestelle nach dem HinSchG:
Nimmt ein DSB zugleich die vollständigen Aufgaben der Meldestelle nach dem Hinweisgeberschutzgesetz wahr, begründet dies allein wegen der mit der internen Meldestelle verbundenen Datenverarbeitungsaufgaben regelmäßig Interessenkonflikte im Sinne von Art. 38 Abs. 6 Satz 2 DSGVO.
Dies schließt zwar grundsätzlich nicht aus, dass im Einzelfall durch strikte organisatorische Maßnahmen einem Interessenkonflikt zwischen der Wahrnehmung bestimmter Aufgaben von Meldestellen und den Aufgaben des DSB wirksam vorgebeugt werden kann. Eine vollständige Abgrenzung erscheint in der Praxis jedoch als schwierig.

Stand 10.02.2026

FrageKann ein DSB benannt werden, der in einem anderen Land der EU verortet ist?
Antwort

Die DS-GVO enthält keine Anforderung, wo der DSB eines Verantwortlichen oder Auftragsverarbeiters ansässig sein sollte. Bestehen mehrere Niederlassungen oder ist der externe DSB in einer anderen Region oder einem anderen Mitgliedsstaat ansässig, wird jedoch zu prüfen sein, wie die persönliche Erreichbarkeit des DSB zumindest über eine Hotline oder andere sichere Kommunikationskanäle gewährleistet wird.
Zum anderen werden etwaige Sprachübersetzungsprobleme für betroffene Personen und die Aufsichtsbehörde ebenso zu lösen sein, wie die unmittelbare Betreuung vor Ort (wie z.B. durch dem DSB zugehörige und damit z.B. auch dessen Verschwiegenheitspflichten unterfallende Datenschutzkoordinatoren vor Ort).

Stand 10.02.2026

FrageMuss der DSB eine natürliche Person sein, oder kann auch eine juristische Person als DSB benannt werden?
Antwort

Die Möglichkeit der Benennung juristischer Personen als DSB ist derzeit nicht abschließend geklärt. Wortlaut und Systematik der DS-GVO sprechen aber aus unserer Sicht dafür, dass nur natürliche Personen als DSB benannt werden können. So heißt es in Erwägungsgrund 97:

„In Fällen, in denen die Verarbeitung […] im privaten Sektor durch einen Verantwortlichen erfolgt, […] sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. […] Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“

Des Weiteren werden DSB nach Art. 37 Abs. 5 DS-GVO auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt. Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuverlässigkeit aufweisen und nur zu diesen ist eine vertrauliche Beziehung der Beteiligten möglich. Die zu DSB benannten natürlichen Personen dürfen jedoch Hilfspersonal einsetzen, wie etwa Vertreter, Datenschutzansprechpartner und -koordinatoren.
Daher muss in jedem Fall, zumindest eine natürliche Person benannt werden, die die Aufgaben des DSB letztverantwortlich übernimmt.

Es sollte jedenfalls beachtet werden, dass alle Mitarbeiter einer juristischen Person, die bei Aufgaben des DSB unterstützen, ebenfalls die gesetzlichen Anforderungen an DSB erfüllen müssen, wie z.B. hinsichtlich der Abwesenheit von Interessenkonflikten.

Stand 10.02.2026

FrageKönnen mehrere gleichwertige DSB für identische oder verschiedene Aufgabenbereiche benannt werden?
Antwort

Eine Benennung mehrerer gleichwertiger DSB ist regelmäßig nicht möglich, da es in der Praxis kaum denkbar ist, dass innerhalb eines Verantwortlichen oder Auftragsverarbeiters die Einzelbereiche bzw. die insgesamt angewandten (und vom DSB überwachten) Prozesse (z.B. Betroffenenersuchen, Löschprozesse) derart eindeutig getrennt sein können, dass mehrere DSB nicht in irgendeiner Weise eine Aufgabenüberschneidung hätten und damit u.a. in ihrer Unabhängigkeit beeinträchtigt wären.

Es ist jedoch natürlich jederzeit möglich, einem DSB weitere Personen zu unterstellen, über deren Unterstützung er bei seiner Aufgabenerfüllung verfügen kann. Dies kann z.B. auch erfolgen, um den DSB bei der Wahrnehmung seiner Aufgaben in mehreren Betriebsstätten zu unterstützen, was nach unserer Erfahrung oft durch sogenannte, dem DSB zugeordnete oder zuarbeitende Datenschutzkoordinatoren umgesetzt wird.
Wenn dem DSB weitere Personen direkt unterstellt sind, ist sicherzustellen, dass auch diese frei von Interessenkonflikten handeln. Zudem unterliegen diese ebenfalls den Vertraulichkeitsverpflichtungen des DSB.

