FAQ

Hier können Sie die häufigsten an uns gerichteten Fragen und unsere kurzen Antworten dazu finden. Diese Seite wird von uns ständig weiterentwickelt und ergänzt. Wenn Sie umfangreichere Informationen zu den jeweiligen Themen suchen, können Sie diese auf unseren Themenseiten finden.

Filter

Hier können Sie gezielt das Themenfeld aussuchen, zu dem sie FAQ/häufigen Fragen angezeigt haben möchten.

FrageDürfen externe Schriftarten z. B. Google Fonts auf der Website eingebunden werden?
AntwortJa. Wichtig ist, dass in der Datenschutzerklärung auf der Website darüber informiert wird.
FrageDürfen Kartendienste z. B. Google Maps auf der Website eingebunden werden?
AntwortJa. Wichtig ist, dass in der Datenschutzerklärung auf der Website darüber informiert wird. Außerdem sollten die Inhalte von z.B. Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, bspw. durch einen extra Klick.
FrageDürfen Captchas, die vor Bots schützen, auf der Website eingebunden werden?
AntwortJa. Der Website-Betreiber hat nicht nur ein berechtigtes Interesse, Captchas einzusetzen, sondern ist mitunter sogar dazu verpflichtet, da er die Verfügbarkeit des Dienstes sicherstellen muss und Captchas Bestandteil des allgemeinen Sicherheitskonzepts darstellen.
FrageBrauche ich ein Cookie-Banner auf meiner Website?
AntwortDiese Frage kann nicht pauschal beantwortet werden. Immer dann, wenn einwilligungspflichtige Dienste auf der Website eingebunden werden oder Daten gem. Art. 9 Abs. 1 DS-GVO verarbeitet werden, muss vorab eine Einwilligung eingeholt werden. Mehr Informationen gibt es in der Orientierungshilfe für Anbieter von Telemedien.
FrageDürfen externe Videos z. B. Youtube oder Vimeo auf der Website eingebunden werden?
AntwortJa. Das Video sollte jedoch erst dann starten, wenn der Nutzer das Video durch einen extra Klick startet. Startet das Video automatisch, kann der Nutzer eine Datenverarbeitung durch externe Anbieter nicht verhindern. Außerdem muss in der Datenschutzerklärung auf der Website darüber informiert werden.
FrageDürfen Social PlugIns z. B. von Twitter, Facebook, Instagram auf der Website eingebunden werden?
AntwortJa. Allerdings muss vorher eine Einwilligung des Nutzers eingeholt werden und in der Datenschutzerklärung über den Einsatz informiert werden.
FrageDarf Google Analytics ohne Einwilligung des Nutzers auf der Website eingesetzt werden?
AntwortNein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss eine Einwilligung eingeholt werden.
FrageDarf Google reCAPTCHA auf der Website eingebunden werden?
AntwortWebsite-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.
FrageWarum gibt es kein allgemein gültiges Muster einer Datenschutzerklärung für Websites?
AntwortEs gibt kein allgemein gültiges Muster, weil jede Website unterschiedliche Funktionen hat. Muster zum Anpassen gibt es von der Uni Münster und dem Deutschen Forschungsnetzwerk.
FrageDarf WhatsApp für die Kommunikation innerhalb des Unternehmens eingesetzt werden?
AntwortFür die interne Kommunikation im Unternehmen sollte der Einsatz von WhatsApp gut überlegt sein. Grund hierfür ist, dass WhatsApp viele Informationen zur Kommunikation innerhalb der Facebook-Unternehmensgruppe teilt. Außerdem gewährt die Nutzung von WhatsApp im Unternehmen auch Einblicke in Geschäftsgeheimnisse. Alternativen zu WhatsApp sind z.B. Threema, SIMSme, Wire, Hoccer und Chiffry.
FrageDürfen Fotos von Mitarbeitern, Vereinsmitgliedern oder Dritten auf der Website veröffentlicht werden?
AntwortJa. Die Veröffentlichung ist in der Regel nach entsprechender Interessenabwägung auch ohne Einwilligung zulässig. Im Zweifel, insbesondere bei Kindern, Jugendlichen sowie anderen Schutzbedürftigen sollte jedoch vorab eine Einwilligung eingeholt werden. Sind die Fotos erst einmal veröffentlicht, gibt es im Internet mitunter keine 100%ige Löschung. Außerdem sollten die abgebildeten Personen vorab über die Veröffentlichung informiert werden.
FrageVon einer öffentlichen Veranstaltung z. B. Vereinsfeier, Wettkampf, Tag der offenen Tür sollen Fotos im Internet veröffentlicht werden. Müssen Besucher darüber informiert werden?
AntwortJa. Idealerweise werden die Besucher informiert, bevor fotografiert wird. Wie der Verantwortliche informiert, schreibt die DS-GVO nicht vor. Üblich ist es, in der Einladung oder auf einem Plakat bzw. Aushang auf dem Veranstaltungsgelände darauf hinzuweisen.
FrageWelche Informationen müssen dem Besucher auf Veranstaltungen zur Verfügung gestellt werden?
AntwortBestandteil der (Basis-)Information müssen insbesondere sein:
  • Namen und Kontaktdaten des Verantwortlichen,
  • Zwecke, für die die Bilder verwendet werden sollen(Internet, Flyer, Weitergabe an die lokale Presse),
  • sowie Rechtsgrundlage der Verarbeitung und
  • die Information, dass den betroffenen Personen bestimmte Rechte im Hinblick auf den Umgang mit ihren Bildern zustehen.

Zusätzlich sind folgende Informationen zur Verfügung zu stellen (kann auch auf Webseite sein):

  • Speicherdauer,
  • wenn die Verarbeitung Ergebnis einer Interessenabwägung ist, Angabe der Interessen des Verantwortlichen an der Verarbeitung der Bilder,
  • gegebenenfalls Empfänger der Bilder, wenn diese weitergegeben werden sollen (z. B. an den Dachverband),
  • Möglichkeit des Widerrufs einer Einwilligung und
  • Bestehen eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde
FrageIch betreibe einen privaten Blog. Brauche ich eine Datenschutzerklärung auf der Website?
AntwortJa. Die Ausnahme für private und familiäre Tätigkeiten greift nicht. Jede Website, die für eine unbestimmte Zielgruppe erreichbar ist - und das sind im Internet die meisten Websites - benötigt eine Datenschutzerklärung.
FrageAuf unserer Website sind keine Drittinhalte eingebunden. Auch ein Kontaktformular gibt es nicht. Benötigen wir trotzdem eine Datenschutzerklärung?
AntwortJa, denn die Nutzer müssen wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden. Als Vorlage kann die Datenschutzerklärung des BayLDA verwendet werden.
FrageBraucht eine App auch eine Datenschutzerklärung?
AntwortJa. Die Informationspflichten unterscheiden sich nicht zu denen bei Websites. Es ist lediglich darauf zu achten, dass die Datenschutzerklärung zusätzlich im App-Store zur Verfügung steht.
