Telefon: +49 911 1335-335
IT, E-Business

Fragen an das BayLDA zur Ausgestaltung der DSGVO in der Praxis

 

Ansprechpartner (1)

Dipl.-Ing. (FH) Richard Dürr

Dipl.-Ing. (FH) Richard Dürr

Informationstechnik, Telekommunikation, E-Business, Technologietransfer Tel: +49 911 1335 320

Gesammelte Antworten zur EU-Datenschutz-Grundverordnung (DSGVO) vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)

Was muss bei den Rechtsdokumenten im Internet (Datenschutzerklärung, AGB, Impressum, Widerruf, usw.) alles beachtet werden, u.a. auch im Hinblick auf Google Adwords oder Google Analytics? Was muss unbedingt aufgeführt werden? Gibt es hierfür eventuell Vorlagen, an denen man sich orientieren kann?

Antwort BayLDA: Zunächst bleibt darauf hinzuweisen, dass die Frage eines rechtmäßigen Einsatzes von Tools zur Reichweitenmessung und des Einsatzes von Tracking-Mechanismen zu klären ist, siehe hierzu auch das Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26. April 2018, abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Ergebnisse-der-95_-Datenschutzkonferenz/Ergebnisse-der-95_-Datenschutzkonferenz.html.

Der Umfang und Inhalt der dem Verantwortlichen obliegenden Informationspflichten im Rahmen einer Datenschutzerklärung im Internetauftritt ergibt sich aus Art. 13 DSGVO.
Aufgrund der Vielzahl an Varianten und Möglichkeiten einer Verarbeitung personenbezogener Daten im Zusammenhang mit einem Internetauftritt stellen wir keine Muster für eine Datenschutzerklärung zur Verfügung.

Wie lösche ich DSGVO-konform Daten von Festplatten?

Antwort BayLDA: Die DSGVO hat keine starren Fristen oder Grenzen für eine Löschung. Zu beachten ist jedoch, dass es keine Ausnahme von der Löschpflicht gibt.

Wenn z. B. ein Dokumentenmanagementsystem eingesetzt wird, sollte dies zur Umsetzung der DSGVO Möglichkeiten bieten, Daten zu kategorisieren, aufzuspüren und nach Ablauf der Aufbewahrungsfristen bzw. bei Vorliegen anderer Löschvoraussetzungen zu löschen. Wichtig ist dabei auch, dass Daten aus Backups ebenfalls gelöscht werden müssen. Aus unserer Sicht ist es dabei jedoch ausreichend, wenn Backups innerhalb von regelmäßigen Routinen komplett gelöscht werden, anstatt jeweils die Einzeldaten aus den Backups zu löschen. Zu beachten ist, dass die Daten so gelöscht werden, dass sie nur mit einem erheblichen Aufwand wiederhergestellt werden können. Festplatten sollten deshalb mehrfach überschrieben werden. Alternativ können die entsprechenden Datensätze auch anonymisiert werden. Werden die Speichermedien nicht mehr verwendet, können diese physikalisch vernichtet werden.

Empfehlenswert für die Organisation des Löschens ist die Erstellung eines Löschkonzepts (z.B. nach DIN 66398).

Was mich sehr interessiert: Wir senden seit über fünf Jahren an alle unsere Kunden, welche bei uns gekauft haben, eine Geburtstagskarte und eine Weihnachtskarte. Dürfen wir das jetzt nicht mehr?

Antwort BayLDA: Auch unter der DSGVO ist der Versand von Grußkarten (= Werbung) per Briefpost grundsätzlich ohne Einwilligung des Betroffenen zulässig.

Wenn der Betroffene Kunde des Unternehmens ist und bei der Erhebung des Geburtsdatums (in der Regel freiwillige Angabe) ausdrücklich auf den (weiteren) Verwendungszweck hingewiesen bzw. über diesen informiert wird, kann auch ohne Einwilligung eine Geburtstagskarte per Briefpost verschickt werden. Die Briefsendung muss aber äußerlich so gehalten sein, dass der Briefzusteller oder Dritte das Geburtsdatum nicht wahrnehmen bzw. erkennen kann.