Stand 10.02.2026

FrageMuss im Rahmen der Veröffentlichung nach Art. 37 Abs. 7 DS-GVO auch der Name des DSB bekanntgegeben werden?
Antwort

Nein. Eine Veröffentlichung der Kontaktdaten des DSB, im Sinne einer neutralen Funktionsadresse (wie z.B. dsb@... ), ist nicht nur ausreichend, sondern aus unserer Sicht einer Namensnennung aus Gründen der jederzeitigen Aktualität auch zu bevorzugen. Dies gilt analog auch für die Informationspflichten nach Art. 13 Abs. 1 lit. b und 14 Abs. 1 lit. b DS-GVO.

Hierbei ist aber sicherzustellen, dass die angegebenen Kontaktdaten angesichts dessen Vertraulichkeitsverpflichtung (Art. 38 Abs. 5 DS-GVO) auch direkt zum DSB führen und nicht etwa über eine allgemeine gesammelte Kontaktmöglichkeit des Verantwortlichen oder Auftragsverarbeiters (wie z.B. info@... ) nur an ihn weitergeleitet werden. Hierzu ist beispielsweise die Nutzung einer entsprechenden eigenen Funktionsadresse (siehe oben) denkbar.

Analog ist zu gewährleisten, dass postalische Eingänge, die dem DSB z.B. durch einen Adresszusatz „Datenschutzbeauftragter“ eindeutig zuzuordnen sind, direkt und ungeöffnet an den DSB zugeleitet werden.

Stand 10.02.2026

FrageMuss für den DSB eine Stellvertretung bestimmt werden?
Antwort

Die Benennung eines „stellvertretenden DSB“ ist rechtlich zwar nicht ausdrücklich gefordert. Es erscheint jedoch für Fälle längerer Abwesenheit des DSB (vorhersehbar und unvorhersehbar) als möglich und sinnvoll eine solche Stellvertretung festzulegen, um eine durchgehend hinreichende Wahrnehmung der Funktion sicherzustellen.

Zu beachten ist, dass hier die gleichen Voraussetzungen bestehen, denen auch die Benennung des DSB unterliegt (z.B. Fachkenntnisse, keine Interessenkonflikte). Dies gilt ebenso auch für die Pflichten, wie z.B. die Vertraulichkeit.
Es sollte zudem geklärt / geregelt sein, wie und wann eine Stellvertretung über entsprechende Zugriffsmöglichkeiten bzgl. der beim DSB verorteten Daten / Kommunikationskanäle verfügt.

Daneben weisen wir darauf hin, dass sämtliche datenschutzrechtliche Pflichten eines Verantwortlichen oder Auftragsverarbeiters auch im Fall solcher DSB-Abwesenheiten unverändert fortbestehen. Die internen Prozesse sind also so zu gestalten, dass z.B. ein Verantwortlicher seiner Pflicht zur fristgerechten Bearbeitung von Betroffenenersuchen auch unabhängig von der Anwesenheit des ggf. regulär beratend im Prozess einbezogenen DSB nachkommen kann.

Stand 10.02.2026

FrageBrauchen wir einen internen oder externen DSB? Was ist besser?
Antwort

Ob ein interner oder externer DSB benannt wird, ist eine Entscheidung, die der Verantwortliche oder Auftragsverarbeiter frei treffen kann.
Zur Erfüllung einer bestehenden Benennpflicht sind beide Lösungen geeignet.

