FAQ

Hier können Sie die häufigsten an uns gerichteten Fragen und unsere kurzen Antworten dazu finden. Diese Seite wird von uns ständig weiterentwickelt und ergänzt. Wenn Sie umfangreichere Informationen zu den jeweiligen Themen suchen, können Sie diese auf unseren Themenseiten finden.

Filter

Hier können Sie gezielt das Themenfeld aussuchen, zu dem Sie FAQ/häufige Fragen angezeigt haben möchten.

FrageDarf mir per Post Wahlwerbung zugesandt werden?
AntwortDie politischen Parteien und Wählergruppen haben nach dem Meldegesetz die Möglichkeit, sich vor Wahlen Postadressen von Wahlberechtigten für Wahlwerbezusendungen geben zu lassen, soweit die betroffenen Personen dem nicht vorher bei der Meldebehörde widersprochen haben, um diese für Wahlwerbung zu nutzen.

Falls Sie künftig keine personalisierte Wahlwerbung wollen, sollten Sie bei Ihrem Meldeamt einen Werbewiderspruch für Wahlwerbung vormerken lassen.
FrageKann eine juristische Person als Datenschutzbeauftragter benannt werden?
AntwortDie Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.
FrageDürfen externe Schriftarten z. B. Google Fonts auf der Website eingebunden werden?
AntwortGrundsätzlich ist es rechtlich begründbar, externe Schriftarten auf seiner Webseite einzubinden. Jedoch empfehlen wir, diese über den eigenen Webserver einzubinden und selbst zu hosten. Bei Aktivierung des Tools wird ansonsten eine Verbindung zu den Servern der Drittanbieter hergestellt, welche bei solchen Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer führt. Dies gilt z.B. bei Google Fonts, da bei Aufruf der Webseite der Browser des Nutzers die benötigten Webfonts lädt und zu diesem Zweck zu den Google-Servern Kontakt aufnimmt, so dass eine Datenübermittlung in die USA stattfinden kann. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ "Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?" unter dem Suchbegriff "Internationaler Datenverkehr") einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig. Außerdem ist die Einbindung externer Schriftarten auch bei der Datenschutzerklärung zu berücksichtigen.
FrageDürfen Kartendienste z. B. Google Maps auf der Website eingebunden werden?
AntwortZunächst sollten die Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z. B. durch einen extra Klick. Außerdem sind Kartendienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.
Da beim Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. Dies ist etwa der Fall bei der Einbindung von Google Maps. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II" zu erfüllen. Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageDürfen Captchas, die vor Bots schützen, auf der Website eingebunden werden?
AntwortJa. Der Website-Betreiber hat nicht nur ein berechtigtes Interesse, Captchas einzusetzen, sondern ist sogar dazu verpflichtet, da er die Verfügbarkeit des Dienstes sicherstellen muss.
FrageBrauche ich ein Cookie-Banner auf meiner Website?
AntwortDiese Frage kann nicht pauschal beantwortet werden. Immer dann, wenn einwilligungspflichtige Dienste auf der Website eingebunden werden oder Daten gem. Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten) verarbeitet werden, muss vorab eine Einwilligung eingeholt werden. Entsprechend Art. 5 Abs. 3 der RL 2002/58/EG (E-Privacy-Richtlinie in der Fassung der sog. Cookie-Richtlinie 2009/136/EG) sind grundsätzlich alle Cookies einwilligungspflichtig, eine Ausnahme gilt für technisch notwendige Cookies. Der BGH hat in seiner Entscheidung vom 28.05.2020 in Sachen "Planet49" hierfür § 15 Abs. 3 TMG richtlinienkonform ausgelegt und klargestellt, dass die Möglichkeit eines Opt-Outs nicht mehr ausreichend ist. Zur aktuellen Bewertung der Datenschutzaufsichtsbehörden wird auf die

Siehe Antwort zur Frage "Ist für technisch nicht notwendige Cookies immer eine Einwilligung erforderlich?"
FrageDürfen externe Videos z. B. Youtube oder Vimeo auf der Website eingebunden werden?
AntwortZunächst darf das Video erst dann starten, wenn der Nutzer das Video durch einen extra Klick startet. Startet das Video automatisch, kann der Nutzer eine Datenverarbeitung durch externe Anbieter nicht verhindern. Außerdem sind Dienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen.

Da bei Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer (z.B. kann bei Einbindung von YouTube eine Datenübermittlung in die USA stattfinden). In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ "Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?" unter dem Suchbegriff "Internationaler Datenverkehr") einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageDürfen Social PlugIns z. B. von Twitter, Facebook, Instagram auf der Website eingebunden werden?
AntwortDie Einbindung ist rechtmäßig möglich, soweit vorher eine Einwilligung des Nutzers eingeholt und in der Datenschutzerklärung über den Einsatz informiert wird.
Hierzu kommen Zwei- Klicklösungen in Betracht beispielsweise von Shariff Wrapper und Embetty in Betracht.

Da bei Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. In solchen Fällen sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ „Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?“ unter dem Suchbegriff „Internationaler Datenverkehr“) einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageDarf Google Analytics ohne Einwilligung des Nutzers auf der Website eingesetzt werden?
AntwortNein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss bei Einsatz des Dienstes in der Standartkonfiguration eine Einwilligung eingeholt werden.
FrageDarf Google reCAPTCHA auf der Website eingebunden werden?
AntwortWebsite-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.

Da bei Aktivieren des Tools eine Verbindung zu den Servern von Google hergestellt wird und hierdurch eine Datenübermittlung in die USA stattfinden kann, sind auch die an Drittlandübermittlungen geltenden Anforderungen zu erfüllen (siehe dazu die FAQ „Darf unsere Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?“ unter dem Suchbegriff „Internationaler Datenverkehr“) einschließlich der Anforderungen aus dem Urteil des Europäischen Gerichtshofs (EuGH) in der Sache "Schrems II". Jeder Anwender muss insbesondere prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt werden können. Wenn nicht, ist die Übermittlung unzulässig.
FrageWarum gibt es kein allgemein gültiges Muster einer Datenschutzerklärung für Websites?
AntwortEs gibt kein allgemein gültiges Muster, weil jede Website unterschiedliche Funktionen hat. Muster zum Anpassen gibt es von der Uni Münster und dem Deutschen Forschungsnetzwerk.
FrageDarf WhatsApp für die Kommunikation innerhalb des Unternehmens eingesetzt werden?
AntwortAufgrund der Tatsache, dass durch WhatsApp weiterhin Metadaten zu den WhatsApp-Nachrichten in den USA verarbeitet werden und Adressdaten aus den telefoneigenen Adressbuch des Nutzers ohne Einwilligung der Betroffenen und damit regelmäßig auch nicht dem Betrieb angehörende Dritter erhoben werden, ist ein datenschutzkonformer Einsatz des Messengers in der Regel nicht zu begründen. Wir empfehlen daher Alternativen zu WhatsApp, z.B. Threema, Signal und Hoccer.
FrageIst die Benennung eines Konzern-Datenschutzbeauftragten aus einem EU-Drittstaat möglich?
AntwortDas kommt auf die Art und Größenordnung sowie die Organisation und die Verteilung der Verantwortlichkeiten in einem Konzern an (Wo ist die Zentrale? Wo wird über Zwecke und Mittel der Verarbeitung entschieden? usw.). Wenn in den EU-Niederlassungen entsprechende Datenschutzkontaktpersonen als Verbindung zum DSB installiert sind, die landessprachlich mit den betroffenen Personen (Beschäftigte, Kunden etc.) kommunizieren, kann das im Einzelfall denkbar sein. Siehe dazu auch das WP 243, dort unter Nr. 2.3 und 2.4, wo es unter anderem heißt: "Der DSB muss – gegebenenfalls mithilfe eines Teams – in der Lage sein, mit Betroffenen wirksam zu kommunizieren und mit den zuständigen Aufsichtsbehörden effektiv zusammenzuarbeiten. Dies bedeutet, dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss."
FrageDürfen Fotos von Mitarbeitern, Vereinsmitgliedern oder Dritten auf der Website veröffentlicht werden?
AntwortSoweit die Fotos bei allgemein zugänglichen Veranstaltungen aufgenommen wurden, ist ihre Veröffentlichung in der Regel ebenso wie die Aufnahme der Bilder selbst auf Grundlage einer Interessenabwägung auch ohne Einwilligung zulässig. Sind Kinder, Jugendliche oder andere Schutzbedürftigen betroffen, sollten jedoch vorab aus Gründen der Rechtssicherheit Einwilligungen der Betroffenen bzw. gesetzlichen Vertreter eingeholt werden. Eine Einwilligung ist zudem erforderlich für die Anfertigung und Veröffentlichung von Fotos im Rahmen nicht allgemein zugänglicher Veranstaltungen. Von einer freiwilligen Einwilligung kann jedoch nur ausgegangen werden, wenn die betroffene Person auch die Möglichkeit hat, die Veranstaltung zu besuchen, ohne fotografiert zu werden. Weiterhin muss die betroffene Person bei einwilligungsbedürftigen Fotos entweder ausdrücklich eingewilligt haben bzw. sich durch ihr Verhalten, insbesondere bei einem Posieren, ausdrücklich zum Ausdruck gebracht haben, dass sie mit der Ablichtung einverstanden ist.
Die Veröffentlichung von Einzel-/Porträtfotos von (unbeteiligten) Personen sowie Beschäftigten auf der Website von Unternehmen oder anderer datenschutzrechtlich Verantwortlicher bedarf in der Regel der Einwilligung.
In allen Fällen müssen die abgebildeten Personen vorab im Rahmen der Informationspflichten nach Artikel 13 bzw. Artikel 14 DS-GVO über die Veröffentlichung informiert werden. Bei Einwilligung ist es zudem notwendig, die betroffenen Personen über ihr jederzeitiges Widerrufsrecht und wie sie dieses geltend machen können, zu informieren.
FrageVon einer öffentlichen Veranstaltung z. B. Vereinsfeier, Wettkampf, Tag der offenen Tür sollen Fotos im Internet veröffentlicht werden. Müssen Besucher darüber informiert werden?
AntwortJa. Idealerweise werden die Besucher informiert, bevor fotografiert wird. Wie der Verantwortliche informiert, schreibt die DS-GVO nicht vor. Üblich ist es, in der Einladung oder auf einem Plakat bzw. Aushang auf dem Veranstaltungsgelände darauf hinzuweisen.
FrageWelche Informationen müssen dem Besucher auf Veranstaltungen zur Verfügung gestellt werden?
AntwortBestandteil der (Basis-)Information müssen insbesondere sein:
  • Namen und Kontaktdaten des Verantwortlichen,
  • Zwecke, für die die Bilder verwendet werden sollen(Internet, Flyer, Weitergabe an die lokale Presse),
  • sowie Rechtsgrundlage der Verarbeitung und
  • die Information, dass den betroffenen Personen bestimmte Rechte im Hinblick auf den Umgang mit ihren Bildern zustehen.

