Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Löschkonzept DSGVO

 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
 
 
 
 

Um den eigenen Internetauftritt zielgruppenorientiert auszurichten, kann Tracking- und Analyse-Software wie Google Analytics eingesetzt werden, welche dem Websitebetreiber die Möglichkeit gibt das Nutzungsverhalten ihrer Besucher zu erfassen. Mit Beschluss vom 12.05.2020 hat die Datenschutzkonferenz, eine unabhängige Datenschutzbehörde des Bundes und der Länder, Mindestanforderungen an den Einsatz von Google-Analytics in Deutschland gestellt, um dem Datenschutz Rechnung zu tragen. 


Das Wichtigste in Kürze: 

  • Google Analytics ist ein Analyse-Tool, welches der Erstellung von Nutzerprofilen dient 
  • Die von Google Analytics gesammelten Nutzerdaten sind personenbezogene Daten 
  • Anwender des Tools und Google sind gemeinsam für die Datenverarbeitung Verantwortliche i.S.d. Art. 26 DSGVO 
  • Zum rechtmäßigen Einsatz von Google Analytics bedarf es einer wirksamen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO 
  • Über die datenschutzrechtlichen Auswirkungen von Google Analytics ist ausführlich in einer Datenschutzerklärung zu informieren  


Was i
st Google Analytics? 

Google Analytics ist das am meisten genutzte Nutzeranalyse-Tool auf Webseiten. Durch die Einbindung von Google-Analytics auf der eigenen Website können Daten über die Seitenbesucher gesammelt, aufbereitet und von den Seitenbetreibern ausgewertet werden, um Nutzerprofile zu erstellen und die Performance der eigenen Website zu analysieren. Dabei kann beispielsweise Aufschluss darüber gewonnen werden, wie viele Besucher sich auf der Website einfinden, welche Inhalte von besonderem Interesse sind oder wie lange die einzelnen Produkte betrachtet werden. So können Schwachstellen der Website lokalisiert und das Surferlebnis für Websitebesucher unter Umständen verbessert werden. 


Welche Probleme bringt die Nutzung von Tracking- und Analyse Software mit sich?  

Problematisch ist in diesem Zusammenhang, dass mit der Aktivität solcher Software auf der Website automatisch personenbezogene Daten wie beispielsweise die IP-Adresse der Websitebesucher verarbeitet werden. Da IP-Adressen personenbezogene Daten im Sinne der DSGVO darstellen, sind die Datenschutzbestimmungen einzuhalten. Gegebenenfalls muss vor der Aktivität solcher Tools, eine datenschutzkonforme Einwilligung der Nutzer eingeholt werden. Weiterhin ist problematisch, dass trotz der Abgrenzung von Verantwortungsbereichen in einem entsprechenden Vertrag, dennoch der Websitebetreiber Verantwortlicher für die Wahrung der Datenschutzrichtlinien bleibt, er allerdings insoweit nicht garantieren kann, dass Google sich an alle Datenschutzrichtlinien hält.  

Wird bei der Anwendung von Google Analytics auf der eigenen Website der Datenschutz vernachlässigt, kann dies schwerwiegende Konsequenzen für den Websitebetreiber nach sich ziehen und insbesondere zu Wettbewerbsverstößen, Mahnungen und Bußgeldern führen.  


Wer ist für die Datenverarbeitung verantwortlich? 

Ursprünglich wurden zwischen Google und dem jeweiligen Google Analytics Anwender Auftragsverarbeitungsverträge geschlossen und Google insoweit als Auftragsverarbeiter angesehen. Allerdings erhebt und verarbeitet Google Daten für eigene Zwecke, sodass er nicht mehr wie ein Auftragsverarbeiter agiert. Aus diesem Grund wird die Verantwortung für Datenverarbeitungsprozesse mit Google-Analytics richtigerweise aufgeteilt, sodass sowohl Google wie auch der Websitebetreiber als gemeinsam Verantwortliche nach Art. 26 DSGVO anzusehen sind.  


Auf welche Rechtsgrundlage lässt sich die Datenverarbeitung durch Google-Analytics stützen? 

Die Rechtmäßigkeit des Einsatzes von Google-Analytics richtet sich nicht nach etwaige vertragliche Vereinbarungen zwischen Google und dem Websitebetreiber, sondern ausschließlich nach rechtlichen Vorgaben. Insofern bedarf es für den rechtmäßigen Einsatz von Google-Analytics einer wirksamen Einwilligung der Websitebesucher, Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

Die wohl wichtigste 
Voraussetzung eines datenschutzkonformen Einsatzes von Analyse Software wie Google Analytics ist eine der Datenverarbeitung vorausgehende informierte, freiwillige und aktive Zustimmung des Websitenutzers. Verwendet ein Websitebetreiber Google Analytics, hat er sämtliche DSGVO-Voraussetzungen im Hinblick auf die Einwilligung zu erfüllen.  

 

Transparent 

Da Websitebetreiber dafür verantwortlich sind, dass die Nutzer in den Datenschutzbestimmungen ausführlich über die Datenverarbeitung im Zusammenhang mit Google Analytics informiert werdenmuss bei der Einholung der Zustimmung des Nutzers die konkrete Verarbeitungstätigkeit durch die Anwendung von Google-Analytics und die damit zusammenhängende Datenübermittlung an Google LLC genannt werden.  

 

Unmissverständlich  

Der einwilligende Nutzer muss unmissverständlich nachvollziehen können, in welcher Form welche Datenverarbeitung durch Google erfolgt und dass er dabei ist, dieser zuzustimmen.  

Dabei sollte die Einholung der Einwilligung auf eine klare und nicht irreführende Art und Weise erfolgen. Insbesondere sollte bereits in der Überschrift der Einwilligungserklärung verdeutlicht werden, welchen Inhalt die Erklärung hat, wie beispielsweise „Einwilligung in die Verarbeitung Ihrer personenbezogener Daten durch Google“. Darüber hinaus sollte dem Einwilligenden die Tragweite seiner Zustimmung in die Datenverarbeitung vor Augen geführt werden. Außerdem sollte der Nutzer uneingeschränkt Zugriff auf die Datenschutzerklärung und das Impressum haben.  

 

Aktiv 

Der Nutzer muss seine Einwilligung durch eine aktive Handlung vornehmen. Dies kann beispielsweise mithilfe eines sogenannten Opt-In-Verfahrens erfolgen. 

 

Freiwillig 

Der Nutzer muss bei der Erteilung seiner Zustimmung zur Erhebung und Verarbeitung seiner Daten durch Google eine freie Wahl haben. Das heißt, er muss sich auch in der Position sehen, seine Zustimmung verweigern oder widerrufen zu können, ohne dass er Nutzungsnachteile auf der Website zu erwarten hat.  

Dabei muss der Websitebetreiber für den Widerruf einer Einwilligung einen einfachen und immer zugänglichen Mechanismus etablieren und sicherstellen, dass nach dem Widerruf der Einwilligung ein Nachladen von Google Analytics-Skripten unterbunden wird.  


Wie lässt sich Google-Analytics datenschutzkonform einsetzen? 

Neben einer datenschutzkonformen Option zum Widerspruch gegen die Datenverarbeitungsollte zusätzlich zum Schutz der Nutzerprivatsphäre eine Kürzung der erhobenen IP-Adressen durchgeführt werden, sodass eine unmittelbare Identifikation des verwendeten Geräts nicht mehr möglich ist.  