FrageGehört ein Impressum auf die Website? Wir haben doch schon eine Datenschutzerklärung.
AntwortJa. Das Impressum richtet sich nicht nach der DS-GVO und ist keine datenschutzrechtliche Pflicht. Dennoch benötigt jede Website ein Impressum. Der Inhalt des Impressums richtet sich nach § 5 TMG.
FrageWie muss ein Cookie-Banner gestaltet sein, damit eine zulässige Einwilligung eingeholt werden kann?
AntwortDie Datenschutzaufsichtsbehörden haben die Anforderungen für Cookie-Banner in der Orientierungshilfe für Anbieter von Telemedien formuliert.
FrageIst eine Facebook Fanpage zulässig?
AntwortNein. Nach derzeitigem Stand können Facebook Fanpages nicht rechtmäßig betrieben werden. Das liegt u. a. daran, dass Fanpage-Betreiber ihre Rechenschaftspflicht gem. Art. 5 Abs. 1, 2 DS-GVO nicht erfüllen können.
FrageDarf innerhalb des Vereins WhatsApp genutzt werden?
AntwortJa. In den meisten Fällen ist das zwar zulässig. Dennoch empfehlen wir auf Alternativen wie z. B. Threema, Signal, Hoccer oder SimsMe umzusteigen.
FrageDarf das Verhalten der Empfänger eines Newsletters nachverfolgt werden?
AntwortJa. In vielen Fällen muss jedoch für das Newsletter-Tracking die Einwilligung des Nutzers eingeholt werden.
FrageMuss für jeden Newsletter-Versand eine Einwilligung eingeholt werden?
AntwortIn der Regel ist eine Einwilligung erforderlich. Nur ausnahmsweise können Newsletter auch ohne Einwilligung verschickt werden. Dies gilt nur dann, wenn
FrageDarf Facebook Custom Audience über die Kundenliste ohne Einwilligung des Nutzers bzw. Kunden eingesetzt werden?
AntwortNein. Es muss vorher die Einwilligung des Betroffenen eingeholt werden.
FrageKann Facebook Custom Audience über das Pixel-Verfahren ohne Einwilligung verwendet werden?
AntwortNein. Es ist vorab die Einwilligung der Nutzer einzuholen. Wie die Einwilligung am besten eingeholt wird, ist in der Orientierungshilfe für Anbieter von Telemedien erklärt.
FrageWie muss ein Vertrag zur Auftragsverarbeitung gestaltet sein?
AntwortDie inhaltlichen Anforderungen richten sich nach Art. 28 Abs. 3 DS-GVO. Ein Muster für einen Vertrag zur Auftragsverarbeitung gibt es hier Muster_AV-Vertrag.
FrageWann liegt eine Auftragsverarbeitung vor?
AntwortAuftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Fallbeispiele zur Abgrenzung gibt es hier: FAQ_Abgrenzung_Auftragsverarbeitung.pdf
FrageWann sind mehrere Beteiligte gemeinsam Verantwortliche?
AntwortImmer dann, wenn zwei oder mehr Beteiligte gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen, sind sie gemeinsam verantwortlich und müssen die Anforderungen des Art. 26 DS-GVO beachten. In der Praxis kommt eine gemeinsame Verantwortlichkeit z. B. in Betracht bei
  • Facebook Fanpages zwischen Facebook und dem Fanpage-Betreiber
  • klinischen Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsamer Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
  • gemeinsamer Informationspool/ Warndatei mehrerer Verantwortlicher (z. B. Banken) über säumige Schuldner
  • E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen.
FrageWelche Anforderungen müssen gemeinsam Verantwortliche beachten?
AntwortArt. 26 DS-GVO schreibt vor, dass die gemeinsam Verantwortlichen in einer Vereinbarung festlegen müssen, wer von ihnen welche Verpflichtungen der DS-GVO erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14. Zusätzlich muss den Betroffenen das Wesentliche dieser Vereinbarung - eine Art Zusammenfassung - zur Verfügung gestellt werden. Wichtig ist, dass der Betroffene sich an jeden der Verantwortlichen wenden kann, um seine Rechte geltend zu machen. Die Verantwortlichen müssen daher sicherstellen, dass Anfragen von Betroffenen in jedem Fall bearbeitet werden, unabhängig davon, was die Verantwortlichen intern vereinbart haben.
FrageWelche Form schreibt die DS-GVO für einen Vertrag zur Auftragsverarbeitung vor?
AntwortDie DS-GVO schreibt in Art. 28 Abs. 9 DS-GVO vor, dass der Vertrag zur Auftragsverarbeitung schriftlich abzufassen ist. Schriftlich im Sinne der DS-GVO meint nicht die strengen Anforderungen der Schriftform gem. § 126 BGB. Es genügt, wenn der Vertrag elektronisch vorliegt. Dadurch haben die Beteiligten den Vertragsschluss zu Beweiszwecken dokumentiert und können im Falle einer Kontrolle den Aufsichtsbehörden den Inhalt des Vertrags darlegen.
FrageAuf der Website bzw. in der App werden keine Angaben wie Namen, E-Mail-Adresse oder Telefonnummer verarbeitet. Gilt die DS-GVO trotzdem?
AntwortJa. Bei der Nutzung einer Website oder App fallen technisch bedingt eine Vielzahl an Nutzungsdaten an. Diese technischen Informationen, wie z. B. IP-Adresse, MAC-Adresse, Werbe-ID oder sonstige Geräte-Identifikationsnummern gelten auch nach der DS-GVO als personenbezogene Daten, weil sie Rückschluss auf einen konkreten Nutzer ermöglichen. Aus diesem Grund sind die Pflichten der DS-GVO zu beachten.
FrageWir verarbeiten Daten von Kindern und Jugendlichen. Gibt es dafür eine feste Altersgrenze in der DS-GVO?
AntwortNein. Die DS-GVO kennt keine allgemeine Altersgrenze für die Verarbeitung von personenbezogenen Daten eines Kindes oder Jugendlichen. Lediglich in Art. 8 DS-GVO legt die DS-GVO fest, dass bei Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, die Verarbeitung der personenbezogenen Daten des Kindes nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Anderenfalls müssen die Eltern die Zustimmung erteilen. Die Altersgrenze des Art. 8 DS-GVO gilt nur unter diesen engen Voraussetzungen und hat in der Praxis eine untergeordnete Bedeutung. Es besteht auch kein Bedürfnis, die strenge Altersgrenze auf andere Sachverhalte pauschal zu übertragen.
FrageWir verwenden einen Cloud-Dienst, um Dateien zu speichern und mit anderen Nutzern zu teilen. Die Datenverarbeitung findet in den USA statt, weil der Dienstleister dort seinen Sitz hat. Ist das zulässig?