Zusätzlich sind insbesondere folgende Informationen zur Verfügung zu stellen (kann auch auf Webseite sein):

  • Speicherdauer,
  • wenn die Verarbeitung Ergebnis einer Interessenabwägung ist, Angabe der Interessen des Verantwortlichen an der Verarbeitung der Bilder,
  • gegebenenfalls Empfänger der Bilder, wenn diese weitergegeben werden sollen (z. B. an den Dachverband),
  • Möglichkeit des Widerrufs einer Einwilligung und
  • Bestehen eines Beschwerderechts bei einer Datenschutzaufsichtsbehörde
FrageIch betreibe einen privaten Blog. Brauche ich eine Datenschutzerklärung auf der Website?
AntwortJa. Die Ausnahme für private und familiäre Tätigkeiten greift nicht. Jede Website, die für eine unbestimmte Zielgruppe erreichbar ist - und das sind im Internet die meisten Websites - benötigt eine Datenschutzerklärung.
FrageAuf unserer Website sind keine Drittinhalte eingebunden. Auch ein Kontaktformular gibt es nicht. Benötigen wir trotzdem eine Datenschutzerklärung?
AntwortJa, denn die Nutzer müssen wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden. Als Vorlage kann die Datenschutzerklärung des BayLDA verwendet werden.
FrageBraucht eine App auch eine Datenschutzerklärung?
AntwortJa. Die Informationspflicht unterscheiden sich nicht zu denen bei Websites. Es ist lediglich darauf zu achten, dass die Datenschutzerklärung zusätzlich im App-Store zur Verfügung steht.
FrageGehört ein Impressum auf die Website? Wir haben doch schon eine Datenschutzerklärung.
AntwortJa. Das Impressum richtet sich nicht nach der DS-GVO und ist keine datenschutzrechtliche Pflicht. Dennoch benötigt jede Website ein Impressum. Der Inhalt des Impressums richtet sich nach § 5 des Telemediengesetzes (TMG).
FrageWie muss ein Cookie-Banner gestaltet sein, damit eine zulässige Einwilligung eingeholt werden kann?
AntwortDie Datenschutzaufsichtsbehörden haben die Anforderungen für Cookie-Banner in der Orientierungshilfe für Anbieter von Telemedien formuliert.
FrageIst eine Facebook Fanpage zulässig?
AntwortNein. Nach derzeitigem Stand können Facebook Fanpages nicht rechtmäßig betrieben werden. Das liegt u. a. daran, dass Fanpage-Betreiber ihre Rechenschaftspflicht gem. Art. 5 Abs. 1, 2 DS-GVO nicht erfüllen können.
FrageDarf innerhalb des Vereins WhatsApp genutzt werden?
AntwortAuch wenn eine allgemeine Klärung der datenschutzrechtlichen Zulässigkeit von WhatsApp weiterhin aussteht, trägt jeder Nutzer bzw. auch der Verein selbst im Falle einer Nutzung für die vereinseigene Kommunikation die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung etwa bei der Übermittlung von Adressbuchdaten Dritter an WhatsApp. WhatsApp ist daher auch für Verein kein geeignetes Mittel für datenschutzgerechte, rechtssichere Kommunikation. Wir empfehlen daher Alternativen zu WhatsApp, z. B. Threema oder Signal.
FrageSind Steuerberater Auftragsverarbeiter?
AntwortDie Einbeziehung eines Steuerberaters ist keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Steuerberater sind nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit eines Auftragsverarbeiters. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt. Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.
FrageDarf das Verhalten der Empfänger eines Newsletters nachverfolgt werden?
AntwortJa. In vielen Fällen muss jedoch für das Newsletter-Tracking die Einwilligung des Nutzers eingeholt werden.
FrageMuss für jeden Newsletter-Versand eine Einwilligung eingeholt werden?
AntwortIn der Regel ist eine Einwilligung erforderlich. Nur ausnahmsweise können Newsletter auch ohne Einwilligung verschickt werden. Dies gilt nur dann, wenn
  • der Verantwortliche die E-Mail-Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
  • er diese E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Kunde der Nutzung seiner E-Mail-Adresse nicht widersprochen hat und
  • der Kunde darauf hingewiesen wird, dass er jederzeit widersprechen kann.
FrageDarf Facebook Custom Audience über die Kundenliste ohne Einwilligung des Nutzers bzw. Kunden eingesetzt werden?
AntwortNein. Es muss vorher die Einwilligung des Betroffenen eingeholt werden.
FrageKann Facebook Custom Audience über das Pixel-Verfahren ohne Einwilligung verwendet werden?
AntwortNein. Es ist vorab die Einwilligung der Nutzer einzuholen. Wie die Einwilligung am besten eingeholt wird, ist in der Orientierungshilfe für Anbieter von Telemedien erklärt.
FrageWie muss ein Vertrag zur Auftragsverarbeitung gestaltet sein?
AntwortDie inhaltlichen Anforderungen richten sich nach Art. 28 Abs. 3 DS-GVO. Ein Muster für einen Vertrag zur Auftragsverarbeitung gibt es hier Muster_AV-Vertrag.
FrageWann liegt eine Auftragsverarbeitung vor?
AntwortAuftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Fallbeispiele zur Abgrenzung gibt es hier:
FrageWann sind mehrere Beteiligte gemeinsam Verantwortliche?
AntwortImmer dann, wenn zwei oder mehr Beteiligte gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen, sind sie gemeinsam verantwortlich und müssen die Anforderungen des Art. 26 DS-GVO beachten. In der Praxis kommt eine gemeinsame Verantwortlichkeit z. B. in Betracht bei
  • Facebook Fanpages zwischen Facebook und dem Fanpage-Betreiber
  • klinischen Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsamer Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
  • gemeinsamer Informationspool/ Warndatei mehrerer Verantwortlicher (z. B. Banken) über säumige Schuldner
  • E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen.
FrageWelche Anforderungen müssen gemeinsam Verantwortliche beachten?
AntwortArt. 26 DS-GVO schreibt vor, dass die gemeinsam Verantwortlichen in einer Vereinbarung festlegen müssen, wer von ihnen welche Verpflichtungen der DS-GVO erfüllt, insbesondere die Betroffenenrechte und die Informationspflicht nach Art. 13 und 14. Zusätzlich muss den Betroffenen das Wesentliche dieser Vereinbarung - eine Art Zusammenfassung - zur Verfügung gestellt werden. Wichtig ist, dass der Betroffene sich an jeden der Verantwortlichen wenden kann, um seine Rechte geltend zu machen. Die Verantwortlichen müssen daher sicherstellen, dass Anfragen von Betroffenen in jedem Fall bearbeitet werden, unabhängig davon, was die Verantwortlichen intern vereinbart haben.
FrageWelche Form schreibt die DS-GVO für einen Vertrag zur Auftragsverarbeitung vor?
AntwortDie DS-GVO schreibt in Art. 28 Abs. 9 DS-GVO vor, dass der Vertrag zur Auftragsverarbeitung schriftlich abzufassen ist. Schriftlich im Sinne der DS-GVO meint nicht die strengen Anforderungen der Schriftform gem. § 126 BGB. Es genügt, wenn der Vertrag elektronisch vorliegt. Dadurch haben die Beteiligten den Vertragsschluss zu Beweiszwecken dokumentiert und können im Falle einer Kontrolle den Aufsichtsbehörden den Inhalt des Vertrags darlegen.
FrageAuf der Website bzw. in der App werden keine Angaben wie Namen, E-Mail-Adresse oder Telefonnummer verarbeitet. Gilt die DS-GVO trotzdem?
AntwortJa. Bei der Nutzung einer Website oder App fallen technisch bedingt eine Vielzahl an Nutzungsdaten an. Diese technischen Informationen, wie z. B. IP-Adresse, MAC-Adresse, Werbe-ID oder sonstige Geräte-Identifikationsnummern gelten auch nach der DS-GVO als personenbezogene Daten, weil sie Rückschluss auf einen konkreten Nutzer ermöglichen. Aus diesem Grund sind die Pflichten der DS-GVO zu beachten.
FrageKönnen Einwilligungen verfallen?
AntwortDie DS-GVO enthält keine spezifische Frist, wie lange eine Einwilligung gilt. Wie lange die Einwilligung gültig ist, hängt vom Kontext, dem Umfang der ursprünglichen Einwilligung und den Erwartungen der betroffenen Partei ab. Als bewährte Praxis wird empfohlen, die Einwilligung in angemessenen Zeitabständen zu erneuern. Das hilft sicherzustellen, dass die betroffene Person gut darüber informiert bleibt, wie ihre Daten verwendet werden. Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail-Werbung "ihre Aktualität verliert" und deshalb insoweit keine rechtliche Grundlage mehr ist.
FrageWir verarbeiten Daten von Kindern und Jugendlichen. Gibt es dafür eine feste Altersgrenze in der DS-GVO?
AntwortNein. Die DS-GVO kennt keine allgemeine Altersgrenze für die Verarbeitung von personenbezogenen Daten eines Kindes oder Jugendlichen. Lediglich in Art. 8 legt die DS-GVO fest, dass bei Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, die Verarbeitung der personenbezogenen Daten des Kindes nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Anderenfalls müssen die Eltern die Zustimmung erteilen. Die Altersgrenze des Art. 8 DS-GVO gilt nur unter diesen engen Voraussetzungen und hat in der Praxis eine untergeordnete Bedeutung. Es besteht auch kein Bedürfnis, die strenge Altersgrenze auf andere Sachverhalte pauschal zu übertragen.
FrageDürfen Unternehmen, Vereine oder andere Stellen Cloud-Dienste nutzen, um Dateien zu speichern und mit anderen Nutzern zu teilen? Die Datenverarbeitung findet in den USA statt.
AntwortDas sog. Schrems-II-Urteils des Europäischen Gerichtshofs hat verdeutlicht, dass die Inanspruchnahme von US-Cloud-Diensten vor durchaus hohen datenschutzrechtlichen Hürden steht und in einigen Fällen keine datenschutzkonforme Lösung möglich ist. Basis-Anforderung ist, dass mit dem Dienstleister ein sog. Standardvertrag "EU controller to non-EU or EEA processor" (Muster) und zudem auch ein Vertrag zur Auftragsverarbeitung (AVV) nach Artikel 28 DSGVO abgeschlossen werden muss. Nutzer müssen somit prüfen, ob der US-Cloud-Dienst in seinen Bedingungen einen solchen Standardvertrag anbietet und ob dieser auch die zusätzlichen Anforderungen an einen AVV nach Artikel 28 DSGVO erfüllt. Zusätzlich muss geprüft werden, ob der Cloud-Dienst Datenzugriffen durch US-amerikanische Nachrichtendienste unterliegt, die über das nach EU-Recht akzeptable Maß hinausgehen. Ist das der Fall, darf der Dienst nur in Anspruch genommen werden, wenn es gelingt, solche Zugriffe mit Hilfe von zusätzlichen Maßnahmen auszuschließen (Näheres zu diesen Anforderungen hier). Gerade bei Cloud-Diensten, die über die bloße Speicherung hinausgehen, wird das in vielen Fällen nicht möglich sein (siehe die Leitlinien des Europäischen Datenschutzausschusses 1/2020, Use Case 6; bislang leider nur auf Englisch). In einem solchen Fall muss die Nutzung des Cloud-Dienstes für personenbezogene Daten unterbleiben. Verbleiben Zweifel, sollte der Datenschutzbeauftragte oder ein fachkundiger Berater - ggf. bei einem Interessenverband - konsultiert werden. Sofern auch danach Zweifel an der Datenschutzkonformität bleiben, können Sie sich an unser Haus wenden.
FrageMüssen wir mit unserem Steuerberater einen Vertrag zur Auftragsverarbeitung schließen?
AntwortNein. Steuerberater sind nach dem geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig. Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 Buchstabe a DS-GVO.
FrageBei uns findet eine Videoüberwachung statt. Müssen wir darüber umfassend informieren oder genügt ein Hinweis mit einem Kamera-Symbol?
AntwortUnternehmen und andere nicht-öffentliche Stellen, die Videoüberwachung betreiben, müssen die hierfür einschlägigen Vorschriften der DS-GVO einhalten. Auch nach der DS-GVO muss auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung über die wesentlichen Elemente der Videoüberwachung informiert werden; allerdings hat sich der Umfang der dabei zu erteilenden Informationen durch die Transparenzvorschriften der DS-GVO (Art. 12 ff.) erweitert. Die DSK hat sich auf ein - als Beispiel zu verstehendes - Muster für ein solches Hinweisschild verständigt, das hier abrufbar ist.
FrageMuss ich mein eingescanntes Einwilligungsformular zwingend in Papierform aufbewahren?
AntwortEs ist völlig ausreichend, wenn Sie die unterzeichneten Einwilligungen einscannen und speichern. Die Einwilligungen müssen nicht zwingend im Original archiviert werden.
FrageGilt das Datenschutzrecht auch im privaten Bereich?
AntwortDie DS-GVO findet nach ihrem Art. 2 Abs. 2 Buchstabe c keine Anwendung, wenn es um die Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht. Darunter fallen z. B. private Telefon- und Adressverzeichnisse zu Verwandten und Bekannten, Urlaubsfotos oder der eigene Facebook-Account zur Selbstdarstellung. Werden allerdings Daten, Bilder, Videos etc. zu anderen Personen im Internet veröffentlicht oder mit Videokameras und Dashcams Aufnahmen von anderen Personen gefertigt, ist der persönlich-familiäre Bereich überschritten und deren Zulässigkeit ist nach Datenschutzrecht zu prüfen.
FrageIst Markt- und Meinungsforschung erlaubt?
AntwortDie wissenschaftliche Markt- und Meinungsforschung nimmt eine wichtige gesellschaftliche Aufgabe wahr. Sie stellt danach für öffentliche und private Auftraggeber mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen bereit und schafft damit eine wichtige Voraussetzung für die nachhaltige demokratische und wirtschaftliche Entwicklung der Bundesrepublik Deutschland. Dementsprechend darf die wissenschaftliche Markt- und Meinungsforschung wegen ihrer allgemeinen Bedeutung für die Gesellschaft im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 Buchstabe f DS-GVO grundsätzlich Befragungen bei Bürgerinnen und Bürgern durchführen, auch telefonisch, solange dem nicht von der betroffenen Person widersprochen wurde.
FrageWo finde ich Informationen zur Bestimmung des Risikos für die Rechte und Freiheiten, um feststellen zu können, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortAllgemeine Informationen zur Bestimmung des Datenschutzrisikos finden sich im DSK-Kurzpapier Nr. 18 Risiko. Bei Datenschutzverletzungen ist die Meldeschwelle unter der DS-GVO geringer, als es beim § 42a BDSG (alt) der Fall war. Dies führt dazu, dass eine Meldung nach Art. 33 DS-GVO die Regel ist, sofern eine Verletzung der Sicherheit festgestellt wurde.
FrageWas ist eine Verletzung der Sicherheit, nach der ermittelt wird, ob eine Meldung nach Art. 33/34 DS-GVO notwendig ist?
AntwortEine Verletzung der Sicherheit, die zu einer Verpflichtung einer Meldung nach Art. 33/34 führt, ist eine Verletzung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten, den bei der Verarbeitung beteiligten IT-Systemen und Fachprozessen. Diese Schutzziele sind auch aus der Informationssicherheit bekannt, wobei darauf geachtet werden muss, dass das Datenschutzrisiko des einzelnen Betroffenen und nicht das Unternehmensrisiko bewertet wird.
FrageEs ist noch nicht 100% sicher, ob eine Datenschutzverletzung vorliegt. Muss trotzdem gemeldet werden?
AntwortEine Verpflichtung zur Meldung besteht dann, wenn mit einer hinreichenden Wahrscheinlichkeit angenommen werden kann, dass eine Datenschutzverletzung aufgetreten ist. Dies bedeutet, dass es zwar mehr als einen vagen Anfangsverdacht geben muss, dass bspw. eine unbefugte Datenweitergabe stattgefunden hat, eine vollständige Aufarbeitung aber nicht abgewartet werden darf. Weitere Informationen können bei Bedarf als "Folgemeldung" über unser Online-Formular nachgereicht werden.
FrageAb wann gilt der Zeitpunkt der 72-Stunden-Regelung? Wie sieht es dabei mit Wochenenden/Feiertagen aus?
AntwortWir zählen die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die 72-Stunden-Frist am Sonntag um 23:59 Uhr abläuft. Bei der Festlegung der 72 Stunden werden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet.
FrageEs fand ein Fehlversand mittels Brief für nur einen Betroffenen statt? Muss bei nur einer einzelnen betroffenen Person trotzdem gemeldet werden?
AntwortDas Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Risiko) betrifft immer die Grundrechte und Grundfreiheiten einer einzelnen Person. Insofern muss das Risiko für jeden einzelnen Betroffenen bestimmt werden - sollte mindestens ein Risiko dabei festgestellt werden, ist eine Meldung nach Art. 33 DS-GVO erforderlich.