Um eine datenschutzkonforme und benutzerfreundliche Einwilligung einzuholen, können sogenannte Cookie-Banner eingesetzt werden. Diese enthalten einen Informationstext, in dem der Nutzer über die Verwendung des Analyse-Tools auf der aufgerufenen Website in Kenntnis gesetzt wird. Dabei ist die konkrete Verarbeitungstätigkeit durch die Einbindung von Google-Analytics sowie die Datenweitergabe an Google zu erwähnen. Ebenso ist ein Hinweis zur Verarbeitungsform durch Google aufzunehmen.  

Zudem sollten – abgesehen von den notwendigen Cookies – alle Cookies blockiert werden, bis der Nutzer seine eindeutige Zustimmung erteilt hat, darüberhinausgehende Cookies zu aktivieren. 

Letzten Endes sollte die Datenschutzerklärung der Website angepasst werden, sodass der Nutzer über die Verwendung von Google Analytics sowie damit zusammenhängende datenschutzrechtliche Auswirkungen  in jeglicher Hinsicht umfassend informiert wird. 


Fazit  

Google Analytics stellt für viele Websitebetreiber ein sinnvolles Website-Tool dar, um das Verhalten der Nutzer effektiv nachzuvollziehen und ungenutztes Potenzial der eigenen Website zu identifizieren. Dennoch ist die datenschutzkonforme Umsetzung nicht immer einfach und aus datenschutzrechtlicher Sicht nicht ganz unbedenklich. Es bleibt abzuwarten, wie sich die Rechtslage im Hinblick auf den Einsatz solcher Tools zukünftig gestaltet und welche Anpassungen dadurch erforderlich werden könnten.   

 

 
 
 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
 
 
 
 

Nach der jüngsten Umfrage des Bundesverbandes für Informationswirtschaft, Telekommunikation und neue Medien, bitkom e.V., gaben 67 Prozent der in Deutschland ansässigen Unternehmen an, die datenschutzrechtliche Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) sowie des Bundesdatenschutzgesetzes (BDSG) in großen Teilen umgesetzt zu haben. Erst 25 Prozent der Unternehmen gaben an, ein vollständiges Datenschutzmanagement umgesetzt zu haben. Unter den befragten Unternehmen bestand Einigkeit (97 Prozent) darüber, dass die Umsetzung der DS-GVO mit einem hohen Aufwand verbunden sei (Quelle: Pressemitteilung des bitkom e.V. – abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-der-Unternehmen-haben-DS-GVO-groesstenteils-umgesetzt). 

Während ein Großteil der Unternehmen primär darauf bedacht ist, das äußere Auftreten (wie z.B. Homepage, Datenschutzbelehrungen für Vertragspartner und Kunden usw.) datenschutz- und insb. abmahnsicher zu gestalten, werden innerbetriebliche Strukturen oftmals vernachlässigt; dies betrifft insb. den Beschäftigtendatenschutz. Die Missachtung des Beschäftigtendatenschutzes kann jedoch fatale Folgen für ein Unternehmen haben. 

 

(Rekord-)Bußgeld gegen H&M(!) 

Die Nachricht war – wenn auch absehbar – schockierend: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte gegen das namhafte Textilmodegeschäft ein (auf dem ersten Blick) schwindelerregendes Bußgeld in Höhe von 35,3 Millionen Euro (Quelle: https://www.handelsblatt.com/unternehmen/handel-konsumgueter/modehaendler-mitarbeiter-ausgespaeht-datenschutzbeauftragter-verhaengt-rekord-bussgeld-gegen-hundm/26234570.html?ticket=ST-1252876-G9KjeScjGC7pBIa7uQNz-ap1). 

Diesem Bußgeld lag ein – zurecht angenommener – gravierender Verstoß des Beschäftigtendatenschutzes zugrunde: 

Im Laufe des vergangenen Jahres stellten – aufgrund eines technischen Fehlers, der zur versehentlichen internen Offenlegung führte – Mitarbeiter des H&M Standortes Nürnberg fest, dass die Leitung von H&M in großem Umfang u.a. anderem auch die privaten Lebensumstände ihrer Beschäftigten erfasste. 

Leitende Angestellten und Vorgesetzten der betroffenen Mitarbeiter führten nach urlaubs- oder krankheitsbedingten Abwesenheiten sog. „Welcome Back Talks durch; die hierbei gewonnenen Informationen, wie z.B. konkrete Urlaubsereignisse oder Krankheitssymptome und Diagnosen usw., wurden schriftlich dokumentiert und dauerhaft gespeichert. Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zeichneten Vorgesetzte darüber hinausgehend auch Details aus dem Privatleben, bspw. Familienproblemen oder religiösen Bekenntnissen u.Ä., aufAnschließend und anhand dieser Informationen erstellten die Führungskräfte und leitende Angestellte von H&M Mitarbeiterprofile, auf Grundlage derer personelle Einzelmaßnahmen, wie z.B. Kündigungen, Beförderungen oder Versetzungen usw., getroffen wurden. 

Trotz glaubhafter Bemühungen des Textilmodegeschäftes, diesen Verstoß wiedergutzumachen, u.a. in Form eines umfangreichen Bekenntnisses zur Unternehmensverantwortung nach diesem Datenschutzverstoß, einer Entschädigung der betroffenen Mitarbeiter sowie der Zusicherung und tatsächlichen Umsetzung des Datenschutzes an dem Standort Nürnberg, konnte die Verhängung des zuvor genannten (Rekord-)Bußgeldes nicht abgewendet werden. 

 

Der (Beschäftigten-)Datenschutz und dessen (Rechts-)Folgen 

Die Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mag auf den ersten Blick für Arbeitgeber überraschend sein: 

Bei den zuvor genannten Daten handelt es sich um solche, die regelmäßig erfasst werden und deren Verarbeitung nicht per se rechtswidrig ist. Gemäß § 26 BDSG darf ein Arbeitgeber auch sensible Daten, wie z.B. Gesundheitsdaten, verarbeiten, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. So dient die Erfassung von urlaubs- und krankheitsbedingten Abwesenheiten eines Mitarbeiters, zunächst zur ordnungsgemäßen Abrechnung des Arbeitsverhältnisses (z.B. Entgeltfortzahlung, Urlaubsentgelt usw.) oder der Personal- und Dienstplanung. Gesundheitsdaten dürfen und (sogar) müssen erfasst werden, soweit der Arbeitgeber verpflichtet ist ein betriebliches Eingliederungsmanagement durchzuführen um einem Arbeitnehmer einen leidensgerechten Arbeitsplatz zur Verfügung stellen zu können. Letztendlich sind Leistungsbeurteilungen und Mitarbeitergespräche nicht per se rechtswidrig, da personelle Einzelmaßnahmen wie z.B. Abmahnungen, jedoch auch Beförderungen gestützt werden. 

 

Was ist (denn nun) erlaubt / verboten? 

Wie bereits dargelegt, darf gemäß § 26 BDSG ein Arbeitgeber personenbezogene Daten seiner Mitarbeiter verarbeiten, d.h. erheben, speichern, weitergeben usw., soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.  

Vordergründig ist stets die Zweckbindung: Dies bedeutet, dass die Daten ausschließlich zwecks der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen; eine zweckentfremdete Datenverarbeitung ist per se rechtswidrig. 

