Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").
Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.
Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.
Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.
Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!
Dabei ist zwingend folgendes zu beachten:
- Die Tools müssen lokal installiert sein.
- Daten dürfen nicht an Dritte weitergeben werden.
- In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.
Wenden Sie sich bei Fragen gerne an uns.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Wohnungsmangel ist v.a. in vielen großen Städten Realität. Vermieter und ihre Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten bereits auch schon vor Besichtigungstermin anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand inkl. Namen und Geburtsdatum von Ehepartnern und Kindern, Kinderwunsch, Heiratsabsichten, Schwangerschaft, Angaben zum bestehenden Arbeitsverhältnis wie Dauer (Eintrittsdatum, befristet/unbefristet), Art der Beschäftigung, Angaben zum Arbeitgeber, betriebliche Anschrift etc.), u.a. auch sensible Daten, wie Personalausweisdaten, -kopien, -scans, Vorstrafen sowie Angaben zu Vermögensverhältnissen (z.B. Lohn- und Gehaltsnachweise, Schufa-Auskunft, Angaben zu vorherigen Vermietern, Mietschuldenfreiheitsbescheinigung, Unterhaltsverpflichtungen, Insolvenzverfahren, Räumungsklagen).
Abgesehen vom Grundsatz der Datenminimierung werden dabei auch datensicherheitstechnische Vorgaben zum Schutz dieser vielen Daten in erheblichem Umfang missachtet.
Doch was dürfen Vermieter und ihre Immobilienmakler wirklich an Daten erheben?
Die Aufsichtsbehörden haben eine Orientierungshilfe hierzu herausgegeben (Stand 30.01.2018):
Zur Durchführung eines Besichtigungstermins dürfen Vermieter und ihre Immobilienmakler allenfalls
- Namensangaben
- Kontaktadresse
erheben, um den Zeitpunkt der Wohnungsbesichtigung mitzuteilen.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.
Teilt bei oder nach dem Besichtigungstermin ein Mietinteressent mit, dass er die Wohnung anmieten möchte, dürfen weitere Daten erhoben werden:
- Anzahl der einziehenden Personen
- Namensangaben der einziehenden Personen nur, wenn diese ebenso Vertragspartei des Mietvertrages werden
- Angaben zu Vermögensverhältnissen: Beschränkung auf Angaben zu einem laufenden Verbraucherinsolvenzverfahren oder zu Räumungsklagen wegen Mietzinsrückständen innerhalb der letzten 5 Jahre
- Angaben zum Beruf: Funktion, Job-Titel; nach der Dauer darf nicht gefragt werden
- Höhe des Netto-Einkommens: Beschränkung auf Betragsgrenzen
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Hat der Vermieter seine Wahl aufgrund der oben angegebenen Daten auf einige wenige Mietinteressenten eingegrenzt, dürfen weitere Daten erhoben werden:
- Lohn- und Gehaltsnachweise, geschwärzt um die nicht erforderlichen Angaben, wie bspw. Religionszugehörigkeit etc.
- Selbstauskunft zur Bonität: Beschränkt auf einen Nachweis eigens für den spezifischen Fall der Eingehung eines Mietverhältnisses; der Abschluss des Mietvertrags darf zudem nur noch vom positiven Ergebnis dieser Bonitätsprüfung abhängen.
- Angaben können durch die Vorlage des Personalausweises überprüft werden; die Anfertigung von Personalausweis-Kopien/-Scans ist jedoch unzulässig.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Die Erhebung weiterer als der eben genannten Daten aufgrund einer Einwilligung des Mietinteressenten gemäß Art. 6 Abs. 1 lit. a) DSGVO ist dem Vermieter / Immobilienmakler nicht möglich. Aufgrund des klaren Ungleichgewichts zwischen Vermieter und Mietinteressent, würde der Mietinteressent die Einwilligung nicht freiwillig abgeben, sondern aus einer Zwangslage heraus. Und eine solche Einwilligung ist nicht wirksam und die darauf basierende Datenverarbeitung wäre unzulässig.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Beim betrieblichen Eingliederungsmanagement (BEM) geht es in erster Linie um die Verwendung von Informationen über die Gesundheit des Mitarbeiters. Dabei handelt es sich um sensiblen Daten, für die das Unternehmen verantwortlich ist. Eine datenschutzrechtliche Bewertung ist also unumgänglich. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Bei der Umstellung auf die DSGVO müssen alle Prozesse und die dazu gehörenden Dokumente überprüft werden, also auch die des BEM. Die Missachtung des Datenschutzes bei der Gestaltung des BEM stellt eine fehlerhafte Datenverarbeitung dar, was wiederum zum Bußgeld führen kann.