In manchen Fällen kann eine große Anzahl von Betroffenen allerdings die Eintrittswahrscheinlichkeit eines Missbrauchs erhöhen (z. B. Hacking eines Online-Shops), was dann auch zu unterschiedlichen Risikohöhen für die einzelnen betroffenen Personen führt.
FrageDürfen nach der DS-GVO nur noch inhaltsverschlüsselte Mails (z. B. PGP oder S/MIME) versendet werden?
AntwortNach Art. 32 DS-GVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.
FrageHaben besondere Arten personenbezogener Daten nach Art. 9 DS-GVO immer eine hohes Risiko?
AntwortNein. Das Risiko für die Rechte und Freiheiten (DSK-Kurzpapier Nr. 18 Risiko) bestimmt sich immer bei der konkreten Verarbeitung unter Berücksichtigung der spezifischen Eintrittswahrscheinlichkeit und Schwere des Risikos. Es ist aber so, dass die unter den rechtlichen Schutzbereich des Art. 9 DS-GVO fallenden personenbezogenen Daten häufiger zu einem hohen Risiko und den damit verbundenen Rechtsfolgen (z. B. Datenschutz-Folgenabschätzung) führen werden.
FrageMuss bei einer Videoüberwachung eine Datenschutz-Folgenabschätzung durchgeführt werden?
AntwortEine Datenschutz-Folgenabschätzung muss nur bei einem hohen Risiko für die Rechte und Freiheiten durchgeführt werden. Dieser Schwellwert des hohen Risikos wird nach Anwendung der technischen und organisatorischen Maßnahmen (TOM) bestimmt, die aufgrund von Art. 25 DS-GVO (Datenschutz durch Technikgestaltung) nachweisbar dargelegt werden können. Bei Videoüberwachungen sind deswegen in der Regel keine Datenschutz-Folgenabschätzungen durchzuführen, sondern - im Prinzip wie bei der Vorabkontrolle unter BDSG-alt - Schutzmaßnahmen ohne detaillierte Risikoanalyse auszuwählen (z. B. Begrenzung Speicherdauer, Aufzeichnungsbereich, ...).
FrageMit welcher Methode soll ein bayerisches Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
AntwortDie DS-GVO legt in Art. 35 einige formale Rahmenbedingungen fest, die unbedingt von einer eingesetzten Methode eingehalten werden müssen. Ansonsten können beliebige Methoden eingesetzt werden. Wichtig ist uns allerdings, dass das Kernstück einer DSFA, die Risikobeurteilung, sehr systematisch und ausführlich durchgeführt wird.