Der Versand von Gruß- und Glückwunschkarten per E-Mail ist auch weiterhin nur mit Einwilligung des Betroffenen zulässig. Ob sich aus der wohl ab 2019 anzuwendenden ePrivacy-Verordnung eine davon abweichende Rechtslage ergibt, ist derzeit nicht absehbar.

Die Aussage, dass telefonische Bestellungen nicht mehr möglich sein können, weil ich keinen schriftlichen Nachweis habe, dass der Kunde Ware oder Dienstleistung XYZ bestellt hat, bzw. dass ich die Adresse zur Auftragsabwicklung nicht erfassen / speichern darf, ist nicht nur absurd, sondern laut anderen Quellen falsch. Was ist jetzt wirklich richtig?

Antwort BayLDA: Personenbezogene Daten, die aufgrund und zur Durchführung eines Vertrages mit dem Betroffenen/dem Unternehmen erhoben und verarbeitet werden, werden aufgrund einer gesetzlichen Rechtsgrundlage erhoben und verarbeitet (Art. 6 Abs. 1 Buchst. b DSGVO).

Eine datenschutzrechtliche Einwilligung ist hierbei nicht erforderlich, sondern lediglich die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO.

Um die Informationspflichten zu erfüllen, genügt es aus unserer Sicht, dass Sie die gesetzlich vorgeschriebenen Informationen nach Art. 13 und 14 DSGVO für Interessierte in einem Info-Blatt vorhalten und auf Ihre Homepage nehmen. Bei E-Mails oder Briefen an die betreffenden Kontaktpersonen kann dann z. B. durch einen Link auf diese Datenschutzinformationen verwiesen werden. So können sich Interessierte dann unschwer umfassend informieren.

Wie geht man mit den Daten um, die im B2B-Geschäftsleben (z.B. durch Übergabe von Visitenkarten, am Telefon, etc. oder durch Angaben von Kontaktdaten auf Homepages von Unternehmen) ausgetauscht werden?

Antwort BayLDA: Die Namen von Ansprechpartnern bei Firmen, deren Funktionen, Kontaktdaten etc. sind – wie bisher auch – personenbezogene Daten im Sinne der DSGVO und des BDSG, wenn auch vergleichsweise wenig schutzbedürftig (da für Außenkontakte konkret vorgesehen, teilweise öffentlich zugänglich) und eine zweckgemäße Verwendung für die geschäftlichen Beziehungen ist generell zulässig (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO).

Diese Daten dürfen im Rahmen des Vertrages oder vorvertraglichen Verhältnisses mit dem jeweiligen Unternehmen verarbeitet werden (Art. 6 Abs. 1 Satz 1 Buchst. b und f DSGVO), es bedarf hierzu keiner gesonderten Einwilligung. Bei der Übergabe von Visitenkarten erfolgen üblicherweise mündliche Erklärungen zum Zweck der Kontaktdaten-Bekanntgabe, z. B. zu Informations- bzw. Werbezusendungen, zur Kontaktaufnahme für Vertragsverhandlungen oder für gemeinsame Projekte, zur Vorbereitung eines Besuches, und vieles mehr. Zu diesen Zwecken ist eine Verarbeitung der Kontaktdaten zulässig nach Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO.

Wie verhält sich die DSGVO in Bezug zu Whistleblowing-Unternehmen?