In der zweiten Stufe muss die Datenverarbeitung zusätzlich zur Erreichung der zuvor genannte Zweck erforderlich sein. Dies geht zwingend mit einer umfangreichen Interessensabwägung einher: Einerseits sind die berechtigten Interessen eines Arbeitgebers, der eine Vielzahl an arbeitnehmerschützende Vorschriften, bspw. das Arbeitszeitgesetz, Bundesurlaubsgesetz, Entgeltfortzahlungsgesetz usw., wahren muss, zu berücksichtigen; dem gegenüber steht das berechtigte und verfassungsrechtlich verankerte Recht der Arbeitnehmer auf Privatsphäre. Im Rahmen dieser Interessensabwägung muss auch zwingend geprüft werden, wie lange die Daten, selbst wenn deren Erfassung prinzipiell rechtmäßig war, gespeichert werden dürfen. Die Grenze der Erforderlichkeit ist – wie der Fall H&M verdeutlicht – überschritten, wenn auf Grundlage der erfassten Daten – faktisch unter Missachtung der Privatsphäre – eine umfangreiche sowie unverhältnismäßige (und mithin widerrechtliche) Leistungs- und Verhaltenskontrolle der Mitarbeiter erfolgen kann. Denn gerade dies ermöglicht es, (in widerrechtlicher Art und Weise) Leistungs- und Verhaltensprofile über die Mitarbeiter zu erstellen. 

Dementsprechend ist die anzuwendende Faustformel (denkbar) einfach: Ein Arbeitgeber darf nicht zu viele Datennicht zu lange speichern. 

 

Die konkreten Rechtsfolgen – Ein Überblick der derzeitigen Rechtsprechung 

Wie bereits aus der aktuellen Presse und diesem Artikel zu entnehmen ist, ist ein Datenschutzverstoß bußgeldbewehrt. Gemäß Art. 83 DS-GVO kann ein Bußgeld im Falle eines schwerwiegenden Verstoßes bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Doch hiermit ist es nicht getan: 

Gemäß Art. 82 DS-GVO haben die (von einem Datenschutzverstoß) betroffenen Personen auch einen Individualanspruch auf Schadensersatz bzw. Entschädigung. Hierbei gilt es zu berücksichtigen, dass nicht nur der konkret entstandene Schaden ersetzt wird; die DS-GVO sieht vor, dass ein Schadensersatz- bzw. Entschädigungsanspruch, unter Berücksichtigung des Umfangs des Datenschutzverstoßes, so hoch anzusetzen ist, dass dieser abschreckend auf den Arbeitgeber einwirkt, damit er eine künftige Datenschutzkonformität gewährleistet. 

Hierbei entschieden Arbeitsgerichte, dass die Missachtung des Auskunftsverlangens eines Arbeitnehmers gemäß Art. 15 DS-GVO – ungeachtet dessen, ob seine Daten rechtmäßig verarbeitet wurden – einen Schadensersatzanspruch in Höhe von bis zu 5.000,00 Euro begründen kann. Im Hinblick darauf, dass die landesarbeitsgerichtliche Rechtsprechung annimmt, dass ein Arbeitgeber gemäß Art. 15 Abs. 1 und Abs. 3 DS-GVO verpflichtet ist, einem Arbeitnehmer Auskunft über sämtliche Verarbeitungsvorgänge, die seine personenbezogene Daten betreffen, zu erteilen und darüber hinaus eine Kopie aller Dokumente und personenbezogener Daten, die er erfasst hat, zur Verfügung zu stellen, sind Arbeitgeber, die kein adäquates Datenschutzsystem eingeführt haben, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einem hohen Haftungsrisiko ausgesetzt. 

Letztendlich hat auch das Bundesarbeitsgericht (BAG) – auf Grundlage der alten Fassung des BDSG und noch vor Inkrafttreten der DS-GVO – ausdrücklich festgehalten, dass (eklatant) datenschutzwidrig erlangte Daten im Rahmen von personellen Einzelmaßnahmen, z.B. Kündigungen oder Abmahnungen, einem Beweisvertretungsverbot unterliegen können, weshalb die erlangten Informationen im Rahmen eines gerichtlichen Verfahrens nicht berücksichtigt werden können. In den Fällen, in denen im Betrieb des Arbeitgebers ein Betriebsrat besteht, entspricht es der (seit über zwanzig Jahren) gefestigten Rechtsprechung des BAG, dass hinsichtlich der Daten, die der Arbeitgeber mithilfe technischer Einrichtungen (Hard- und Software) erfasst hat, ohne vor deren Einführung den Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt zu haben, zunächst ebenfalls einem Beweisverwertungsverbot unterliegen könnenferner steht dem Betriebsrat gemäß § 23 Abs. 3 BetrVG gegen dem Arbeitgeber ein Unterlassungsanspruch zu, falls dieser – ohne das Mitbestimmungsrecht des Betriebsrates zu wahren –die technische Einrichtung „einseitig“ einführt. 

 

Der Ausblick 

Nachdem die Aufsichtsbehörden unmittelbar nach der Einführung der DS-GVO den Unternehmen eine Schon- und Umsetzungsfrist eingeräumt hatten, scheint diese Kulanzzeit nach Ablauf von nunmehr über zwei Jahren seit Inkrafttreten der DS-GVO vorbei zu sein. Es dürfte für Unternehmer nunmehr dringend an der Zeit sein, ein vollständiges Datenschutzmanagement, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einzuführen. Wie bereits einleitend dargelegt, kann gerade einmal jedes vierte Unternehmen von sich behaupten, ein entsprechend der DS-GVO und BDSG adäquates Datenschutzsystem eingeführt zu haben.  

Nachdem der Europäische Gerichtshof (EuGH) letztes Jahr urteilte, dass Arbeitgeber zur Wahrung des Arbeitszeitgesetzes (ArbZG) verpflichtet sind, ein objektives Zeiterfassungssystem einzuführen (hierzu unser Artikel vom 15.09.2019), ergeben sich bei der (künftigen) Umsetzung dieses Urteiles erhebliche Probleme, die das Spannungsverhältnis Arbeitnehmer- und Datenschutz betreffen: Arbeitgeber werden angehalten sein, die tägliche Arbeitszeit ihrer Mitarbeiter einerseits – zwecks der Einhaltung des Arbeitszeitgesetzes – zu erfassen, andererseits dürfen diese Daten allenfalls nur bedingt zur Leistungsbeurteilung herangezogen werden; auch hier gilt – ähnlich wie im Fall von H&M – ein Übermaßverbot, welches stets mithilfe geeigneter datenschutzrechtlicher Maßnahmen zu wahren ist. 

 

Haben Sie Fragen auf den Gebieten des Arbeitsrechts und Datenschutzes und sind auf der Suche nach einer professionellen Rechtsberatung vom Fachanwalt? 

Wir sind eine auf Arbeits- und Datenschutzrecht spezialisierte Kanzlei. Unsere Expertise erstreckt sich sowohl auf die Beratung von Unternehmern und die Unterstützung bei der Einführung eines – auf das Unternehmen zugeschnittenen – Datenschutzmanagements, als auch auf die Beratung und Vertretung von Arbeitnehmern und Betriebsräten bei der Durchsetzung ihrer kollektiv- und individualrechtlichen Ansprüche und Rechte.  

 
 
 
 
 
 
 

Bei Matomo Analytics handelt es sich um ein Programm, welches das Nutzerverhalten auf Webseiten analysiert.

Da hierbei personenbezogene Daten verarbeitet und übermittelt werden, sind die Vorschriften der DS-GVO zu beachten.


Das Wichtigste auf einen Blick

  • Wurden bei Matomo vor Inkrafttreten der DS-GVO Analyseprofile angelegt, so sind diese zu löschen
  • Der Verzicht von Cookies führt nicht zum Wegfall der Einwilligungsbedürftigkeit der Verwendung von Matomo
  • Betroffene sind zu informieren und IP-Adressen zu anonymisieren
  • Die DS-GVO-Konformität ist regelmäßig vom Verantwortlichen zu überprüfen


1. Wofür wird Matomo verwendet?

Matomo wird verwendet, um das Verhalten von Nutzern auf Webseiten zu analysieren. Dies geschieht in der Regel in Form von Cookies.

