Home / Aktuelles & Termine / it.sec blog

Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:

  • Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
  • Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
  • Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
  • Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
  • Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
  • Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
  • Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
  • Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
  • Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
  • Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Unternehmen, die personenbezogene Daten verarbeiten, sind unter bestimmten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtet. Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Es dürfen folglich nur solche Personen bestellen werden, die in der Lage sind, diese Aufgabe frei von sachfremden Zwängen auszuüben. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun in einem solchen Fall eine Geldbuße gegen das Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen in der Regel diese Voraussetzungen. Das BDSG stellt es Unternehmen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird oder aber durch einen Mitarbeiter erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Genau ein solcher Fall lag dem BayLDA nun zur Bearbeitung vor.

In diesem Fall war der interne Datenschutzbeauftragte des Unternehmens gleichzeitig IT-Manager im Unternehmen. Hierin sah der BayLDA einen Interessenskonflikt. Diese Doppelfunktion geht damit einher, dass der Datenschutzbeauftragte sich selbst in seiner Funktion als IT-Manager kontrolliere müsse. Als IT-Manager habe er im Unternehmen aber maßgebliche operative Verantwortung für sämtliche Datenverarbeitungsprozesse. Eine Selbstprüfung ist nicht möglich, so dass es im Ernstfall zu einem wirtschaftlichen Interessenskonflikt führen kann.

Durch die Verhängung eines Bußgeldes durch das BayLDA wird noch einmal deutlich, wie wichtig die tatsächliche Unabhängigkeit des internen Datenschutzbeauftragten ist. Kann keine geeignete Person im Unternehmen gefunden werden, sollte auf einen externen Datenschutzbeauftragten zurückgegriffen werden.

Auch hat das BayLDA wieder einmal aufgezeigt, dass ein Verstoß gegen den Datenschutz kein Kavaliersdelikt ist und durchaus auch mit Bußgeldern geahndet werden kann. Diese Bußgelder werden sich mit der Datenschutzgrundverordnung ab Mai 2018 drastisch erhöhen. Stellen Sie am besten bereits heute sicher, dass Sie in Ihrem Unternehmen datenschutzkonform aufgestellt sind.

Dr. Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Widerspruchsrecht der betroffenen Person:

Die betroffene Person hat gemäß Art. 21 Abs. 1 DSGVO das Recht,

  • der weiteren Verarbeitung ihrer personenbezogenen Daten oder einem Profiling
  • auf Grundlage von Art. 6 Abs. 1 lit. f) oder e) DSGVO

jederzeit zu widersprechen, sofern sich hierfür

  • aus der besonderen persönlichen Situation der betroffenen Person schutzwürdige Interessen am Ausschluss der Datenverarbeitung oder des Profilings ergeben und
  • der Verantwortliche keine zwingenden schutzwürdigen Gründe für die weitere Verarbeitung oder das Profiling nachweisen kann.

Ebenso hat die betroffene Person gemäß Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung ihrer Daten oder dem Profiling zum Zwecke der Direktwerbung zu widersprechen.

Der Verantwortliche muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das ihr zustehende Widerspruchsrecht hinweisen gemäß Art. 21 Abs. 4, Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO.

Widerrufsrecht der betroffenen Person:

Der betroffenen Person steht gemäß Art. 7 Abs. 3 S. 1 DSGVO ein Widerrufsrecht mit Wirkung für die Zukunft gemäß Art. 7 Abs. 3 S. 2 DSGVO zu aufgrund ihrer freiwillig im Rahmen einer Einwilligung i.S.v. gemäß Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 a) DSGVO abgegebenen personenbezogenen Daten.