AntwortJa. Grundsätzlich dürfen Cloud-Dienste verwendet werden. Zu beachten ist, dass mit dem Dienstleister in der Regel ein Vertrag zur Auftragsverarbeitung zu schließen ist. Viele US-amerikanische Dienstleister sind zudem EU-US-Privacy-Shield zertifiziert.
FrageMüssen wir mit unserem Steuerberater einen Vertrag zur Auftragsverarbeitung schließen?
AntwortNein. Steuerberater sind nach dem geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 Buchstabe a DS-GVO
FrageBei uns findet eine Videoüberwachung statt. Müssen wir darüber umfassend informieren oder genügt ein Hinweis mit einem Kamera-Symbol?
AntwortUnternehmen und andere nicht-öffentliche Stellen, die Videoüberwachung betreiben, müssen die hierfür einschlägigen Vorschriften der DS-GVO einhalten. Auch nach der DS-GVO muss auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung über die wesentlichen Elemente der Videoüberwachung informiert werden; allerdings hat sich der Umfang der dabei zu erteilenden Informationen durch die Transparenzvorschriften der DS-GVO (Art. 12 ff.) erweitert. Die DSK hat sich auf ein - als Beispiel zu verstehendes - Muster für ein solches Hinweisschild verständigt, das hier abrufbar ist.
FrageDarf unser Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?
AntwortPersonenbezogene Daten dürfen in Nicht-EU-/EWR-Länder übermittelt werden, wenn
(1) das Drittland ein von der Europäischen Kommission als angemessen anerkanntes Datenschutzniveau besitzt,
(2) sog. geeignete Garantien zum Einsatz gebracht werden, z. B. Standarddatenschutzklauseln, Binding Corporate Rules
(3) oder eine der Ausnahmemöglichkeiten nach Art. 49 DS-GVO einschlägig ist.
FrageIn den USA gibt es jetzt den US Cloud Act. Dürfen vor diesem Hintergrund überhaupt noch personenbezogene Daten in die USA übermittelt werden?
AntwortDer US Cloud Act wirft zwar eine Reihe von datenschutzrechtlichen Fragen auf. Jedenfalls grundsätzlich dürfen jedoch nach wie vor personenbezogene Daten in die USA übermittelt werden, wenn die Anforderungen des V. Kapitels der DS-GVO erfüllt sind, d. h. wenn der Empfänger eine Privacy-Shield-Zertifizierung besitzt, wenn "geeignete Garantien" verwendet werden (z. B. Standarddatenschutzklauseln, Binding Corporate Rules) oder eine der Ausnahmen aus Art. 49 DS-GVO einschlägig ist.
FrageSind die Standarddatenschutzklauseln ein rechtssicheres Instrument, um personenbezogene Daten in Drittländer zu übermitteln?
AntwortDerzeit existieren drei Sets von Standarddatenschutzklauseln für Übermittlungen in Drittländer: Standarddatenschutzklauseln. Diese sind grundsätzlich taugliche Grundlagen für Datenübermittlungen in Drittländer. Der Europäische Gerichtshof ist jedoch aufgerufen worden, die Wirksamkeit der Standarddatenschutzklauseln für Übermittlungen an Auftragsverarbeiter zu überprüfen. Ein Termin für eine Entscheidung des EuGH ist derzeit noch nicht bekannt.
FrageMuss bei Übermittlungen an Auftragsverarbeiter in Drittländern zusätzlich zu den Standarddatenschutzklauseln noch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden?
AntwortGrundsätzlich ja, da die Standarddatenschutzklauseln für Auftragsverarbeitung gemäß Kommissionsbeschluss 2010/87/EU nicht alle Anforderungen an einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO enthalten. Zwar wäre es auch möglich, die fehlenden Anforderungen aus Art. 28 DS-GVO in die Anhänge der o. g. Standarddatenschutzklauseln zu integrieren. Es könnte aber sein, dass einzelne Datenschutzbehörden in der EU die so geänderten Standarddatenschutzklauseln als genehmigungsbedürftigen Datenexportvertrag ansehen. Unkomplizierter ist es daher, neben den Standarddatenschutzklauseln einen gesonderten Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO abzuschließen.
FrageUnsere Einkaufs-/Vertriebs-Mitarbeiter sind häufig auf Geschäftsreise bei Zulieferern oder Kunden in Nicht-EU-Ländern. Müssen wir für die Übermittlung der Kontaktdaten und weiteren personenbezogenen Daten unserer Mitarbeiter an die besuchten Unternehmen mit Letzteren Standarddatenschutzklauseln abschließen?
AntwortSolche Übermittlungen können grundsätzlich auf die Ausnahmevorschrift des Art. 49 Abs. 1 Buchstabe a DS-GVO gestützt werden. Sofern eine verfestigte Geschäftsbeziehung zu einem Lieferanten/Kunden in einem Drittland besteht und somit der Mitarbeiter regelmäßig/wiederholt zu diesem Lieferanten/Kunden reist, sind nach Aussage des Europäischen Datenschutzausschusses für die Übermittlung Garantien nach Art. 46 DS-GVO notwendig, z. B. Standarddatenschutzklauseln.
FrageIst der Privacy Shield eine rechtssichere Möglichkeit, um Daten in die USA zu übermitteln? Wie groß ist die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Privacy Shield für ungültig erklärt und was kann ein Unternehmen für diesen Fall tun?
AntwortFür US-Unternehmen mit aktuell gültiger Privacy-Shield-Zertifizierung (nachprüfbar auf der amtlichen Liste des US-Handelsministeriums,) ist von einem angemessene Datenschutzniveau auszugehen. Solange der Privacy Shield in Kraft ist, können damit personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, ohne dass Garantien nach Art. 46 DS-GVO (z. B. Standarddatenschutzklauseln) nötig sind. Die Wirksamkeit des Privacy Shield ist Gegenstand eines Verfahrens vor dem Gericht der EU (EuG). Mit einer Entscheidung kann u. U. noch gegen Ende 2019 gerechnet werden; eine Prognose abzugeben ist kaum seriös möglich. Solange der Privacy Shield nicht vom EuG/EuGH aufgehoben ist, kann er als Grundlage für Übermittlungen in die USA dienen.
FrageEin Verantwortlicher in der EU hat einen Auftragsverarbeiter ebenfalls in der EU, der die Daten bei einem Unterauftragsverarbeiter in einem Drittstaat (z. B. bei einem US-Cloud-Anbieter) speichern möchte. Kann der "erste" (EU-)Auftragsverarbeiter selbst Standarddatenschutzklauseln mit dem (US-)Unterauftragsverarbeiter abschließen?
AntwortStandarddatenschutzklauseln (SCC) zwischen Auftragsverarbeiter und Unterauftragsverarbeiter ("Processor-to-Processor") gibt es derzeit (noch) nicht. Daher kann in dieser Konstellation nur der Verantwortliche Standdarddatenschutzklauseln direkt mit dem (US-)Unterauftragsverarbeiter abschließen; ein solcher "Direktabschluss" der SCC kann natürlich auch durch den "ersten" (EU-)Auftragsverarbeiter in zivilrechtlicher Stellvertretung (für den Verantwortlichen) herbeigeführt werden; Vertragsparteien der SCC sind aber auch dann stets der Verantwortliche und der (US-)Unterauftragsverarbeiter.