Die Analyseergebnisse werden auf dem eigenen Server gehostet, wodurch keine dateneinsehenden Drittanbieter zwischengeschaltet sind.

2. Vergleich zu Google Analytics

Google Analytics ist ebenfalls ein Programm zur Analyse von Nutzerverhalten.

Obwohl dieses Programm 80% des Marktanteils innehat, bestehen gerade im Bereich des Datenschutzes erhebliche Mängel und Schwächen. Dadurch ist der Marktführer in den letzten Jahren in die Kritik geraten.

Matomo hält zwar nur zwei Prozent des Marktanteils, wird sich aber voraussichtlich zum ernstzunehmenden Konkurrenten entwickeln. Dies ist auf die vollständige Überarbeitung des Programms und auf die Umsetzung der Vorschriften der DS-GVO zurückzuführen.

Im Vergleich zu Google Analytics ist die Nutzung von Matomo daher aus datenschutzrechtlicher Sicht die bessere und sichere Variante.

3. Matomo und die Vorschriften der DS-GVO

Seit dem Inkrafttreten der DS-GVO im Mai 2018 sind im Umgang mit personenbezogenen Daten besondere Regelungen zu beachten. Diese gelten auch bei der Nutzung vom Matomo.

Bei der Verwendung von Matomo werden unter anderem IP-Adressen gespeichert. Hierbei handelt es sich nach aktueller Rechtsauffassung um die Speicherung personenbezogener Daten. Es gelten daher die Vorschriften der DS-GVO.

Hiernach muss der Verwender die IP-Adresse unter anderem anonymisieren. Diese und weitere Funktionen, die zu einer DS-GVO-konformen Nutzung der Daten beitragen, sind bei Matomo automatisch enthalten und müssen nur aktiviert werden.

4. Das Anlegen von Analyseprofilen

Analyseprofile müssen DS-GVO-konform angelegt werden.

Wie bereits erwähnt, ist hierfür vor allem die Nutzung der Anonymisierungsfunktion erforderlich.

Darüber hinaus muss für den Betroffenen die Möglichkeit bestehen, Widerspruch gegen die Nutzung seiner Daten einzulegen.

Beispielsweise kann das in Form eines Opt-out-Verfahrens vorgenommen werden, bei dem der Betroffene der Datenverwendung widersprechen kann, indem er ein Häkchen setzt.

Zu beachten ist außerdem, dass nur die Nutzerprofile, die nach der Einführung der DS-GVO angelegt worden sind, den Vorschriften der DS-GVO gerecht werden können.

Zuvor eröffnete Profile verstoßen gegen geltendes Recht, wodurch Geldbußen drohen.

In diesen Fällen sind die erhobenen Daten zu löschen und neu zu erheben. Außerdem sollte das Nutzerkonto neu angelegt werden.   

5. Die Nutzung von Cookies mit Matomo

Um Nutzerdaten zu erheben, benötigt Matomo Cookies, die auf dem Endgerät des Nutzers gespeichert werden. Diese Vorgehensweise ist mittlerweile üblich.

Das Grundsatzurteil des EuGHs vom 01.10.2019 (C-673/17) schreibt eine Einwilligung des Betroffenen in diese Art der Speicherung zwingend vor.

Wie bereits erwähnt, kann eine solche Einwilligung durch das Opt-Out-Verfahren oder mit Hilfe von Cookie-Banner eingeholt werden.

Ein Verstoß gegen diese Vorgaben kann schwerwiegend sein: Nach Art. 83 Abs. 5 DS-GVO drohen Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes.

6. Device Fingerprinting mit Matomo

Daten können nicht nur mit dem Einsatz von Cookies erhoben werden.

Wird die Verwendung in Matomo deaktiviert, verwendet das Programm trotzdem „Device Fingerprinting“. Hiermit können unter anderem der Gerätetyp, die Leistung und das Betriebssystem des Betroffenen ermittelt und auf dieser Basis ein Nutzerprofil erstellt werden.

Die bereits aufgeführte Rechtsprechung des EuGHs gilt zwar ausdrücklich für die Nutzung von Cookies, jedoch kann erwartet werden, dass das Urteil aufgrund des ähnlichen Sachverhaltes auch auf die Verwendung von Device Fingerprinting ausgeweitet wird.

Um bereits gespeicherte Daten nicht erneut erheben zu müssen, empfiehlt es sich daher, auch für Device Fingerprinting eine Einwilligungserklärung einzuholen.

7. Fazit

Das Programm Matomo wurde zur Einführung der DS-GVO umfassend an diese angepasst.

Aus diesem Grund ist die Nutzung und die DS-GVO-konforme Verwendung nicht erschwert, sondern vereinfacht worden.

Wichtig ist allerdings, dass der Verwender trotzdem selbst dafür verantwortlich ist, dass diese Konformität dauerhaft besteht. Er hat die Vorgänge also regelmäßig zu überwachen und zu kontrollieren.

Besondere Aufmerksamkeit ist dabei auf die Anonymisierung der gesammelten persönlichen Daten sowie auf die Information der Betroffenen zu legen.

Werden diese Punkte beachtet, so ist die Verwendung von Matomo grundsätzlich in datenschutzrechtlicher Hinsicht unbedenklich möglich.

 
 
 
 
 
 
 

Kundendaten werden praktisch in jedem Unternehmen verarbeitet. Je nach Datenmenge und Anzahl der Verarbeitungsvorgänge, kann das in Verbindung mit datenschutzrechtlichen Regelungen eine große Herausforderung bedeuten.  

Die Daten der Kunden und ihre Verwendung sind für ein Unternehmen förderlich und sogar auch erforderlich. Sie können für die Gewinnung von Neukunden, zur Erhaltung der bereits gewonnenen Kunden, als auch insbesondere für das Erbringen vertraglicher Pflichten genutzt werden. Durch die gesetzlichen Regulierungen ist der Umgang mit den genannten Daten erschwert worden.  

 

Das Wichtigste auf einen Blick

  • Unter Kundendaten versteht man grundsätzlich alle personenbezogenen Daten, die im Rahmen von vertraglichen Geschäftsprozessen eines Unternehmens von außerhalb des Unternehmens stehenden Personen erhoben und weiterverarbeitet werden. 
  • Art. 6 Abs. 1 lit. b) und f) DS-GVO stellen die zentrale Rechtsgrundlage dar. 
  • Eine Einwilligungserklärung muss vor jeder Nutzung der Daten eingeholt werden, wenn diese ansonsten gesetzlich unzulässig ist

1. Definition von Kundendaten

Kundendaten sind grundsätzlich alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DS-GVO, welche im Rahmen vertraglicher Beziehung über eine außerhalb des Unternehmens stehende Person verarbeitet werden. 

2. Erlaubte Verarbeitung von Kundendaten

Die Verarbeitung personenbezogener Daten ist nach den unionsrechtlichen Datenschutzvorschriften nur rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DS-GVO erfüllt ist. 

Im Rahmen von Kundendaten ist eine Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. b) und f) DS-GVO gestattet, wenn sie für folgende Punkte maßgeblich ist:  

 

  • Vertragserfüllung oder -abschluss (hierbei ist ein gemeinsamer Vertragswille erforderlich). 
  • Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen vorge-nommen werden. 
  • Sicherung berechtigter Interessen des Unternehmens (außer die Rechte des Kunden überwiegen oder die Verarbeitung ist unverhältnismäßig, Art 6 Abs. 1 S. 1 lit. f) DS-GVO).  