Der Verantwortliche muss die betroffene Person über ihr Widerrufsrecht vor Abgabe ihrer Einwilligung in Kenntnis setzen gemäß Art. 7 Abs. 3 S. 3, Art. 13 Abs. 2 lit. c), Art. 14 Abs. 2 lit. d) DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über

  • den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
  • die Herkunft der Daten,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bei anderen Quellen beschafft, treffen Informationspflichten gemäß Art. 14 Abs. 1 und 2 DSGVO:

Sofern eine Beschaffung personenbezogener Daten der betroffenen Person bei anderen Quellen erfolgt, wird die betroffene Person informiert über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • Kategorien personenbezogener Daten,
  • die Herkunft der Daten,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,

Die Informationen müssen der betroffenen Person zugehen

  • bei der erstmaligen Kommunikation mit der betroffenen Person.
  • zum Zeitpunkt der ersten Offenlegung gegenüber einem Empfänger.
  • zum Zeitpunkt der ersten werblichen Ansprache.
  • spätestens jedoch innerhalb eines Monats nach Datenerhebung.

Die Informationspflicht kann entfallen, wenn

  • die betroffene Person bereits über diese Informationen verfügt.
  • die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
  • die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
  • die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.

In Teil III wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Es ist unmittelbarer Ausfluss des informationellen Selbstbestimmungsrechts, dass die betroffene Person stets weiß, wer welche personenbezogenen Daten wann über sie erhebt. Personenbezogene Daten der betroffenen Person dürfen somit nicht ohne ihr Wissen erhoben werden. Die erstmalige Erhebung und damit einhergehende Verarbeitung ihrer personenbezogenen Daten oder eine Weiterverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck darf nicht ohne Kenntnis der betroffenen Person erfolgen.

Auch nach der DSGVO bestehen Informationspflichten, wenn personenbezogene Daten einer betroffenen Person

  • direkt bei der betroffenen Person erhoben werden, Art. 13 DSGVO.
  • bei anderen Quellen beschafft werden, Art. 14 DSGVO.
  • zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet werden, Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO.

Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person direkt bei dieser erhebt, treffen Informationspflichten gemäß Art. 13 Abs. 1 und 2 DSGVO zum Zeitpunkt der Erhebung:

Die betroffene Person muss vom Verantwortlichen informiert werden über

  • die Identität des Verantwortlichen,
  • den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
  • die Rechtsgrundlage der Datenverarbeitung,
  • eine etwaige bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
  • die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
  • die Empfänger, an die die Daten weitergegeben werden,
  • geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
  • die Dauer der Datenspeicherung,
  • ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
  • ihr etwaiges Widerspruchsrecht gemäß Art. 21 DSGVO,
  • ihr Recht auf Datenübertragbarkeit,
  • ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
  • ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
  • das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
  • Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
  • Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.

Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.

In Teil II wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person bei anderen Quellen beschafft.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Im folgenden Artikel wollen wir einmal auf die Vorzüge der Datenschutzgrundverordnung (DSGVO) eingehen. Sie gilt ab dem 25.05.2018 verbindlich für alle EU-Mitgliedstaaten. Der folgende Artikel soll zeigen, dass mit dem Inkrafttreten der DSGVO viel Positives in der europäischen Rechtsordnung geschaffen wurde.

Harmonisierung des Datenschutzrechts
Aktuell haben alle 28 Mitgliedstaaten eigene Datenschutzgesetzte mit unterschiedlichem Niveau. Mit der DSGVO wird das Datenschutzrecht innerhalb der Europäischen Union sowohl für den privaten als auch den öffentlichen Bereich über weite Strecken vereinheitlicht.

Stark erhöhte Bußgelder
Die erhöhten Bußgelder sind für den Datenschutz durchaus als Vorzug zu betrachten. Mit der Erhöhung auf bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens kommt dem Datenschutz in den Unternehmen endlich die gewünschte Bedeutung zu.

Informierte und eindeutige Einwilligung
Die DSGVO bestimmt, dass nur eine informierte und unmissverständlich abgegebene Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung wirksam ist. Des Weiteren besteht über die erteilte Einwilligung eine Beweispflicht. Die Rechte der Betroffenen werden durch diese Regelung somit gestärkt.

One-Stop Shop
Betroffene können sich bei Beschwerden immer an die Datenschutzaufsichtsbehörde ihres Mitgliedstaates wenden, unabhängig davon, in welchem Mitgliedstaat der Datenverstoß geschehen ist.

Pflicht zur Bestellung eines Datenschutzbeauftragten auf Europaebene
Nach Art 37 DSGVO gibt es für bestimmte Fälle eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Dies gilt nun für alle europäischen Mitgliedsstaaten!

Konzernprivileg
Die DSGVO gewährt Unternehmen eine Art Konzernprivileg. Danach können gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen. Alle Unternehmen benötigen jedoch immer noch ein angemessenes Datenschutzniveau.

Recht auf Vergessenwerden
Unternehmen müssen personenbezogene Daten von Betroffenen löschen, wenn die betroffene Person dies wünscht und es keine zulässigen Gründe für eine weitere Speicherung der Daten gibt.

Bettina Kraft
Justiziarin, Consultant für Datenschutz

Die EU-Datenschutzgrundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Der Datenschutz in Europa wird mit der DSGVO vereinheitlicht Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Ab 25. Mai 2018 ist die DSGVO für alle verpflichtend.

 

Heute möchten wir auf die Zulässigkeitsanforderungen beim Einsatz einer Videoüberwachung näher eingehen.

 

Die DSGVO selbst enthält keine explizite Regelung zum Einsatz von Videoüberwachungsanlagen. Eine entsprechende Rechtsgrundlage muss somit in Art 6 DSGVO gesucht werden.

 

Fündig wird man in Art. 6 Abs. 1 lit. f DSGVO. Dieser macht die Zulässigkeit von einer Interessenabwägung abhängig. Die Vorschrift fordert das Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten. Diesem Interesse dürfen keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen entgegenstehen.

 

Auch für die Videoüberwachung von Beschäftigten findet zunächst Art 6 Abs. 1 lit. f DSGVO Anwendung. Abzuwarten bleibt hier, wie die hier vorhandene Öffnungsklausel seitens des Gesetzgebers genutzt wird. Im aktuellen Referentenentwurf für das deutsche Gesetz zur Ausführung der DSGVO wird das bisherige deutsche Recht fortgeschrieben.

 

Wie schon nach BDSG ist auch nach der DSGVO eine Einwilligung als Rechtsgrundlage möglich. Die praktische Relevanz wird aber aufgrund der hohen Anforderungen an die Einwilligungserklärung gering sein.

 

Die Betroffenenrechte stellen für die Verantwortlichen eine besondere Herausforderungen da. Es sind neben den Kontaktdaten des Verantwortlichen, dies seines Vertreters sowie die Kontaktdaten des betrieblichen Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlagen sowie die Gründe für die Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO spätestens zum Zeitpunkt der Datenerhebung mitzuteilen. Um eine faire und transparente Datenverarbeitung zu gewährleisten sind gemäß Art 13 Abs. 2 DSGVO zudem u.a. Speicherdauer, Beschwerderechte, Auskunfts-, Berichtigungs- und Löschungsrechte zu nennen und es ist dem Betroffenen auch mittzuteilen, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist.

 

Diese genannten Informationen sind präzise, transparent, verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, insbesondere, wenn sie sich an Kinder richten, Art 12 Abs. 1 DSGVO.

Das Meldewesen ist in die ausschließliche Zuständigkeit des Bundes überführt worden und das Bundesmeldegesetz (BMG) ab dem 01.11.2015 in Kraft getreten. Da das BMG Regelungen bzgl. der Erhebung von Daten der in Hotels beherbergten Personen enthält, richtet sich der folgende Blogeintrag an Hotelbetriebe.

Meldedaten des Hotelgastes

Hotelbetriebe sind gemäß § 30 Abs. 1 BMG verpflichtet, Meldedaten der bei ihnen beherbergten Personen über den Meldeschein zu erheben.

Über die Meldescheine dürfen gemäß § 30 Abs. 2 BMG ausschließlich die folgenden Angaben des Hotelgastes erhoben werden:

  • Tag der Ankunft
  • Tag der voraussichtlichen Abreise
  • Familienname
  • gebräuchlicher Vorname
  • Geburtsdatum
  • Anschrift
  • Staatsangehörigkeiten
  • Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers, sofern der Hotelgast Ausländer und namentlich auf dem Meldeschein aufzuführen ist.

Meldedaten mitreisender Personen

Über mitreisende Personen darf / dürfen im Meldeschein

  • nur die Anzahl angegeben werden, wenn diese Personen Angehörige des meldepflichtigen Hotelgastes sind gemäß § 29 Abs. 2 S. 2 BMG;
  • nur die Anzahl und Staatsangehörigkeiten angegeben werden, wenn es sich um Angehörige einer Reisegruppe von mehr als 10 Personen handelt, so dass allein der Reiseleiter gemäß § 29 Abs. 2 S. 3 BMG einen Meldeschein unterzeichnen muss.

Sofern mitreisende Personen nicht unter den Ausnahmetatbestand der § 29 Abs. 2 S. 2 oder S. 3 BMG fallen, haben sie grundsätzlich einen eigenen Meldeschein auszufüllen bzw. zu unterzeichnen.

Als Angehörige gelten Ehegatten, Lebenspartner und Kinder.

Hotelbetriebe haben jedoch nach Ansicht der Aufsichtsbehörden keine Prüfpflicht bzgl. der Angaben des Gastes.

Meldedaten zur Erhebung von Fremdenverkehrs- und Kurbeiträgen

Gemäß § 30 Abs. 2 BMG dürfen auch Daten, die zurErhebung von Fremdenverkehrs- und Kurbeiträgenerforderlich sind, über den Meldeschein erhoben werden. Welche Daten hierfür erforderlich sind, ergibt sich aus den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen.

Unzulässigkeit von Personalausweiskopien

Das Kopieren von Personalausweisen oder sonstiger Ausweisdokumente von Hotelgästen durch die Hotelbetriebe ist im Gesetz weder bei In- noch bei Ausländern vorgesehen und daher unzulässig.

Bei ausländischen Hotelgästen gilt:

  • Pflicht zur Vorlage des Passes oder des Passersatzpapiers für ausländische Hotelgäste, sofern sie namentlich auf dem Meldeschein aufzuführen sind.
  • Abgleich der Daten im Pass oder Passersatzpapier mit denen auf dem Meldeschein.
  • Vermerken der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung einer Kopie des Identitätsdokuments.

Bei inländischen Hotelgästen gilt:

  • Keine Pflicht der inländischen Hotelgäste zur Vorlage des Personalausweises oder eines sonstigen Identitätsdokuments.
  • Sofern der Personalausweis von diesen Hotelgästen freiwillig dennoch vorgelegt wird, darf nur ein Abgleich der Daten mit denen auf dem Meldeschein stattfinden.
  • Kein Vermerk der Seriennummer des Identitätsdokuments auf dem Meldeschein.
  • Keine Anfertigung von Kopien des Identitätsdokuments.

Hinweispflicht

Nach § 4 Abs. 3 BDSG besteht eine Pflicht des Hotels, den Hotelgast auf die Zweckbestimmung und auf die gesetzliche Grundlage der Erhebung der Meldedaten, die sich aus dem Bundesmeldegesetz sowie den einschlägigen, bundesländerspezifischen Gesetzen, Verordnungen und Satzungen ergibt, hinzuweisen.

Zutrittskontrolle

Die Meldescheine sind gegen unbefugte Einsichtnahme zu schützen. Gemäß § 30 Abs. 1 BMG haben die Leiter der Beherbergungsstätten die Meldescheine bereit zu halten. Daher sollten spätestens nach Abreise des Gastes die Meldescheine in einem gegen unbefugten Zutritt gesicherten Archiv, für den allein die Hotelleitung bzw. deren Stellvertretung die Zutrittsmittel haben, aufbewahrt werden.

Weitergabekontrolle

Die Meldescheine dürfen ausschließlich für die nach Landesrecht bestimmten Behörden und die in § 34 Abs. 4 S. 1 Nr. 1 bis 5 und Nr. 9 bis 11 BMG genannten Behörden:

  • Polizeibehörden des Bundes und der Länder
  • Staatsanwaltschaften
  • Amtsanwaltschaften
  • Gerichte, soweit sie Aufgaben der Strafverfolgung, der Strafvollstreckung oder des Strafvollzugs wahrnehmen
  • Justizvollzugsbehörden
  • Zollfahndungsdienst
  • Hauptzollämter
  • Finanzbehörden, soweit sie strafverfolgend tätig sind
  • Erhebungsberechtigte hinsichtlich der Fremdenverkehrs- und Kurbeiträge

zur Einsichtnahme bereitgehalten werden.