Auch das BEM braucht eine Rechtsgrundlage nach DSGVO
Da kommen gleich mehrere Rechtsgrundlagen in Betracht:
• Die Betriebsvereinbarung
• Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung
• Einwilligung
Betriebsvereinbarung
Betriebsvereinbarungen (BV) können eine Rechtsgrundlage sein, sie müssen aber den Anforderungen von Art. 88 Abs. 2, Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 26 Abs. 3 BDSG entsprechen. Daher sind BV, die vor der DSGVO abgeschlossen wurden, daraufhin zu überprüfen.
Gesetzliche Pflicht
§ 167 Abs. 2 SGB IX regelt die Verpflichtung des Arbeitgebers zur Durchführung des BEM. Unter Berufung auf Art. 6 Abs. 1 lit. c), Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG dürfen also alle Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.
Einwilligung
Zusätzlich muss der Arbeitgeber die Einwilligungserklärung der betroffenen Mitarbeiter einholen, da nicht die gesamte für das BEM erforderliche Datenverarbeitung auf die oben genannten Rechtsgrundlagen gestützt werden kann. Die Einwilligung muss dabei den Anforderungen aus Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG entsprechen.
Informationspflichten
Die Mitarbeiter müssen zudem gemäß Art. 13, 14 DSGVO informiert werden über die Verarbeitung ihrer personenbezogenen Daten.
Michaela Dötsch
Rechtsanwältin
„Ist das Werbung oder können wir das auch ohne Einwilligung per E-Mail verschicken?“ Diese Frage hören wir in unserem Beratungsalltag sehr häufig. Viele Unternehmen haben ein Interesse daran, ihre Informationen schnell und kostengünstig an die Empfänger zu verteilen, nur ist der Grad zwischen „Werbung“ und „notwendige Kundeninformation“ oftmals ein sehr schmaler.
In seinem jüngst veröffentlichten Urteil VI ZR 225/17-LG Braunschweig stellt der BGH fest, dass hier ggfs. sogar eine Zweiteilung des Inhalts angemessen und richtig sein kann. In dem zu entscheidenden Fall versandt das Unternehmen zusammen mit der Rechnung für das gekaufte Produkt einen Link zu seiner Zufriedenheitsumfrage ohne zuvor die nach § 7 Abs. 2 Nr. 3 UWG notwendige Einwilligung des Rechnungsempfängers eingeholt zu haben. Zu Unrecht, wie der BGH entschied.
Während die Zusendung der Rechnung im Rahmen der Abwicklung des Kaufvertrags ohne weiters auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden konnte, handelt es sich laut BGH bei dem Link zur Zufriedenheitsumfrage um eine werbliche Ansprache, für die gem. Art. 13 Abs. 1 der Datenschutzrichtlinie EK eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO erforderlich ist, die jedoch nicht vorlag.
Klargestellt hat der BGH damit, dass jeder Teilinhalt einer E-Mail gesondert auf deren Charakter zu überprüfen ist und für jeden Teil daher auch gesondert die entsprechenden Rechtsgrundlagen vorhanden sein müssen. Anderenfalls haben die betroffenen Personen ggfs. einen Unterlassungsanspruch gegenüber dem Unternehmen.
Können sich nun alle Unternehmen, die keine Kundenzufriedenheitsanfragen durchführen, entspannt zurücklehnen? Keineswegs!
Zahlreiche Unternehmen nutzen sogenannte E-Mail-Abbinder, in denen sie auf aktuelle Veranstaltungen, einen Messestand, einen gewonnenen Unternehmenspreis etc. hinweisen. All dies sind Instrumente, um sich bei dem Kunden in Erinnerung zu bringen, was der Kundenbindung dient und eine Weiterempfehlung ermöglicht. Laut BGH sollen damit auch weiteren Geschäftsabschlüssen der Weg geebnet und hierfür geworben werden. Daher bedarf es für den Versand dieser Inhalte per E-Mail einer entsprechenden Einwilligung des Empfängers.
Es ist daher aus unserer Sicht dringend dazu zu raten Ihre E-Mail-Abbinder auf deren werblichen Charakter zu untersuchen und auf den Prüfstand zu stellen, unter anderem auch, da hier aufgrund des neuen BGH-Urteils eine Abmahnwelle zu befürchten ist.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Mit Beschluss vom 18.06.2018 hat das Oberlandesgericht (OLG) Köln eine viel diskutierte Frage zur Anwendung des KUG nach Inkrafttreten der DSGVO beantwortet. Danach gilt das KUG weiterhin als Rechtsgrundlage für die Bildberichterstattung, ohne eine Einwilligung der fotografierten und gezeigten Personen. Dies bestätigte auch die bayerische Aufsichtsbehörde für Datenschutz. § 23 KUG erlaubt die Veröffentlichung von Personenfotos ohne Einwilligung der betroffenen Personen, zum Beispiel bei Versammlungen an der die Personen teilgenommen haben.