 

3. Wichtige Vorschriften für den Umgang mit Kundendaten

Wie bei jeder Datenverarbeitung müssen auch bei der Verarbeitung von Kundendaten die Grundsätze der DS-GVO berücksichtigt werden.  

Die Verarbeitung hat transparent, auf rechtmäßige Weise und nach Treu und Glauben zu erfolgen. Hierbei muss die Verarbeitung auch zweckgebunden und für den Kunden nachvollziehbar sein.  

Daten dürfen nur solange gespeichert werden, bis der Zweck erfüllt ist oder eine gesetzliche Aufbewahrungsfrist greift.  

Darüber hinaus ist es notwendig, dass angemessene Sicherheitsvorkehrungen durch qualifizierte technisch organisatorische Maßnahmen (TOMs) geschaffen und dokumentiert werden, um die Daten vor unrechtmäßiger Verarbeitungeinem Verlust oder einer Schädigung zu schützen.  

Um Kundendaten datenschutzkonform zu verarbeiten ist außerdem das Führen eines Verarbeitungsverzeichnisses erforderlich. Hier können auch technisch organisatorische Maßnahmen erfasst werden. 

Zudem sind die Daten zu löschen, sobald die weitere Aufbewahrung nicht mehr erforderlich ist. 

Werden sensible Daten unter voraussichtlich hohem Risiko für die persönlichen Rechte und die Freiheit des Betroffenen verarbeitet, so ist eine Datenschutz-Folgeabschätzung durchzuführen.  

Um Betroffenheitsrechte geltend zu machen, ist der Kunde u. a. darüber zu informieren, welche seiner Daten, zu welchem Zweck und in welchem Umfang gespeichert und verarbeitet werden, sowie welche Rechte ihm zustehen. 

 

4. Wichtige Bereiche des Kundendatenschutzes

4.1 Kundenpflege

Im Rahmen der Kundenpflege werden unter anderem Strategien zur systematischen Gestaltung der Kundenbeziehungen entwickelt. Da Programme ein Bild zum Kaufverhalten des Kunden konstruieren können, ist hier eine datenschutzkonforme Handhabung sehr wichtig.  

4.2 Werbemaßnahmen  

Liegt keine Werbesperre oder kein Widerspruch des Kunden vor, so ist es für Unternehmen im Rahmen eines Vertragsverhältnisses möglich, den Kunden mit Direktmarketing auch ohne Einwilligung zu kontaktieren. Dies lässt sich aus EG 47 der DS-GVO entnehmen: Hiernach stellt Direktwerbung ein berechtigtes Interesse dar. Es ist daher in jedem Einzelfall eine Interessenabwägung erforderlich. Im Rahmen der Interessensabwägung sind allerdings auch die Vorgaben des § 7 Abs. 3 UWG einzuhalten, welche wiederum verschärfte Voraussetzungen vorsieht. 

Sicherheit bietet in solchen Fällen eine Einverständniserklärung, die der Unternehmer vom Kunden einholen kann.  

4.3 Datenweitergabe an Dritte

In vielen Fällen ist es einfacher, die Aufgabe der Kundenpflege an externe Dritte weiterzugeben. Soweit die Datenverarbeitung durch das Unternehmen rechtmäßig ist, kann sich dieses eines sog. Auftragsverarbeiters bedienen, wenn die Voraussetzungen des Art. 28 DS-GVO, insbesondere der Abschluss eines Auftragsverarbeitungsvertrages, erfüllt sind.  

Soweit keine Auftragsverarbeitung vorliegt, bedarf es allerdings einer Rechtsgrundlage für die Datenweitergabe. Somit muss auch die Weitergabe an Dritte aufgrund des Art. 6 DS-GVO gerechtfertigt sein. Problematisch ist hier z. B. der Adresshandel, bei dem Adressen für Werbezwecke an Dritte verkauft werden. Um Rechtssicherheit zu gewähren, kann hier nur die Einholung der Einwilligung des Betroffenen empfohlen werden.  

4.4 Kundenverhaltensanalysen

Hat der Kunde nicht in die Nutzung seiner Daten eingewilligt, dieser aber auch nicht widersprochen, so können die Daten trotzdem im Rahmen der Kundenanalyse genutzt werden. Hier ist eine vorherige Pseudonymisierung oder Anonymisierung erforderlich, um die Kundendaten nicht direkt der betroffenen Person zuordnen zu können.  

5. Fazit

In den letzten Jahren sind die Möglichkeiten der Sammlung und Verwendung von Kundendaten stark gestiegen. Umso wichtiger ist es, personenbezogene Daten zu schützen. Dies geschieht in Form von sorgfältigem Abwägen, aber auch durch die Einhaltungen der gesetzlichen Regelungen der DS-GVO.  

Haben Sie Fragen zu der Behandlung Ihrer Kundendaten?  

Wir stehen Ihnen gerne beratend zur Seite.  

 
 
 
 
 
 
 

Die Einwilligungserklärung ist eine der wichtigsten Komponenten des Datenschutzes und der DS-GVO.

Bei der Datenverarbeitung besteht ein Verbot mit Zulässigkeitstatbeständen. Die Verarbeitung ist also grundsätzlich verboten, solange keine gesetzliche Ausnahme vorliegt oder eine ausdrückliche Einwilligung vorgenommen wurde.

Die Wirksamkeit der Einwilligungserklärung ist an einige Voraussetzungen gebunden.


Das Wichtigste auf einen Blick

  • Die Einwilligung sorgt dafür, dass personenbezogene Daten rechtmäßig und DS-GVO-konform verwendet und verwertet werden können
  • Art. 7 DS-GVO und Erwägungsgrund 32 regeln und konkretisieren die Einwilligungsanforderungen
  • Damit die Einwilligung rechtmäßig ist, muss der Betroffene umfassend aufgeklärt worden sein
  • Werden die Anforderungen der DS-GVO nicht erfüllt, so ist die Einwilligung unwirksam
  • Erfolgt trotz unwirksamer Einwilligungserklärungen eine Datenverarbeitung, drohen hohe Bußgelder


1. Die Einwilligungserklärung

Liegt keine gesetzliche Grundlage vor, welche die Erhebung, Verarbeitung und Nutzung von Daten erlaubt, so muss vor der Datenverarbeitung eine Einwilligungserklärung eingeholt werden.

2. Die Form der Einwilligungserklärung

Die Einwilligungserklärung kann ausdrücklich und konkludent abgegeben werden. Schweigen ist jedoch keine wirksame Form der Einwilligung.

Da der Verantwortliche die Einwilligung des Betroffenen und die Aufklärung über die Datenverarbeitung dokumentieren und nachweisen muss, empfiehlt sich bei der Einholung die Schriftform.

Online ist es möglich, die Einwilligung durch Anklicken eines Kontrollkästchens einzufordern. Der Betroffene muss hierbei den Haken aktiv setzen. Diese Vorgehensweise nennt sich Opt-In-Verfahren.

Nicht möglich ist es, ein bereits vorangekreuztes Kästchen einzublenden (Opt-out-Verfahren).

Darüber hinaus kann die Einwilligung in Form des Double-Opt-In Verfahrens online eingeholt werden. Beim Double-Opt-In Verfahren muss erst ein Haken gesetzt und anschließend ein bereitgestellter Link angeklickt werden.

Solange sowohl im Opt-In-, als auch im Double-Opt-In-Verfahren die Einwilligung nachweisbar ist, können die Verfahren online genutzt werden.

3. Wann muss eine Einwilligung eingeholt werden?

Eine Einwilligung ist immer einzuholen, wenn kein gesetzlicher Erlaubnistatbestand erfüllt ist.