FrageFür welche Unternehmen können Binding Corporate Rules (BCR) geeignet sein?
AntwortBCR sind eine Möglichkeit, Garantien im Sinne von Art. 46 DS-GVO für Datenübermittlungen in Drittländer zu erbringen. BCR umfassen nur Übermittlungen innerhalb eines Konzerns oder innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Tendenziell sind BCR daher (nur) für Unternehmensgruppen mit einer relativ großen Anzahl an gruppenangehörigen Unternehmen sowohl inner- als auch außerhalb der EU geeignet.
FrageDarf der Vermieter/Verwalter meine (Mieter) Telefonnummer an einen Handwerker weitergeben?
AntwortIn der Regel ja, wenn es nach vernünftigem Ermessen notwendig ist, dass der Handwerker mit dem Mieter Kontakt aufnimmt, um einen Termin zu vereinbaren. Die Weitergabe ist in solchen Fällen meist aufgrund "berechtigter Interessen" des Vermieters/Verwalters gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig.
FrageDarf der Verwalter meine E-Mail-Adresse (Eigentümer in einer Eigentümergemeinschaft) ohne meine Einwilligung an die anderen Eigentümer weitergeben?
AntwortIn einer Eigentümergemeinschaft hat zwar jeder Eigentümer Anspruch, die Identität der anderen Eigentümer und deren Kontaktdaten zu erfahren. Die E-Mail-Adresse ist hierfür nicht unbedingt erforderlich, es genügt die postalische Adresse. In aller Regel darf der Verwalter daher die E-Mail-Adresse von Eigentümern nur mit deren Einwilligung an andere Eigentümer weitergeben.
FrageDer Verwalter der Eigentümergemeinschaft hat meine (Eigentümer) Abrechnungsdaten im Vorfeld der Eigentümerversammlung an alle Eigentümer verschickt. Ist das zulässig?
AntwortGemäß § 28 Abs. 5 Wohnungseigentumsgesetz müssen die Wohnungseigentümer über die Abrechnung einen Beschluss fassen. Zur Abrechnung gehören die sog. Gesamtabrechnung und die Einzelabrechnungen aller einzelnen Eigentümer. Damit darf - und muss - der Verwalter auch alle Einzelabrechnungen an alle Eigentümer spätestens in der Eigentümerversammlung bekannt geben, damit diese darüber abstimmen können. Die Bekanntgabe ist daher kein Datenschutzverstoß.
FrageDer Verwalter in der Eigentümergemeinschaft hat meine (Eigentümer) Daten an den Verwaltungsbeirat übermittelt. Ist das rechtens?
AntwortDer Verwaltungsbeirat ist dafür da, den Verwalter bei der Durchführung seiner Aufgaben zu unterstützen (§ 29 Abs. 2 WEG). Jedenfalls grundsätzlich darf der Verwalter daher personenbezogene Daten (z. B. der Eigentümer), die er zu seiner Aufgabenerfüllung verarbeiten darf, auch an den Beirat weitergeben, soweit er sich vom Verwaltungsbeirat im konkreten Fall unterstützen lässt.
FrageDürfen die Ergebnisse der Legionellenuntersuchung im Treppenhaus ausgehängt werden?
AntwortNach der Trinkwasserverordnung ist in bestimmten Immobilien eine Legionellenuntersuchung des Trinkwassers zwingend vorgeschrieben. Im Falle eines Befundes müssen die Bewohner informiert werden. Diese Information sollte jedoch nicht durch Aushang im Treppenhaus erfolgen, da die Ergebnisse dabei auch Dritten (Besuchern) zu Kenntnis gelangen, was nicht erforderlich ist. Die Information sollte daher auf anderem Wege erfolgen.
FrageDarf der Vermieter/Makler von mir (Mietinteressent) schon vor der Wohnungsbesichtigung Gehaltsnachweise verlangen?
AntwortIn aller Regel nein. Gehaltsnachweise dürfen vom Bewerber erst verlangt werden, wenn sich der Vermieter bereits für einen bestimmten Bewerber entschieden hat, also unmittelbar vor Abschluss des Mietvertrages und somit nicht schon vor dem Besichtigungstermin.
FrageMuss ein Verein von seinen Mitgliedern Einwilligungserklärungen für die Verarbeitung ihrer Daten einholen?
AntwortFür die Mitgliederverwaltung ist keine Einwilligung nötig, da die Verarbeitung zu diesem Zweck nach Art. 6 Abs. 1 Buchstabe b DS-GVO gesetzlich erlaubt ist. Die Mitglieder müssen aber bei der Erhebung ihrer Daten (d. h. grundsätzlich bei Vereinseintritt) über die Verarbeitung informiert werden.
FrageMuss der Verein auch seine "Bestandsmitglieder" über die Verarbeitung ihrer Daten informieren?
AntwortNach Art. 13 Abs. 1 DS-GVO ist es nur verpflichtend, Personen "bei der Erhebung ihrer Daten" zu informieren. Damit muss der Verein grundsätzlich nur Neumitglieder informieren. Eine Information der Bestandsmitglieder ist auf freiwilliger Basis natürlich möglich.
FrageMuss ein Verein einen Datenschutzbeauftragten benennen?
AntwortNur wenn im Verein mindestens zehn Personen ständig, d. h. die überwiegende Zeit, die sie für den Verein aufbringen, mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben. Leiter einzelner Abteilungen zählen nur dazu, wenn sie mit der Mitgliederverwaltung ihrer Abteilung beauftragt sind. Trainer im Sportverein zählen grundsätzlich nicht dazu, weil die Datenverarbeitung nicht den überwiegenden Anteil ihrer Tätigkeit darstellt.
FrageBraucht ein Verein ein Verzeichnis der Verarbeitungstätigkeiten?
AntwortJa. Praktisch jeder Verein muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel laufend seine Mitgliederdaten und somit nicht nur "gelegentlich" personenbezogene Daten verarbeitet.
FrageDürfen wir als Verein noch Vereinsinformationen per E-Mail an die Mitglieder versenden?
AntwortJa. Es ist jedoch darauf zu achten, dass die E-Mail-Adressen der Empfänger nicht für die jeweils anderen Empfänger sichtbar sind (z. B. indem die Adressen in das „bcc:“-Feld eingetragen werden).
FrageMüssen wir als Verein "den Datenschutz" in der Vereinssatzung erwähnen oder die Vereinssatzung wegen der DS-GVO anpassen?
AntwortDas Thema Datenschutz muss nicht zwingend in der Vereinssatzung erwähnt werden. Die DS-GVO bringt nicht die Notwendigkeit, die Vereinssatzung zu ändern. Jedoch muss der Verein neu eintretende Mitglieder bei Vereinseintritt darüber informieren, wie er ihre Daten verarbeitet. Das kann z. B. im Aufnahmeantrag oder in einem Beiblatt hierzu erfolgen.
