Home / Aktuelles & Termine / it.sec blog

Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:

 

- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.

 

- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.

 

- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.

 

Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:

 

Cookies überprüfen

 

Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.

 

HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.

 

 

Einwilligung einholen

 

Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.

 

Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.

 

Widerruf beachten

 

Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.

 

 

Vorgaben der Aufsichtsbehörden umsetzen

 

Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.

 

HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.

 

S. Kieselmann

 

Beraterin für Datenschutz

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.

 

Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.

 

Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.

 

Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.

 

Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.

 

Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").

Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.

Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.

Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.

Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!

 

Dabei ist zwingend folgendes zu beachten:

 

  • Die Tools müssen lokal installiert sein.
  • Daten dürfen nicht an Dritte weitergeben werden.
  • In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.

 

 

Wenden Sie sich bei Fragen gerne an uns.

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Vermieter und ihre Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten bereits auch schon vor Besichtigungstermin anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand inkl. Namen und Geburtsdatum von Ehepartnern und Kindern, Kinderwunsch, Heiratsabsichten, Schwangerschaft, Angaben zum bestehenden Arbeitsverhältnis wie Dauer (Eintrittsdatum, befristet/unbefristet), Art der Beschäftigung, Angaben zum Arbeitgeber, betriebliche Anschrift etc.), u.a. auch sensible Daten, wie Personalausweisdaten, -kopien, -scans, Vorstrafen sowie Angaben zu Vermögensverhältnissen (z.B. Lohn- und Gehaltsnachweise, Schufa-Auskunft, Angaben zu vorherigen Vermietern, Mietschuldenfreiheitsbescheinigung, Unterhaltsverpflichtungen, Insolvenzverfahren, Räumungsklagen).

 

Abgesehen vom Grundsatz der Datenminimierung werden dabei auch datensicherheitstechnische Vorgaben zum Schutz dieser vielen Daten in erheblichem Umfang missachtet.

 

Doch was dürfen Vermieter und ihre Immobilienmakler wirklich an Daten erheben?

 

Die Aufsichtsbehörden haben eine Orientierungshilfe hierzu herausgegeben (Stand 30.01.2018):

 

Zur Durchführung eines Besichtigungstermins dürfen Vermieter und ihre Immobilienmakler allenfalls

 

- Namensangaben

 

- Kontaktadresse

 

erheben, um den Zeitpunkt der Wohnungsbesichtigung mitzuteilen.

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

 

Teilt bei oder nach dem Besichtigungstermin ein Mietinteressent mit, dass er die Wohnung anmieten möchte, dürfen weitere Daten erhoben werden:

 

- Anzahl der einziehenden Personen

 

- Namensangaben der einziehenden Personen nur, wenn diese ebenso Vertragspartei des Mietvertrages werden

 

- Angaben zu Vermögensverhältnissen: Beschränkung auf Angaben zu einem laufenden Verbraucherinsolvenzverfahren oder zu Räumungsklagen wegen Mietzinsrückständen innerhalb der letzten 5 Jahre

 

- Angaben zum Beruf: Funktion, Job-Titel; nach der Dauer darf nicht gefragt werden

 

- Höhe des Netto-Einkommens: Beschränkung auf Betragsgrenzen

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.

 

Hat der Vermieter seine Wahl aufgrund der oben angegebenen Daten auf einige wenige Mietinteressenten eingegrenzt, dürfen weitere Daten erhoben werden:

 

- Lohn- und Gehaltsnachweise, geschwärzt um die nicht erforderlichen Angaben, wie bspw. Religionszugehörigkeit etc.

 

- Selbstauskunft zur Bonität: Beschränkt auf einen Nachweis eigens für den spezifischen Fall der Eingehung eines Mietverhältnisses; der Abschluss des Mietvertrags darf zudem nur noch vom positiven Ergebnis dieser Bonitätsprüfung abhängen.

 

- Angaben können durch die Vorlage des Personalausweises überprüft werden; die Anfertigung von Personalausweis-Kopien/-Scans ist jedoch unzulässig.

 

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.

 

Die Erhebung weiterer als der eben genannten Daten aufgrund einer Einwilligung des Mietinteressenten gemäß Art. 6 Abs. 1 lit. a) DSGVO ist dem Vermieter / Immobilienmakler nicht möglich. Aufgrund des klaren Ungleichgewichts zwischen Vermieter und Mietinteressent, würde der Mietinteressent die Einwilligung nicht freiwillig abgeben, sondern aus einer Zwangslage heraus. Und eine solche Einwilligung ist nicht wirksam und die darauf basierende Datenverarbeitung wäre unzulässig.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Beim betrieblichen Eingliederungsmanagement (BEM) geht es in erster Linie um die Verwendung von Informationen über die Gesundheit des Mitarbeiters. Dabei handelt es sich um sensiblen Daten, für die das Unternehmen verantwortlich ist. Eine datenschutzrechtliche Bewertung ist also unumgänglich. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Bei der Umstellung auf die DSGVO müssen alle Prozesse und die dazu gehörenden Dokumente überprüft werden, also auch die des BEM. Die Missachtung des Datenschutzes bei der Gestaltung des BEM stellt eine fehlerhafte Datenverarbeitung dar, was wiederum zum Bußgeld führen kann.

Auch das BEM braucht eine Rechtsgrundlage nach DSGVO

Da kommen gleich mehrere Rechtsgrundlagen in Betracht:

• Die Betriebsvereinbarung

• Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung

• Einwilligung

Betriebsvereinbarung

Betriebsvereinbarungen (BV) können eine Rechtsgrundlage sein, sie müssen aber den Anforderungen von Art. 88 Abs. 2, Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 26 Abs. 3 BDSG entsprechen. Daher sind BV, die vor der DSGVO abgeschlossen wurden, daraufhin zu überprüfen.

Gesetzliche Pflicht

§ 167 Abs. 2 SGB IX regelt die Verpflichtung des Arbeitgebers zur Durchführung des BEM. Unter Berufung auf Art. 6 Abs. 1 lit. c), Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG dürfen also alle Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.

Einwilligung

Zusätzlich muss der Arbeitgeber die Einwilligungserklärung der betroffenen Mitarbeiter einholen, da nicht die gesamte für das BEM erforderliche Datenverarbeitung auf die oben genannten Rechtsgrundlagen gestützt werden kann. Die Einwilligung muss dabei den Anforderungen aus Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG entsprechen.

Informationspflichten

Die Mitarbeiter müssen zudem gemäß Art. 13, 14 DSGVO informiert werden über die Verarbeitung ihrer personenbezogenen Daten.

Michaela Dötsch

Rechtsanwältin

„Ist das Werbung oder können wir das auch ohne Einwilligung per E-Mail verschicken?“ Diese Frage hören wir in unserem Beratungsalltag sehr häufig. Viele Unternehmen haben ein Interesse daran, ihre Informationen schnell und kostengünstig an die Empfänger zu verteilen, nur ist der Grad zwischen „Werbung“ und „notwendige Kundeninformation“ oftmals ein sehr schmaler.

In seinem jüngst veröffentlichten Urteil VI ZR 225/17-LG Braunschweig stellt der BGH fest, dass hier ggfs. sogar eine Zweiteilung des Inhalts angemessen und richtig sein kann. In dem zu entscheidenden Fall versandt das Unternehmen zusammen mit der Rechnung für das gekaufte Produkt einen Link zu seiner Zufriedenheitsumfrage ohne zuvor die nach § 7 Abs. 2 Nr. 3 UWG notwendige Einwilligung des Rechnungsempfängers eingeholt zu haben. Zu Unrecht, wie der BGH entschied.

Während die Zusendung der Rechnung im Rahmen der Abwicklung des Kaufvertrags ohne weiters auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden konnte, handelt es sich laut BGH bei dem Link zur Zufriedenheitsumfrage um eine werbliche Ansprache, für die gem. Art. 13 Abs. 1 der Datenschutzrichtlinie EK eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist, die jedoch nicht vorlag.

Klargestellt hat der BGH damit, dass jeder Teilinhalt einer E-Mail gesondert auf deren Charakter zu überprüfen ist und für jeden Teil daher auch gesondert die entsprechenden Rechtsgrundlagen vorhanden sein müssen. Anderenfalls haben die betroffenen Personen ggfs. einen Unterlassungsanspruch gegenüber dem Unternehmen.