Besondere Voraussetzungen gelten bei der Einwilligung durch Minderjährige. Sie können erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Bis zu diesem Zeitpunkt ist die Genehmigung des gesetzlichen Vertreters erforderlich.

Wurde die Einwilligung vor der Geltung der DS-GVO (25. Mai 2018) wirksam eingeholt, so besteht diese fort. 

Eine Generaleinwilligung gilt hingegen nicht, da sie den gesetzlichen Anforderungen nicht gerecht wird.

In der Praxis ist eine Einwilligung unter anderem in folgenden Fällen erforderlich:

  • Längere Datenspeicherung als gesetzlich vorgesehen
  • Verwendung von Mitarbeiterfotos und Benennung von Kontaktpersonen
  • Veröffentlichung personenbezogener Daten, z.B. Rezensionen
  • Nutzung von Tools (Cookies)auf Webseiten, z.B. Aktionen, Surfaktivität, Käufe und Einstellungen, IP-Adresse, geografische Standorte

4. Was muss in der Einwilligung enthalten sein?

Die Anforderungen an eine wirksame Einwilligung sind in Art. 7 DS-GVO und in Erwägungsgrund 32 zur DS-GVO geregelt.

4.1. Freiwilligkeit

Der Betroffene muss die Einwilligungserklärung freiwillig abgeben. Im Zeitpunkt der Abgabe muss er sich bewusst sein, dass er frei wählen kann ob er die Einwilligung erteilt, oder nicht.  

Die betroffene Person ist die ganze Zeit über in der Position, die Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch einen Nachteil zu erleben.

Besonders zu untersuchen ist die Freiwilligkeit in Über- und Unterordnungsverhältnissen.

Die Abgabe der Einwilligung erfolgt nicht freiwillig, wenn die Erbringung einer Leistung von der Einwilligungserklärung abhängig gemacht wird. 

Selbstverständlich ist die Freiwilligkeit auch bei Täuschung, Drohung oder sonstigem Zwang (z.B. sozialer Druck) nicht gegeben und die Erklärung damit unwirksam.

4.2. Eindeutigkeit

Eine Einwilligungserklärung muss eindeutig als solche erkennbar sein. Hilfreich ist es, die Einholung und die Abgabe der Erklärung in klarer, verständlicher Sprache zu formulieren, die für den Betroffenen verständlich ist.

4.3. Zweckgebundenheit

Die Einwilligung muss sich auf einen bestimmten Zweck beziehen, der dem Betroffenen erläutert wurde. Abweichungen sind nicht möglich.

Für unterschiedliche Zwecke sind gesonderte Einwilligungen nötig.

4.4. Informationspflicht

Die betroffene Person muss sich der Bedeutung und der Reichweite der Einwilligungserklärung bewusst sein.

Hierfür ist eine umfassende Information erforderlich, bei welcher der Betroffene über den Zweck und den Umfang der Datenverarbeitung, die mögliche Weitergabe an Dritte sowie seine Rechte aufgeklärt wird.

Die Betroffenheitsrechte beinhalten das Recht auf Auskunft, Löschung der Daten und Widerspruch der Verwendung. Außerdem besteht ein Beschwerderecht.

Die Information muss verständlich und in klarer, einfacher Sprache erfolgen.

Ihr Umfang ist einzelfallabhängig.

Es wird empfohlen, die Informationspflicht in Form einer umfassenden Datenschutzerklärung zu erfüllen.

4.5. Widerrufbarkeit

Erteilte Einwilligungen sind jederzeit für die Zukunft widerrufbar.

Nach Art. 7 Abs. 3 muss der Widerruf für den Betroffenen so einfach wie die Abgabe der Einwilligungserklärung sein.

5. Folgen einer unwirksamen Einwilligung

Sind die Voraussetzungen des Art. 7 DS-GVO nicht erfüllt, so ist die Einwilligungserklärung unwirksam. Sie kann damit keine Rechtsgrundlage für die Datenverarbeitung darstellen. Werden trotzdem personenbezogene Daten verarbeitet, so ist die Verarbeitung rechtswidrig.

Aufgrund des Fairness- und Transparenzgrundsatzes der DS-GVO darf bei einer unwirksamen Einwilligung auf keine andere Rechtsgrundlage zurückgegriffen werden.

Nach Art. 83 Abs. 5 lit. a) drohen bei Nichtbeachtung der Regelungen hohe Geldstrafen und Bußgelder.

6. Fazit

Eine wirksame Einwilligung ist an einige Voraussetzungen geknüpft. Die rechtlichen Vorgaben müssen eingehalten werden, damit die Datenverarbeitung nicht rechtswidrig erfolgt.

 
 
 
 
 
 
 

In der DS-GVO wird im Bereich besonders geschützter Daten zwischen verschiedenen Kategorien unterschieden.


Das Wichtigste auf einen Blick

  • Der Umgang mit Gesundheitsdaten ist als wichtigster Anwendungsfall anzusehen
  • Die Kategorien des Art. 9 DS-GVO sind besonders grundrechtrelevant – es besteht ein grundsätzliches Verarbeitungsverbot mit Ausnahmeregelungen
  • Werden besonders sensible Daten verarbeitet, so muss eine Datenschutzfolgeabschätzung vorgenommen, ein Verarbeitungsverzeichnis geführt und in bestimmten Fällen ein Datenschutzbeauftragter gestellt werden  


1. Die Datenkategorien der DS-GVO

Es gibt in der DS-GVO Datenkategorien, die besonderem Schutz unterstellt sind.  

Hierbei handelt es sich um:

  • rassische oder ethische Herkunft
  • politische Meinung
  • religiöse oder weltanschauliche Überzeugung
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

2. Warum stehen manche Daten unter besonderem Schutz?

Personenbezogene Daten werden durch die DS-GVO umfangreich geschützt.

Daher stellt sich die Frage, weshalb in manchen Fällen ein strengerer Schutz vonnöten ist.

Die in Art. 9 DS-GVO aufgeführten besonderen Kategorien personenbezogener Daten unterscheiden sich von anderen Daten aufgrund ihrer besonderen Sensibilität. Es besteht ein hohes Risiko für Auswirkungen auf die Grundrechte und die Freiheiten von betroffenen Personen.

3. Die wichtigsten Datenkategorien im Überblick

Besonders praxisrelevant sind Gesundheitsdaten, biometrischen und genetischen Daten.

Unter Gesundheitsdaten sind nach Art. 4 Nr. 15 DS-GVO personenbezogene Daten zu verstehen, die Rückschlüsse auf die körperliche und geistige Gesundheit eines Menschen ermöglichen.

Biometrische Daten sind in Art. 4 Nr. 14 DS-GVO definiert. Es handelt sich um Daten, die mithilfe spezieller technischer Verfahren gewonnen wurden. Sie können Informationen zu den physischen, psychologischen oder verhaltenstypischen Merkmalen der betroffenen natürlichen Person beinhalten und ermöglichen daher die eindeutige Identifizierung dieser.

Daten, die Informationen über die ererbten oder erworbenen genetischen Eigenschaften beinhalten und eindeutige Angaben über die Physiologie und die Gesundheit des Betroffenen offenlegen, werden genetische Daten genannt.

Alle genannten Daten geben Auskunft über die intimste Sphäre der betroffenen natürlichen Person. Daher sind sie besonders zu schützen.

4. Das Verarbeitungsverbot und seine Ausnahmen, Art. 9 DS-DS-GVO:

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich verboten. In bestimmten Fällen greift jedoch ein Erlaubnisvorbehalt, der die Verarbeitung unter besonderen Voraussetzungen ermöglicht. Hierbei müssen die Daten weiterhin umfassend geschützt und die Grundrechte gewahrt werden.