FrageUnser Verein hat/plant eine Vereinschronik, in der auch Namen von Funktionsträgern und z. T. sonstigen Mitgliedern des Vereins erwähnt werden. Benötigen wir hierfür Einwilligungen?
AntwortVereinschroniken sind oft als "Datenverarbeitung für literarische Zwecke" einzuordnen. Der Großteil der Anforderungen des Datenschutzrechts ist hierfür gar nicht einschlägig (Art. 38 BayDSG). Einwilligungen sind daher hierfür nicht nötig. Bloße Berichte über das Vereinsleben, z. B. auf der Vereins-Homepage, sind zwar in der Regel keine "Literatur", jedoch ist die Veröffentlichung personenbezogener Daten im üblichen Rahmen in solchen Berichten (z. B. Sport-Ergebnisse, Fotos von Vereinsveranstaltungen) in der Regel gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig aufgrund des berechtigten Interesses des Vereins an Öffentlichkeitsarbeit.
FrageDürfen wir als Verein eine Liste mit den Kontaktdaten aller Mitglieder an alle Mitglieder herausgeben?
AntwortIn aller Regel ist dies nur mit Einwilligung des betreffenden Mitglieds zulässig. Anders ist das nur bei Vereinen, die nach dem Vereinszweck eindeutig die persönliche Kontaktaufnahme der Mitglieder untereinander fördern sollen, z. B. "Ehemaligen-Vereine" o. ä.
FrageUnser Verein gehört einem Landesverband als Dachverband an. Der Dachverband verlangt, dass wir ihm Namen und Adressen unserer Mitglieder übermitteln. Ist das zulässig?
AntwortEs kann viele Gründe dafür geben, dass Dachverbände von ihren Mitgliedsvereinen Daten der Vereinsmitglieder (z. B. Namen, Adressen ggf. weitere Informationen wie z. B. Sparte/Sportart) verlangen. Wenn sich die Notwendigkeit der Übermittlung bereits aus dem satzungsmäßigen Vereinszweck ergibt, ist diese grundsätzlich zulässig. Es kann aber auch weitere Fälle zulässiger Übermittlungen geben.
FrageWen müssen wir als Verein auf den Datenschutz verpflichten?
AntwortVereine sollten (ähnlich wie Unternehmen oder andere Stellen) Beschäftigte, Funktionsträger und auch ehrenamtliche Kräfte, die für den Verein Zugang zu personenbezogene Daten (z. B. Mitgliederdaten) haben, auf die Beachtung der datenschutzrechtlichen Anforderungen verpflichten. Ein Muster hierfür findet sich im Kurzpapier Nr. 19 der Datenschutzkonferenz.
FrageDürfen Sportvereine/ -verbände Ergebnisse von Sportwettbewerben in personenbezogener Form im Internet veröffentlichen?
AntwortGrundsätzlich dürfen solche Ergebnisse aufgrund des berechtigten Interesses des Vereins/Verbands an Öffentlichkeitsarbeit und des Informationsinteresses der Öffentlichkeit im Internet veröffentlicht werden.
FrageDarf ein Verein Geburtstage oder Vereinsjubiläen seiner Mitglieder veröffentlichen?
AntwortDie Veröffentlichung von Geburtstagen von Mitgliedern und mitgliederbezogenen Ereignissen, die mit dem Vereinsleben zusammenhängen (z. B. Vereinsjubiläum), in der Vereinszeitschrift oder in anderer Form im Kreise der Vereinsmitglieder ist zulässig. Eine Veröffentlichung solcher Daten im offenen Internet wäre allerdings nicht zulässig.
FrageDarf ein Unternehmen meinen Personalausweis kopieren?
AntwortJa, aber nur wenn dem Ausweisinhaber die Möglichkeit angeboten wird, alle zur Identifizierung nicht nötigen Daten zu schwärzen (d. h. alles bis auf Name/Vorname, Adresse und Geburtsdatum).
FrageIch habe vom Anwalt der Gegenseite Auskunft über meine von ihm verarbeiteten Daten verlangt. Dieser hat die Auskunft jedoch abgelehnt. Ist das rechtens?
AntwortEin Auskunftsrecht aus Art. 15 DS-GVO gegenüber Rechtsanwälten, die nicht für den/die Auskunft-Begehrende(n) tätig wurden (sondern z. B. für die gegnerische Partei) besteht gemäß § 29 Abs. 1 Satz 2 BDSG i. V. m. § 43a Abs. 2 BRAO nicht, weil die erwünschten Informationen einer gesetzlichen Verschwiegenheitspflicht unterfallen. Das datenschutzrechtliche Auskunftsrecht liefert somit keine Möglichkeit, um vom Anwalt der Gegenseite die Offenlegung von Informationen zu erzwingen.
FrageIch bin Anleger einer Publikums-KG. Die KG hat eine Liste mit Kontaktdaten aller Anleger - also auch meine Daten - an einen Gesellschafter herausgegeben. Ist das rechtens?
AntwortJeder Gesellschafter einer Personengesellschaft (z. B. auch einer Publikums-KG/GmbH & Co. KG) hat Anspruch auf Herausgabe der Namen und zumindest postalischen Adressen aller Mitgesellschafter, wenn er diese Daten benötigt, um seine Gesellschafterrechte auszuüben (z. B. um Kontakt mit anderen Gesellschaftern herzustellen, um etwa ein Quorum für die Einbringung von Anträgen in der Gesellschafterversammlung zu erreichen). Die Herausgabe der o. g. Daten ist in solchen Fällen daher kein Datenschutzverstoß.
FrageDarf mir per Post Wahlwerbung zugesandt werden?
AntwortDie politischen Parteien und Wählergruppen haben nach dem Meldegesetz die Möglichkeit, sich vor Wahlen Postadressen von Wahlberechtigten für Wahlwerbezusendungen geben zu lassen, soweit die betroffenen Personen dem nicht vorher bei der Meldebehörde widersprochen haben.

Falls Sie künftig keine personalisierte Wahlwerbung wollen, sollten Sie bei Ihrem Meldeamt einen solchen Werbewiderspruch für Wahlwerbung vormerken lassen.
FrageKann eine juristische Person als Datenschutzbeauftragter benannt werden?
AntwortDie Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.
FrageIst die Benennung eines Konzern-Datenschutzbeauftragten aus einem EU-Drittstaat möglich?