Momentan sehen wir mindestens drei Methoden als grundsätzlich geeignet an, sofern eben auf die Risikobeurteilung besonderer Wert gelegt wird: ISO 29134, SDM, CNIL-Methode.
FrageMuss bei Personaldaten eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?
AntwortIn der Regel ist bei Verarbeitung von Personaldaten keine DSFA durchzuführen. Eine Ausnahme stellen ggf. umfangreiche zentrale Personalverwaltungen in (internationalen) Konzernstrukturen dar.
FrageWie erfahre ich, welche Daten mein Auto speichert?
AntwortFür in einem Auto gespeicherte Daten ist nicht der Kfz-Hersteller Verantwortlicher und dazu auskunftspflichtig, sondern dies ist Sache des Eigentümers des Fahrzeugs, des Kfz-Halters (ähnlich wie wenn jemand z. B. privat seinen PC benutzt und hierzu PC-intern Nutzungsdaten protokolliert werden). Erst wenn die Daten das Kfz verlassen, z. B. bei einem Werkstattbesuch per Diagnose-Stecker oder wenn mit dem Kfz-Hersteller oder Dritten (z. B. Versicherungen, Service-Diensten) eine Online-Verbindung zu dem Kfz vertraglich vereinbart wurde, kommen andere Verantwortliche ins Spiel, die dann über bei ihnen insoweit gespeicherte Daten auf Antrag grundsätzlich auch Auskunft nach Art. 15 DS-GVO erteilen müssen. Die deutschen Datenschutzaufsichtsbehörden haben die Grundsätze der Kfz-IT in den unten verlinkten Papieren festgehalten.
FrageIst teiladressierte Werbung (z. B. An die Bewohner des Haushaltes XY) nach der DS-GVO zulässig?
AntwortJa, teiladressierte Postwerbung "an die Bewohner des Haushalts XY" ist grundsätzlich zulässig, solange von dem betreffenden Haushalt kein Werbewiderspruch vorliegt(z. B. ein Schild mit "Bitte keine Werbung" am Briefkasten).
FrageWas kann ich als Verbraucher gegen unerwünschte Telefonwerbung tun?
AntwortSachverhalte unerwünschter Telefonwerbung verfolgt in erster Linie die Bundesnetzagentur, bei der betroffene Personen hierzu Beschwerden einreichen können, siehe dazu die Links unten. Wir bitten Sie, sich mit Ihrem Anliegen dorthin zu wenden. Ergänzender Hinweis: Beim illegalen Telefonmarketing werden teilweise nicht irgendwelche bekannten Telefon- oder Handynummern angerufen, sondern es werden computergesteuert bestimmte Ziffernreihenfolgen angewählt, bis eine gültige/vergebene Rufnummer gefunden wird.
FrageGelten Alteinwilligungen bei Banken und Sparkassen fort?
AntwortIn aller Regel ja. Ein eventuelles künftiges Mehr an Information kann auch über die Umsetzung der Informationspflicht nach Art. 13 und 14 DS-GVO gegenüber den betroffenen Personen erfolgen.
FrageMuss ich mit einem Dolmetscher oder Übersetzer einen Auftragsverarbeitungsvertrag abschließen?
AntwortNein. Dolmetscher sind Verantwortliche, die ihre fachliche Fremdsprachenleistung eigenständig erbringen.
FrageDarf ich Kontaktdaten aus dem Impressum von Webseiten für Werbezusendungen nutzen?
AntwortNein, weil hier Anbieter zu einer Veröffentlichung ihrer Kontaktdaten gesetzlich verpflichtet sind.
FrageIst der Betriebsrat ein eigener Verantwortlicher; braucht er einen DSB, wenn er mehr als 20 Mitglieder hat?
AntwortSolange sich der Betriebsrat im Rahmen der Wahrnehmung seiner gesetzlichen Aufgaben bewegt, handelt es sich bei ihm nicht um einen "Dritten" im Sinne von Art. 4 Ziffer 10 DS-GVO. Der Betriebsrat ist Teil des Verantwortlichen. Der DSB des Verantwortlichen ist deshalb auch für ihn zuständig.
FrageWie lange darf ich die Daten von Bewerbern speichern?
AntwortÜber das Auswahlverfahren hinaus dürfen Bewerberdaten (nach entsprechender Information der Bewerber) noch maximal sechs Monate aufgehoben werden, um bei Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Darüber hinaus ist die weitere Speicherung (nur) mit Einwilligung der Bewerber zulässig.
FrageWelche Informationspflicht bestehen bei Übergabe einer Visitenkarte?
AntwortIn den meisten Fällen keine, da die Kontaktdaten der Verantwortlichen und der Zweck (Zusendung von Infomaterial) klar sind. Nur wenn ein abweichender Zweck beabsichtigt ist, bestehen weitergehende Informationspflicht.
FrageWie kann ich meine Informationspflicht erfüllen?
AntwortDie Informationspflicht nach Art. 13 und 14 DS-GVO können auch in abgestufter Form (mit "Medienbruch") erfüllt werden. In der ersten Stufe ist "weniger oft mehr". Alle notwendigen Informationen müssen aber "irgendwo", z. B. auf der Webseite oder als Infoblatt, bereitgehalten werden, worauf hinzuweisen ist.
FrageDarf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen.
AntwortDie Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.
FrageDarf ich eine Dashcam benutzen?
AntwortDie Nutzung einer Dashcam in der Weise, dass permanent aufgenommen wird, ist unzulässig. Die Aufnahme einzelner besondere (z. B. Unfall-)Situationen kann zulässig sein. Die Verwertung unzulässig entstandener Dashcamaufnahmen durch Gerichte beurteilt sich nicht nach Datenschutzvorschriften.
FrageMuss ich, wenn ich mein Auskunftsrecht geltend mache, wirklich eine Personalausweiskopie vorlegen?
AntwortWer Auskunft erteilen soll, muss sicher sein, dass er die Auskunft an den Richtigen schickt. Nicht generell, aber je nach Sensibiltät der Daten kann es gerechtfertigt sein, eine Kopie des Personalausweises zu verlangen (wie z. B. SCHUFA).
FrageDarf ich in meine Patientenakte beim Arzt Einsicht nehmen und habe ich das Recht, davon eine (Foto-)Kopie zu bekommen?
AntwortJa, gemäß § 630g BGB ist dem Patienten auf Verlangen unverzüglich Einsicht in die vollständige, ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche, therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen. Er hat dem Behandelnden die entstandenen Kosten zu erstatten. Kostenlos kann der Patient gemäß Art. 15 DS-GVO sein Auskunftsrecht geltend machen, hat dabei aber kein Recht auf Erhalt von Fotokopien.
FrageWann kann die Auskunft über gesperrte Daten gemäß § 34 Abs. 1 Nr. 2 BDSG wegen unverhältnismäßigen Aufwands verweigert werden?
AntwortDer Verantwortliche muss bei Berufung auf § 34 Abs. 1 Nr. 2 BDSG sowohl uns gegenüber als auch gegenüber der betroffenen Person konkrete Umstände darlegen, die den unverhältnismäßigen Aufwand begründen. Eine bloße pauschale Berufung auf Berechtigungskonzepte oder ein genereller Hinweis, dass über gesperrte Daten keine Auskunft erteilt werde, sind hierfür jedenfalls nicht ausreichend.
FrageMeine Daten wurden von einem Insolvenzverwalter an ein Inkassounternehmen weitergegeben. Hierzu habe ich keine Einwilligung erteilt. Ist dies zulässig?
AntwortGrundsätzlich ja. Klassischerweise besteht in derartigen Fällen eine vertragliche Beziehung zwischen der Person, deren Daten weitergegeben wurden, und der insolventen Person. Mit Eröffnung des Insolvenzverfahrens geht die Verwaltungs- und Verfügungsbefugnis auf den Insolvenzverwalter als nunmehr Verantwortlichen über (§ 80 Abs. 1 InsO). Der Insolvenzverwalter hat dann die Befugnis, die Forderungen des insolventen Vertragspartners geltend zu machen. Hiervon gedeckt ist auch die Einschaltung eines Inkassounternehmens. Rechtsgrundlage für die Datenübermittlung ist insoweit Art. 6 Abs. 1 S. 1 b) DS-GVO.
FrageIm Rahmen einer Streitigkeit, die aktuell vor Gericht ausgetragen wird, wurden meine Daten vom Anwalt der gegnerischen Partei an das Gericht weitergeleitet. Ist dies datenschutzrechtlich zulässig?
AntwortGrundsätzlich ja. Die Datenverarbeitung kann in solchen Konstellationen meist auf Art. 6 Abs. 1 S. 1 f) DS-GVO gestützt werden. In Gerichtsverfahren muss es den Parteien und ihren Prozessvertretern möglich sein, ihre Rechtsposition inklusive aller Angriffs- und Verteidigungsmittel umfassend darzulegen, um ihrer prozessualen Pflicht, sich zu den Tatsachen vollständig und wahrheitsgemäß zu erklären, nachkommen zu können. Gerade im Zusammenhang mit Beweisanträgen ist es dabei häufig erforderlich, Daten anderer Personen zu verarbeiten, bspw. bei der Benennung von Zeugen. Das Interesse der betroffenen Personen daran, dass ihre Daten nicht in einer öffentlichen Gerichtsverhandlung genannt werden, muss daher regelmäßig zugunsten eines fairen Verfahrens, in dem die Parteien sich umfassend erklären können (vgl. auch Art. 103 Abs. 2 GG), zurücktreten. Für die Fälle, in denen die betroffenen Personen ein besonders schutzwürdiges Interesse daran haben, dass ihre Daten nicht in einem Gerichtsverfahren öffentlich gemacht werden, hat der Gesetzgeber mit §§ 170 ff. GVG Möglichkeiten für das Gericht geschaffen, die Öffentlichkeit auszuschließen.
FrageDarf eine Arztpraxis Werbung mit Gesundheitsdaten betreiben?
AntwortGesundheitsdaten nach Art. 9 Abs. 1 DS-GVO dürfen nur zum Zweck der Werbung verarbeitet werden, wenn dazu eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Bei der Verarbeitung von Gesundheitsdaten zum Zweck des Marketings empfehlen wir generell, eine Einwilligung des betreffenden Patienten einzuholen.
FrageWie lange sind Patientenakten aufzubewahren?
AntwortPatientenakten sind gemäß § 630f Abs. 3 BGB vom Arzt bzw. Psychotherapeuten nach Abschluss der Behandlung für die Dauer von 10 Jahren aufzubewahren. Allerdings können nach anderen Vorschriften (z. B. bei der Strahlentherapie oder der berufsgenossenschaftlichen Behandlung) auch längere Aufbewahrungsfristen bestehen. Eine längere Aufbewahrung kann auch vorgenommen werden, wenn der Arzt bzw. Psychotherapeut dies aus medizinischen Gründen für erforderlich hält. Zu den Aufbewahrungsfristen verweisen wir Sie auf die Ausführungen der Kassenärztlichen Vereinigung Bayerns.
FrageDürfen Arzt und Patient via E-Mail kommunizieren?
AntwortEin Arzt darf grundsätzlich mit seinen Patienten per E-Mail kommunizieren. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 Buchst. f) DS-GVO, da der Arzt ein berechtigtes Interesse an der effizienten Abwicklung der Kommunikation hat. Der Arzt muss in diesem Fall nach Art. 32 DS-GVO als Verantwortlicher technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Soweit im Einzelfall ein hohes Risiko besteht, darf der Mailversand nur inhaltsverschlüsselt erfolgen.
FrageWie kann Diskretion in der Arztpraxis gewährleistet werden?
AntwortIm Empfangsbereich sowie im Behandlungszimmer sollten PCs, Patientenakten oder sonstige Patienteninformationen für die ankommenden und wartenden Patienten nicht einsehbar sein. Die namentliche Ansprache von Patienten in der Arztpraxis ist auch unter der DS-GVO weiter zulässig. Allgemeine Hilfestellungen rund um das Thema Diskretion in der Arztpraxis bieten Veröffentlichungen der Kassenärztlichen Vereinigung Bayerns sowie der Ärztekammer.
FrageWie kann ich als Arzt Videosprechstunden durchführen?
AntwortSeit April 2017 kann die Videosprechstunde durchgeführt und abgerechnet werden. Hierdurch können Ärzte ihren Patienten beispielsweise die weitere Therapie erläutern oder den Heilungsprozess von Wunden begutachten. Den Patienten erspart sich dadurch der Weg zur Praxis.
FrageGibt es in der Versicherungsbranche spezifische Regelungen für die Einhaltung des Datenschutzes?
AntwortJa. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erarbeitete mit den Aufsichtsbehörden Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Versicherungswirtschaft. Diesen Verhaltensregeln (auch „Verhaltenskodex“ oder auf Englisch „Code of Conduct“ genannt) sind bisher die meisten Versicherer beigetreten. Durch die Anwendung dieser Regeln werden die Vorgaben der DS-GVO für die Versicherungswirtschaft branchenspezifisch datenschutzrechtlich zulässig konkretisiert.
FrageIst es zulässig, dass meine Daten innerhalb einer Versicherungsgruppe weitergegeben werden?
AntwortGrundsätzlich ja. Die Weitergabe innerhalb einer Versicherungsgruppe ist insb. in folgenden Konstellationen gestattet: Wenn eine betroffene Person mit mindestens einem Unternehmen einer Versicherungsgruppe einen Vertrag geschlossen hat, dürfen auch die anderen Unternehmen dieser Versicherungsgruppe auf die Stammdaten der betroffenen Person zugreifen, soweit dies für den jeweiligen Zweck erforderlich ist. Im Rahmen der Auftragsverarbeitung kann ein anderes Unternehmen innerhalb der Versicherungsgruppe mit der Verarbeitung personenbezogener Daten der Versicherten beauftragt werden (z.B. bei Leistungsabrechnungen). Ist es zur Erfüllung des Versicherungsvertrages erforderlich, können personenbezogene Daten an Dienstleister übermittelt werden, wie beispielsweise an Sachverständige zur Begutachtung des Versicherungsfalles. Nicht gestattet ist dies bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), insb. bei Gesundheitsdaten. Hierfür ist eine Einwilligungs- und Schweigepflichtentbindungserklärung notwendig. In den genannten Fallgruppen kann die Datenverarbeitung regelmäßig auf Art. 6 Abs. 1 S. 1 b) DS-GVO gestützt werden. Für diejenigen Versicherungen, die den Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Versicherungswirtschaft beigetreten sind, gelten insoweit auch die speziellen Vorgaben der Verhaltensregeln.
FrageDarf meine Versicherung – ohne meine Zustimmung – eine Einmeldung in das Hinweis- und Informationssystem (HIS) vornehmen?
AntwortGrundsätzlich ja. Einmeldungen in das HIS erfolgen nur bei Vorliegen bestimmter Meldegründe. Dabei handelt es sich um risikorelevante Informationen oder betrugsgeneigte Auffälligkeiten im Einzelfall. Die Einmeldung in das HIS kann daher grds. auf Art. 6 Abs. 1 S. 1 f) DS-GVO gestützt werden, da sie der Erkennung, Verhinderung und Aufklärung von Versicherungsbetrug dient (vgl. Erwägungsgrund 47, Satz 6 zur DS-GVO). Überdies werden keine besonderen Kategorien personenbezogener Daten in das HIS eingemeldet. Eine Einmeldung in das HIS hat auch nicht automatisch zur Folge, dass der Abschluss eines Versicherungsvertrags oder die Schadensregulierung abgelehnt wird. Um den Anforderungen an die Transparenz nach Art. 12 ff. DS-GVO gerecht zu werden, werden Sie sowohl vorab als auch bei jeder konkreten Einmeldung in das HIS von Ihrer Versicherung informiert. Zudem haben Sie ggü. der Betreiberin des HIS, der informa HIS GmbH, ein Auskunftsrecht gem. Art. 15 DS-GVO, um – sofern nicht ohnehin bekannt – die Hintergründe Ihrer Einmeldung zu erfahren.
FrageDarf ein Rechtsanwalt personenbezogene Daten per E-Mail versenden?
AntwortEine Kommunikation per E-Mail zwischen Rechtsanwalt und Mandant bzw. Gegenseite ist grundsätzlich möglich, da Rechtsanwälte gemäß Art. 6 Abs. 1 Satz 1 f) DS-GVO insoweit ein berechtigtes Interesse an der effizienten Abwicklung ihres Schriftverkehrs geltend machen können. Dies gilt ebenso für den Erstkontakt. Nach Art. 32 Abs. 1 DS-GVO muss der Rechtsanwalt beim Versand von E-Mails jedoch geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies setzt grundsätzlich das Vorhandensein einer TLS Transportverschlüsselung (heutzutage Standard) voraus. Alle Daten, die zwischen den Kommunikationspartnern hierbei ausgetauscht werden, sind unter diesen Voraussetzungen während des Versands verschlüsselt. Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person, ist zusätzlich eine Inhaltsverschlüsselung (beispielsweise mittels PGP oder SMIME) vorzusehen. Weitere Informationen hierzu sind unserem Tätigkeitsbericht 2019 unter 18.5 zu entnehmen.
FrageWas ist unter Gesundheitsdaten nach Art. 4 Nr. 15 DS-GVO zu fassen?
AntwortZu den gesundheitsbezogenen Daten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, wie bspw. Nummern, Symbole oder Kennzeichen, die ihr zugeteilt werden, um sie für gesundheitliche Zwecke eindeutig identifizieren zu können (vgl. Erwägungsgrund 35 zur DS-GVO).