Die einzelnen Fälle, in denen eine Verarbeitung personenbezogener Daten erlaubt sind, sind in Art. 9 Abs. 2 lit. a) – j) DS-GVO gelistet.

Nachfolgend sind einige Beispiele aufgeführt.

Zum einen stellt die ausdrückliche Einwilligung des Betroffenen eine Möglichkeit dar, sensible Daten datenschutzrechtkonform zu verarbeiten. Dies gilt nicht, wenn die Einwilligung durch EU-Recht oder nationales Recht untersagt oder als ungültig erklärt worden ist.  

Die Einwilligung ist bestimmten Fällen nicht erforderlich, wenn die Verarbeitung der Gesundheitsvorsorge oder ähnlichem dient.

Außerdem dürfen Daten der besonderen Kategorie verarbeitet werden, wenn der Betroffene diese selbst veröffentlicht hat. Durch die Veröffentlichung sind die Daten weniger schutzwürdig.

Darüber hinaus ist die Verarbeitung besonderes sensibler Daten rechtmäßig, wenn diese für den Schutz lebenswichtiger Interessen relevant ist.

5. Weitere Datenkategorien 

Auch in anderen Artikeln der DS-GVO sind Regelungen zum besonderen Schutz von Daten aufgeführt.

Beispielsweise ist nach Art. 10 die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten einer Person unter bestimmten Umständen erlaubt.

6. Nicht-besondere personenbezogene Daten

Nicht unter die Verarbeitung besonderer Kategorie personenbezogener Daten fällt die Verarbeitung von Lichtbildern. Passbilder fallen hingegen unter biometrische Daten und dürfen nur in bestimmten Fällen verarbeitet werden.  

Ebenfalls nicht von der besonderen Kategorie erfasst ist der Alkoholkonsum einer Person. Anders sieht es bei einer Alkoholabhängigkeit aus, da dies eine Krankheit darstellt.

Er dürfen keine Rückschlüsse geschlossen werden: Beispielsweise ist in der Herkunft einer Person nicht die Religionsangehörigkeit erkennbar.

7. Datenkategorien in der Praxis

Vor allem im Bereich der automatisierten Verarbeitungsprozesse von den in Art. 9 aufgeführten besonders schutzwürdigen Daten, sind einige Vorschriften zu beachten:

Zum einen muss der Betroffenen der Erhebung, Verarbeitung oder Weitergabe seiner Daten ausdrücklich zugestimmt haben.
Um nicht gegen die gesetzlichen Vorgaben der DS-GVO zu verstoßen, sind die Daten regelmäßig zu löschen und Einwilligungserklärungen der betroffenen Personen einzuholen. 

Neben einer Datenschutz-Folgeabschätzung muss auch ein Verarbeitungsverzeichnis geführt werden.

Mehr hierzu erfahren Sie in unserem Artikel zum Verarbeitungsverzeichnis

In bestimmten Fällen ist außerdem die Benennung eines Datenschutzbeauftragten i.S.d. Art. 37 DS-GVO vorzunehmen.

 

8. Fazit

Die DS-GVO sorgt für einen umfassenden Schutz bei der Erhebung, Verarbeitung und Speicherung von Daten der Betroffenen.

Daten, bei denen ein Risiko für die Grundrechte und Freiheiten natürlicher Personen besteht, wurden in die Kategorie besonderer personenbezogener Daten eingeteilt und damit explizit hervorgehoben und geschützt.

Die Verklausulierung der Ausnahmetatbestände ist jedoch als negativ zu bewerten, da der Aufbau des Art. 9 nicht sonderlich übersichtlich erscheint.

 
 
 
 
 
 
 

In Art. 28 sind die Voraussetzungen und Regelungen einer Auftragsverarbeitung aufgeführt.

Unter der Auftragsverarbeitung versteht man das Auslagern der Verarbeitung von Nutzerdaten über einen Verarbeitungsvertrag an einen externen Dritten.


Das Wichtigste auf einen Blick

  • Bei einer Auftragsverarbeitung nimmt der Verantwortliche die Datenverarbeitung nicht selbst vor
  • Der Datenverarbeitungsvertrag kann in der elektronischen Form des § 126b BGB geschlossen werden
  • Die Auftragsverarbeitung kann auch in einem Nicht-EU Land stattfinden
  • Solange der Auftragsverarbeiter den Weisungen des Verantwortlichen folgt, haftet der Verantwortliche


1. Wann spricht man von einer Auftragsverarbeitung?

Sind bei der Datenverarbeitung andere Personen tätig als der Verantwortliche, so könnte eine Auftragsverarbeitung vorliegen.

Tritt die verarbeitende Person nur im Interesse des Verantwortlichen auf und ist dieser auch der Auftraggeber, liegt in der Regel eine Auftragsverarbeitung vor.

Vor dem Beginn des weisungsgebundenen Handelns muss ein Verarbeitungsvertrag geschlossen worden sein.

Die Fälle der Auftragsverarbeitung sind vielfältig. Beispielsweise kann die Speicherung von Daten über einen Cloud-Anbieter eine Auftragsverarbeitung sein. Auch kann eine dritte Person zur Auftragsverarbeitung vertraglich berufen werden.

Ob eine Auftragsverarbeitung vorliegt, muss in jedem Fall einzeln bewertet werden.

2. Der Verarbeitungsvertrag

Für eine wirksame Auftragsverarbeitung ist der Abschluss eines Verarbeitungsvertrages erforderlich. Der Vertrag muss nach Art. 28 Abs. 3 DS-GVO folgende Punkte enthalten:

  • Bindung des Auftragsverarbeitenden in Bezug auf die Weisungen des Verantwortlichen
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Festlegung der Pflichten und Rechte des Verantwortlichen

Viele wesentliche Aspekte des BDSG wurden auch in der DS-GVO aufgegriffen.

Im Vergleich zum BDSG gibt es jedoch bei dem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter eine Neuerung:

Nach Art. 28 Abs. 9 DS-GVO kann ein solcher Vertrag nun nicht mehr nur schriftlich, sondern auch elektronisch abgeschlossen werden.

In der Praxis betrifft die Neuregelung nicht nur den Vertragsschluss, sondern auch die Widerrufsbelehrung.

Diese muss auch beim elektronischen Vertragsschluss vorgenommen und dauerhaft in unverändertem Zustand bereitgestellt werden. Es wird daher geraten, die Datei als pdf zu übermitteln und/oder zum Download bereitzustellen. 

3. Pflichten des Auftragsverarbeitenden

In Abs. 3 (1) lit. a) – h) sind die Pflichten des Auftragsverarbeitenden geregelt.  

Zum einen bestehen Dokumentations- und Nachweispflichten. Der Verarbeiter muss beweisen können, dass er den Weisungen des Verantwortlichen gefolgt ist und im Rahmen der Vorschriften der DS-GVO gehandelt hat.

In Bezug auf die personenbezogenen Daten besteht eine strenge Vertraulichkeitspflicht.

Daneben müssen Sicherheitsmaßnahmen getroffen, angemessene technisch organisatorische Maßnahmen geschaffen und die Vorschriften der DS-GVO eingehalten werden.

Ist die Tätigkeit beendet, so hat der Auftragsverarbeiter alle Versionen personenbezogener Daten zurückzugeben oder zu löschen. Die Löschung kann nur erfolgen, wenn keine steuerrechtlichen, handelsrechtlichen oder unionsrechtlichen Vorschriften eine Speicherung vorschreiben. 

