Seite auswählen
Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Facebook Custom Audience und DS-GVO

Ein Thema, das viele Menschen, die im Bereich Marketing tätig sind, interessiert ist der Einsatz von Facebook Custom Audience. Darf ich mit Einführung der DS-GVO Facebook Custom Audience noch nutzen oder muss ich es sofort unterlassen? Was passiert, wenn ich es trotz Unzulässigkeit weiter nutze? Das sind nur einige Fragen rund um Facebook Custom Audience.

BayVGH und Facebook Custom Audience

Der Einsatz von Facebook Custom Audience, ist laut Bayerischem Verwaltungsgerichtshof (BayVGH, B.v. 26.9.2018 – 5 CS 18.1157) )nicht zulässig. Die bayerische Datenschutzbehörde (Bayerische Landesamt für Danteschutzaufsicht-BayLDA) teilt diese Auffassung. Damit sind Verwaltung und Rechtsprechung auf einer Linie. Was bedeutet das nun für mich als Verantwortlichen?

Das bedeutet erstmals, dass ich bei der Nutzung von Facebook Custom Audience Gefahr laufe, Post von der Datenschutzbehörde zu bekommen. Wenn ich dann gegen eine etwaige Anordnung vorgehen möchte, ist es sehr wahrscheinlich, dass die Gerichte sich dieser Rechtsprechung anschließen.  Mir droht als Verantwortlicher damit ein Bußgeld.

Einwilligung des Betroffenen

In dem zu entscheidenden Fall hat der BayVGH entschieden, dass keine geeignete Rechtsgrundlage für die Erhebung von Daten über Facebook Custom Audience bestanden hat. Einige Berater gehen jetzt nun dazu über und raten ihren Mandanten, eine Einwilligung bei dem Betroffenen einzuholen und somit eine Rechtsgrundlage zu erschaffen. Ist das ohne weiteres so möglich?

Eine Einwilligung muss nach DS-GVO für einen bestimmten Zweck, in informierter Weise und freiwillig sein. Aus meiner Sicht bestehen im Hinblick auf die Informiertheit bedenken. Ich kann immer nur in eine Datenverarbeitung einwilligen, die ich auch verstehe. Worin willige ich eigentlich ein? Dazu muss dem Betroffenen mitgeteilt werden, was mit seinen Daten passiert. Es stellt sich damit die Frage, ob der Verantwortliche bei der Nutzung von Facebook Custom Audience dem Betroffenen überhaupt mitteilen kann, wie Facebook seine Daten nutzt.

Was macht Facebook mit den Daten?

Um das näher erläutern zu können ist wichtig zu verstehen, wie Facebook Custom Audience funktioniert. Facebook Custom Audience ermöglicht es Verantwortlichen, ihre Kunden, die zugleich Nutzer von Facebook sind, gezielt zu bewerben. Zu diesem Zweck wird eine Liste erstellt mit den Kunden und Interessenten mit Namen, Telefonnummer, E-Mail-Adresse, und Wohnort. Diese Liste wird dann hoch geladen und mittels eines Hashwert-Verfahrens  in feste Zeichenketten umgewandelt. Facebook kann dadurch die Liste mit den Nutzern abgleichen und so eine Identität zwischen Kunden und Nutzer von Facebook feststellen. Der Verantwortliche kann dann beispielsweise Werbekampagnen starten. Hauptangriffspunkt des Bayerischen Verwaltungsgerichtshofs ist, dass Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder entscheidet, welche Nutzer der Zielgruppenbestimmung des Verantwortlichen entsprechen und folglich bewerben werden. Diese Auswahl trifft Facebook anhand von Kriterien, die eben nur Facebook bekannt sind.

Insofern vertrete ich die Auffassung, dass auch eine Einwilligung mangels Informiertheit nicht rechtswirksam abgegeben werden kann. Eine Lösung ist derzeit nicht in Sicht. Facebook müsste hier mehr Informationen liefern. Ansonsten ist von einer Nutzung von Facebook Custom Audience derzeit abzuraten. Dies gilt natürlich für das Datenschutzrecht. Wer gleichwohl gute Geschäfte damit macht, muss sich auch über die Folgen einer Datenschutzverletzung im Klaren sein.