Ausgangslage: Unsere Firma betreibt ein Hinweisgeber-System ("Whistleblower-Hotline"), welches über ein externes Anwaltsbüro (Ombudsman) allen Mitarbeitern für die Meldung von Compliance-Verstößen zur Verfügung steht. Dabei kann sich derzeit ein Mitarbeiter telefonisch, per E-Mail oder per Brief an dieses Anwaltsbüro wenden. Dieses kann auf Wunsch auch anonym erfolgen, d.h. der Mitarbeiter muss bei der Kontaktaufnahme seine Identität nicht preisgeben. Gemäß dem diesjährig erschienenen Datenschutzkonferenz (DSK)-Kurzpapier "Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines" kommt eine Einwilligung eines Hinweisgebers in Betracht (E3 Seite 9), wenn dieser seine Identität bewusst preisgeben möchte und seine Angaben verarbeitet werden sollen. Die Einwilligung ist gem. Art. 7 Abs. 1 DSGVO vom Arbeitgeber oder der externen Stelle nachzuweisen.

Frage: Bisher war davon auszugehen, dass durch konkludentes Handeln des Hinweisgebers die Einwilligung in ausreichender Form gegeben war. Dieses scheint aufgrund der expliziten Nachweispflicht jetzt nicht mehr der Fall zu sein. Die Frage ist nun, wie dieser Nachweis, insbesondere bei einem Anruf, zu führen ist.

Antwort BayLDA: Wenn eine datenschutzrechtliche Einwilligung nach Art. 4 Nr. 11 DSGVO bei bestimmten speziellen Lebenssachverhalten auch durch eine mündliche Erklärung (siehe auch Nr. 32 ErwGr) oder eine sonstige eindeutig bestätigende Handlung bzw. Verhaltensweise (ebenfalls Nr. 32 ErwGr, Beispiel: freiwilliges Aufstellen zu einem Gruppenfoto in Kenntnis der Verarbeitungszwecke) abgegeben werden kann, können bei solchen speziellen Lebenssachverhalten keine strengen Anforderungen an die Nachweisbarkeit der Einwilligung gestellt werden. Es kann dann auch eine festgelegte/dokumentierte Verfahrensweise, ein Ablaufplan, etc. genügen, wie die mündliche/fernmündliche oder anderweitige Einwilligung nach/mit Information über die Verarbeitungszwecke z. B. durch konkludentes Handeln eingeholt wird.

Wer in Kenntnis der Umstände und Verarbeitungszwecke eine telefonische Whistleblower-Hotline in personenbezogener Form nutzt, bei dem wird eine Einwilligung in die dementsprechende Verarbeitung seiner Daten angenommen werden können.

Frage: Gem. E 4.2 des Kurzpapieres hat nach Art. 15 DSGVO eine beschuldigte Person Anspruch auf Auskunft der zu ihrer Person gespeicherten Daten. Dieses gilt auch, soweit diese sich auf Herkunft und Empfänger beziehen. Damit kollidiert dieser Informationsanspruch mit der vorgesehenen Möglichkeit anonymer Meldungen.

Antwort BayLDA: Wenn personenbezogene Daten einen Doppel- oder Mehrfach-Bezug haben, wie zum Hinweisgeber und gleichzeitig zu der vom Hinweis betroffenen Person, können sich im Rahmen einer Interessenabwägung Einschränkungen des Auskunftsrechts nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 ergeben ("Informantenschutz", siehe dazu auch BVerwG-Beschluss vom 1. Dezember 2015, Az. 20 F 9.15). Ist bei einer anonymen Meldung der Meldende nicht bekannt, so ist hierzu logischerweise auch keine Auskunftserteilung nach Art. 15 Abs. 1 DSGVO möglich.

Frage: Gem. Art. 4 Nr. 1 DSGVO sind alle auf eine Person beziehbare Informationen personenbezogene Daten. Das umfasst im Zweifelsfall auch die über das Hinweisgebersystem erhaltene Information über potentielles Fehlverhalten einer Person. Gem. Art. 15 Abs. 1 lit. b DSGVO kann die beschuldigte Person daher auch Auskunft über diesen Vorwurf verlangen – ohne zeitliche oder inhaltliche Einschränkungen. Dieses könnte dann den Ermittlungszweck erheblich gefährden.

Antwort BayLDA: Einschränkungen des Auskunftsrechts können bei geheimhaltungsbedürftigen Daten nach Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 Satz 2 BDSG-2018 gegeben sein, z. B. um laufende strafrechtliche Ermittlungen nicht zu gefährden. Insgesamt sehen wir danach Whistleblower-Hinweissysteme nicht pauschal aus datenschutzrechtlicher Sicht gefährdet.

Ist es DSGVO-konform, dass eine Webseite zur Conversion-Messung das Besucheraktions-Pixel von Facebook benutzt?

Ausgangslage: Das Pixel ist in diesem Fall anonym und die Daten gehen nur an Facebook. Diese werden nach den Facebook-Richtlinien entsprechend verwendet. Es wird zudem noch zu Marketingzwecken für die Custom-Audience benutzt. Diese kann man bei Facebook abschalten.

Frage: Sofern alle diese Vorgänge in die Datenschutzerklärung aufgenommen werden und man erklärt wozu das Pixel benutzt wird und wo man diese Funktion bei Facebook abschalten kann, würde das nach der DSGVO ausreichen oder muss man mehr machen, damit diese eingehalten wird?

Antwort BayLDA: Das Pixel-Verfahren kann zulässig eingesetzt werden, soweit von jedem Nutzer eine Einwilligung vorab eingeholt wird. Nach unserer Auffassung handelt es sich keinesfalls um anonyme Daten, die durch Facebook erhoben werden. Im Übrigen muss in den Datenschutzbestimmungen über die Einbindung des Pixel-Verfahrens informiert werden.

Gilt eine Mitarbeiterinformation nach DSGVO als Werbung und kann man dieser widersprechen?

Ausgangslage: Der Arbeitgeber verteilt an die dienstliche E-Mail-Adresse des Mitarbeiters eine Mitarbeiterinformation, welche ein Angebot zur Teilnahme an einem kostenlosen Lauftraining zum Inhalt hat. Eine Registrierung ist nicht erforderlich. Anbieter ist eine Krankenkasse, mit der der Arbeitgeber eine strategische Partnerschaft hat sowie ein regionales Fitness-Studio. Beide Firmen sind im Mailing erwähnt und es befinden sich auch Links bzw. Facebook-Kontakte auf deren Webseiten. Ein Mitarbeiter sieht jetzt diese Information als unzulässige Werbung für die Krankenkasse und das entsprechende Fitnessstudio an und möchte einer Zustellung weiterer Informationen des Arbeitgebers zu solchen Angeboten widersprechen

Frage: Kann eine E-Mail des Arbeitgebers an seine Mitarbeiter zu solchen nicht dienstlichen Themen als Werbung angesehen werden? Hat der Mitarbeiter in Bezug auf E-Mails, die von einer internen Abteilung an seinen dienstlichen E-Mail-Account gesendet werden, überhaupt ein Recht auf Widerspruch? 

Antwort BayLDA: Der Arbeitgeber kann nach unserer Auffassung im Rahmen der Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG-2018) und seines Direktionsrechts den Mitarbeitern auch elektronische Mitteilungen an die dienstlichen E-Mail-Adressen zu Gesundheitsaktionen einschließlich Werbung, wie z.B. zu einem Lauftraining, zukommen lassen. Wir sehen darin keine datenschutzrechtlich unzulässige Nutzung der dienstlichen E-Mail-Adresse, über die insoweit auch der Arbeitgeber verfügt. Ob der Arbeitnehmer sich arbeitsrechtlich wirksam dagegen wehren kann, können wir nicht beurteilen.

Wie regelt die DSGVO die Auskunftsersuche von Beschäftigten? 

Frage: Wie ist die Handhabung von Auskunftsverlangen von Mitarbeitern für den Fall zu regeln, dass Mitarbeiter die Möglichkeit haben, selber in den IT-Systemen ihre Daten einzusehen? Muss der Verantwortliche (Arbeitgeber) dann dennoch die Daten zusammenstellen und "eine Kopie" der Daten zur Verfügung stellen?

Antwort BayLDA: Die DSGVO präferiert zur Informationsmöglichkeit über die eigenen Daten den angesprochenen Online-Zugriff von Mitarbeitern. Erwägungsgrund 63 Satz 4 lautet insoweit: "Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde." Das LAG Hessen hat mit Urt. v. 29. Januar 2013, Az. 13 Sa 263/12, u.a. wie folgt entschieden: "Können personenbezogene Daten durch Einblick in den eigenen E-Mail-Account selbst ermittelt werden, ist das Verlangen einer entsprechenden Auskunft in Textform rechtsmissbräuchlich." Wir würden in solchen Fällen deshalb bis auf Weiteres nicht auch noch eine zusätzliche Auskunftserteilung durch den Arbeitgeber als Verantwortlichen fordern.

Wie werden laut DSGVO Analysetools zur Qualitätsverbesserung eingesetzt? 

Frage: Zur Qualitätsverbesserung soll eine Analyse der Kundenanliegen durchgeführt werden. Die verarbeiteten Daten sind Kundennummer, Kundenanliegen (nur Typ), Datum des Anliegens und Status (offen, erledigt). Sind Verarbeitungen ohne Personenbezug (nur juristische Personen) im Register gem. Art. 30 Abs. 1 DSGVO zu führen?

Antwort BayLDA: Wenn die Kundennummern nur juristische Personen betreffen, ist die DSGVO nach Art. 1 nicht anwendbar und damit auch nicht Art. 30.

Wie ist mit einer Auskunft nach Art. 15 DSGVO umzugehen? 

Fragen: Eine uns unbekannte Person verlangt per E-Mail datenschutzrechtliche Auskunft nach DSGVO Art. 15. Ihre Identitätsangaben sollen wir über einen Link verifizieren. Unsere IT-Sicherheitsrichtlinien verbieten uns, bei E-Mails mit unbekanntem Absender auf Anhänge und Links zu klicken. Wie können wir die Identitätsangaben überprüfen, ohne uns der Gefahr von Viren, Trojaner und Co. auszusetzen?

Dieselbe Person teilt uns seine IP-Adresse und Datum mit. Sind wir verpflichtet, die Logs unserer Webseite, nach seiner IP-Adresse zu durchsuchen? Oder genügt ein Hinweis auf unsere Datenschutzrichtlinie?

Weiterhin verlangt er nach Art. 17 DSGVO eine unverzügliche Löschung seiner bei uns verarbeiteten personenbezogenen Daten. Die einzigen personenbezogenen Daten, die wir von ihm haben, sind seine Angaben, die er uns mit seiner E-Mail über die datenschutzrechtliche Auskunft zugesendet hat. Löschen wir diese unverzüglich, können wir ihm nicht mehr antworten. Wie lange ist diese Anfrage zu speichern? Ist sie bei der Auskunft mit zu berücksichtigen?

Von der IHK haben wir erfahren, dass diese Person bundesweit ein Massenmailing versandt hat. Dies ist offensichtlich ein Missbrauch der datenschutzrechtliche Auskunft nach DSGVO Art. 15! Kann man sich in solchen Fällen beim BayLDA beschweren? Was unternimmt das BayLDA in solchen Fällen? Es kann doch nicht sein, dass Spaßvögel uns sinnlos beschäftigen!

Antwort BayLDA: Wie wir schon häufig hörten, sind solche Auskunftsanfragen nach Art. 15 DSGVO unter dem Namen "..."* an eine große Masse von Unternehmen bundesweit gesandt worden, die bisher keinerlei Kontakt zu dem Betreffenden hatten und auch anderweitig bisher keinerlei personenbezogene Daten zu ihm gespeichert haben. Laut den Informationen von der LDI NRW gibt es dort Hinweise, dass der "echte" ...* damit nichts zu tun hat und es sich eventuell um Identitätsmissbrauch handelt. Ob damit eventuelle Abmahnungen vorbereitet werden sollen, ist im Moment nicht bekannt.