AntwortDas kommt auf die Art und Größenordnung sowie die Organisation und die Verteilung der Verantwortlichkeiten in einem Konzern an (Wo ist die Zentrale? Wo wird über Zwecke und Mittel der Verarbeitung entschieden? usw.). Wenn in den EU-Niederlassungen entsprechende Datenschutzkontaktpersonen als Verbindung zum DSB installiert sind, die landessprachlich mit den betroffenen Personen (Beschäftigte, Kunden etc.) kommunizieren, kann das im Einzelfall denkbar sein. Siehe dazu auch das WP 243, dort unter Nr. 2.3 und 2.4, wo es unter anderem heißt: „Der DSB muss – gegebenenfalls mithilfe eines Teams – in der Lage sein, mit Betroffenen wirksam zu kommunizieren und mit den zuständigen Aufsichtsbehörden effektiv zusammenzuarbeiten. Dies bedeutet, dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss.“
FrageSind Steuerberater Auftragsverarbeiter?
AntwortDie Einbeziehung eines Steuerberaters ist keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Steuerberater sind nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit eines Auftragsverarbeiters. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt. Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.
FrageKönnen Einwilligungen verfallen?
AntwortDie DS-GVO enthält keine spezifische Frist, wie lange eine Einwilligung gilt. Wie lange die Einwilligung gültig ist, hängt vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Partei ab. Als bewährte Praxis wird empfohlen, die Einwilligung in angemessenen Zeitabständen zu erneuern. Das hilft sicherzustellen, dass die betroffene Person gut darüber informiert bleibt, wie ihre Daten verwendet werden. Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist.
FrageGilt das Datenschutzrecht auch im privaten Bereich?
AntwortDie DS-GVO findet nach ihrem Art. 2 Abs. 2 Buchstabe c keine Anwendung, wenn es um die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht. Darunter fallen z. B. private Telefon- und Adressverzeichnisse zu Verwandten und Bekannten, Urlaubsfotos oder der eigene Facebook-Account zur Selbstdarstellung. Werden allerdings Daten, Bilder, Videos etc. zu anderen Personen im Internet veröffentlicht oder mit Videokameras und Dashcams Aufnahmen von anderen Personen gefertigt, ist der persönlich-familiäre Bereich überschritten und deren Zulässigkeit ist nach Datenschutzrecht zu prüfen.
FrageIst Markt- und Meinungsforschung erlaubt?
AntwortDie wissenschaftliche Markt- und Meinungsforschung nimmt nach einer Äußerung des Deutschen Bundestags eine wichtige gesellschaftliche Aufgabe wahr. Sie stellt danach für öffentliche und private Auftraggeber mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen bereit und schafft damit eine wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung der Bundesrepublik Deutschland. Dementsprechend darf die wissenschaftliche Markt- und Meinungsforschung wegen ihrer allgemeinen Bedeutung für die Gesellschaft im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO grundsätzlich Befragungen bei Bürgerinnen und Bürgern durchführen, auch telefonisch, solange dem nicht von der betroffenen Person widersprochen wurde.
FrageWie erfahre ich, welche Daten mein Auto speichert?
AntwortFür in einem Auto gespeicherte Daten ist nicht der Kfz-Hersteller Verantwortlicher und dazu auskunftspflichtig, sondern dies ist Sache des Eigentümers des Fahrzeugs, des Kfz-Halters (ähnlich wie wenn jemand z. B. privat seinen PC benutzt und hierzu PC-intern Nutzungsdaten protokolliert werden). Erst wenn die Daten das Kfz verlassen, z. B. bei einem Werkstattbesuch per Diagnose-Stecker oder wenn mit dem Kfz-Hersteller oder Dritten (z. B. Versicherungen, Service-Diensten) eine Online-Verbindung zu dem Kfz vertraglich vereinbart wurde, kommen andere Verantwortliche ins Spiel, die dann über bei ihnen insoweit gespeicherte Daten auf Antrag grundsätzlich auch Auskunft nach Art. 15 DS-GVO erteilen müssen. Die deutschen Datenschutzaufsichtsbehörden haben die Grundsätze der Kfz-IT in den unten verlinkten Papieren festgehalten:
FrageIst teiladressierte Werbung (z. B. An die Bewohner des Haushaltes XY) nach der DS-GVO zulässig?
AntwortJa, teiladressierte Postwerbung „an die Bewohner des Haushalts XY“ ist grundsätzlich zulässig, solange von dem betreffenden Haushalt kein Werbewiderspruch vorliegt.
FrageWas kann ich als Verbraucher gegen unerwünschte Telefonwerbung tun?
AntwortSachverhalte unerwünschter Telefonwerbung verfolgt in erster Linie die Bundesnetzagentur, bei der betroffene Personen hierzu Beschwerden einreichen können, siehe dazu die Links unten. Wir bitten Sie, sich mit Ihrem Anliegen dorthin zu wenden. Ergänzender Hinweis: Beim illegalen Telefonmarketing werden teilweise nicht irgendwelche bekannten Telefon- oder Handynummern angerufen, sondern es werden computergesteuert bestimmte Ziffernreihenfolgen angewählt, bis eine gültige/vergebene Rufnummer gefunden wird.
FrageIst Postwerbung erlaubt?
AntwortDie Verwendung von Adressen für Postwerbung ist zunächst grundsätzlich erlaubt, die angeschriebene Person hat allerdings ein Recht auf Widerspruch dagegen. Bis ein solcher Werbewiderspruch volle Wirkung entfaltet, kann es bei Versendern wegen bereits zur Aussendung fertig gemachter weiterer Werbesendungen oft einige Wochen dauern. Wenn Sie allgemein die Verwendung Ihrer Postadresse für Werbung einschränken wollen, können Sie sich in die sog. Robinsonliste eintragen lassen, die der Deutsche Dialogmarketing-Verband führt und die von vielen Unternehmen im In- und Ausland berücksichtigt wird. Siehe dazu den Link unten.
FrageIst E-Mail-Werbung oder SMS-Werbung erlaubt?
AntwortDie Verwendung von E-Mail-Adressen für E-Mail-Werbung bzw. Newsletter-Zusendung ist, falls bisher keine Geschäftsbeziehung mit dem Empfänger bestand ("Neukundenwerbung"), nur erlaubt, wenn hierfür eine vorherige ausdrückliche Einwilligung gegeben ist, egal ob Verbraucher oder Unternehmen angesprochen werden. Gleiches gilt für die Verwendung von Telefonnummern für SMS-Werbung. Bei bestehenden Kundenbeziehungen ("Bestandskunden") ist E-Mail- oder SMS-Werbung zulässig, wenn die elektronischen Kontaktdaten im Zusammenhang mit der Vertragsabwicklung (Verkauf einer Ware oder Dienstleistung) erlangt worden sind, (nur) für eigene ähnliche Waren oder Dienstleistungen geworben wird, dem bisher nicht widersprochen wurde und bei der Erhebung der elektronischen Kontaktdaten sowie bei jeder Werbe-E-Mail bzw. -SMS klar und deutlich auf das Widerspruchsrecht hingewiesen wurde bzw. wird.
FrageDarf eine kostenlose Leistung (E-Mail-Account, Internet-Dienstleistung, App-Nutzung usw.) mit einer Zustimmung zu werblichen Zusendungen oder Einblendungen verknüpft werden?