Stand 10.02.2026

FrageIst Postwerbung erlaubt?
AntwortDie Verwendung von Adressen für Postwerbung ist grundsätzlich erlaubt. Die angeschriebene Person hat allerdings ein Recht auf Widerspruch. Bis ein solcher Werbewiderspruch Wirkung entfaltet, kann es bei Versendern wegen bereits zur Aussendung fertig gemachter weiterer Werbesendungen oft einige Wochen dauern. Wenn Sie allgemein die Verwendung Ihrer Postadresse für Werbung einschränken wollen, können Sie sich in die sog. Robinsonliste eintragen lassen, die der Deutsche Dialogmarketing-Verband führt und die von vielen Unternehmen im In- und Ausland berücksichtigt wird. Siehe dazu den Link unten.
Weitere Informationen: Info Dialogmarketing BayLDA Werbung
FrageIst E-Mail-Werbung oder SMS-Werbung erlaubt?
AntwortDie Verwendung von E-Mail-Adressen für E-Mail-Werbung bzw. Newsletter-Zusendung ist, falls bisher keine Geschäftsbeziehung mit dem Empfänger bestand ("Neukundenwerbung"), nur erlaubt, wenn hierfür eine vorherige ausdrückliche Einwilligung gegeben ist, egal ob Verbraucher oder Unternehmen angesprochen werden. Gleiches gilt für die Verwendung von Telefonnummern für SMS-Werbung. Bei bestehenden Kundenbeziehungen ("Bestandskunden") ist E-Mail- oder SMS-Werbung zulässig, wenn die elektronischen Kontaktdaten im Zusammenhang mit der Vertragsabwicklung (Verkauf einer Ware oder Dienstleistung) erlangt worden sind, (nur) für eigene ähnliche Waren oder Dienstleistungen geworben wird, dem bisher nicht widersprochen wurde und bei der Erhebung der elektronischen Kontaktdaten sowie bei jeder Werbe-E-Mail bzw. -SMS klar und deutlich auf das Widerspruchsrecht hingewiesen wurde bzw. wird.
Weitere Informationen: BayLDA Werbung
FrageDarf eine kostenlose Leistung (E-Mail-Account, Internet-Dienstleistung, App-Nutzung usw.) mit einer Zustimmung zu werblichen Zusendungen oder Einblendungen verknüpft werden?
AntwortDie grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt es den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung ("Bezahlung") Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden. Denn es gibt einerseits keinen Rechtsanspruch auf kostenlose Leistungen und andererseits können gleichwertige "werbefreie" Leistungsangebote, soweit keine Monopolstrukturen gegeben sind, regelmäßig gegen vertretbares Entgelt bei verschiedenen Anbietern erlangt werden.
Weitere Informationen: BayLDA TB Nr. 8 DSK Kurzpapier 3 Werbung
FrageSind Kundenzufriedenheitsbefragungen per E-Mail erlaubt?
AntwortKundenzufriedenheitsbefragungen werden von der Rechtsprechung als Werbung angesehen. Per Telefon abgefragt oder per E-Mail bzw. SMS verschickt sind sie bei diesen Kommunikationswegen daher grundsätzlich nur mit Einwilligung zulässig. Ausnahmsweise ist der Versand per E-Mail im Nachgang zu erbrachten Leistungen (Warenlieferung, Reparatur, Hotelaufenthalt usw.) ohne Einwilligung erlaubt, wenn bei der Leistungserbringung auf eine beabsichtigte Kundenzufriedenheitsbefragung und das dagegen bestehende Werbewiderspruchsrecht nach Art. 21 Abs. 2 DS-GVO hingewiesen wurde. Aus Gründen der Nachweisbarkeit empfiehlt es sich, auch in der E-Mail auf das Widerspruchsrecht hinzuweisen.
Weitere Informationen: DSK Kurzpapier 3 Werbung
FrageDarf unser Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?
AntwortPersonenbezogene Daten dürfen in Nicht-EU-/EWR-Länder übermittelt werden, wenn
  1. das Drittland ein von der Europäischen Kommission als angemessen anerkanntes Datenschutzniveau besitzt,
  2. sog. geeignete Garantien zum Einsatz gebracht werden, z. B. Standarddatenschutzklauseln, Binding Corporate Rules; Achtung: In diesen Fällen – je nach Rechtslage und Situation im jeweiligen Zielland – müssen unter Umständen für die Absicherung der Übermittlung zusätzliche Maßnahmen ergriffen werden; in einigen Fällen ist dies u.U. nicht möglich, so dass die Übermittlung dann unterbleiben muss (Weitere Informationen);
  3. oder eine der Ausnahmemöglichkeiten nach Art. 49 DS-GVO einschlägig ist.
Weitere Informationen: EU-Kommission: International dimension of data protection Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679
FrageIn den USA gibt es jetzt den US Cloud Act. Dürfen vor diesem Hintergrund überhaupt noch personenbezogene Daten in die USA übermittelt werden?