Wir teilen zu Beratungsanfragen jeweils folgendes mit: Art. 15 Abs. 1 DSGVO sieht auch vor, dass die betroffene Person eine Bestätigung darüber verlangen kann, ob sie betreffende personenbezogene Daten verarbeitet werden. Wer insoweit angeschrieben wurde, obwohl keinerlei Daten zu dieser Person vorhanden sind, müsste also mitteilen, dass zu dieser Person bisher keine Daten gespeichert waren und jetzt nur die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens gespeichert werden (Nr. 1 Buchst. a, b und c der Anfrage). Für diese Dokumentation halten wir regelmäßig eine Frist von einem Jahr für sachgerecht, was zu Nr. 1 Buchst. e der Anfrage mitgeteilt werden kann.

Nr. 1 Buchst. d, g, h und i der Anfrage werden regelmäßig nicht zutreffen und können folglich als "nicht zutreffend" oder ähnlich bezeichnet werden. Zu den Rechten von Betroffenen aus Nr. 1 Buchst. f kann ein Text ähnlich unserer Information auf unserer Homepage unter https://www.lda.bayern.de/de/informationen.html, siehe dort Abschnitt VIII, verwendet werden.

Zu Nr. 2 der Anfrage (Löschung) kann gesagt werden, dass die in der Anfrage selbst enthaltenen Daten für den Zweck der Dokumentation der ordnungsgemäßen Abwicklung des Auskunftsersuchens (Beweiszwecke) regelmäßig für ein Jahr gespeichert und danach gelöscht werden.

Die übrigen beiden Punkte von Nr. 2 der Anfrage werden mangels ursprünglicher Datenspeicherung zu dem Betreffenden nicht zutreffen, was dann entsprechend beantwortet werden kann.

Nach Art. 11 Abs. 1 DSGVO müssen regelmäßig keine zusätzlichen Aktivitäten entwickelt werden, um bestimmte Daten einer Person zuordnen zu können, wie z. B. bei reinen IP-Adressen.

Ob in dem Verhalten des Betroffenen mit Massen-Auskunftsersuchen nach Art. 15 DSGVO, ohne dass es irgendwelche Anhaltspunkte für eine entsprechende Verarbeitung seiner personenbezogenen Daten bei den angegangenen Verantwortlichen gibt, Rechtsmissbrauch gesehen und eine Auskunftserteilung verweigert werden kann, vermögen wir nicht zu beurteilen; dies entscheiden letztendlich die Gerichte. Zur DSGVO gibt es aber leider noch keine Rechtsprechung.

* Name wurde anonymisiert aufgrund eines Löschungsersuchens des Betroffenen.

Wie verfahre ich mit der Bekanntgabe und Genehmigung des Subunternehmereinsatzes nach Art 28 Abs. 2 DSGVO?

Ausgangslage: Das betroffene Unternehmen möchte als Auftragsverarbeiter ihre eingesetzten oder ggf. neu hinzukommende Subunternehmen den Auftraggebern aus wettbewerbsrechtlichen Gründen in bestimmten Kundenbeziehungen nicht bekanntmachen.

Fragen: Kann darauf in Einzelfällen verzichtet werden, wenn die Geschäftsführung eine schriftliche, stichhaltige Begründung verfasst? Wenn ja – wie kann dies im Vertrag entsprechend formuliert werden?

Antwort BayLDA: Im Hinblick auf die datenschutzrechtliche Verantwortlichkeit des Auftraggebers für das gesamte Auftragsverhältnis nach Art. 28 Abs. 1 DSGVO und die Regelungen zur Subunternehmer-Beauftragung in Art. 28 Abs. 2 DSGVO sehen wir keine Möglichkeit, die Identität der eingesetzten oder ggf. neu hinzukommenden Subunternehmer dem Auftraggeber zu verschweigen. Der Absatz im Wortlaut: "Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben."

 
 
Device Index

Alle Ansprechpartner auf einen Blick