AntwortDie grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt es den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung („Bezahlung“) Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden. Denn es gibt einerseits keinen Rechtsanspruch auf kostenlose Leistungen und andererseits können gleichwertige „werbefreie“ Leistungsangebote, soweit keine Monopolstrukturen gegeben sind, regelmäßig gegen vertretbares Entgelt bei verschiedenen Anbietern erlangt werden.
FrageSind Kundenzufriedenheitsbefragungen per E-Mail erlaubt?
AntwortKundenzufriedenheitsbefragungen per E-Mail im Nachgang zu erbrachten Leistungen (Warenlieferung, Reparatur, Hotelaufenthalt usw.) sind grundsätzlich zulässig. Es muss jedoch bei der Leistungserbringung auf eine beabsichtigte Kundenzufriedenheitsbefragung und das dagegen bestehende Werbewiderspruchsrecht nach Art. 21 Abs. 2 DS-GVO hingewiesen worden sein und solche Widersprüche müssen berücksichtigt werden.
FrageDarf eine Forderung gegen mich an ein Inkassounternehmen verkauft werden?
AntwortForderungen können nach dem deutschen Zivilrecht grundsätzlich ähnlich wie Waren gehandelt/verkauft werden, wobei die dazu notwendigen Daten zum Schuldner und zu der Forderung mit übergeben werden müssen, damit der neue Gläubiger auch die Möglichkeit hat, die Forderung zu realisieren.
FrageDarf eine Bank die einzelnen Zahlungsein- und -ausgänge auf Girokonten werblich oder für Beratungen auswerten?
AntwortBanken sind zu den Zahlungsvorgängen auf Girokonten primär nur „Transporteur von Geld“ und datenschutzrechtlich nicht berechtigt, diese Umsatzdaten ohne Einwilligung personenbezogen für Beratungs- und Marketingzwecke oder ähnliches auszuwerten. § 59 des Zahlungsdiensteaufsichtsgesetz regelt dazu folgendes: (1) Betreiber von Zahlungssystemen und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, soweit das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist. (2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.
FrageDürfen Auskunfteien personenbezogene Daten speichern und übermitteln?
AntwortAuskunfteien dürfen grundsätzlich personenbezogene Daten zur Wahrung berechtigter eigener Interessen sowie der Interessen der übrigen Wirtschaftsteilnehmer (Schutz des Wirtschaftsverkehrs) auch ohne Einwilligung der betroffenen Personen speichern, soweit die Daten für die Identifizierung der Person bzw. eines Unternehmens sowie für die Beurteilung der Kreditwürdigkeit/Bonität von Bedeutung sind. Wenn bestimmte Daten unrichtig sein sollten, besteht ein Berichtigungs- oder Löschungsanspruch, der bei der betreffenden Auskunftei geltend zu machen ist.
FrageUmfasst das Auskunftsrecht nach Art. 15 DS-GVO auch einen Anspruch auf Kopien von Dokumenten, Schriftverkehr oder E-Mails?
AntwortArt. 15 DS-GVO gewährt keinen Anspruch auf (Foto-)Kopien von Dokumenten, Schriftverkehr oder E-Mails, sondern nach seinem klaren Wortlaut einen Anspruch auf Auskunft über die personenbezogenen Daten, die in diesen Texten enthalten sind. Dies soll nach Art. 15 Abs. 3 DS-GVO in Form einer „Kopie der personenbezogenen Daten“ (als Form der Auskunft) erfolgen.
FrageGelten Alteinwilligungen bei Banken und Sparkassen fort?
AntwortIn aller Regel ja. Ein eventuelles künftiges Mehr an Information kann auch über die Umsetzung der Informationspflichten nach Art. 13 und 14 DS-GVO gegenüber den betroffenen Personen erfolgen.
FrageMuss ich mit einem Dolmetscher oder Übersetzer einen Auftragsverarbeitungsvertrag abschließen?
AntwortNein. Dolmetscher sind Verantwortliche, die ihre fachliche Fremdsprachenleistung eigenständig erbringen.
FrageDarf ich Kontaktdaten aus dem Impressum von Webseiten für Werbezusendungen nutzen?
AntwortNein, weil hier Anbieter zu einer Veröffentlichung ihrer Kontaktdaten gesetzlich verpflichtet sind.
FrageIst der Betriebsrat ein eigener Verantwortlicher; braucht er einen DSB, wenn er mehr als 10 Mitglieder hat?
AntwortSolange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt, handelt es sich bei ihm nicht um einen „Dritten“ im Sinne von Art. 4 Ziffer 10 DS-GVO. Der Betriebsrat ist Teil des Verantwortlichen. Der DSB des Verantwortlichen ist deshalb auch für ihn zuständig.
FrageWie lange darf ich die Daten von Bewerbern speichern?
AntwortÜber das Auswahlverfahren hinaus dürfen Bewerberdaten (nach entsprechender Information der Bewerber) noch maximal sechs Monate aufgehoben werden, um bei Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Darüber hinaus ist die weitere Speicherung (nur) mit Einwilligung der Bewerber zulässig.
FrageWelche Informationspflichten bestehen bei Übergabe einer Visitenkarte?
AntwortIn den meisten Fällen keine, da die Kontaktdaten der Verantwortlichen und der Zweck (Zusendung von Infomaterial) klar sind. Nur wenn ein abweichender Zweck beabsichtigt ist, bestehen weitergehende Informationspflichten.
FrageWie kann ich meine Informationspflichten erfüllen?
AntwortDie Informationspflichten nach Art. 13 und 14 DS-GVO können auch in abgestufter Form (mit „Medienbruch“) erfüllt werden. In der ersten Stufe ist „weniger oft mehr". Alle notwendigen Informationen müssen aber „irgendwo", z. B. auf der Webseite oder als Infoblatt, bereitgehalten werden, worauf hinzuweisen ist.
FrageDarf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen.
AntwortDie Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der verschiedenen Anbieter.
FrageIst für die Herausgabe von Teilnehmerlisten von Treffen einer Selbsthilfegruppe (z. B. Schlaganfallpatienten) an die Teilnehmer eine Einwilligung erforderlich?
AntwortNein. Bei einem speziellen Verein von Gleichgesinnten bzw. Menschen mit gleichen gesundheitlichen Problemen kann Art. 9 Abs. 2 Buchstabe d i.V.m. 6 Abs. 1 Buchstabe f DS-GVO, da jeder das Treffen freiwillig besucht und der gegenseitige Austausch und die gegenseitige Hilfe im Vordergrund steht, als Rechtsgrundlage dienen. Anderes gilt, wenn die Anonymität Kernbestandteil des Treffens ist.
FrageBin ich verpflichtet, zu speichern, dass ich auf Antrag Auskunft erteilt, Daten gelöscht oder berichtigt habe?
