Home / Aktuelles & Termine / it.sec blog

Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:

  • Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
  • Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
  • Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).

Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.

Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:

  • Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
  • Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
  • Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die technischen Möglichkeiten, miteinander zu kommunizieren, ohne dabei im gleichen Raum oder sogar im gleichen Land zu sein, nehmen in der heutigen Zeit immer stärker zu. Dabei ist die Videotelefonie eine jener Methoden, welche eine schnelle und dennoch auch persönliche Kommunikation ermöglichen.

Diese Möglichkeit nutzen Unternehmen bereits in vielen Bereichen. Insbesondere werden zunehmend Bewerbungsgespräche über den Online-Dienst Skype abgehalten, anstatt den potentiellen Kandidaten vor Ort zu empfangen. Dies erspart Arbeitgeber und Bewerbern Zeit und Kosten.

Zum Einsatz von Skype im Bewerberauswahlverfahren hat sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrem aktuellen Jahresbericht geäußert. So werden bei einem Bewerbungsgespräch über den Online-Dienst Skype nicht nur die für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlichen personenbezogenen Daten verarbeitet, sondern darüber hinaus sowohl Bild- als auch Tonaufnahmen erhoben und etwaige Chatprotokolle sowie sonstige Nutzungsdaten für 90 Tage gespeichert. Gleichzeitig werden die Daten an die Microsoft Corporation und damit an einen Dritten übermittelt, womit ebenso eine Datenübermittlung in Drittstaaten verbunden ist. Die dabei notwendigen Einwilligungen der Bewerber für eine solche Datenverarbeitung lassen sich auch nicht wirksam einholen, da das Kriterium der Freiwilligkeit nur unzureichend erfüllt sei. Daher wird vom Einsatz des Online-Dienstes Skype abgeraten.

Leider wird dabei von der Aufsichtsbehörde unberücksichtigt gelassen, ob und wenn ja, welche Änderungen sich in dieser Bewertung ergäben, wenn Skype for Business eingesetzt und die Microsoft Corporation als Auftragsverarbeiter des Arbeitgebers tätig wird, ob durch deren Privacy Shield-Zertifizierung die Rechte der betroffenen Personen nicht doch ausreichend gewahrt und diese hinreichend informiert würden und unter welchen Voraussetzungen eine Einwilligung der Bewerber dennoch wirksam eingeholt werden könnte.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:

  • Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
  • Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
  • Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
  • Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
  • Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
  • Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
  • Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
  • Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
  • Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
  • Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse e-Privacy-Verordnung eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Funkmäuse Funktastaturen Gemeinsam Verantwortliche Home Office Immobilienmakler Informationspflichten Informationssicherheit Inhalteanbieter IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft MouseJack-Angriffe NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Risikomanagement Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Verantwortlicher Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung WhatsApp Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30