Wenn Sie weitere Fragen zum Datenschutz haben, dann können Sie mich jederzeit telefonisch unter 069 59 77 80 28 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt für DSGVO in Frankfurt

Wie kann ich datenschutzkonform (DS-GVO) Werbung machen?

Wie kann ich datenschutzkonform (DS-GVO) Werbung machen?

Werbung nach DS GVO

Die Aufregung um die Einführung der neuen Datenschutzgrundverordnung (DS-GVO) hat sich etwas gelegt und doch sind einige Fragen, wie etwa die Zulässigkeit von Werbung nach DS-GVO, stets aktuell.

Personenbezogene Daten bei Werbung

Im Datenschutz gilt, dass die Erhebung von personenbezogenen Daten grundsätzlich nicht erlaubt es, es sei denn es besteht hierfür eine Rechtsgrundlage. Nichts anderes gilt für die Werbung. Wenn jemand beworben wird, dann werden personenbezogene Daten verarbeitet. Ich spreche schließlich den Beworbenen namentlich in den meisten Fällen an oder, wenn ich ihn per E-Mail bewerbe, kenne ich seine E-Mail Adresse. Das sind Daten, die Rückschlüsse auf eine Person zulassen. Damit sind es personenbezogene Daten und ich brauche eine Rechtsgrundlage.

Rechtsgrundlage für Werbung

Die DS-GVO sieht in ihren Erwägungsgründen ausdrücklich vor, dass Direktwerbung grundsätzlich zulässig ist. Mit einfachen Worten ausgedrückt findet die DS-GVO Werbung „gut“. Im alten Bundesdatenschutzgesetz BDSG war das nicht selbstverständlich. Gleichwohl sind einige Voraussetzungen für die rechtskonforme Werbung nach DS-GVO zu erfüllen. Die richtige Rechtsgrundlage ist Art. 6 Absatz 1 f) DS-GVO, insbesondere wenn ich über keine Einwilligung verfüge.

Berechtigtes Interesse

Nach dieser Grundlage ist eine Interessenabwägung vorzunehmen. Ich erspare Ihnen hier die juristischen Fachbegriffe. Letztlich geht es um eine Abwägung zwischen den Interessen eines Beworbenen keine Werbung zu erhalten und dem Interesse des Werbenden, Werbung zu machen, um beispielsweise seinen Umsatz zu steigern. In dieser Abwägung muss eine Vielzahl von Kriterien einfließen. So ist es für den Unternehmer entscheidend, dass er werben kann, damit er beispielsweise seinen Umsatz erhöht, seine Bekanntheit steigert oder sich bei seinem bestehenden Kunden in Erinnerung ruft. Für den Beworbenen geht es darum, in Ruhe gelassen zu werden, nicht mit unnötigen Informationen belästigt zu werden oder dass sein Kaufverhalten nicht beeinflusst wird. Das sind beispielsweise nur einige Kriterien, die in einer Abwägung berücksichtigt werden müssen.

Wenn man sich, dann beide Seiten der Abwägungswaage anschaut, dann ist es regelmäßig bei Werbung so, dass kein Interesse überwiegt. Was gilt dann, wenn keine Seite bei dieser Abwägung gewinnt? Hier kommt nun die DS-GVO ins Spiel und regelt in ihren Erwägungsgründen, dass Werbung „gut“ ist. Praktisch bedeutet das, dass bei Gleichstand der Interessen, die Zulässigkeit von Werbung gewinnt. Konsequenz davon ist, dass ich Werbung machen kann.

Ausnahmen

Kommen jedoch gewichtige Interessen des Beworbenen hinzu, was in jedem Einzelfall geprüft werden muss, kann diese Abwägung zu Gunsten des Beworbenen ausfallen. Dann wäre die Werbung unzulässig. Es muss also der Einzelfall geprüft werden.

Praktische Konsequenzen für Werbung

Jetzt, wo ich eine Rechtsgrundlage habe, kann es doch eigentlich losgehen. Natürlich ist das Auffinden der Rechtsgrundlage die halbe Miete. Die DS-GVO sieht aber auch noch Informationspflichten vor. Aus diesem Grund muss ich die oben getätigte  Interessenabwägung, in meinen Informationspflichten wiedergeben. Ich rate meinen Mandanten dazu, diese Interessenabwägung auch in das Verarbeitungsverzeichnis aufzunehmen. Zuletzt ist der Betroffene auch darauf hinzuweisen, dass ihm ein Widerspruchsrecht zusteht. Werden diese Aspekte allesamt rechtskonform berücksichtigt, dann steht einem gezielten Werben aus Sicht der DS-GVO nichts im Wege.

Sollten Sie Fragen rund um eine datenschutzkonforme Werbung haben, dann können Sie mich jederzeit unter 069 59 77 80 28 oder per E-Mail an info@rechtsanwalt-dsgvo.de erreichen. Als zertifizierter Datenschutzbeauftragter helfe ich Ihnen gerne weiter.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt für DSGVO in Frankfurt

Wie können Unternehmer personenbezogene Daten nach DS-GVO datenschutzkonform löschen? DIN 66398

Wie können Unternehmer personenbezogene Daten nach DS-GVO datenschutzkonform löschen? DIN 66398

Recht auf Vergessenwerden

Nach der Datenschutzgrundverordnung (DS-GVO) muss jeder Unternehmer, der personenbezogene Daten verarbeitet, ein Konzept (wie bsp. DIN 66398) haben, wie er solche Daten löscht. Aus Art. 17 DS-GVO ergibt sich das Recht auf Löschung und das Recht auf Vergessenwerden. Das dem zugrunde liegende Prinzip der Speicherminimierung ergibt sich aus Art. 5 DS-GVO. Darüber muss der Verantwortliche Rechenschaft ablegen können und den Dokumentationspflichten genügen. Andernfalls droht ein Bußgeld. Betroffene haben zudem das Recht auf Auskunft, ob deren Daten gelöscht wurden, wenn sie beispielsweise ihre Einwilligung widerrufen haben.

 Löschkonzept nach DIN 66398

Es bestehen verschiedene Modelle, wie man Daten datenschutzkonform löschen kann. Die bayerische Aufsichtsbehörde hat beispielsweise auf ihrer Homepage, Empfehlungen veröffentlicht. Mir scheint bislang das Löschkonzept nach der DIN 66398 praktikabel, da es mit relativ geringen Aufwand implementiert werden kann.

Beispielhafte Vorgehensweise:

  1. Es werden zuerst die verschiedenen Datenarten bestimmt. Beispielsweise Kundendaten, Mitarbeiterdaten oder gegebenenfalls besondere Daten nach Art. 9 DS-GVO.
  2. Danach ist festzustellen, welche Aufbewahrungsfristen gelten. Je nach Branche und Datenart ist das unterschiedlich. So müsste beispielsweise eine Telefonnummer nicht über zehn Jahre lang gespeichert sein.
  3. Dann wird aufgelistet, wo die entsprechenden Daten gespeichert bzw. abgelegt sind?
  4. Es wird geprüft, ob Daten mit Auftragsverarbeiter und deren Systeme ausgetauscht werden?
  5. Danach werden diese Daten in sogenannte Löschklassen sortiert. Es werden die Daten mit gleichen Fristen zu einer Löschklasse zusammengefasst. Da der nach Art. 9 DS-GVO sollten in eine separate Löschklasse gruppiert werden.
  6. Es werden sodann die Löschfristen notiert. Dies wird unter dem Stichpunkt Löschregeln zusammengefasst. Startzeitpunkt ist die Verarbeitung des personenbezogenen Datums und Endzeitpunkt ist die gesetzliche Aufbewahrungsfrist oder Widerruf der Einwilligung oder Ablauf der vertraglichen Verpflichtung. Das wäre eine sogenannte Umsetzungsregel.
  7. Diese ganzen Vorgänge muss dokumentiert werden.

Beispiel für eine Löschklasse:

 

Kategorie Reklamationsdaten Kunden, Forderungen Löschung Pseudonymisierung

Anonymisierung

Aufbewahrungsfristen 4 Jahre wegen Verjährung
Erhebung 31.01.2019
Ende 01.01.2023

 

Jedes Unternehmen hat seine eigenen Besonderheiten. Es kommt zudem darauf an, welche Softwaresysteme genutzt werden. So werden beispielsweise Daten unterschiedlich archiviert. Hierbei ist stets darauf zu achten, dass gelöschte Daten, nicht irgendwo in Sicherungskopien auftauchen. Letztlich ist auch ein Wiedervorlagesystem unumgänglich und ein Verfahren zur Dokumentation essentiell.  Bei manchen Daten wird es zudem nicht notwendig sein, diese zu löschen, sondern lediglich zu anonymisieren.

Da Datenschutzgrundverordnung (DS-GVO) ist noch sehr jung und es existiert daher keine umfangreiche Rechtsprechung. Insofern ist auch bei der Thematik der Löschung von Daten Vorsicht geboten. Vieles ist noch unsicher und dieses Thema sollte als dynamischer Prozess betrachtet werden. Für die Behörde wird es entscheidend darauf ankommen, dass der Unternehmer sich Überlegungen gemacht hat. Hat er ein Konzept und weist dieses Lücken auf, wird er im Zweifel mit einem milderen Bußgeld belegt werden, als der Unternehmer, der gar keines hat.

Bei Fragen rund um die Erstellung eines Löschkonzepts und über das Datenschutzrecht allgemein, können Sie mich jederzeit unter  069 59 77 80 28 telefonisch erreichen oder per Email kontaktieren.

Ihr Anwalt für DSGVO in Frankfurt

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Coaching

Heutzutage bieten immer mehr Coaches ihre Dienstleistungen im Internet an. Hierbei wird eine Vielzahl von Daten untereinander ausgetauscht. Dieser Beitrag soll die Mindestanforderungen aufzeigen, welche die Datenschutzgrundverordnung (DS-GVO) vorsieht. Da die verschiedenen Geschäftsmodelle des Coachings sich teilweise deutlich voneinander unterscheiden, soll dieser Artikel nur eine erste Orientierung bieten.

Mindestanforderung für Coaching

Ich gehe davon aus, dass die Sie als Coach, eine Internetseite haben. In diesem Falle, müssen Sie folgende Mindestanforderungen der DS-GVO erfüllen:

  • Datenschutzerklärung,
  • Datenschutzhinweise,
  • Verzeichnis der Verarbeitungstätigkeiten,
  • Auftragsverarbeitungsverträge.

Datenschutzerklärung für Coaching

Immer dann, wenn Daten verarbeitet werden, muss dem Betroffenen vor Augen geführt werden, welche Daten, zu welchem Zweck, wie verarbeitet werden. Wenn also jemand eine Internetseite besucht, dann hinterlässt er üblicherweise IP-Daten. Diese werden in der Regel benötigt, damit die Webseite angezeigt werden kann. Die DS-GVO sieht nun vor, dass „bei Erhebung“ der Daten informiert werden muss. Hier kommt die Datenschutzerklärung ins Spiel. Durch eine entsprechende, rechtskonform ausgestaltete Datenschutzerklärung wird der DS-GVO Rechnung getragen. Jetzt kommt es natürlich auf Ihre individuelle Gestaltung der Internetseite an. Haben Sie beispielsweise einen Newsletter oder ein Kontaktformular, dann müssen in der Datenschutzerklärung mehr Angaben enthalten sein. Nutzt Sie auch Social Media, dann wird die Erklärung noch komplexer. Hier kommt es auf den Einzelfall an. Die Gefahr einer fehlerhaften oder unvollständigen Datenschutzerklärung ist bekannt:

Bußgeld bis 4% des Bruttoumsatzes und/oder Abmahnung.

Datenschutzhinweise für Coaching

Viele von Ihnen nutzen eine Internetseite, haben aber auch daneben andere Vertriebskanäle. So ist es nicht unüblich, dass Sie beispielsweise per Telefon oder E-Mail kontaktiert werden. Dann werden auch personenbezogene Daten verarbeitet. Es muss natürlich auch über diese Datenerhebung informiert werden. Es stellt sich die Frage, was dann der Unterschied zu der Datenschutzerklärung sein soll. Häufig wird im Bereich des Coachings über „Mund zu Mund Propaganda“ Kunden akquiriert. Dann ist es möglich, dass der Kunde gar nicht Ihre Webseite besucht, sondern kurzerhand zum Hörer greift oder Ihnen eine E-Mail schreibt und Sie kontaktiert. Spätestens, wenn Sie auf die E-Mail antworten, muss ein Hinweis auf die Datenverarbeitung erfolgen. Es reicht nicht, also nur eine Datenschutzerklärung auf der Webseite zu haben. Es muss vielmehr in solchen Fällen gewährleistet sein, dass der potentielle Geschäftspartner über die Verarbeitung der Daten informiert wird. Typischerweise wird es mit einem Link in der E-Mail Signatur gemacht. Am Telefon wäre es natürlich Quatsch, wenn man eine ganze Datenschutzerklärung vorlesen würde. Hier reicht ebenfalls der Hinweis aus, dass man sich auf der Internetseite über den Datenschutz informieren kann.

Datenschutzhinweise sind auch erforderlich, wenn in der Datenschutzerklärung auf der Internetseite, nur über die Datenverarbeitung informiert wird, die dort stattfindet. Ein Beispiel:

Es kommt häufig vor, dass auf Ihrer Seite nur Informationen über Ihre Dienstleistung enthalten sind. Es besteht weder ein Kontaktformular noch werden neben den IP-Daten sonstige Daten erhoben. Jetzt will Ihr Kunde hoffentlich Ihre Dienstleistung in Anspruch nehmen und schreibt Ihnen eine E-Mail. Es kommt dann ein Vertrag mit dem Kunden zustande. Wenn Sie jetzt nur eine Datenschutzerklärung haben, die darüber informiert, dass IP-Daten erhoben werden, dann haben Sie ein Problem. Sie kennen nämlich nunmehr die Emailadresse, den Namen, die Anschrift und ggf. die Bankverbindung des Kunden. Darüber haben Sie aber noch nicht informiert. Hier kommen die Datenschutzhinweise ins Spiel und helfen dieses Problem zu lösen. Dort wird nämlich darüber informiert, welche Daten beispielsweise für die Vertragsdurchführung erhoben werden.

Verarbeitungsverzeichnis für Coaching

Mit Erschrecken muss ich leider immer wieder feststellen, dass das Verarbeitungsverzeichnis schlicht ignoriert wird. Das Verarbeitungsverzeichnis ist kein Hexenwerk und dient dem Überblick, welche Daten, wann, wo und zu welchem Zweck verarbeitet werden. Häufig wird 1 bis 2 DIN-A4 Seiten oder eine Excel Tabelle ausreichen. Die Behörden halten hierzu Muster bereit. Ein solches Verarbeitungsverzeichnis muss jeder von Ihnen haben. Hier kommt es nicht auf den Umfang des Unternehmens oder den Umsatz an. Fehlt ein solches, dann ist ein Bußgeld sicher.

Auftragsverarbeitungsverträge

In der Regel wird die Internetseite bei einem Drittanbieter gehostet werden. Allein hierfür braucht man einen sogenannten Auftragsvearbeitungsvertrag. Werden zusätzlich Lohnbuchhaltung oder Callcenter-Dienstleistungen in Anspruch genommen, dann bedarf es eines Auftragsverarbeitungsvertrages. Gleiches gilt auch für die Inanspruchnahme von Google und Social Media Profile. Fehlt ein solcher Vertrag, dann ist ebenfalls ein Bußgeld sicher. Meine Erfahrung ist, dass die größeren Unternehmen einen eigenen Vertrag bereitstellen und wenig Verhandlungsraumspielraum einräumen.

Fazit

Letztlich werden Sie als Coach nicht umhin kommen, sich mit dem Datenschutz zu befassen. Dabei sind eine rechtssichere Gestaltung der Internetseite und eine datenschutzkonforme Handhabe des Coachings, dringend anzuraten. Sie ist je nach Grad bzw. Größe des Unternehmens mit überschaubarem Aufwand zu bewerkstelligen. Die Alternative ist mit der Gefahr eines Bußgeldverfahrens, das mit einem Bußgeld von 4 % des Bruttoumsatzes enden kann oder eine Abmahnung zu leben. Das kann ich keinem seriösen Coach empfehlen.

 

Bei Fragen rund um den Datenschutz, berate ich Sie gerne. Sie können mich dazu telefonisch unter 069 59 77 80 28 oder über das Kontaktformular erreichen.

Rufen Sie an oder schreiben Sie mir. Ich freue mich auf Sie.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main

Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Wann sollte ich einen Auftragsverarbeitungsvertrag schließen?

Im Zuge der neuen Datenschutzgrundverordnung (DS-GVO) stellen sich viele Unternehmer die Frage, wann muss ich einen Auftragsverarbeitungsvertrag schließen? Manche haben sogar von ihren Dienstleistern einen vorgesetzt bekommen, mit der Bitte diesen unterschrieben zurückzuschicken. Bevor man natürlich einen Vertrag unterschreibt, muss man wissen worum es sich hierbei handelt

 

Auftragsverarbeitung

In Art. 4 Nr. 8 der DS-GVO ist die Auftragsverarbeitung gesetzlich definiert. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Viel Klarheit bringt diese Definitionen leider nicht. Es kommt also darauf an, dass im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet werden. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 

Weisungsrecht

Es kommt mithin darauf an, dass zwischen Verantwortlicher und Auftragsarbeiter ein Weisungsrecht besteht. D.h. so viel, dass derjenige Verantwortlicher ist, der über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Erteilt dieser einem anderen eine Weisung, wie er diese Daten verarbeiten soll, ist dieser andere ein Auftragsverarbeiter. Wenn ich beispielsweise ein Callcenter für mich arbeiten lasse, so entscheidet dieses nicht über den Zweck der Erhebung der Daten. Es hat keinen Spielraum zu sagen, ich möchte folgende Daten vom Kunden wissen. Es ist an die Weisungen gebunden, die der Unternehmer ihm erteilt hat. Es muss also die Daten erheben, die dieser festgelegt hat, also beispielweise Namen und Telefonnummer für einen Rückruf. Damit ist das Callcenter ein Auftragsverarbeiter.

 

Abgrenzungen

Derzeit ist aufgrund der jungen Geschichte der DS-GVO und der fehlenden Rechtsprechung noch nicht gesichert, wie man in Abgrenzungsfragen entscheiden sollte. Manche vertreten eine sogenannte Schwerpunkttheorie. Danach ist keine Auftragsverarbeitung gegeben, wenn die Erhebung der Daten zum Schwerpunkt der Tätigkeit des Unternehmens gehört. So ist beispielsweise ein Transportdienstleistungsunternehmen kein Auftragsverarbeiter, wenn es Daten an Dritte auf Weisung des Verantwortlichen transportiert. Der Transport ist nämlich die Kerntätigkeit des Transportunternehmens. Andere Beispiele sind Rechtsanwälte, Steuerberater oder beispielsweise ein Labor. Hier besteht aber zwischen den sich mit Datenschutz befassen den Autoren unterschiedliche Auffassungen. Manche wählen als sichersten Weg im Zweifel einen Auftragsverarbeitungsvertrag. Das Problem darin ist, dass ich dann mich beispielsweise als Auftragsverarbeiter Weisungen des Verantwortlichen unterwerfe.

Aus meiner Sicht, gibt es hier keine Patentlösung. Wichtig wird sein, dass man in jedem Fall begründen können muss, warum man gerade keine Auftragsverarbeitung oder eben eine vorliegen hat. Dies müsste dann argumentativ gegen eine Bußgeldbehörde verteidigt werden. Der Teufel steckt hier im Detail. Die Zuordnung ist von erheblicher Bedeutung. Ein Verstoß dagegen führt zu einem Verstoß gegen die DS-GVO. Dies wiederum führt zu Bußgeldern bzw. gegebenenfalls zu Abmahnungen. Ein Vertrag sollte nicht vorschnell abgeschlossen werden.

Wenn Sie also Fragen rund um die Zuordnung einer Tätigkeit zur Auftragsbearbeitung haben, können Sie mich gerne unter dem Kontaktformular erreichen.

Ihr Anwalt für DSGVO in Frankfurt

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Diese Frage stellen sich viele, die eine Kamera benutzen wollen. Das Thema ist im Zuge der DS-GVO komplexer geworden und kann in der gebotenen Kürze hier nur angerissen werden. Es soll ein erster Einstieg sein. Es ist immer und stets der Einzelfall zu prüfen. Wer zunächst in das Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) einen Blick riskiert, findet dort den § 4 BDSG n.F.. Dem ersten Anschein nach sieht es so aus, als hätte der Gesetzgeber eine taugliche Rechtsgrundlage für die Videoüberwachung geschaffen. Auf den zweiten Blick wird aber deutlich, dass diese Norm nicht für private Unternehmer gilt.

Fehlende Öffnungsklausel für die Videoüberwachung

Dies hat mit den Europarecht zu tun. Die DS-GVO erlaubt eine Regelung im nationalen Recht, wie es das BDSG ist, nur dann, wenn eine sogenannte Öffnungsklausel vorliegt. Das bedeutet vereinfacht, dass der europäische Gesetzgeber es dem nationalen Gesetzgeber erlaubt, weitergehende Regelungen zu treffen. Das ist gerade bei der Videoüberwachung leider nicht in der erforderlichen Form geschehen. Das bedeutet, dass ein Rückgriff auf § 4 BDSG n.F. für die Videoüberwachung durch private Unternehmer nicht möglich ist. Eine Öffnungsklausel ist nur für die Art. 6 Abs. 2 DS GVO lit. c) und e) vorgesehen. Das sind die Normen, die eine Datenverarbeitung bei einer rechtlichen Verpflichtung oder bei Wahrnehmung von Aufgaben im öffentlichen Interesse, ermöglichen. Eine rechtliche Verpflichtung zur Videoüberwachung für private Unternehmer wird wohl kaum zu konstruieren sein. Das Ergebnis ist, dass das Bundesdatenschutzgesetz BDSG im nicht-öffentlichen Bereich nicht anwendbar sein wird.

Ausweg über Art. 6 Absatz 1f DS GVO

Deswegen wird in der Literatur bislang die Ansicht vertreten, dass die Verarbeitung personenbezogener Daten über den Art. 6 Absatz 1f möglich sein wird. Danach hat eine Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Grad der Betroffenheit durch die Datenverarbeitung stattzufinden. Hierbei muss auch beachtet werden, dass bei einer Rechtfertigung über die Rechtsgrundlage des Artikel 6f DS-GVO diese Interessenabwägung in den Informationspflichten gehört und dort wiedergegeben sein muss. Genauer heißt das, dass die Abwägung in der Datenschutzerklärung enthalten sein muss. Näheres zu den Informationspflichten bei der Videoüberwachung werde ich in einem separaten Beitrag erläutern.

Wie einleitend dargestellt muss der Einzelfall genau unter die Lupe genommen werden, um die Zulässigkeit der Videoüberwachung klären zu können.

Bei Fragen rund um die Videoüberwachung können Sie mich gerne unter der Telefonnummer 069 59 77 80 28 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt am Main