Schlagwort: Einwilligung
15. März 2019
In einem Beschluss zum rechtswirksamen Verzicht auf Einwilligungen bei Fotoaufnahmen betont die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland, dass die Personensorgeberechtigten eines Minderjährigen stets für eine Veröffentlichung ihre Einwilligung mit Blick auf jedes einzelne Bild erteilen müssen, auch wenn spätestens bei 16-jährigen davon ausgegangen werden kann, dass sie über die nötige Einsichtsfähigkeit verfügen, in die Veröffentlichung von Bildern einzuwilligen. Insbesondere ist eine pauschale Generaleinwilligung für alle gleichartigen Fälle für die Dauer der Zugehörigkeit des Minderjährigen in einer Einrichtung, wie KITA oder Schulegrundsätzlich als unzulässig zu betrachten. § 8 Nr. 13 KDG definieren „Einwilligung“ als eine Willensbekundung in informierter Weise für einen bestimmten Fall. Eine informierte Einwilligung dürfte in der pauschalen Einwilligung für die Veröffentlichung aller Fotos während der gesamten Aufenthaltsdauer kaum anzunehmen sein. Unter einem „bestimmten Fall“ kann somit nicht die Anfertigung von Fotos gemeint sein, sondern nur die Anfertigung und Veröffentlichung eines konkreten Fotos. Eine Veröffentlichung liegt vor, wenn Daten einer nicht genau feststehenden Mehrzahl von Adressaten, die Dritte sind, zugänglich gemacht werden. Sind die Personen miteinander mit dem Veranstalter bekannt, gehören sie nicht zur Öffentlichkeit. Bei KITA ́s dürfte deshalb keine Veröffentlichung darin zu sehen sein, wenn Bilder von Kindern innerhalb der Einrichtung ausgehängt werden. Für diese Fälle ist von der ausnahmsweisen Zulässigkeit einer Generaleinwilligung auszugehen. Dies betrifft nur den Innenbereich der Einrichtung im Rahmen der Zweckbindung. Aushänge in Schaukästen oder Veröffentlichung in Flyern sind von dieser Ausnahme nicht umfasst. Für Schulen trifft dies nicht in gleicher Weise zu, da der Kreis der Dritten den Zugang zu der Einrichtung haben nicht wie bei Kindereinrichtungen überschaubar ist.
11. März 2019
Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.
Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:
„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“
Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:
„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“
23. Januar 2019
Nach der Entscheidung des Landgerichts Frankfurt am Main (LG Frankfurt a.M. – Az.: 2-03 O 283/18) ist der Besitzer eines Friseursalons verpflichtet, Videoaufnahmen, in der eine Kundin bei der Behandlung erkennbar ist und die er zu Werbezwecken auf seiner Facebook-Fanpage veröffentlicht hat, von der Internetseite zu entfernen. Grund hierfür ist, dass der Besitzer des Friseursalons nicht glaubhaft gemacht hat, dass eine Einwilligung der Kundin zu der Fertigung und Veröffentlichung der Videoaufnahmen vorlag.
Der Besitzer des Friseursalons behauptet, dass die Kundin ausdrücklich auf die Videoaufzeichnung und die Veröffentlichung hingewiesen wurde und diese ausdrücklich darin eingewilligt hat. Hilfsweise behauptete er, dass die Einwilligung zumindest stillschweigend erfolgte. Die Kundin behauptet, dass ein solcher Hinweis zu keinem Zeitpunkt erfolgt ist und sie auch keine Einwilligung erteilt habe. Da der Besitzer des Friseursalons die Beweislast dafür trägt, nachzuweisen, dass eine Einwilligung erteilt wurde und er dies nicht glaubhaft machen konnte, wurde er verurteilt, die Videoaufnahmen von der Internetseite zu entfernen.
Auch das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f Datenschutzgrundverordnung (DSGVO) kann in diesem Fall nicht als Rechtsgrundlage herangezogen werden. Zwar sei die Verarbeitung von personenbezogenen Daten zu Zwecken der Direktwerbung anerkannt. Es sei aber fraglich, ob die Verwendung von Bildaufnahmen hierzu erforderlich sei. In diesem Fall überwiegt jedenfalls das Interesse der Kundin, dass diese Form der Verarbeitung unterbleibt.
Das LG Frankfurt a.M. lässt bei der Entscheidung bedauerlicherweise offen, ob es seine Begründung auf §§ 22, 23 Kunsturhebergesetz (KUG) stützt oder aber auf die DSGVO. Somit ist die Unsicherheit, ob die Regelungen des KUG Normen im Sinne von Art. 85 Abs. 1 DSGVO sind, nicht beseitigt.
30. November 2018
Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.
Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.
Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel “durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss”. Die DBK betont, dass das kirchliche Gesetz “mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher”.
Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?
19. November 2018
In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den “Wunscherfüller” weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.
Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: “Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.”
Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die “Wunscherfüller” zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.
5. Oktober 2018
Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren, da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.
In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.