Die Meldescheine sind den Behörden gemäß § 30 Abs. 4 BMG auf Verlangen auszuhändigen.

Aufbewahrungsfristen

Die ausgefüllten Meldescheine sind gemäß § 30 Abs. 4 S. 1 BMG vom Tag der Anreise der beherbergten Person an ein Jahr aufzubewahren und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist zu vernichten.

Für Meldescheine, die ebenso zur Erhebung der Fremdenverkehrs- und Kurbeiträge dienen, können längere Aufbewahrungsfristen gelten.

Vernichtung der Meldescheine

Nach Ablauf der jeweiligen Aufbewahrungsfrist sind die Meldescheine datenschutzgerecht zu vernichten.

Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Gemäß Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung Art. 6 Abs. 1 lit. a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
    • Form: ausdrückliche Erklärung oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann. Wichtig ist, dass der Verantwortliche nachweisen kann, dass eine Einwilligung abgegeben wurde (Dokumentation).
    • Informiertheit: Der Betroffene ist vorab über die Identität des Datenverarbeiters, über die Zwecke der Datenverarbeitung und über sein jederzeitiges, freies Widerrufsrecht ohne entsprechende Rückwirkung zu informieren.
    • Bei Unterbringung u.a. in Allgemeinen Geschäftsbedingungen muss die Einwilligung deutlich hervorgehoben und klar verständlich sein.
    • Vertragliche Einwilligungsklauseln sind in der Regel unwirksam, wenn sie sich auf Daten erstrecken, die für die Erfüllung des Vertrages nicht erforderlich sind.
    • Einwilligungserklärungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Ein solches ist in der Regel beispielsweise, wie bisher auch schon, zwischen Arbeitgeber und Arbeitnehmer gegeben. Da auch im Massenverkehr zwischen Unternehmern und Verbrauchern regelmäßig davon auszugehen ist, wird der rechtskonforme Datenverkehr mit Verbrauchern erheblich erschwert.
    • Das Mindestalter für die Einwilligung beträgt in der Regel 16 Jahre.

Zusammenfassend lässt sich sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen unverändert bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Hinzu gekommen sind das Mindestalter sowie die Problematik eines möglichen Ungleichgewichts zwischen dem Verantwortlichen und dem Betroffenen. Teilweise wurden Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.

  • Die Verarbeitung ist für die Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, erforderlich, der der Verantwortliche unterliegt. Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
  • Die Verarbeitung erforderlich ist, um lebenswichtige Interessen, Art. 6 Abs. 1 lit. d DSGVO, der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, Art. 6 Abs. 1 lit. e DSGVO, erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO, des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
    • Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse von unterschiedlichen Ausprägungen verfolgt.
    • Ob das verfolgte Interesse berechtigt ist, ist eine reine Wertungsfrage, deren Maßstäbe aus den allgemeinen Datenschutzgrundsätzen abzuleiten sind.
    • Nach Erwägungsgrund 47 S. 1-4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an.

Erfolgt im Anschluss eine Weiterverarbeitung von Daten zu einem vereinbaren Zweck, so bedarf es keiner gesonderten Rechtsgrundlage für eine solche Weiterverarbeitung, Art. 6 Abs. 4 DSGVO. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen:

  • ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
  • in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen,
  • in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt,
  • welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Mit der EU-Datenschutzgrundverordnung kommt somit viel Neues aber auch viel alt Bekanntes und Bewehrtes. Die Unternehmen sind gefordert, hier schnell geeignete Umsetzungsorganismen zu implementieren.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Austritt Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bundesnetzagentur Bußgeld Bußgelder BVG Cambridge Analytics Citizen-Score Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Geheimhaltung Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalverantwortliche personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm schutzwürdige Interessen Schweiz Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30