Frequently Asked Questions (FAQ)
Eine Offenlegung von Daten an Dritte ist auch während der Corona-Pandemie nicht zulässig und an strenge Voraussetzungen geknüpft.
So ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Siehe hierzu auch die Stellungnahmen der LDA Bayern zur Weitergabe von personenbezogenen Daten durch Gesundheitsämter an die Polizei: https://www.datenschutz-bayern.de/corona/weitergabe.html
Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, wird in den meisten Fällen ein Bezug zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie können nach Meinung der Datenschutzaufsichtsbehörden des Bundes und der Länder als datenschutzrechtlich legitimiert betrachtet werden.
Maßnahmen gegenüber Gästen oder Besuchern
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Bei Maßnahmen gegenüber Dritten (Gäste, Besucher, etc.) kann im nicht-öffentlichen Bereich Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Soweit Gesundheitsdaten betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.
Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, wird in den meisten Fällen ein Bezug zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie können nach Meinung der Datenschutzaufsichtsbehörden des Bundes und der Länder als datenschutzrechtlich legitimiert betrachtet werden.
Maßnahmen gegenüber Beschäftigten durch den Arbeitgeber
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten), um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
- Informationen zu den Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- Informationen zu den Fällen, in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Die Berechtigung zur Verarbeitung personenbezogener von Beschäftigten durch den Arbeitgeber ergibt sich in diesen Fällen für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Sofern Sie dienstliche Geräte nutzen: Nutzen Sie ausschließlich diese für dienstliche Aufgaben. Umgekehrt sollte beruflich zur Verfügung gestellte IT-Ausstattung nicht privat genutzt werden.
- Sofern Sie private Geräte nutzen: Nutzen Sie nur aktuell unterstützte Betriebssysteme (aber zB *kein* Windows 7 oder XP)
- Achten Sie darauf, dass die aktuellen Updates installiert sind.
- Nutzen Sie automatisierte Update-Funktionen
- Setzen Sie einen Passwortschutz für den Zugang zum Computer
- Setzen Sie einen aktuellen Virenscanner ein (z.B. bei Windows den Defender).
Generell gilt:
Arbeiten Sie nicht über unverschlüsselte WLAN-Netze.
Wenn es nicht anders geht, nutzen Sie zur Absicherung die VPN-Verbindung.
- Achten Sie darauf, dass die Daten nicht von Dritten (dazu gehören auch: Partner, Kinder) eingesehen werden können. Lassen Sie z.B. Unterlagen nicht offen herumliegen.
- Führen Sie vertrauliche Telefonate allein durch, d.h. auch ohne die Anwesenheit von Familie oder Dritten. Achten Sie hierauf auch, wenn Sie z.B. in Garten oder auf dem Balkon telefonieren.
- Arbeiten Sie nicht an öffentlichen Plätzen.
- Personenbezogene Daten sollten in einem separaten, abschließbaren Raum verarbeitet werden. Ist dies nicht möglich, sollte zumindest die Aufbewahrung dieser Daten in einem abschließbaren Schrank erfolgen.
- Achten SIe auf eine datenschutzkonforme Entsorgung von Papier-Unterlagen mit personenbezogenen Informationen (z.B. schreddern oder sehr klein zerreissen).
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Eine Offenlegung von Daten an Dritte ist auch während der Corona-Pandemie nicht zulässig und an strenge Voraussetzungen geknüpft.
So ist die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen nur dann rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist. Siehe hierzu auch die Stellungnahmen der LDA Bayern zur Weitergabe von personenbezogenen Daten durch Gesundheitsämter an die Polizei: https://www.datenschutz-bayern.de/corona/weitergabe.html
Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, wird in den meisten Fällen ein Bezug zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie können nach Meinung der Datenschutzaufsichtsbehörden des Bundes und der Länder als datenschutzrechtlich legitimiert betrachtet werden.
Maßnahmen gegenüber Gästen oder Besuchern
Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
Bei Maßnahmen gegenüber Dritten (Gäste, Besucher, etc.) kann im nicht-öffentlichen Bereich Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden. Soweit Gesundheitsdaten betroffen sind, findet zudem Art. 9 Abs. 2 lit. i) i.V.m. § 22 Abs. 1 Nr. 1 lit. c) BDSG Anwendung.
Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, wird in den meisten Fällen ein Bezug zwischen Personen und deren Gesundheitszustand hergestellt. Ab diesem Zeitpunkt handelt es sich um Gesundheitsdaten, die nach Artikel 9 Datenschutz-Grundverordnung (DSGVO) besonders geschützt sind.
Die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie können nach Meinung der Datenschutzaufsichtsbehörden des Bundes und der Länder als datenschutzrechtlich legitimiert betrachtet werden.
Maßnahmen gegenüber Beschäftigten durch den Arbeitgeber
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten), um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen.