Informationen über den Gesundheitszustand einer Person können sich aus unmittelbaren und mittelbaren Angaben ergeben. Bei mittelbaren Angaben muss jedoch im Einzelfall auf deren Verwendungszusammenhang abgestellt werden, denn erst durch den Verwendungszusammenhang (Verwendung der mittelbaren Angaben durch bestimmte Personen oder Stellen zu bestimmten Zwecken) ergibt sich oft die Sensitivität bzw. Sensibilität sowie die besondere Schutzwürdigkeit der Daten.

Beispiel:
Die Konfektionsgröße einer Person stellt ein mittelbares Gesundheitsdatum einer Person dar. Generell sind zusätzlich zur Konfektionsgröße weitere Daten zu der Person notwendig, wie bspw. die Körpergröße der Person, um daraus gesundheitliche Einschätzungen ableiten zu können. Im Bereich von Textil-Einzelhandelsunternehmen wird die Konfektionsgröße nicht im Hinblick auf die in ihr vermeintlich enthaltene Gesundheitsinformation verarbeitet. Vielmehr dient die Angabe bzw. Verarbeitung der Konfektionsgröße hier dem Verkauf passender Kleidungsstücke. In diesem Kontext ist die Konfektionsgröße daher nicht als Gesundheitsdatum zu werten.

Dahingegen sind unmittelbare Angaben zu dem Gesundheitsstand einer betroffenen Person generell als sensitiv gemäß Art. 9 DS-GVO zu behandeln. Darunter fallen u. a. Informationen, wie bspw. Röntgenbilder, Blutgruppe, Untersuchungsergebnisse, Unfälle, Impfungen und Krankheiten.
FrageDürfen Unternehmen ihren Kunden Kontakt über WhatsApp anbieten?
AntwortSoweit das Unternehmen den datenschutzgerechten Einsatz von WhatsApp auch vor allem im Hinblick auf Adressbuchdaten gewährleisten können sollte, bleibt für das Kommunikationsangebot an seine Kunden erforderlich, dass diesen jederzeit an gleichwertige andere Kontaktaufnahme zur Verfügung steht. Aufgrund fortbestehender Rechtsunsicherheiten um den datenschutzgerechten Einsatz des Messengerdienstes "WhatsApp" raten wir generell dazu, Alternativen wie beispielsweise z.B. Threema, Signal, oder Hoccer zu prüfen.
FrageBrauche ich ein Cookie- Banner auf meiner Webseite wenn ich nur "technisch notwendige" Cookies einsetze?
AntwortNein, sofern nur technisch notwendige Cookies eingesetzt werden ist ein Cookie- Banner nicht erforderlich. Es ist ausreichend, dass in der Datenschutzerklärung über deren Verwendung und Funktionsweise informiert wird.
FrageIst für technisch nicht notwendige Cookies immer eine Einwilligung erforderlich?
AntwortEntsprechend Art. 5 Abs. 3 der RL 2002/58/EG (E-Privacy-Richtlinie in der Fassung der sog. Cookie-Richtlinie 2009/136/EG) sind grundsätzlich alle Cookies einwilligungspflichtig, sofern sie nicht technisch notwendig sind. Bis zur Umsetzung dieser Vorgaben durch den Bundesgesetzgeber erkennen die deutschen Aufsichtsbehörden nach der Orientierungshilfe für Anbieter von Telemedien DSK OH Telemedien, die Möglichkeit an, den Einsatz von Cookies auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f) DS-GVO zu stützen. Dieses berechtigte Interesse muss aber durch eine detaillierte Interessensabwägung dargelegt werden und ist im Regelfall bei Third-Party- Cookies, die dem Webtracking dienen, zu verneinen. Soweit das berechtigte Interesse von dem Verantwortlichen im Rahmen seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO belegt werden kann und über den Einsatz und die Funktionsweise technisch nicht notwendiger Cookies in der Datenschutzerklärung hinreicht informiert wird, wird das BayLDA auch bei Fehlen einer Einwilligung derzeit von aufsichtlichen Schritten absehen.
FrageMeine Daten wurden von einer anderen Person an einen Rechtsanwalt weitergegeben. Ist dies datenschutzrechtlich zulässig?
AntwortGrundsätzlich ja. Die Datenverarbeitung kann in solchen Konstellationen meist auf Art. 6 Abs. 1 S. 1 f) DS-GVO (ggf. i.V.m. Art. 9 Abs. 2 f) DS-GVO) gestützt werden. Die Einschaltung eines Rechtsanwalts ist grundsätzlich als berechtigtes Interesse des Verantwortlichen, also der übermittelnden Person, anzusehen. Die Interessen der betroffenen Person an der Nichtübermittlung haben hier i.d.R. zurückzutreten. Dies gilt unabhängig davon, ob bereits ein etwaiger Rechtsstreit bei einem Gericht anhängig ist oder nicht.
FrageDarf ein Rechtsanwalt eine Honorarforderung an einen weiteren Rechtsanwalt abtreten?
AntwortJa, die Abtretung von Honorar- bzw. Vergütungsforderungen eines Rechtsanwaltes oder die Übertragung ihrer Einziehung an Rechtsanwälte ist grundsätzlich zulässig (vgl. hierzu § 49b Abs. 4 Satz 1 Bundesrechtsanwaltsordnung (BRAO)). Zu beachten ist jedoch, dass die Rechtmäßigkeit dieser Forderungen nicht durch eine Datenschutzaufsichtsbehörde beurteilt werden kann, da es sich hierbei um eine zivilrechtliche Fragestellung handelt.
FrageGibt es eine Hilfestellung für Vereine bei der Erstellung von Datenschutzhinweisen nach Art. 13 DS-GVO für die Vereinswebseite?
AntwortJa. Die Stiftung Datenschutz stellt unter https://stiftungdatenschutz.org/ehrenamt neben Informationen zum Datenschutz im Ehrenamt auch einen Generator für Datenschutzhinweise zur Verfügung. Mit Hilfe dieses Generators kann eine Vorlage für die vereinseigenen Datenschutzhinweise erstellt werden. Der so erzeugte Text ist sodann auf seine Richtigkeit und Vollständigkeit zu prüfen. Näheres wird in den dazugehörigen Nutzungshinweisen erläutert.
FrageWie lange darf ein Verein Mitgliederdaten verarbeiten?
AntwortMitgliederdaten dürfen nur so lange aufbewahrt werden, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist (Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 Buchst. e DS-GVO). Eine darüberhinausgehende Speicherung ist nur zulässig, wenn eine Rechtsgrundlage hierfür besteht, insbesondere wenn eine gesetzliche Verpflichtung zur weiteren Aufbewahrung besteht. Werden die Daten jedoch nur noch für die Erfüllung gesetzlicher Aufbewahrungspflichten gespeichert, so ist die Verarbeitung einzuschränken, d.h. insbesondere, dass die Datensätze entsprechend markiert sein sollten, ein Zugriff nur noch durch einen kleinen Kreis berechtigter Personen erfolgen können sollte und die Daten nicht mehr verändert werden können sollten.
FrageWer darf auf die Mitgliederdaten zugreifen?
AntwortEine Zugriffsberechtigung auf die Mitgliederdaten dürfen nur diejenigen Funktionsträger im Verein haben, die diesen auch für eine zulässige Datenverarbeitung benötigen. Die Zugriffsberechtigungen sollten in der Satzung oder in einem gesonderten Regelwerk („Datenschutzordnung“ o.ä.) festgelegt werden.
FrageWie ist mit einem Verlangen nach Auskunft oder Löschung umzugehen?
Antwort

Auf Auskunfts- oder Löschverlangen einer Person ist unverzüglich, spätestens innerhalb eines Monats nach Eingang des Verlangens zu reagieren.