AntwortDer US Cloud Act ist ein US-Gesetz, das es den US-Strafverfolgungsbehörden in bestimmten Fällen ermöglicht, personenbezogene Daten von Unternehmen auch dann herauszuverlangen, wenn diese außerhalb der USA gespeichert sind. Dies kann zu Konflikten mit der DS-GVO führen. Unabhängig vom Cloud Act dürfen jedoch nach wie vor personenbezogene Daten etwa an Unternehmen in den USA übermittelt werden, sofern die Anforderungen des Fünften Kapitels der DS-GVO erfüllt sind, ggf. unter Anwendung sog. zusätzlicher Maßnahmen (Weitere Informationen).Jedoch dürfen Unternehmen, die in der Europäischen Union personenbezogene Daten verarbeiten, direkt an sie gerichtete auf dem US Cloud Act beruhende Anfragen von US-Strafverfolgungsbehörden zur Herausgabe von personenbezogen Daten, die unter die DS-GVO fallen, in aller Regel nicht erfüllen, sondern müssen die anfragende US-Behörde darauf verweisen, ein Rechtshilfeersuchen bei den zuständigen deutschen Behörden zu stellen. Eine direkte Übermittlung solcher Daten an US-Strafverfolgungsbehörden wäre in aller Regel ein Verstoß gegen Artikel 48 DS-GVO (Näheres dazu in der Anlage zum Brief des Europäischen Datenschutzausschusses vom 12.07.2019 an den LIBE-Ausschuss des Europäischen Parlaments).
Weitere Informationen: EU-Kommission: International dimension of data protection
FrageSind die Standarddatenschutzklauseln ein rechtssicheres Instrument, um personenbezogene Daten in Drittländer zu übermitteln?
AntwortDerzeit existieren drei Arten von Standarddatenschutzklauseln für Übermittlungen in Drittländer: Standarddatenschutzklauseln. Die Europäische Kommission wird voraussichtlich in den ersten Monaten des Jahres 2021 neue Standarddatenschutzklauseln veröffentlichen. Unternehmen, die die bisherigen Klauseln verwenden, werden voraussichtlich ein Jahr Zeit haben, ihre Übermittlungen auf die neuen Klauseln umzustellen. Jedoch genügen die (alten wie neuen) Standarddatenschutzklauseln in einigen von Fällen für sich alleine gesehen nicht (mehr), um Übermittlungen zu legitimieren, sondern müssen ggf. durch zusätzliche Maßnahmen ergänzt werden. Für einige Fälle wird es u.U. nicht möglich sein, zusätzliche Maßnahmen zu ergreifen, so dass solche Übermittlungen unterbleiben bzw. beendet werden müssen (Weitere Informationen).
FrageMuss bei Übermittlungen an Auftragsverarbeiter in Drittländern zusätzlich zu den Standarddatenschutzklauseln noch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden?
AntwortBislang ja, da die bisherigen Standarddatenschutzklauseln gemäß Kommissionsbeschluss 2010/87/EU nicht alle Anforderungen an einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO enthalten. Die Kommission hat für Anfang 2021 neue Standarddatenschutzklauseln für Auftragsverarbeitung angekündigt, die dann auch die Anforderungen an einen Auftragsverarbeitungsvertrag beinhalten sollen. Neben den künftigen Standarddatenschutzklauseln (sobald diese zur Verfügung stehen und verwendet werden) wird daher der zusätzliche Abschluss eines AVV nicht mehr nötig sein.
FrageUnsere Einkaufs-/Vertriebs-Mitarbeiter sind häufig auf Geschäftsreise bei Zulieferern oder Kunden in Nicht-EU-Ländern. Müssen wir für die Übermittlung der Kontaktdaten und weiteren personenbezogenen Daten unserer Mitarbeiter an die besuchten Unternehmen mit Letzteren Standarddatenschutzklauseln abschließen?
AntwortSolche Übermittlungen können grundsätzlich auf die Ausnahmevorschrift des Art. 49 Abs. 1 Buchstabe b DS-GVO gestützt werden. Sofern eine verfestigte Geschäftsbeziehung zu einem Lieferanten/Kunden in einem Drittland besteht und somit der Mitarbeiter regelmäßig/wiederholt zu diesem Lieferanten/Kunden reist, sind nach Aussage des Europäischen Datenschutzausschusses für die Übermittlung Garantien nach Art. 46 DS-GVO notwendig, z. B. Standarddatenschutzklauseln.
Weitere Informationen: EDSA Leitlinie zu Art. 49
FrageEin Verantwortlicher in der EU hat einen Auftragsverarbeiter ebenfalls in der EU, der die Daten bei einem Unterauftragsverarbeiter in einem Drittstaat (z. B. bei einem US-Cloud-Anbieter) speichern möchte. Kann der "erste" (EU-)Auftragsverarbeiter selbst Standarddatenschutzklauseln mit dem (US-)Unterauftragsverarbeiter abschließen?
AntwortJa, in diesem Szenario kann der in der EU ansässige Auftragsverarbeiter (nach Zustimmung des Verantwortlichen) mit dem Drittlands-Unterauftragsverarbeiter einen Unterauftragsverarbeitungsvertrag unter Nutzung von Modul 3 der Standarddatenschutzklauseln der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 04.06.2021 (abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) abschließen.
FrageFür welche Unternehmen können Binding Corporate Rules (BCR) geeignet sein?