AntwortNein. Zur Erfüllung der Rechenschaftspflicht reicht es aus, dass ich einen entsprechenden Prozess zur Bearbeitung von Betroffenenrechten nachweisen kann.
FrageDarf ich eine Dashcam benutzen?
AntwortDie Nutzung einer Dashcam in der Weise, dass permanent aufgenommen wird, ist unzulässig. Die Aufnahme einzelner besondere (z. B. Unfall-)Situationen kann zulässig sein. Die Verwertung unzulässig entstandener Dashcamaufnahmen durch Gerichte beurteilt sich nicht nach Datenschutzvorschriften.
FrageMuss ich, wenn ich mein Auskunftsrecht geltend mache, wirklich eine Personalausweiskopie vorlegen?
AntwortWer Auskunft erteilen soll, muss sicher sein, dass er die Auskunft an den Richtigen schickt. Nicht generell, aber je nach Sensibiltät der Daten kann es gerechtfertigt sein, eine Kopie des Personalausweises zu verlangen (wie z. B. SCHUFA).
FrageDarf ich in meine Patientenakte beim Arzt Einsicht nehmen und habe ich das Recht, davon eine (Foto-)Kopie zu bekommen?
AntwortJa, gemäß § 630g BGB ist dem Patienten auf Verlangen unverzüglich Einsicht in die vollständige, ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche, therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen. Er hat dem Behandelnden die entstandenen Kosten zu erstatten. Kostenlos kann der Patient gemäß Art. 15 DS-GVO sein Auskunftsrecht geltend machen, hat dabei aber kein Recht auf Erhalt von Fotokopien.
FrageWo finde ich Informationen zur Bestimmung des Risikos für die Rechte und Freiheiten um feststellen zu können, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortAllgemeine Informationen zur Bestimmung des Datenschutzrisikos finden sich im DSK-Kurzpapier Risiko. Bei Datenschutzverletzungen ist die Meldeschwelle unter der DS-GVO geringer, als es beim § 42a BDSG (alt) der Fall war. Dies führt dazu, dass eine Meldung nach Art. 33 DS-GVO die Regel ist, sofern eine Verletzung der Sicherheit festgestellt wurde.
FrageWas ist eine Verletzung der Sicherheit, nach der ermittelt wird, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortEine Verletzung der Sicherheit, die zu einer Verpflichtung einer Meldung nach Art. 33/34 führt, ist eine Verletzung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten, den bei der Verarbeitung beteiligten IT-Systemen und Fachprozessen. Diese Schutzziele sind auch aus der Informationssicherheit bekannt, wobei darauf geachtet werden muss, dass das Datenschutzrisiko des einzelnen Betroffenen und nicht das Unternehmensrisiko bewertet wird.
FrageEs ist noch nicht 100% sicher, ob eine Datenschutzverletzung vorliegt. Muss trotzdem gemeldet werden?
AntwortEine Verpflichtung zur Meldung besteht dann, wenn mit einer hinreichenden Wahrscheinlichkeit angenommen werden kann, dass eine Datenschutzverletzung aufgetreten ist. Dies bedeutet, dass es zwar mehr als einen vagen Anfangsverdacht geben muss, dass bspw. eine unbefugte Datenweitergabe stattgefunden hat, eine vollständige Aufarbeitung aber nicht abgewartet werden darf. Weitere Informationen können bei Bedarf als "Folgemeldung" über unser Online-Formular nachgereicht werden.
FrageAb wann gilt der Zeitpunkt der 72-Stunden-Regelung? Wie sieht es dabei mit Wochenenden/Feiertagen aus?
AntwortWir zählen die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die 72-Stunden-Frist am Sonntag um 23:59 Uhr abläuft. Bei der Festlegung der 72 Stunden werden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet.
FrageEs fand ein Fehlversand mittels Brief für nur einen Betroffenen statt? Muss bei nur einer einzelnen betroffenen Person trotzdem gemeldet werden?
AntwortDas Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Risiko) betrifft immer die Grundrechte und Grundfreiheiten einer einzelnen Person. Insofern muss das Risiko für jeden einzelnen Betroffenen bestimmt werden - sollte mindestens ein Risiko dabei festgestellt werden, ist eine Meldung nach Art. 33 DS-GVO erforderlich.

In manchen Fällen kann eine große Anzahl von Betroffenen allerdings die Eintrittswahrscheinlichkeit eines Missbrauchs erhöhen (z. B. Hacking eines Online-Shops), was dann auch zu unterschiedlichen Risikohöhen für die einzelnen betroffenen Personen führt.
FrageDürfen nach der DS-GVO nur noch inhaltsverschlüsselte Mails (z. B. PGP oder S/MIME) versendet werden?
AntwortNach Art. 32 DS-GVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.
FrageHaben besondere Arten personenbezogener Daten nach Art. 9 DS-GVO immer eine hohes Risiko?
AntwortNein. Das Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Risiko) bestimmt sich immer bei der konkreten Verarbeitung unter Berücksichtigung der spezifischen Eintrittswahrscheinlichkeit und Schwere des Risikos. Es ist aber so, dass die unter den rechtlichen Schutzbereich des Art. 9 DS-GVO fallenden personenbezogenen Daten häufiger zu einem hohen Risiko und den damit verbundenen Rechtsfolgen (z. B. Datenschutzfolgenabschätzung) führen werden.
FrageMuss bei einer Videoüberwachung eine Datenschutzfolgenabschätzung durchgeführt werden?
AntwortEine Datenschutzfolgenabschätzung muss nur bei einem hohen Risiko für die Rechte und Freiheiten durchgeführt werden. Dieser Schwellwert des hohen Risikos wird nach Anwendung der technischen und organisatorischen Maßnahmen (TOM) bestimmt, die aufgrund von Art. 25 DS-GVO (Datenschutz durch Technikgestaltung) nachweisbar dargelegt werden können. Bei Videoüberwachungen sind deswegen in der Regel keine Datenschutzfolgenabschätzungen durchzuführen, sondern - im Prinzip wie bei der Vorabkontrolle unter BDSG-alt - Schutzmaßnahmen ohne detaillierte Risikoanalyse auszuwählen (z. B. Begrenzung Speicherdauer, Aufzeichnungsbereich, ...).
FrageMit welcher Methode soll ein bayerisches Unternehmen eine Datenschutzfolgenabschätzung durchführen?
AntwortDie DS-GVO legt in Art. 35 einige formale Rahmenbedingungen fest, die unbedingt von einer eingesetzten Methode eingehalten werden müssen. Ansonsten können beliebige Methoden eingesetzt werden. Wichtig ist uns allerdings, dass das Kernstück einer DSFA, die Risikobeurteilung, sehr systematisch und ausführlich durchgeführt wird.

FrageMuss bei Personaldaten eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden?
AntwortIn der Regel ist bei Verarbeitung von Personaldaten keine DSFA durchzuführen. Eine Ausnahme stellen ggf. umfangreiche zentrale Personalverwaltungen in (internationalen) Konzernstrukturen dar.