4. Verantwortlichkeit im Fall des Verstoßes gegen die DS-GVO

Gemäß des Art. 4 Nr. 7 DS-GVO entscheidet der Verantwortliche alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Er ist hierbei für die Einhaltung der Vorschriften der Verordnung verantwortlich und haftet im Fall eines Verstoßes.

Der Auftragsverarbeiter hingegen verarbeitet nach Art. 4 Nr. 8 DS-GVO die personenbezogenen Daten nur im Auftrag des Verantwortlichen.

Wie bereits erwähnt, ist er hierbei weisungsgebunden und trifft im Rahmen seiner zugeteilten Tätigkeit wenige bis keine eigenen Entscheidungen.

Handelt der Auftragsverarbeiter wie beabsichtigt nach den Weisungen des Verantwortlichen und tritt er in dessen Pflichten ein, so muss der Verantwortliche für Fehler einstehen und haften.

Anders ist dies, wenn der Auftragsverarbeiter entgegen der Absprachen zwischen ihm und dem Verantwortlichen agiert und sich somit den Weisungen des Auftraggebers widersetzt.

In diesen Fällen greift Art. 28 Abs. 10 DS-GVO: Der Verarbeiter gilt, weil er gegen die Verordnung verstößt und Zweck und Mittel der Verarbeitung selbst festlegt, als Verantwortlicher und muss auch wie dieser haften.

5. Fazit

Der Art. 28 DS-GVO greift einige Aspekte auf, die bereits im BDSG verankert waren. Modernisierungen gab es im Bereich der Form des Abschlusses des Verarbeitungsvertrages. Der Vertrag kann seit der Einführung der DS-GVO nun auch in elektronischer Form abgeschlossen werden.

Zusammenfassend lässt sich zudem sagen, dass Art. 28 DS-GVO die Ausgliederung der Datenverarbeitung an einen Auftragsverarbeiter erleichtert und zugleich den Schutz der Daten betont und sicherstellt.

Durch Art. 28 DS-GVO bestehen in der Regel keine Haftungsfragen, obwohl mehrere Akteure auftreten.
Trotzdem ist jeder Einzelfall für sich alleine zu betrachten und zu bewerten.

Die Norm hat eine hohe Praxisrelevanz und sollte den Vorgaben entsprechend umgesetzt werden.

 
 
 
 
 
 
 

Das Wichtigste auf einen Blick

  • Nach Art. 15 DS-GVO hat jede natürliche Person ein Auskunftsrecht darüber, ob und welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden
  • Zur Geltendmachung des Auskunftsanspruchs genügt ein formloser Antrag
  • In besonderen Fällen darf die Auskunft vom Verantwortlichen verweigert werden
  • Unsicherheiten bezüglich der Reichweite des Art. 15 DS-GVO sind zugunsten des Antragsstellers zu entscheiden



1. Inhalt des Art. 15 DS-GVO

Nach Art. 15 DS-GVO hat jede natürliche Person ein Auskunftsrecht.

Dieses Recht besteht auf zwei Ebenen:

Zum einen hat der Betroffene das Recht zu erfahren, ob seine personenbezogenen Daten vom Verantwortlichen verarbeitet werden.

Wird eine Verarbeitung vorgenommen, besteht ein Anspruch auf Auskunft darüber, welche Daten für welchen Zweck verarbeitet werden.

Die genauen Informationspunkte sind in Art. 15 Abs. 1 lit. a) – h) DS-GVO aufgeführt.

2. Geltendmachung des Auskunftsanspruchs

Der Auskunftsanspruch kann mit Hilfe eines formlosen Antrags gestellt werden. Es genügt hierfür also ein einfaches Schreiben, aus dem hervorgeht, dass der Verfasser sein Recht auf Auskunft geltend machen möchte.

Anschließend hat der Verantwortliche der Auskunftserteilungspflicht unverzüglich, spätestens nach einem Monat, nachzukommen. Die Informationen sind dem Antragsteller in verständlicher Weise, präzise, transparent und in leicht zugänglicher Form zu übermitteln. Der Verantwortliche kann wählen, ob die Übermittlung in elektronischer oder schriftlicher Form erfolgen soll.

Der Verantwortliche kann in bestimmten Fällen eine Fristverlängerung um zwei Monate beantragen, wenn dies aufgrund der Anzahl und Komplexität von Anfragen erforderlich ist (Art. 12 Abs. 3 S.2).

3. Kosten der Geltendmachung

Grundsätzlich kommen auf den Antragsteller keine Kosten zu, wenn er sein Auskunftsrecht in Anspruch nimmt. Dies ergibt sich unter anderem aus Art. 12 Abs. 5, S. 1 und aus Art. 15 Abs. 3, S. 1 und 2 DS-GVO, in dem von einem „Recht auf Kopie“ gesprochen wird.

Benötigt der Betroffene weitere Kopien, so kann der Verantwortliche die Kosten des Verwaltungsaufwands berechnen und von der betroffenen Person erstattet verlangen.  

4. Ausnahmen der Geltendmachung des Auskunftsanspruchs

Wie bereits festgestellt, hat jeder Betroffene nach Art. 15 DS-GVO ein Recht auf Auskunft. Dieses Recht ist jedoch in bestimmten Fällen beschränkbar. 

Die Gründe für eine mögliche Beschränkung sind in Art. 12 Abs. 2, S. 2 und Abs. 5 DS-GVO, in Art. 15 Abs. 4 sowie in § 34 BDSG aufgeführt.

Gemäß Art. 12 Abs. 2 S. 2 DS-GVO besteht keine Auskunftspflicht, wenn der Betroffene nicht identifizierbar ist.

Auch besteht nach Art. 12 Abs. 5 keine Auskunftspflicht, wenn der Betroffenen die Anträge in exzessiver oder unbegründeter Weise stellt.

Gleiches gilt nach Art. 15 Abs. 4, wenn die Auskunftserteilung die Rechte und Freiheiten anderer Personen beeinträchtigt würde.  

Zuletzt besteht auch kein Anspruch auf Auskunft, wenn die personenbezogenen Daten auf Grundlage von gesetzlichen Vorschriften gespeichert worden sind und nicht gelöscht werden dürfen. Dies ist in § 34 BDSG geregelt.

Die Aufzählung der Ausschlussgründe ist abschließend. Damit kommen keine weiteren Ausnahmen in Frage.

5. Das „Recht auf Kopie“

Es ist noch unklar, ob das Recht auf Kopie ein eigenständiges Recht neben dem Auskunftsanspruch darstellt.

Vertreten wird, dass die Kopie nur die Form der Auskunft genauer erläutern soll. Hiernach würde dies keinen eigenständigen Anspruch begründen.

Anders die Auffassung, dass Art. 15 Abs. 3 DS-GVO als Ergänzung zu Art. 15 Abs. 1 anzusehen ist und ein eigenes Recht begründet.

Bisher ist der Streit nicht entschieden und es herrscht eine uneinheitliche Rechtsprechung.

Auch ist der Umfang des Rechts auf Kopie umstritten. Die Rechtsprechung ist sich auch hier uneinig.

Es ist daher im Einzelfall zu entscheiden, welcher Meinung Vorzug gewährt werden soll.

In jedem Fall besteht eine umfangreiche Auskunftspflicht.

6. Art. 15 I DS-GVO im Prozess

Das Recht auf Auskunft wird des Öfteren in rechtshängigen Verfahren geltend gemacht. Hierbei wird allumfassende Auskunft in Bezug auf sämtliche Konversationen und Daten verlangt.

Da der Umfang des Auskunftsanspruch jedoch umstritten ist, ist es für den Verantwortlichen schwierig einzuschätzen, in wie fern er verpflichtet ist, diesem nachzukommen.

 
 
 
Call Now ButtonKontakt aufnehmen