9. August 2018
Stimmen kritisierten, dass der kirchliche Datenschutz strenger sei als das EU-Recht. Die Deutsche Bischhofskonferenz (DBK) weist die Kritik zurück. Am Dienstag wurde eine Liste durch das DBK mit den häufig gestellten Fragen zum kirchlichen Datenschutz veröffentlicht. In dieser Liste wird unter anderem betont, dass die Regelungen zur Schriftform bei Einwilligungen nicht über das EU-Recht hinausgehen. Im Gegensatz zur europäischen Datenschutzgrundverordnung fordert zwar das Gesetz über den Kirchlichen Datenschutz (KDG) explizit die Schriftform bei Einwilligungen, es seien aber durch eine Öffnungsklausel “durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss”. Durch das Schriftformerfordernis solle das kirchliche Gesetz lediglich konkreter und anwenderfreundlicher sein.
Hinsichtlich Fotografien schließt sich die DBK der Auslegung der Konferenz der Diözesandatenschutzbeauftragten an, die neulich eine Handreichung veröffentlicht. Dort wird dargelegt, dass nicht in jedem Fall eine Einwilligung aller Abgebildeten erforderlich ist. Vielmehr können für die Abwägung, ob ein “besonderes” oder “kirchliches Interesse” für die Veröffentlichung besteht, die Regelungen des Kunsturhebergesetz herangezogen werden.
Seit dem 24. Mai 2018 ist das KDG in Kraft. Gemäß Art. 91 DSGVO können Religionsgemeinschaften eigene Datenschutzgesetze anwenden, soweit sie im Einklang mit der DSGVO stehen.
16. Mai 2018
Der Gesundheitsminister Jens Spahn spricht sich für die elektronische Gesundheitskarte aus. „Die Milliarde ist nicht umsonst investiert“, sagte Spahn der „Süddeutschen Zeitung“ (SZ).
Zuvor hatte es Spekulationen über ein mögliches Aus der elektronischen Gesundheitskarte gegeben. Denn Jens Spahn fordert neben der elektronischen Gesundheitskarte auch einfachere Zugriffsmöglichkeiten auf Patientendaten zu schaffen.
“Wenn Versicherte lieber per Handy und Smartphone-App auf ihre Gesundheitsdaten zugriffen, sollte man ihnen das genauso ermöglichen”, so Jens Spahn.
Der Preis für diese Nutzung könnte ein niedrigerer Sicherheitsstandard sein und damit ein Sicherheitsproblem darstellen. Denn für Datenübertragungen per Smartphone könnten die Nutzer die bisher vorgesehene Sicherheitsschwelle durch Einwilligung individuell senken.
Dieses Vorgehen ist datenschutzrechtlich als kritisch zu betrachten. Gerade, wenn man bedenkt, dass es sich bei Gesundheitsdaten um besonders sensible Daten nach Art. 9 DSGVO handelt, die besonders schützenswert sind.
14. Mai 2018
Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.
Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services “unbedingt erforderlich” sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.
Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, “die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen”, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.
Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell “ein berechtigtes Interesse” der Unternehmen darstelle und so gerade “grundsätzlich nicht von einer Einwilligung abhängig ist”. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.
5. Februar 2018
Unitymedia darf die Router der Kunden für den Aufbau eines flächendeckenden WLAN-Netzes nutzen, ohne dass es einer ausdrücklichen Zustimmung der Kunden (“Opt in”) bedarf. Für die Kunden muss aber jederzeit die Möglichkeit bestehen, durch einen Widerspruch aus diesem System auszusteigen (“Opt out”). Das hat das OLG Köln kürzlich entschieden und damit eine Klage der Verbraucherzentrale gegen Unitymedia abgewiesen (Urt.v.02.02.2018, Az. 6 U 85/17).
Der Kabelnetzbetreiber Unitymedia möchte das größte Netz von WLAN-Hotspots in Deutschland aufbauen. Dabei sollen die Router der Unitymedia-Kunden ein privates Signal für das heimische WLAN abgeben sowie ein öffentliches Signal für den Hotspot, über den andere Unitymedia-Kunden kostenlos ins Internet gehen und Mobilfunkdatenvolumen sparen können sollen. Die Verbraucherzentrale forderte allerdings eine ausdrückliche Zustimmung des Kunden, um das zweite Signal konfigurieren zu können, das ein vom WLAN-Netz des Kunden unabhängiges WLAN-Netz auf dem Router aktiviert.
Das OLG Köln hat das landgerichtliche Urteil vom LG Köln aufgehoben, in dem das LG die Ansicht der Verbraucherzentrale geteilt hatte. Es stelle keine unzumutbare Belästigung der Kunden im Sinne von § 7 Abs.1 Gesetz gegen den unlauteren Wettbewerb (UWG) dar, wenn das zweite Signal aufgeschaltet wird. Man könne zwar grundsätzlich bei dem zusätzlichen Signal eine Belästigung des Kunden annehmen, da ihm eine geschäftliche Handlung aufgedrängt werde. Eine Abwägung zwischen den Interessen des Unternehmens und denen der Kunden ergebe aber, dass diese Belästigung nicht als unzumutbar einzustufen ist.
Eine Mitwirkung des Kunden für das Aufspielen der Software ist nicht erforderlich und führt auch zu keiner Störung des Kunden. Eine Sicherheitsgefährdung könne ausgeschlossen werden, da für den Kunden jederzeit die Möglichkeit bestehe, Widerspruch einzulegen und so aus dem System auszusteigen.
Die Revision zum Bundesgerichthof wurde zugelassen. Es ist abzuwarten, wie der BGH über die Frage entscheidet, inwieweit die Nutzung von im Eigentum des Unternehmens verbleibenden Ressourcen im Haushalt der Kunden zulässig ist.