- Informationen zu den Fällen, in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- Informationen zu den Fällen, in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Die Berechtigung zur Verarbeitung personenbezogener von Beschäftigten durch den Arbeitgeber ergibt sich in diesen Fällen für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Grundsätzlich gilt, dass die Verwendung von elektronischer Post für die Zwecke der Werbung ohne Einwilligung des Empfängers einen Eingriff in seine geschützte Privatsphäre und damit in sein allgemeines Persönlichkeitsrecht darstellt.
Nach der Datenschutz-Grundverordnung (DSGVO) kann eine Verarbeitung von personenbezogenen Daten, z.B. die Verwendung einer E-Mail-Adresse zum Zusenden von Werbung, auch aufgrund des berechtigten Interesses des jeweiligen Verantwortlichen erfolgen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die DSGVO lässt also eine Abwägung der verschiedenen Interessen zu. Nach Erwägungsgrund 47 der DSGVO kann Direktwerbung einem solchen berechtigten Interesse dienen. Eine Einschränkung für E-Mails gibt es hier nicht.
Kundenbefragungen und Zufriedenheitsbefragungen dienen nicht nur der Ermittlung des Grads der Kundenzufriedenheit, sondern verfolgen auch den Zweck, den Kontakt zu den Kunden zu erhalten, die Kundenbindung zu erhöhen und damit künftige Geschäftsabschlüsse zu fördern. Wegen des Bezugs zu einem bestimmten Unternehmen und zu dessen Leistungen und Produkten werden diese Zufriedenheitserhebungen und Kundenbefragungen allgemein als Werbemaßnahmen beurteilt. Dies gilt auch dann, wenn die Erkenntnisse der Befragungen nur mittelbar der Umsatzsteigerung dienen (vgl. OLG Dresden, Urteil vom 26.04.2016, Az.: 14 U 1773/15; Kammergericht Berlin, Beschluss vom 07.02.2017, Az.: 5 W 15/17, und BGH, Urteil vom 10.07.2018, Az.: VI ZR 225/17).
Mit Urteil vom 07.02.2017 (Az.: 5 W 15/17) entschied das Kammergericht Berlin, dass eine Kundenzufriedenheitsbefragung eine Werbemaßnahme ist, weil sie dazu dient, die Kunden an das Unternehmen zu binden und künftige Geschäftsabschlüsse zu fördern. Die Zusendung einer Werbe-E-Mail ohne vorherige Einwilligung des Adressaten stellt somit einen unmittelbaren Eingriff in den Gewerbebetrieb dar und ist auch gem. § 7 Abs. 2 Nr. 3 UWG rechtswidrig. Eine Ausnahme von diesem Verbot greift nur unter den Voraussetzungen des § 7 Abs. 3 UWG.
Mit Urteil vom 10.07.2018 (VI ZR 225/17) entschied der Bundesgerichtshof (BGH), dass das Übersenden von Kundenzufriedenheitsbefragungen mittels E-Mail, ohne nach der Vorschrift des § 7 Abs. 3 UWG hierfür dem jeweiligen Verbraucherkunden vorab eine Möglichkeit des Widerspruchs einzuräumen, grundsätzlich einen Eingriff in das allgemeine Persönlichkeitsrecht des jeweiligen Verbrauchers darstellt. Dazu gehört auch eine Kundenzufriedenheitsbefragung. die z.B. zusammen mit einer Rechnung für ein zuvor gekauftes Produkt erfolgt.
Dieser Wertungswiderspruch, DSGVO einerseits und UWG andererseits, hat zur Folge, dass die Versendung von Werbemails datenschutzrechtlich zwar rechtmäßig sein kann, aber dennoch häufig gegen Wettbewerbsrecht (vor allem das UWG) verstoßen wird. Ein Umstand, der in der Praxis und im Rahmen der derzeit vorherrschenden Aufmerksamkeit für das Datenschutzrecht berücksichtigt werden muss. Wer Werbung mittels E-Mail verschicken möchte, sollte daher seine Prozesse auch unter UWG-Gesichtspunkten prüfen. Wer sich auf die Ausnahme des §7 Abs. 3 UWG berufen möchte, muss entsprechend der Vorschrift schon bei Erhebung der E-Mail-Adresse entsprechend qualifiziert belehren.
Fazit: Bei Kundenzufriedenheitsbefragungen ist eine vorherige Einwilligung des Adressaten einzuholen bzw. muss dem Adressaten vorab die Möglichkeit des Widerspruchs eingeräumt werden.
Bei einer Bestätigungs-E-Mail beim Double-Opt-In (= Nachweis, dass die Anmeldung zum Newsletter durch den E-Mail-Inhaber erfolgt ist) muss folgendes beachtet werden:
- Keine Werbung: Die Bestätigungs-E-Mail darf keine Werbung enthalten. Anderenfalls stellt bereits sie selbst unverlangte Werbung dar.
- Wiederholung der Anmeldeinformationen: Die Bestätigungs-E-Mail sollte eine Wiederholung der Informationen aus der Anmeldemaske beinhalten (zumindest zum Inhalt des Newsletters).