Wird ein Auskunftsersuchen gestellt, ist zu prüfen, ob überhaupt personenbezogene Daten zu der Person verarbeitet werden. Trifft dies nicht zu, ist dies mitzuteilen (sog. Negativauskunft). Werden personenbezogene Daten zu der Person verarbeitet, sind diese ebenso wie die weiteren Informationen gem. Art. 15 Abs. 1 DS-GVO mitzuteilen.

Bei einem Löschersuchen ist zu prüfen, ob Gründe einer Löschung entgegenstehen, beispielsweise weil noch Aufbewahrungspflichten bestehen bzw. die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden.

FrageWas ist zu beachten, wenn personenbezogene Daten abhanden kommen?
Antwort

Ist der Schutz personenbezogener Daten verletzt, wenn z.B. Daten abhanden gekommen sind (Datenleck, Verlust von Datenträgern o.ä.) bzw. unbefugt offengelegt wurden, muss dies innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, die Verletzung führt nicht zu einem erheblichen Risiko.

Insbesondere wenn ein Datenschutzbeauftragter aufgrund der Größe des Vereins nicht bestellt werden muss, sollte eindeutig geregelt sein, wer Ansprechpartner für eine Verletzung des Schutzes personenbezogener Daten ist und für die Meldung an die Aufsichtsbehörde zuständig ist.

FrageWo finde ich weitere Informationen zur Datenverarbeitung im Verein?
AntwortWeitere Informationen und Verlinkungen zum Datenschutz im Verein finden Sie auf unserer Homepage unter der Themenseite für Vereine.
FrageIst Postwerbung erlaubt?
AntwortDie Verwendung von Adressen für Postwerbung ist grundsätzlich erlaubt. Die angeschriebene Person hat allerdings ein Recht auf Widerspruch. Bis ein solcher Werbewiderspruch Wirkung entfaltet, kann es bei Versendern wegen bereits zur Aussendung fertig gemachter weiterer Werbesendungen oft einige Wochen dauern. Wenn Sie allgemein die Verwendung Ihrer Postadresse für Werbung einschränken wollen, können Sie sich in die sog. Robinsonliste eintragen lassen, die der Deutsche Dialogmarketing-Verband führt und die von vielen Unternehmen im In- und Ausland berücksichtigt wird. Siehe dazu den Link unten.
FrageIst E-Mail-Werbung oder SMS-Werbung erlaubt?
AntwortDie Verwendung von E-Mail-Adressen für E-Mail-Werbung bzw. Newsletter-Zusendung ist, falls bisher keine Geschäftsbeziehung mit dem Empfänger bestand ("Neukundenwerbung"), nur erlaubt, wenn hierfür eine vorherige ausdrückliche Einwilligung gegeben ist, egal ob Verbraucher oder Unternehmen angesprochen werden. Gleiches gilt für die Verwendung von Telefonnummern für SMS-Werbung. Bei bestehenden Kundenbeziehungen ("Bestandskunden") ist E-Mail- oder SMS-Werbung zulässig, wenn die elektronischen Kontaktdaten im Zusammenhang mit der Vertragsabwicklung (Verkauf einer Ware oder Dienstleistung) erlangt worden sind, (nur) für eigene ähnliche Waren oder Dienstleistungen geworben wird, dem bisher nicht widersprochen wurde und bei der Erhebung der elektronischen Kontaktdaten sowie bei jeder Werbe-E-Mail bzw. -SMS klar und deutlich auf das Widerspruchsrecht hingewiesen wurde bzw. wird.
FrageDarf eine kostenlose Leistung (E-Mail-Account, Internet-Dienstleistung, App-Nutzung usw.) mit einer Zustimmung zu werblichen Zusendungen oder Einblendungen verknüpft werden?
AntwortDie grundrechtlich geschützte, allgemeine Vertragsfreiheit erlaubt es den Vertragsparteien im Rahmen der Gesetze die Vertragsinhalte (Leistung und Gegenleistung) frei festzulegen. Wenn also das Vertragsangebot klar und deutlich dergestalt lautet, dass eine Leistung dann kostenfrei zur Verfügung gestellt wird, wenn der Kunde als seine Vertrags-Gegenleistung ("Bezahlung") Werbung erlaubt, so ist dagegen datenschutzrechtlich nichts einzuwenden. Denn es gibt einerseits keinen Rechtsanspruch auf kostenlose Leistungen und andererseits können gleichwertige "werbefreie" Leistungsangebote, soweit keine Monopolstrukturen gegeben sind, regelmäßig gegen vertretbares Entgelt bei verschiedenen Anbietern erlangt werden.
FrageSind Kundenzufriedenheitsbefragungen per E-Mail erlaubt?
AntwortKundenzufriedenheitsbefragungen werden von der Rechtsprechung als Werbung angesehen. Per Telefon abgefragt oder per E-Mail bzw. SMS verschickt sind sie bei diesen Kommunikationswegen daher grundsätzlich nur mit Einwilligung zulässig. Ausnahmsweise ist der Versand per E-Mail im Nachgang zu erbrachten Leistungen (Warenlieferung, Reparatur, Hotelaufenthalt usw.) ohne Einwilligung erlaubt, wenn bei der Leistungserbringung auf eine beabsichtigte Kundenzufriedenheitsbefragung und das dagegen bestehende Werbewiderspruchsrecht nach Art. 21 Abs. 2 DS-GVO hingewiesen wurde. Aus Gründen der Nachweisbarkeit empfiehlt es sich, auch in der E-Mail auf das Widerspruchsrecht hinzuweisen.
FrageDarf unser Unternehmen personenbezogene Daten in Nicht-EU-Länder übermitteln?
AntwortPersonenbezogene Daten dürfen in Nicht-EU-/EWR-Länder übermittelt werden, wenn
  1. das Drittland ein von der Europäischen Kommission als angemessen anerkanntes Datenschutzniveau besitzt,
  2. sog. geeignete Garantien zum Einsatz gebracht werden, z. B. Standarddatenschutzklauseln, Binding Corporate Rules; Achtung: In diesen Fällen – je nach Rechtslage und Situation im jeweiligen Zielland – müssen unter Umständen für die Absicherung der Übermittlung zusätzliche Maßnahmen ergriffen werden; in einigen Fällen ist dies u.U. nicht möglich, so dass die Übermittlung dann unterbleiben muss (Weitere Informationen);
  3. oder eine der Ausnahmemöglichkeiten nach Art. 49 DS-GVO einschlägig ist.
FrageIn den USA gibt es jetzt den US Cloud Act. Dürfen vor diesem Hintergrund überhaupt noch personenbezogene Daten in die USA übermittelt werden?
AntwortDer US Cloud Act ist ein US-Gesetz, das es den US-Strafverfolgungsbehörden in bestimmten Fällen ermöglicht, personenbezogene Daten von Unternehmen auch dann herauszuverlangen, wenn diese außerhalb der USA gespeichert sind. Dies kann zu Konflikten mit der DS-GVO führen. Unabhängig vom Cloud Act dürfen jedoch nach wie vor personenbezogene Daten etwa an Unternehmen in den USA übermittelt werden, sofern die Anforderungen des Fünften Kapitels der DS-GVO erfüllt sind, ggf. unter Anwendung sog. zusätzlicher Maßnahmen (Weitere Informationen).Jedoch dürfen Unternehmen, die in der Europäischen Union personenbezogene Daten verarbeiten, direkt an sie gerichtete auf dem US Cloud Act beruhende Anfragen von US-Strafverfolgungsbehörden zur Herausgabe von personenbezogen Daten, die unter die DS-GVO fallen, in aller Regel nicht erfüllen, sondern müssen die anfragende US-Behörde darauf verweisen, ein Rechtshilfeersuchen bei den zuständigen deutschen Behörden zu stellen. Eine direkte Übermittlung solcher Daten an US-Strafverfolgungsbehörden wäre in aller Regel ein Verstoß gegen Artikel 48 DS-GVO (Näheres dazu in der Anlage zum Brief des Europäischen Datenschutzausschusses vom 12.07.2019 an den LIBE-Ausschuss des Europäischen Parlaments).
FrageSind die Standarddatenschutzklauseln ein rechtssicheres Instrument, um personenbezogene Daten in Drittländer zu übermitteln?
AntwortDerzeit existieren drei Arten von Standarddatenschutzklauseln für Übermittlungen in Drittländer: Standarddatenschutzklauseln. Die Europäische Kommission wird voraussichtlich in den ersten Monaten des Jahres 2021 neue Standarddatenschutzklauseln veröffentlichen. Unternehmen, die die bisherigen Klauseln verwenden, werden voraussichtlich ein Jahr Zeit haben, ihre Übermittlungen auf die neuen Klauseln umzustellen. Jedoch genügen die (alten wie neuen) Standarddatenschutzklauseln in einigen von Fällen für sich alleine gesehen nicht (mehr), um Übermittlungen zu legitimieren, sondern müssen ggf. durch zusätzliche Maßnahmen ergänzt werden. Für einige Fälle wird es u.U. nicht möglich sein, zusätzliche Maßnahmen zu ergreifen, so dass solche Übermittlungen unterbleiben bzw. beendet werden müssen (Weitere Informationen).
FrageMuss bei Übermittlungen an Auftragsverarbeiter in Drittländern zusätzlich zu den Standarddatenschutzklauseln noch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden?
AntwortBislang ja, da die bisherigen Standarddatenschutzklauseln gemäß Kommissionsbeschluss 2010/87/EU nicht alle Anforderungen an einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO enthalten. Die Kommission hat für Anfang 2021 neue Standarddatenschutzklauseln für Auftragsverarbeitung angekündigt, die dann auch die Anforderungen an einen Auftragsverarbeitungsvertrag beinhalten sollen. Neben den künftigen Standarddatenschutzklauseln (sobald diese zur Verfügung stehen und verwendet werden) wird daher der zusätzliche Abschluss eines AVV nicht mehr nötig sein.
FrageUnsere Einkaufs-/Vertriebs-Mitarbeiter sind häufig auf Geschäftsreise bei Zulieferern oder Kunden in Nicht-EU-Ländern. Müssen wir für die Übermittlung der Kontaktdaten und weiteren personenbezogenen Daten unserer Mitarbeiter an die besuchten Unternehmen mit Letzteren Standarddatenschutzklauseln abschließen?
AntwortSolche Übermittlungen können grundsätzlich auf die Ausnahmevorschrift des Art. 49 Abs. 1 Buchstabe b DS-GVO gestützt werden. Sofern eine verfestigte Geschäftsbeziehung zu einem Lieferanten/Kunden in einem Drittland besteht und somit der Mitarbeiter regelmäßig/wiederholt zu diesem Lieferanten/Kunden reist, sind nach Aussage des Europäischen Datenschutzausschusses für die Übermittlung Garantien nach Art. 46 DS-GVO notwendig, z. B. Standarddatenschutzklauseln.
FrageEin Verantwortlicher in der EU hat einen Auftragsverarbeiter ebenfalls in der EU, der die Daten bei einem Unterauftragsverarbeiter in einem Drittstaat (z. B. bei einem US-Cloud-Anbieter) speichern möchte. Kann der "erste" (EU-)Auftragsverarbeiter selbst Standarddatenschutzklauseln mit dem (US-)Unterauftragsverarbeiter abschließen?
AntwortStandarddatenschutzklauseln (SCC) zwischen Auftragsverarbeiter und Unterauftragsverarbeiter ("Processor-to-Processor") gibt es derzeit (noch) nicht. Daher kann in dieser Konstellation nur der Verantwortliche Standdarddatenschutzklauseln direkt mit dem (US-)Unterauftragsverarbeiter abschließen; ein solcher "Direktabschluss" der SCC kann natürlich auch durch den "ersten" (EU-)Auftragsverarbeiter in zivilrechtlicher Stellvertretung (für den Verantwortlichen) herbeigeführt werden; Vertragsparteien der SCC sind aber auch dann stets der Verantwortliche und der (US-)Unterauftragsverarbeiter.
FrageFür welche Unternehmen können Binding Corporate Rules (BCR) geeignet sein?
AntwortBCR sind eine Möglichkeit, Garantien im Sinne von Art. 46 DS-GVO für Datenübermittlungen in Drittländer zu erbringen. BCR umfassen nur Übermittlungen innerhalb eines Konzerns oder innerhalb einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben. Tendenziell sind BCR daher (nur) für Unternehmensgruppen mit einer relativ großen Anzahl an gruppenangehörigen Unternehmen sowohl inner- als auch außerhalb der EU geeignet.
FrageDarf der Vermieter/Verwalter meine (Mieter) Telefonnummer an einen Handwerker weitergeben?
AntwortIn der Regel ja, wenn es nach vernünftigem Ermessen notwendig ist, dass der Handwerker mit dem Mieter Kontakt aufnimmt, um einen Termin zu vereinbaren. Die Weitergabe ist in solchen Fällen meist aufgrund "berechtigter Interessen" des Vermieters/Verwalters gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig.
FrageDarf eine Forderung gegen mich an ein Inkassounternehmen verkauft werden?
AntwortForderungen können nach dem deutschen Zivilrecht grundsätzlich ähnlich wie Waren gehandelt/verkauft werden, wobei die dazu notwendigen Daten zum Schuldner und zu der Forderung mit übergeben werden müssen, damit der neue Gläubiger auch die Möglichkeit hat, die Forderung zu realisieren.
FrageDarf der Verwalter meine E-Mail-Adresse (Eigentümer in einer Eigentümergemeinschaft) ohne meine Einwilligung an die anderen Eigentümer weitergeben?
AntwortIn einer Eigentümergemeinschaft hat zwar jeder Eigentümer Anspruch, die Identität der anderen Eigentümer und deren Kontaktdaten zu erfahren. Die E-Mail-Adresse ist hierfür nicht unbedingt erforderlich, es genügt die postalische Adresse. In aller Regel darf der Verwalter daher die E-Mail-Adresse von Eigentümern nur mit deren Einwilligung an andere Eigentümer weitergeben.
FrageDer Verwalter der Eigentümergemeinschaft hat meine (Eigentümer) Abrechnungsdaten im Vorfeld der Eigentümerversammlung an alle Eigentümer verschickt. Ist das zulässig?
AntwortGemäß § 28 Abs. 5 Wohnungseigentumsgesetz (WEG) müssen die Wohnungseigentümer über die Abrechnung einen Beschluss fassen. Zur Abrechnung gehören die sog. Gesamtabrechnung und die Einzelabrechnungen aller einzelnen Eigentümer. Damit darf - und muss - der Verwalter auch alle Einzelabrechnungen an alle Eigentümer spätestens in der Eigentümerversammlung bekannt geben, damit diese darüber abstimmen können. Die Bekanntgabe ist daher kein Datenschutzverstoß.
FrageDer Verwalter in der Eigentümergemeinschaft hat meine (Eigentümer) Daten an den Verwaltungsbeirat übermittelt. Ist das rechtens?
AntwortDer Verwaltungsbeirat ist dafür da, den Verwalter bei der Durchführung seiner Aufgaben zu unterstützen (§ 29 Abs. 2 WEG). Der Verwalter darf daher personenbezogene Daten (z. B. der Eigentümer), die er zu seiner Aufgabenerfüllung verarbeiten darf, auch an den Beirat weitergeben, soweit er sich vom Verwaltungsbeirat im konkreten Fall unterstützen lässt.
FrageDürfen die Ergebnisse der Legionellenuntersuchung im Treppenhaus ausgehängt werden?
AntwortNach der Trinkwasserverordnung ist in bestimmten Immobilien eine Legionellenuntersuchung des Trinkwassers zwingend vorgeschrieben. Im Falle eines Befundes müssen die Bewohner informiert werden. Diese Information sollte jedoch nicht durch Aushang im Treppenhaus erfolgen, da die Ergebnisse dabei auch Dritten (Besuchern) zu Kenntnis gelangen, was nicht erforderlich ist. Die Information sollte daher auf anderem Wege erfolgen.
FrageDarf der Vermieter/Makler von mir (Mietinteressent) schon vor der Wohnungsbesichtigung Gehaltsnachweise verlangen?
AntwortIn aller Regel nein. Gehaltsnachweise dürfen vom Bewerber erst verlangt werden, wenn sich der Vermieter bereits für einen bestimmten Bewerber entschieden hat, also unmittelbar vor Abschluss des Mietvertrages und somit nicht schon vor dem Besichtigungstermin.
FrageDarf eine Bank die einzelnen Zahlungsein- und -ausgänge auf Girokonten werblich oder für Beratungen auswerten?
AntwortBanken sind zu den Zahlungsvorgängen auf Girokonten primär nur "Transporteur von Geld" und datenschutzrechtlich nicht berechtigt, diese Umsatzdaten ohne Einwilligung personenbezogen für Beratungs- und Marketingzwecke oder ähnliches auszuwerten. § 59 des Zahlungsdiensteaufsichtsgesetz regelt dazu folgendes: (1) Betreiber von Zahlungssystemen und Zahlungsdienstleister dürfen personenbezogene Daten verarbeiten, soweit das zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist. (2) Zahlungsdienstleister dürfen die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Einwilligung des Zahlungsdienstnutzers abrufen, verarbeiten und speichern.
FrageMuss ein Verein von seinen Mitgliedern Einwilligungserklärungen für die Verarbeitung ihrer Daten einholen?
Antwort

Soweit die Mitgliederdaten im Rahmen der Mitgliedschaft verarbeitet werden müssen, d.h. insbesondere für die Mitgliederverwaltung ist keine Einwilligung nötig. Die Verarbeitung zu diesem Zweck ist nach Art. 6 Abs. 1 Buchstabe b DS-GVO (Vertragserfüllung) gesetzlich erlaubt.

Zudem können gesetzliche Pflichten zur Datenverarbeitung bestehen; hierzu gehören beispielsweise gesetzliche Aufbewahrungspflichten. Die erforderlichen Daten müssen dann für den vorgegebenen Zeitraum aufbewahrt werden. Die datenschutzrechtliche Grundlage für diese Datenverarbeitung dann in Art. 6 Abs. 1 Buchst. c DS-GVO findet.

Ist die Datenverarbeitung nicht für die Durchführung des Mitgliedsvertrages erforderlich, kann eine Datenverarbeitung zudem auf Grundlage einer Interessenabwägung (vgl. Art. 6 Abs. 1 Buchst. f DS-GVO) zulässig sein. Diese Erlaubnis kann beispielsweise gelten, wenn Wettkampfergebnisse veröffentlicht werden (vgl. FAQ 'Dürfen Sportvereine/ -verbände Ergebnisse von Sportwettbewerben in personenbezogener Form im Internet veröffentlichen?').

Ist die Datenverarbeitung des Mitglieds weder zur Durchführung des Mitgliedsvertrages noch aufgrund gesetzlicher Verpflichtungen (Aufbewahrungspflichten) erforderlich oder überwiegen in einer Interessenabwägung die Interessen eines Mitglieds, dann bedarf es einer Einwilligung.

Die Mitglieder müssen aber gem. Art. 13 f. DS-GVO bei der Erhebung ihrer Daten (d. h. grundsätzlich bei Vereinseintritt) über die Verarbeitung informiert werden.

FrageMuss der Verein auch seine "Bestandsmitglieder" über die Verarbeitung ihrer Daten informieren?
Antwort

Nach Art. 13 Abs. 1 DS-GVO ist es nur verpflichtend, Personen "bei der Erhebung ihrer Daten" zu informieren. Damit muss der Verein grundsätzlich nur Neumitglieder informieren, soweit nicht zu einem späteren Zeitpunkt weitere Daten von den Mitgliedern erhoben werden bzw. wenn sich der Inhalt der Informationen ändert. Sollen Mitgliedsdaten für einen anderen Zweck als ursprünglich vorgesehen verarbeitet werden, muss vor der zweckgeänderten Verarbeitung über diese informiert werden (vgl. Art. 13 Abs. 3 DS-GVO).

Eine durchgehende Information der Bestandsmitglieder durch die Bereitstellung der Datenschutzinformationen z.B. auf der Homepage ist auf freiwilliger Basis natürlich möglich und wird aus Transparenzgründen und auch als vertrauensbildende Maßnahme dringend empfohlen. Eine Information ist zwingend notwendig, wenn sich der Inhalt der Datenschutzinformationen ändert bzw. eine zweckgeänderte Verarbeitung stattfinden soll.

FrageMuss ein Verein einen Datenschutzbeauftragten benennen?
AntwortNur wenn im Verein mindestens 20 Personen ständig, d. h. die überwiegende Zeit, die sie für den Verein aufbringen, mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben. Leiter einzelner Abteilungen zählen nur dazu, wenn sie mit der Mitgliederverwaltung ihrer Abteilung beauftragt sind. Trainer im Sportverein zählen grundsätzlich nicht dazu, weil die Datenverarbeitung nicht den überwiegenden Anteil ihrer Tätigkeit darstellt. Ausnahmsweise muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein/e Datenschutzbeauftragte/r benannt werden, wenn eine Datenverarbeitung eine Datenschutzfolgeabschätzung gem. Art. 35 DS-GVO erfordert. Dies kann beispielsweise dann der Fall sein, wenn KI zur Steuerung der Interaktion mit dem Betroffenen eingesetzt wird.
FrageBraucht ein Verein ein Verzeichnis der Verarbeitungstätigkeiten?
AntwortJa. Praktisch jeder Verein muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel laufend seine Mitgliederdaten und somit nicht nur "gelegentlich" personenbezogene Daten verarbeitet.
FrageDürfen wir als Verein noch Vereinsinformationen per E-Mail an die Mitglieder versenden?
Antwort

Vereinsinformationen dürfen in der Regel per E-Mail verschickt werden. Geht es z.B. um eine Einladung zur Mitgliederversammlung, ist zu prüfen, was in der Vereinssatzung geregelt ist. Informationen, die nicht für die Durchführung des Mitgliedsvertrages erforderlich sind, können ebenfalls per E-Mail verschickt werden, wenn die E-Mail-Adresse (auch) zu diesem Zweck erhoben wurde. Allerdings muss dem Mitglied in diesem Fällen eine Widerspruchsmöglichkeit angeboten werden. Newsletter mit werblichen Inhalt bedürfen hingegen grundsätzlich einer Einwilligung.

Bei der Versendung von E-Mails ist darauf zu achten, dass die E-Mail-Adressen der Empfänger nicht für die jeweils anderen Empfänger sichtbar sind (z. B. indem die Adressen in das "bcc:"-Feld eingetragen werden bzw. ein Newsletter-Tool, bei dessen Verwendung nicht die einzelnen Empfänger angezeigt werden, verwendet wird).

FrageMüssen wir als Verein "den Datenschutz" in der Vereinssatzung erwähnen oder die Vereinssatzung wegen der DS-GVO anpassen?
Antwort

Die im Verein geltenden Datenschutzregeln müssen nicht zwingend in der Vereinssatzung erwähnt werden. Jedenfalls sollten sie aber entweder in der Vereinssatzung oder in einem gesonderten Werk („Datenschutzordnung“ o.ä.) festgehalten werden. Eine Verschriftlichung der Regeln sorgt insbesondere für Transparenz und Kontinuität bei personellen Wechseln.

Der Verein muss neu eintretende Mitglieder bei Vereinseintritt darüber informieren, wie er ihre Daten verarbeitet. Das kann z. B. im Aufnahmeantrag oder in einem Beiblatt hierzu erfolgen.

FrageUnser Verein hat/plant eine Vereinschronik, in der auch Namen von Funktionsträgern und z. T. sonstigen Mitgliedern des Vereins erwähnt werden. Benötigen wir hierfür Einwilligungen?
AntwortVereinschroniken sind oft als "Datenverarbeitung für literarische Zwecke" einzuordnen. Der Großteil der Anforderungen des Datenschutzrechts ist hierfür gar nicht einschlägig (Art. 38 BayDSG). Einwilligungen sind daher hierfür nicht nötig. Bloße Berichte über das Vereinsleben, z. B. auf der Vereins-Homepage, sind zwar in der Regel keine "Literatur", jedoch ist die Veröffentlichung personenbezogener Daten im üblichen Rahmen in solchen Berichten (z. B. Sport-Ergebnisse, Fotos von Vereinsveranstaltungen) in der Regel gemäß Art. 6 Abs. 1 Buchstabe f DS-GVO zulässig aufgrund des berechtigten Interesses des Vereins an Öffentlichkeitsarbeit.
FrageDürfen wir als Verein eine Liste mit den Kontaktdaten aller Mitglieder an alle Mitglieder herausgeben?
AntwortIn aller Regel ist dies nur mit Einwilligung des betreffenden Mitglieds zulässig. Anders ist das nur bei Vereinen, die nach dem Vereinszweck eindeutig die persönliche Kontaktaufnahme der Mitglieder untereinander fördern sollen, z. B. "Ehemaligen-Vereine" o. ä.
FrageUnser Verein gehört einem Landesverband als Dachverband an. Der Dachverband verlangt, dass wir ihm Namen und Adressen unserer Mitglieder übermitteln. Ist das zulässig?
AntwortEs kann viele Gründe dafür geben, dass Dachverbände von ihren Mitgliedsvereinen Daten der Vereinsmitglieder (z. B. Namen, Adressen ggf. weitere Informationen wie z. B. Sparte/Sportart) verlangen. Wenn sich die Notwendigkeit der Übermittlung bereits aus dem satzungsmäßigen Vereinszweck ergibt, ist diese grundsätzlich zulässig. Es kann aber auch weitere Fälle zulässiger Übermittlungen geben, so dass es auf den konkreten Sachverhalt ankommt. Mitglieder sind bei Eintritt zu informieren, an welche Empfänger und ggf. auf welcher Grundlage Daten weitergegeben werden.
FrageWen müssen wir als Verein auf den Datenschutz verpflichten?
AntwortVereine müssen (ähnlich wie Unternehmen oder andere Stellen) Beschäftigte, Funktionsträger und auch ehrenamtliche Kräfte, die für den Verein Zugang zu personenbezogene Daten (z. B. Mitgliederdaten) haben, auf die Beachtung der datenschutzrechtlichen Anforderungen verpflichten. Ein Muster hierfür findet sich im Kurzpapier Nr. 19 der Datenschutzkonferenz.
FrageDürfen Auskunfteien personenbezogene Daten speichern und übermitteln?
AntwortAuskunfteien dürfen personenbezogene Daten zur Wahrung berechtigter eigener Interessen sowie der Interessen der übrigen Wirtschaftsteilnehmer (Schutz des Wirtschaftsverkehrs) auch ohne Einwilligung der betroffenen Personen speichern, soweit die Daten für die Identifizierung der Person bzw. eines Unternehmens sowie für die Beurteilung der Kreditwürdigkeit/Bonität von Bedeutung sind. Wenn bestimmte Daten unrichtig sein sollten, besteht ein Berichtigungs- oder Löschungsanspruch, der bei der betreffenden Auskunftei geltend zu machen ist.
FrageDürfen Sportvereine/ -verbände Ergebnisse von Sportwettbewerben in personenbezogener Form im Internet veröffentlichen?
AntwortGrundsätzlich dürfen solche Ergebnisse aufgrund des berechtigten Interesses des Vereins/Verbands an Öffentlichkeitsarbeit und des Informationsinteresses der Öffentlichkeit im Internet für einen begrenzten Zeitraum veröffentlicht werden.
FrageDarf ein Verein Geburtstage oder Vereinsjubiläen seiner Mitglieder veröffentlichen?
AntwortDie Veröffentlichung von Geburtstagen von Mitgliedern und mitgliederbezogenen Ereignissen, die mit dem Vereinsleben zusammenhängen (z. B. Vereinsjubiläum), in der Vereinszeitschrift oder in anderer Form im Kreise der Vereinsmitglieder ist zulässig, wenn das betroffene Mitglied nicht widerspricht. Eine Veröffentlichung solcher Daten im offenen Internet wäre allerdings ohne Einwilligung nicht zulässig.
FrageDarf ein Unternehmen meinen Personalausweis kopieren?
AntwortJa, aber nur wenn dem Ausweisinhaber die Möglichkeit angeboten wird, alle zur Identifizierung nicht nötigen Daten zu schwärzen (d. h. alles bis auf Name/Vorname, Adresse und Geburtsdatum).
FrageIch habe vom Anwalt der Gegenseite Auskunft über meine von ihm verarbeiteten Daten verlangt. Dieser hat die Auskunft jedoch abgelehnt. Ist das rechtens?
AntwortEin Auskunftsrecht aus Art. 15 DS-GVO gegenüber Rechtsanwälten, die nicht für den/die Auskunft-Begehrende(n) tätig wurden (sondern z. B. für die gegnerische Partei) besteht gemäß § 29 Abs. 1 Satz 2 BDSG i. V. m. § 43a Abs. 2 BRAO nicht, weil die erwünschten Informationen einer gesetzlichen Verschwiegenheitspflicht unterfallen. Das datenschutzrechtliche Auskunftsrecht liefert somit keine Möglichkeit, um vom Anwalt der Gegenseite die Offenlegung von Informationen zu erzwingen.
FrageIch bin Anleger einer Publikums-KG. Die KG hat eine Liste mit Kontaktdaten aller Anleger - also auch meine Daten - an einen Gesellschafter herausgegeben. Ist das rechtens?
AntwortJeder Gesellschafter einer Personengesellschaft (z. B. auch einer Publikums-KG/GmbH & Co. KG) hat Anspruch auf Herausgabe der Namen und zumindest postalischen Adressen aller Mitgesellschafter, wenn er diese Daten benötigt, um seine Gesellschafterrechte auszuüben (z. B. um Kontakt mit anderen Gesellschaftern herzustellen, um etwa ein Quorum für die Einbringung von Anträgen in der Gesellschafterversammlung zu erreichen). Die Herausgabe der o. g. Daten ist in solchen Fällen daher kein Datenschutzverstoß.
FrageIch habe mein Kundenkonto löschen lassen, das Unternehmen hat aber weiterhin noch Daten von mir. Ist das rechtens?
AntwortPersonenbezogene Kundendaten sind in der Regel auf Verlangen oder bei Wegfall der Erforderlichkeit zu löschen. Allerdings nur dann, wenn dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen, z. B. aus dem Steuer- oder Handelsrecht, nach denen bestimmte Daten, die im Zusammenhang mit dem Vertragsverhältnis gespeichert wurden, noch für eine bestimmte Zeit aufbewahrt werden müssen (Art. 17 Abs. 1 Buchstabe e DS-GVO).
FrageUmfasst das Auskunftsrecht nach Art. 15 DS-GVO auch einen Anspruch auf Kopien von Dokumenten, Schriftverkehr oder E-Mails?
AntwortArt. 15 DS-GVO gewährt keinen Anspruch auf (Foto-)Kopien von Dokumenten, Schriftverkehr oder E-Mails, sondern nach seinem klaren Wortlaut einen Anspruch auf Auskunft über die personenbezogenen Daten, die in diesen Texten enthalten sind. Dies soll nach Art. 15 Abs. 3 DS-GVO in Form einer "Kopie der personenbezogenen Daten" (als Form der Auskunft) erfolgen.