AntwortBCR sind eine Möglichkeit, Garantien im Sinne von Art. 46 DS-GVO für Datenübermittlungen in Drittländer zu erbringen. BCR umfassen nur Übermittlungen innerhalb eines Konzerns oder innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Tendenziell sind BCR daher (nur) für Unternehmensgruppen mit einer relativ großen Anzahl an gruppenangehörigen Unternehmen sowohl inner- als auch außerhalb der EU geeignet.
Weitere Informationen: EU-Kommission: Info BCR
FrageDarf der Vermieter/Verwalter meine (Mieter) Telefonnummer an einen Handwerker weitergeben?
AntwortIn der Regel ja, wenn es nach vernünftigem Ermessen notwendig ist, dass der Handwerker mit dem Mieter Kontakt aufnimmt, um einen Termin zu vereinbaren. Die Weitergabe ist in solchen Fällen meist aufgrund "berechtigter Interessen" des Vermieters/Verwalters gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig.
FrageDarf eine Forderung gegen mich an ein Inkassounternehmen verkauft werden?
AntwortForderungen können nach dem deutschen Zivilrecht grundsätzlich ähnlich wie Waren gehandelt/verkauft werden, wobei die dazu notwendigen Daten zum Schuldner und zu der Forderung mit übergeben werden müssen, damit der neue Gläubiger auch die Möglichkeit hat, die Forderung zu realisieren.
FrageDarf der Verwalter meine E-Mail-Adresse (Eigentümer in einer Eigentümergemeinschaft) ohne meine Einwilligung an die anderen Eigentümer weitergeben?
AntwortIn einer Eigentümergemeinschaft hat zwar jeder Eigentümer Anspruch, die Identität der anderen Eigentümer und deren Kontaktdaten zu erfahren. Die E-Mail-Adresse ist hierfür nicht unbedingt erforderlich, es genügt die postalische Adresse. In aller Regel darf der Verwalter daher die E-Mail-Adresse von Eigentümern nur mit deren Einwilligung an andere Eigentümer weitergeben.
FrageDer Verwalter der Eigentümergemeinschaft hat meine (Eigentümer) Abrechnungsdaten im Vorfeld der Eigentümerversammlung an alle Eigentümer verschickt. Ist das zulässig?
AntwortGemäß § 28 Abs. 5 Wohnungseigentumsgesetz (WEG) müssen die Wohnungseigentümer über die Abrechnung einen Beschluss fassen. Zur Abrechnung gehören die sog. Gesamtabrechnung und die Einzelabrechnungen aller einzelnen Eigentümer. Damit darf - und muss - der Verwalter auch alle Einzelabrechnungen an alle Eigentümer spätestens in der Eigentümerversammlung bekannt geben, damit diese darüber abstimmen können. Die Bekanntgabe ist daher kein Datenschutzverstoß.
FrageDer Verwalter in der Eigentümergemeinschaft hat meine (Eigentümer) Daten an den Verwaltungsbeirat übermittelt. Ist das rechtens?
AntwortDer Verwaltungsbeirat ist dafür da, den Verwalter bei der Durchführung seiner Aufgaben zu unterstützen (§ 29 Abs. 2 WEG). Der Verwalter darf daher personenbezogene Daten (z. B. der Eigentümer), die er zu seiner Aufgabenerfüllung verarbeiten darf, auch an den Beirat weitergeben, soweit er sich vom Verwaltungsbeirat im konkreten Fall unterstützen lässt.
FrageDürfen die Ergebnisse der Legionellenuntersuchung im Treppenhaus ausgehängt werden?
AntwortNach der Trinkwasserverordnung ist in bestimmten Immobilien eine Legionellenuntersuchung des Trinkwassers zwingend vorgeschrieben. Im Falle eines Befundes müssen die Bewohner informiert werden. Diese Information sollte jedoch nicht durch Aushang im Treppenhaus erfolgen, da die Ergebnisse dabei auch Dritten (Besuchern) zu Kenntnis gelangen, was nicht erforderlich ist. Die Information sollte daher auf anderem Wege erfolgen.
FrageDarf der Vermieter/Makler von mir (Mietinteressent) schon vor der Wohnungsbesichtigung Gehaltsnachweise verlangen?
AntwortIn aller Regel nein. Gehaltsnachweise dürfen vom Bewerber erst verlangt werden, wenn sich der Vermieter bereits für einen bestimmten Bewerber entschieden hat, also unmittelbar vor Abschluss des Mietvertrages und somit nicht schon vor dem Besichtigungstermin.
Weitere Informationen: DSK OH Mietinteressenten
FrageDarf eine Bank die einzelnen Zahlungsein- und -ausgänge auf Girokonten werblich oder für Beratungen auswerten?
AntwortBanken sind zu den Zahlungsvorgängen auf Girokonten primär nur "Transporteur von Geld" und datenschutzrechtlich nicht berechtigt, diese Umsatzdaten ohne Einwilligung personenbezogen für Beratungs- und Marketingzwecke oder ähnliches auszuwerten. § 59 des Zahlungsdiensteaufsichtsgesetz regelt dazu folgendes: (1) Betreiber von Zahlungssystemen und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, soweit das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist. (2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.
FrageMuss ein Verein von seinen Mitgliedern Einwilligungserklärungen für die Verarbeitung ihrer Daten einholen?
Antwort

Soweit die Mitgliederdaten im Rahmen der Mitgliedschaft verarbeitet werden müssen, d.h. insbesondere für die Mitgliederverwaltung ist keine Einwilligung nötig. Die Verarbeitung zu diesem Zweck ist nach Art. 6 Abs. 1 Buchstabe b DS-GVO (Vertragserfüllung) gesetzlich erlaubt.

Zudem können gesetzliche Pflichten zur Datenverarbeitung bestehen; hierzu gehören beispielsweise gesetzliche Aufbewahrungspflichten. Die erforderlichen Daten müssen dann für den vorgegebenen Zeitraum aufbewahrt werden. Die datenschutzrechtliche Grundlage für diese Datenverarbeitung dann in Art. 6 Abs. 1 Buchst. c DS-GVO findet.

Ist die Datenverarbeitung nicht für die Durchführung des Mitgliedsvertrages erforderlich, kann eine Datenverarbeitung zudem auf Grundlage einer Interessenabwägung (vgl. Art. 6 Abs. 1 Buchst. f DS-GVO) zulässig sein. Diese Erlaubnis kann beispielsweise gelten, wenn Wettkampfergebnisse veröffentlicht werden (vgl. FAQ 'Dürfen Sportvereine/ -verbände Ergebnisse von Sportwettbewerben in personenbezogener Form im Internet veröffentlichen?').

Ist die Datenverarbeitung des Mitglieds weder zur Durchführung des Mitgliedsvertrages noch aufgrund gesetzlicher Verpflichtungen (Aufbewahrungspflichten) erforderlich oder überwiegen in einer Interessenabwägung die Interessen eines Mitglieds, dann bedarf es einer Einwilligung.

Die Mitglieder müssen aber gem. Art. 13 f. DS-GVO bei der Erhebung ihrer Daten (d. h. grundsätzlich bei Vereinseintritt) über die Verarbeitung informiert werden.

Weitere Informationen: Informationspflichten
FrageMuss der Verein auch seine "Bestandsmitglieder" über die Verarbeitung ihrer Daten informieren?
Antwort

Nach Art. 13 Abs. 1 DS-GVO ist es nur verpflichtend, Personen "bei der Erhebung ihrer Daten" zu informieren. Damit muss der Verein grundsätzlich nur Neumitglieder informieren, soweit nicht zu einem späteren Zeitpunkt weitere Daten von den Mitgliedern erhoben werden bzw. wenn sich der Inhalt der Informationen ändert. Sollen Mitgliedsdaten für einen anderen Zweck als ursprünglich vorgesehen verarbeitet werden, muss vor der zweckgeänderten Verarbeitung über diese informiert werden (vgl. Art. 13 Abs. 3 DS-GVO).

Eine durchgehende Information der Bestandsmitglieder durch die Bereitstellung der Datenschutzinformationen z.B. auf der Homepage ist auf freiwilliger Basis natürlich möglich und wird aus Transparenzgründen und auch als vertrauensbildende Maßnahme dringend empfohlen. Eine Information ist zwingend notwendig, wenn sich der Inhalt der Datenschutzinformationen ändert bzw. eine zweckgeänderte Verarbeitung stattfinden soll.

Weitere Informationen: Informationspflichten
FrageBraucht ein Verein ein Verzeichnis der Verarbeitungstätigkeiten?
AntwortJa. Praktisch jeder Verein muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel laufend seine Mitgliederdaten und somit nicht nur "gelegentlich" personenbezogene Daten verarbeitet.
Weitere Informationen: BayLDA Muster Verein Verarbeitungsverzeichnis
FrageDürfen wir als Verein noch Vereinsinformationen per E-Mail an die Mitglieder versenden?
Antwort

Vereinsinformationen dürfen in der Regel per E-Mail verschickt werden. Geht es z.B. um eine Einladung zur Mitgliederversammlung, ist zu prüfen, was in der Vereinssatzung geregelt ist. Informationen, die nicht für die Durchführung des Mitgliedsvertrages erforderlich sind, können ebenfalls per E-Mail verschickt werden, wenn die E-Mail-Adresse (auch) zu diesem Zweck erhoben wurde. Allerdings muss dem Mitglied in diesem Fällen eine Widerspruchsmöglichkeit angeboten werden. Newsletter mit werblichen Inhalt bedürfen hingegen grundsätzlich einer Einwilligung.

Bei der Versendung von E-Mails ist darauf zu achten, dass die E-Mail-Adressen der Empfänger nicht für die jeweils anderen Empfänger sichtbar sind (z. B. indem die Adressen in das "bcc:"-Feld eingetragen werden bzw. ein Newsletter-Tool, bei dessen Verwendung nicht die einzelnen Empfänger angezeigt werden, verwendet wird).

FrageMüssen wir als Verein "den Datenschutz" in der Vereinssatzung erwähnen oder die Vereinssatzung wegen der DS-GVO anpassen?
Antwort

Die im Verein geltenden Datenschutzregeln müssen nicht zwingend in der Vereinssatzung erwähnt werden. Jedenfalls sollten sie aber entweder in der Vereinssatzung oder in einem gesonderten Werk („Datenschutzordnung“ o.ä.) festgehalten werden. Eine Verschriftlichung der Regeln sorgt insbesondere für Transparenz und Kontinuität bei personellen Wechseln.

Der Verein muss neu eintretende Mitglieder bei Vereinseintritt darüber informieren, wie er ihre Daten verarbeitet. Das kann z. B. im Aufnahmeantrag oder in einem Beiblatt hierzu erfolgen.

FrageUnser Verein hat/plant eine Vereinschronik, in der auch Namen von Funktionsträgern und z. T. sonstigen Mitgliedern des Vereins erwähnt werden. Benötigen wir hierfür Einwilligungen?
AntwortVereinschroniken sind oft als "Datenverarbeitung für literarische Zwecke" einzuordnen. Der Großteil der Anforderungen des Datenschutzrechts ist hierfür gar nicht einschlägig (Art. 38 BayDSG). Einwilligungen sind daher hierfür nicht nötig. Bloße Berichte über das Vereinsleben, z. B. auf der Vereins-Homepage, sind zwar in der Regel keine "Literatur", jedoch ist die Veröffentlichung personenbezogener Daten im üblichen Rahmen in solchen Berichten (z. B. Sport-Ergebnisse, Fotos von Vereinsveranstaltungen) in der Regel gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig aufgrund des berechtigten Interesses des Vereins an Öffentlichkeitsarbeit.
FrageDürfen wir als Verein eine Liste mit den Kontaktdaten aller Mitglieder an alle Mitglieder herausgeben?
AntwortIn aller Regel ist dies nur mit Einwilligung des betreffenden Mitglieds zulässig. Anders ist das nur bei Vereinen, die nach dem Vereinszweck eindeutig die persönliche Kontaktaufnahme der Mitglieder untereinander fördern sollen, z. B. "Ehemaligen-Vereine" o. ä.
FrageUnser Verein gehört einem Landesverband als Dachverband an. Der Dachverband verlangt, dass wir ihm Namen und Adressen unserer Mitglieder übermitteln. Ist das zulässig?
AntwortEs kann viele Gründe dafür geben, dass Dachverbände von ihren Mitgliedsvereinen Daten der Vereinsmitglieder (z. B. Namen, Adressen ggf. weitere Informationen wie z. B. Sparte/Sportart) verlangen. Wenn sich die Notwendigkeit der Übermittlung bereits aus dem satzungsmäßigen Vereinszweck ergibt, ist diese grundsätzlich zulässig. Es kann aber auch weitere Fälle zulässiger Übermittlungen geben, so dass es auf den konkreten Sachverhalt ankommt. Mitglieder sind bei Eintritt zu informieren, an welche Empfänger und ggf. auf welcher Grundlage Daten weitergegeben werden.
FrageWen müssen wir als Verein auf den Datenschutz verpflichten?
AntwortVereine müssen (ähnlich wie Unternehmen oder andere Stellen) Beschäftigte, Funktionsträger und auch ehrenamtliche Kräfte, die für den Verein Zugang zu personenbezogene Daten (z. B. Mitgliederdaten) haben, auf die Beachtung der datenschutzrechtlichen Anforderungen verpflichten. Ein Muster hierfür findet sich im Kurzpapier Nr. 19 der Datenschutzkonferenz.
Weitere Informationen: DSK Kurzpapier 19 Info Beschäftigte
FrageDürfen Auskunfteien personenbezogene Daten speichern und übermitteln?
AntwortAuskunfteien dürfen personenbezogene Daten zur Wahrung berechtigter eigener Interessen sowie der Interessen der übrigen Wirtschaftsteilnehmer (Schutz des Wirtschaftsverkehrs) auch ohne Einwilligung der betroffenen Personen speichern, soweit die Daten für die Identifizierung der Person bzw. eines Unternehmens sowie für die Beurteilung der Kreditwürdigkeit/Bonität von Bedeutung sind. Wenn bestimmte Daten unrichtig sein sollten, besteht ein Berichtigungs- oder Löschungsanspruch, der bei der betreffenden Auskunftei geltend zu machen ist.
Weitere Informationen: Merkblatt Auskunfteien - Fragen und Antworten
FrageDürfen Sportvereine/ -verbände Ergebnisse von Sportwettbewerben in personenbezogener Form im Internet veröffentlichen?
AntwortGrundsätzlich dürfen solche Ergebnisse aufgrund des berechtigten Interesses des Vereins/Verbands an Öffentlichkeitsarbeit und des Informationsinteresses der Öffentlichkeit im Internet für einen begrenzten Zeitraum veröffentlicht werden.
FrageDarf ein Verein Geburtstage oder Vereinsjubiläen seiner Mitglieder veröffentlichen?
AntwortDie Veröffentlichung von Geburtstagen von Mitgliedern und mitgliederbezogenen Ereignissen, die mit dem Vereinsleben zusammenhängen (z. B. Vereinsjubiläum), in der Vereinszeitschrift oder in anderer Form im Kreise der Vereinsmitglieder ist zulässig, wenn das betroffene Mitglied nicht widerspricht. Eine Veröffentlichung solcher Daten im offenen Internet wäre allerdings ohne Einwilligung nicht zulässig.
FrageIch habe vom Anwalt der Gegenseite Auskunft über meine von ihm verarbeiteten Daten verlangt. Dieser hat die Auskunft jedoch abgelehnt. Ist das rechtens?
AntwortEin Auskunftsrecht aus Art. 15 DS-GVO gegenüber Rechtsanwälten, die nicht für den/die Auskunft-Begehrende(n) tätig wurden (sondern z. B. für die gegnerische Partei) besteht gemäß § 29 Abs. 1 Satz 2 BDSG i. V. m. § 43a Abs. 2 BRAO nicht, weil die erwünschten Informationen einer gesetzlichen Verschwiegenheitspflicht unterfallen. Das datenschutzrechtliche Auskunftsrecht liefert somit keine Möglichkeit, um vom Anwalt der Gegenseite die Offenlegung von Informationen zu erzwingen.
FrageIch bin Anleger einer Publikums-KG. Die KG hat eine Liste mit Kontaktdaten aller Anleger - also auch meine Daten - an einen Gesellschafter herausgegeben. Ist das rechtens?
AntwortJeder Gesellschafter einer Personengesellschaft (z. B. auch einer Publikums-KG/GmbH & Co. KG) hat Anspruch auf Herausgabe der Namen und zumindest postalischen Adressen aller Mitgesellschafter, wenn er diese Daten benötigt, um seine Gesellschafterrechte auszuüben (z. B. um Kontakt mit anderen Gesellschaftern herzustellen, um etwa ein Quorum für die Einbringung von Anträgen in der Gesellschafterversammlung zu erreichen). Die Herausgabe der o. g. Daten ist in solchen Fällen daher kein Datenschutzverstoß.
FrageIch habe mein Kundenkonto löschen lassen, das Unternehmen hat aber weiterhin noch Daten von mir. Ist das rechtens?
AntwortPersonenbezogene Kundendaten sind in der Regel auf Verlangen oder bei Wegfall der Erforderlichkeit zu löschen. Allerdings nur dann, wenn dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen, z. B. aus dem Steuer- oder Handelsrecht, nach denen bestimmte Daten, die im Zusammenhang mit dem Vertragsverhältnis gespeichert wurden, noch für eine bestimmte Zeit aufbewahrt werden müssen (Art. 17 Abs. 3 Buchstabe b) DS-GVO).
FrageUmfasst das Auskunftsrecht nach Art. 15 DS-GVO auch einen Anspruch auf Kopien von Dokumenten, Schriftverkehr oder E-Mails?
AntwortArt. 15 DS-GVO gewährt keinen Anspruch auf (Foto-)Kopien von Dokumenten, Schriftverkehr oder E-Mails, sondern nach seinem klaren Wortlaut einen Anspruch auf Auskunft über die personenbezogenen Daten, die in diesen Texten enthalten sind. Dies soll nach Art. 15 Abs. 3 DS-GVO in Form einer "Kopie der personenbezogenen Daten" (als Form der Auskunft) erfolgen.
Weitere Informationen: BayLDA TB Nr. 8