- Impressum: In der Bestätigungs-E-Mail sollte das Impressum oder zumindest ein Link zum Impressum enthalten sein.
Ein Firmen-Logo in Verbindung mit dem Impressum, welches die Seriosität Ihres Anliegens verdeutlicht, ist zulässig.
Fazit: In einer Bestätigungs-E-Mail sollte auf jegliche Werbung verzichtet werden, ebenso auf ein großflächiges, bannerartiges Firmen-Logo und auf Gutschein- oder sonstige Angebote. Ansonsten wird schon die Bestätigungs-E-Mail als unerwünschte Werbung gewertet und es besteht die Gefahr nach §7 UWG abgemahnt zu werden.
Sofern Sie dienstliche Geräte nutzen: Nutzen Sie ausschließlich diese für dienstliche Aufgaben. Umgekehrt sollte beruflich zur Verfügung gestellte IT-Ausstattung nicht privat genutzt werden.
- Sofern Sie private Geräte nutzen: Nutzen Sie nur aktuell unterstützte Betriebssysteme (aber zB *kein* Windows 7 oder XP)
- Achten Sie darauf, dass die aktuellen Updates installiert sind.
- Nutzen Sie automatisierte Update-Funktionen
- Setzen Sie einen Passwortschutz für den Zugang zum Computer
- Setzen Sie einen aktuellen Virenscanner ein (z.B. bei Windows den Defender).
Generell gilt:
Arbeiten Sie nicht über unverschlüsselte WLAN-Netze.
Wenn es nicht anders geht, nutzen Sie zur Absicherung die VPN-Verbindung.
- Achten Sie darauf, dass die Daten nicht von Dritten (dazu gehören auch: Partner, Kinder) eingesehen werden können. Lassen Sie z.B. Unterlagen nicht offen herumliegen.
- Führen Sie vertrauliche Telefonate allein durch, d.h. auch ohne die Anwesenheit von Familie oder Dritten. Achten Sie hierauf auch, wenn Sie z.B. in Garten oder auf dem Balkon telefonieren.
- Arbeiten Sie nicht an öffentlichen Plätzen.
- Personenbezogene Daten sollten in einem separaten, abschließbaren Raum verarbeitet werden. Ist dies nicht möglich, sollte zumindest die Aufbewahrung dieser Daten in einem abschließbaren Schrank erfolgen.
- Achten SIe auf eine datenschutzkonforme Entsorgung von Papier-Unterlagen mit personenbezogenen Informationen (z.B. schreddern oder sehr klein zerreissen).
Kommt es bei der Verarbeitung von Daten im Homeoffice zu einer Datenpanne (z.B. Daten werden unberechtigten Dritten zugänglich), greifen ggf. gesetzliche Meldepflichten gegenüber der zuständigen Aufsichtsbehörde (Art 33, 34 DSGVO). Solche Meldungen sind innerhalb kurzer Zeit nach Kenntnis von der Datenpanne zu machen. Wenden Sie sich in einem solchen Fall bitte umgehend an Ihren Vorgesetzten oder an Ihren Datenschutzbeauftragten.
Unternehmen und andere nicht-öffentliche Stellen, die Videoüberwachung betreiben, müssen die hierfür einschlägigen Vorschriften der DS-GVO einhalten. Auch nach der DS-GVO muss auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung über die wesentlichen Elemente der Videoüberwachung informiert werden; allerdings hat sich der Umfang der dabei zu erteilenden Informationen durch die Transparenzvorschriften der DS-GVO (Art. 12 ff.) erweitert. Ein Muster für ein solches Hinweisschild finden Sie z.B. hier: https://www.lda.bayern.de/media/muster/video_infoblatt.pdf
Eine DSFA muss nur bei einem hohen Risiko für die Rechte und Freiheiten durchgeführt werden. Dieser Schwellwert des hohen Risikos wird nach Anwendung der technischen und organisatorischen Maßnahmen (TOM) bestimmt, die aufgrund von Art. 25 DS-GVO (Datenschutz durch Technikgestaltung) nachweisbar dargelegt werden können. Bei Videoüberwachungen sind deswegen in der Regel keine DSFA durchzuführen, sondern entsprechende Schutzmaßnahmen auszuwählen (z. B. Begrenzung Speicherdauer, Aufzeichnungsbereich).
Diese Frage kann nicht pauschal beantwortet werden. Immer dann, wenn einwilligungspflichtige Dienste auf der Website eingebunden werden oder Daten gem. Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten) verarbeitet werden, muss vorab eine Einwilligung eingeholt werden. Mehr Informationen gibt es in der Orientierungshilfe für Anbieter von Telemedien. Weitere Informationen: DSK OH Telemedien
Nein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss eine Einwilligung eingeholt werden. Weitere Informationen: DSK OH Telemedien
Die Datenschutzaufsichtsbehörden haben die Anforderungen für Cookie-Banner in der Orientierungshilfe für Anbieter von Telemedien formuliert. Weitere Informationen: DSK OH Telemedien