Können sich nun alle Unternehmen, die keine Kundenzufriedenheitsanfragen durchführen, entspannt zurücklehnen? Keineswegs!

Zahlreiche Unternehmen nutzen sogenannte E-Mail-Abbinder, in denen sie auf aktuelle Veranstaltungen, einen Messestand, einen gewonnenen Unternehmenspreis etc. hinweisen. All dies sind Instrumente, um sich bei dem Kunden in Erinnerung zu bringen, was der Kundenbindung dient und eine Weiterempfehlung ermöglicht. Laut BGH sollen damit auch weiteren Geschäftsabschlüssen der Weg geebnet und hierfür geworben werden. Daher bedarf es für den Versand dieser Inhalte per E-Mail einer entsprechenden Einwilligung des Empfängers.

Es ist daher aus unserer Sicht dringend dazu zu raten Ihre E-Mail-Abbinder auf deren werblichen Charakter zu untersuchen und auf den Prüfstand zu stellen, unter anderem auch, da hier aufgrund des neuen BGH-Urteils eine Abmahnwelle zu befürchten ist.

C. Lürmann

Rechtsanwältin

Consultant Datenschutz

Mit Beschluss vom 18.06.2018 hat das Oberlandesgericht (OLG) Köln eine viel diskutierte Frage zur Anwendung des KUG nach Inkrafttreten der DSGVO beantwortet. Danach gilt das KUG weiterhin als Rechtsgrundlage für die Bildberichterstattung, ohne eine Einwilligung der fotografierten und gezeigten Personen. Dies bestätigte auch die bayerische Aufsichtsbehörde für Datenschutz. § 23 KUG erlaubt die Veröffentlichung von Personenfotos ohne Einwilligung der betroffenen Personen, zum Beispiel bei Versammlungen an der die Personen teilgenommen haben.

Der Entscheidung lag der Antrag auf Erlass einer einstweiligen Verfügung zugrunde. Mit dem Antrag sollte die Veröffentlichung eines Fotos in einem Fernsehbeitrag verhindert werden. Das Foto zeigte den Antragsteller im Zusammenhang mit der Räumung eines Gebäudes. Der Antrag wurde zurückgewiesen, die nachfolgende sofortige Beschwerde blieb ebenfalls erfolglos. Die umfangreichen Abwägungsmöglichkeiten des KUG ermöglichen, so dass OLG Köln, die Berücksichtigung der Grundrechtspositionen nach Unionsrecht. Das KUG bildet jedoch nicht die rechtliche Grundlage für die Erfassung der Daten, also das Fotografieren und es befreit nicht von den Informationspflichten. Die Information liegt im Beschäftigtenverhältnis in der Regel vor. Bei fremden Personen kann sie entbehrlich sein, wenn die Personen auf der Veranstaltung damit rechnen müssen, dass Fotos gemacht werden. Als Rechtsgrundlage für die Erhebung wird Art. 6 Abs. 1 lit f) DSGVO heranzuziehen sein. Dem berechtigten Interesse der (professionellen) Fotografen, ihren künstlerischen Beruf auszuüben, steht kein schutzwürdiges Interesse der Betroffenen gegenüber. Wie so oft, ist jedoch immer der Einzelfall zu betrachten und die beidseitigen Interessen sind sorgfältig abzuwägen.

Die Entscheidung bedeutet auch eine Erleichterung für die Veröffentlichung von Fotos von Firmenevents wie Hausmessen, Messen, Fortbildungen, Sommerfesten, etc. im Intranet, Internet oder in einer Betriebszeitung.

Michaela Dötsch

Rechtsanwältin

Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.

Wie funktioniert Custom Audience?

Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.

Fazit:

In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.

Dr. Bettina Kraft

Senior Consultant für Datenschutz

Teamleitung/Volljuristin

Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.

Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.

Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.

Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.

L. Fuchs
Beraterin für Datenschutz

Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:

  • Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
  • Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
  • Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).

Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.

Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:

  • Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
  • Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
  • Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesverband Laptop Lazarus Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31