Der Entscheidung lag der Antrag auf Erlass einer einstweiligen Verfügung zugrunde. Mit dem Antrag sollte die Veröffentlichung eines Fotos in einem Fernsehbeitrag verhindert werden. Das Foto zeigte den Antragsteller im Zusammenhang mit der Räumung eines Gebäudes. Der Antrag wurde zurückgewiesen, die nachfolgende sofortige Beschwerde blieb ebenfalls erfolglos. Die umfangreichen Abwägungsmöglichkeiten des KUG ermöglichen, so dass OLG Köln, die Berücksichtigung der Grundrechtspositionen nach Unionsrecht. Das KUG bildet jedoch nicht die rechtliche Grundlage für die Erfassung der Daten, also das Fotografieren und es befreit nicht von den Informationspflichten. Die Information liegt im Beschäftigtenverhältnis in der Regel vor. Bei fremden Personen kann sie entbehrlich sein, wenn die Personen auf der Veranstaltung damit rechnen müssen, dass Fotos gemacht werden. Als Rechtsgrundlage für die Erhebung wird Art. 6 Abs. 1 lit f) DSGVO heranzuziehen sein. Dem berechtigten Interesse der (professionellen) Fotografen, ihren künstlerischen Beruf auszuüben, steht kein schutzwürdiges Interesse der Betroffenen gegenüber. Wie so oft, ist jedoch immer der Einzelfall zu betrachten und die beidseitigen Interessen sind sorgfältig abzuwägen.
Die Entscheidung bedeutet auch eine Erleichterung für die Veröffentlichung von Fotos von Firmenevents wie Hausmessen, Messen, Fortbildungen, Sommerfesten, etc. im Intranet, Internet oder in einer Betriebszeitung.
Michaela Dötsch
Rechtsanwältin
Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.
Wie funktioniert Custom Audience?
Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.
Fazit:
In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.
Dr. Bettina Kraft
Senior Consultant für Datenschutz
Teamleitung/Volljuristin
Cookies sind kurze Textinformationen, die beim Besuch von Webseiten auf dem PC oder Smartphone platziert werden, um beispielsweise Einstellungen der Internetseiten, den Login-Status oder den Inhalt des Einkaufswagens in Online-Shops zu speichern. Diese sogenannten funktionalen Cookies sind in der Regel durch das berechtigte Interesse des Webseiten-Betreibers rechtlich abgedeckt.
Daneben gibt es Tracking-Cookies, die Betreibern von Webseiten dazu dienen, Benutzerprofile zu erstellen. Datenschutzrechtlich waren Tracking Cookies bereits relevant. Gemäß 15 Abs. 3 Telemediengesetz (TMG) waren Nutzer nach dem Opt-Out-Prinzip lediglich über ihr Widerspruchsrecht zu informieren. In der Regel wurde dies durch einen Datenschutzhinweis auf der Webseite oder durch das Einblenden eines Cookie-Banners beim Aufruf der Webseite umgesetzt.
Mit ihrem Positionspapier vom 26.04.2018 bewertet die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die rechtliche Situation völlig neu. Die Wirksamkeit des Telemediengesetzes im Bereich des Datenschutzes wird darin klar hinter die DSGVO gestellt.
Die DSK formuliert im genannten Positionspapier im Hinblick auf Cookies Folgendes: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…) bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Das Positionspapier in Gänze können Sie unter folgendem Link einsehen: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf
Daher gilt nun bereits ab 25.05.2018 und nicht erst mit Einführung der für das Jahr 2019 erwarteten neuen ePrivacy-Verordnung, dass erst durch einen aktiven Klick des Webseitenbesuchers auf ein entsprechendes Feld im Banner („Ich stimme zu“) sämtliche Cookies aktiviert werden. Webseiten sollten also dringend auf technisch notwendige Cookies reduziert werden, für die es ein berechtigtes Interesse geben kann. Für alle anderen Cookies muss die ausdrückliche und aktive Einwilligung durch den Webseiten-Besucher erteilt werden.
L. Fuchs
Beraterin für Datenschutz
Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:
- Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
- Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
- Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
- Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
- Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).
Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.
Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:
- Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
- Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
- Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).
Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.
Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).
Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“
Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz