+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Der Datenschutzbeauftragte von Baden-Württemberg hat seinen Tätigkeitsbericht 2020 veröffentlicht.

Der Bericht steht vor allem im Zeichen der Corona-Krise. Haben Sie auch schon von dem Gerücht gehört, dass es seit der Corona-Krise keinen Datenschutz mehr gibt :)? Dr. Stefan Brink widmet das erste Kapitel dem Datenschutz in der Corona-Krise. Weiterhin werden im Bericht auch das Schrems II – Urteil, der Brexit, aktuelle Bußgelder und verschiedene Fälle aus der Praxis vorgestellt.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Das Thema Corona und Datenschutz nimmt einen beachtlichen Teil im Bericht ein
  • Die Aufsichtsbehörde gibt Tipps und Hilfestellungen zu Videokonferenzsystemen

Inhaltsverzeichnis

Datenschutz in Corona-Zeiten

Fernunterricht an Schulen während der Corona-Krise

Den Datenschutzbeauftragten erreichen viele Anfragen und Beschwerden von Schulen, Lehrkräften und Eltern – insbesondere zu den verwendeten Systemen und Techniken.

Die Lernplattformen Moodle und BigBlueButton werden von dem Datenschutzbeauftragten als datenschutzfreundlich eingestuft.

Rechtliche Rahmenbedingungen und Empfehlungen für Videokonferenzen im Unterricht

Die passive Teilnahme am Fernunterricht (ohne Bild- und Tonübertragung) und Nutzung des Chats kann als Erfüllung des Erziehungs- und Bildungsauftrags gem. Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 1 SchG begründet werden.

Bei aktiver Teilnahme mit Bild- und Tonübertragung benötigt man eine spezielle Rechtsvorschrift, da hierbei ein tieferer Eingriff in die Grundrechte vorgenommen wird. In § 115 Abs. 3a SchG wurde hier die Zulässigkeit geschaffen.

Weiterhin ist jedoch bei der aktiven Teilnahme eine Einwilligung nach Art. 7 DSGVO seitens der Schüler sowie auch deren Eltern bzw. weiteren Hausstandsangehörigen nötig. Dem Schüler muss es freistehen, seine Kamera und sein Mikrofon an- oder auszuschalten.

Problematik Einwilligung

Durch das Über-/ Unterordnungsverhältnis zwischen der Schule und den Schülern kann die Freiwilligkeit der Einwilligung angezweifelt werden. Es kann ein sozialer Druck entstehen, wenn jemand nicht gewillt ist, die Kamera oder das Mikrofon anzuschalten.

Dem Schüler muss es dennoch möglich sein, auch ohne Bild- und Tonübertragung am Unterricht teilzunehmen, da sonst die Einwilligung nicht wirksam ist.

Formale Vorgaben zum Einsatz von Videokonferenzsystemen
  • Beschreibung der Verarbeitungstätigkeit der Videokonferenzsysteme im Verfahrensverzeichnis (Art. 30 DSGVO)
  • Abschluss eines Auftragsverarbeitungsvertrags mit dem Anbieter des Videokonferenzsystems, sofern nicht selbst gehostet (Art. 28 DSGVO)
Vorgaben für für Videokonferenzsysteme
  • Privacy-by-default (datensparsame Konfiguration)
  • Freigabe des Videobilds
  • Freigabe des Tons
  • Freigabe des Bildschirms bzw. der Programmoberfläche durch Teilnehmer
  • Chatfunktion sollte vorhanden sein
Aufzeichnung von Videokonferenzen?

Der Datenschutzbeauftragte sieht hier keine Erforderlichkeit. Auch das Mitfilmen des Bildschirmes oder durch eine Kamera oder Tonmitschnitte ist nicht zulässig.

Um die Aufzeichnungen und Mitschnitte zu verhindern, sollten seitens der Schule klare Regeln getroffen und kommuniziert werden. Insbesondere sollte folgendes geregelt werden:

  • Teilnahme sollte nicht im Beisein von anderen Personen stattfinden, sofern möglich
  • Teilnahme sollte nicht in öffentlichen Räumen (Warteräumen, Cafés, Restaurants etc.) stattfinden
  • Mitschnitte jedweder Art sind nicht erlaubt
  • Kameras sind so zu positionieren, dass nur wenige Einblicke in die Privaträume des Teilnehmers möglich sind – alternativ sind Hintergrundfilter zu nutzen

Anmerkung der Datenbeschützerin

Seitens der Schulen ist zu prüfen, welche Videokonferenztools eingesetzt werden und ob diese den Vorgaben der Aufsichtsbehörde entsprechen. Im Bericht wird deutlich hervorgehoben, dass die Schulen sich nicht aus der datenschutzrechtlichen Verantwortung ziehen können und nur auf das Kultusministerium verweisen können.

Grundsätzlich sollte der behördliche Datenschutzbeauftragte zu Rate gezogen und im Zweifel die Aufsichtsbehörde kontaktiert werden.

Homeoffice – datenschutzkonformer Umgang am Heimarbeitsplatz

Der Beratungsbedarf bezüglich der Gestaltung und der technischen Umsetzung im Homeoffice ist immer noch sehr hoch, teilt die Behörde mit.

Im Bericht wird insbesondere die Teilnahme an Videokonferenzen und die Identitätsprüfung hervorgehoben.

Die Identifikation ist immer vom Einzelfall abhängig (z.B. Inhalt des Gesprächs oder der vorliegenden Betriebsvereinbarungen). Die Identifikation kann zum Beispiel

  • durch die Stimme,
  • durch Eingabe von Codes oder anderen Zugangssicherungen oder
  • durch kurzes Einschalten der Kamera

erfolgen.

Es ist weiterhin zu prüfen, ob eine Bildübertragung erforderlich ist oder ob die reine Tonübertragung genügt. Die Videokonferenzsysteme sollten dennoch eine verschlüsselte Datenübertragung anbieten.

Aufzeichnung der Videokonferenz

Bei der Aufzeichnung der Konferenz bedarf es einer speziellen Rechtsgrundlage, die meist jedoch nicht vorliegt. Das bedeutet, dass man um eine Einwilligung nicht herumkommt.

Anmerkung der Datenbeschützerin

Homeoffice und mobiles Arbeiten sind in Zeiten der Pandemie zu bedeutsamen Themen geworden. Im Bericht werden vereinzelte wichtige Punkte herausgearbeitet. Für weitere Informationen verweist der Datenschutzbeauftragte auf das veröffentlichte Papier des BSI mit „Tipps für sicheres mobiles Arbeiten“.

Datenschutzfreundliche Kommunikationsdienste und Videokonferenzen

In diesem Abschnitt wird detaillierter auf das Thema Videokonferenzen und deren Voraussetzungen eingegangen. Neben den datenschutzrechtlichen Sicherheiten ist auch die Einhaltung zum Schutz von Betriebs-, Dienst- und Geschäftsgeheimnissen unerlässlich.

Folgende Herausforderungen sind bei der Wahl des Anbieters zu berücksichtigen und zu bewältigen:

Transfer in Drittstaaten oder Zugriff von Drittstaaten auf die Daten

Viele Anbieter haben ihren Sitz außerhalb von Europa. Die Herausforderungen werden noch im Kapitel des Schrems II Urteils vorgestellt.

Eine echte Ende-zu-Ende-Verschlüsselung kann das Risiko minieren. Allerdings hat der Anbieter weiterhin Zugriff auf die Metadaten der Kommunikation.

Verarbeitung von Metadaten: Wer hat Zugriff auf die Daten?

Metadaten enthalten Informationen darüber, wer wann mit wem kommuniziert, können aber ggf. auch Standortdaten enthalten. Meist sind diese Daten nicht verschlüsselt und im Klartext für den Anbieter einsehbar.

Verarbeitung von Inhaltsdaten: Ist die Vertraulichkeit der übertragenen Inhalte gewährleistet?

Bei Inhaltsdaten handelt es sich um die eigentlichen Kommunikationsdaten (z.B. Gespräche oder Videos). In einer Videokonferenz ist immer darauf zu achten, welche Daten geteilt werden z.B. Geschäftsgeheimnisse, sensible Daten nach Art. 9 DSGVO.

Diese Inhaltsdaten können mit einer Ende-zu-Ende-Verschlüsselung geschützt werden. Bei Live-Videokonferenzen ist es jedoch schwer, eine „echte“ Verschlüsselung durchzuführen und zu garantieren.

Daher ist es ratsam, beim Gespräch möglichst auf sensible Inhalte zu verzichten und vertrauenswürdige Anbieter mit einem Standort innerhalb der EU zu bevorzugen.

Werden die Daten durch den Anbieter zu eigenen Zwecken verwendet?

Viele Anbieter nutzen die Daten z.B. für die Produktverbesserung oder anderweitige gewerbliche Zwecke (z.B. Werbung).

Sofern die Daten zu eigenen Zwecken seitens des Anbieters genutzt werden (meist Analyse-, Telemetrie- oder Diagnosedaten genannt), kommt man i.d.R. um eine Einwilligung nicht herum. Somit muss seitens des Nutzers vorab eine informierte, transparente, freiwillige und aktive Einwilligung eingeholt werden.

Es wird von der Behörde geraten, einen Anbieter zu wählen, der die Daten nicht zu eigenen Zwecken verarbeitet.

Werden Daten an Dritte weitergegeben oder mit anderen Daten verknüpft?

Je nach Anbieter werden die Daten im Rahmen des Geschäftsmodells oder zur Ermittlung von Statistiken an Dritte übermittelt. Bei Auswertung und Statistikerstellung kann ein Personenbezug oder die Gruppierung der Nutzer nicht augeschlossen werden.

Auch hier benötigt man in der Regel die Einwilligung des Nutzers.

Praktische Tipps der Aufsichtsbehörde

Zusammenfassend gibt die Aufsichtsbehörde nachfolgende Tipps und Hilfestellung mit an die Hand:

  • Der Anbieter sollte weder die Metadaten noch die Inhaltsdaten zu eigenen Zwecken auswerten oder an Dritte übermitteln.
  • Sofern möglich, die Systeme „on-premise“ installieren.
  • Nutzung von Open-Source-Möglichkeiten
  • Beauftragung eines Auftragsverarbeiters nach Art. 28 DSGVO mit Sitz im EWR
  • Alle Datenübertragungen sind mittels Transportverschlüsselung (TLS) gesichert
  • Bei Übertragung von sensiblen Daten sollte eine Ende-zu-Ende-Verschlüsselung vorhanden sein
  • Automatische Aufzeichnung von Video und Ton sollte deaktiviert sein. Sofern eine Aufzeichnung stattfindet, ist eine Rechtsgrundlage (i.d.R. Einwilligung) zu definieren. Ein entsprechendes Signal sollte bei aktiver Aufzeichnung den Teilnehmern vorhanden sein.
  • Prüfen, ob das Einschalten der Kamera erforderlich ist, gerade wenn diese aus der Privatwohnung stattfindet.

Anmerkung der Datenbeschützerin

Nicht nur speziell bei der Auswahl eines Videokonferenztools, sondern allgemein bei Cloud-Anbietern sollten Sie die oben genannten Punkte prüfen und berücksichtigen.

Die Datenbeschützerin untersucht aktuell zahlreiche Cloud-Anbieter mittels einer Risikoanalyse, die als Erstscheinschätzung und Hilfestellung dienen soll. Bitte beachten Sie, dass es sich dabei um eine allgemeine Betrachtung handelt und das Tool auf den Einzelfall zu prüfen ist.

Das Schrems II Urteil

Mit Urteil vom 16.07.2020 hat der EuGH das sog. Privacy-Shield für die Datenübermittlung von Europa in die USA für ungültig erklärt.

Insbesondere der Umfang des Zugriffs seitens der US-Behörden (702 FISA, EO 12333) ist nach Ansicht des Gerichts durch das Privacy-Shield nicht gedeckt.

Das Urteil hat auch die Signalwirkung auf Unternehmen, die ihre Dienste in Europa anbieten oder anbieten möchten. So müssen diese auch die DSGVO einhalten.

Stand Microsoft

Im Bericht teilt der Datenschutzbeauftragte von Baden-Württemberg mit, dass sich Microsoft in die richtige Richtung bewegt. Des Weiteren werden die neuen Vertragsklausen von Microsoft als positiv bewertet. Zwar ist die Transferpolitik noch nicht gänzlich gelöst, da die US-Behörden immer noch Zugriff auf die Daten hätten.

Welche weiteren Garantien gibt es für die Datenübermittlung in Drittländer?

Angemessenheitsbeschluss

Sofern ein Angemessenheitsbeschluss für das Zielland vorliegt, ändert sich nur wenig für die Parteien. Folgende Länder sind als „sichere Drittländer“ mittels eines Angemessenheitsbeschluss anerkannt:

  • Andorra
  • Argentinien
  • Australien
  • Färöer-Insel
  • Guerney
  • Isle of Man
  • Israel
  • Jersey
  • Kanada
  • Neuseeland
  • Schweiz
  • Uruguay
  • Japan
Standardvertragsklauseln

Die von der EU-Kommission definierten Standardvertragsklauseln sind auch nach dem EuGH-Urteil gültig.

Individuelle Vertragsklauseln

Alternativ können die Parteien auch individuelle Vertragsregeln oder verbindliche Unternehmensregeln nach Art. 46 DSGVO definieren.

Anmerkung der Datenbeschützerin

Es ist ratsam, sich mit der aktuellen Rechtslage rund um die Datenübermittlung in die USA auseinanderzusetzen. Aus dem Verfahrensverzeichnis sollte ggf. schon hervorgehen, welche Dienstleister ihren Sitz in den USA haben oder ob Verbindungen bestehen.

Anschließend sollten die Verträge mit den Dienstleistern geprüft und ggf. angepasst werden. Mittels einer Risikoanalyse kann dann das Restrisiko für den Einsatz des Dienstleisters ermittelt werden.

Bildungsplattformen für Schulen

Aktueller Stand

Der Messenger-Dienst Threema wurde durch die Behörde geprüft und als datenschutzkonform eingestuft. Threema wird seitens des Kultusministeriums für alle Lehrkräfte in Baden-Württemberg seit April 2020 zur Verfügung gestellt.

Weiterhin stehen das Videokonferenztool BigBlueButton und die Lernplattform Moodle kostenlos zur Verfügung. Die Dienste werden auf den eigenen Servern des Kultusministerium gehostet.

Datenschutzfreundliche Alternativen sind z.B. noch Jitsi oder der Cloud-Dienst Next-Cloud.

Zukünftig soll das „OnlyOffice“ (open-source) für das gemeinsame und gleichzeitige Bearbeiten von Dokumenten eingeführt werden.

Microsoft Office 365

Das Kultusministerium erstellte für den Einsatz von Microsoft 365 eine Datenschutzfolgeabschätzung (DSFA), welche nach Anmerkungen und Rückfragen erneut überarbeitet und beim Datenschutzbeauftragten nochmals vorgelegt wurde.

Die Aufsichtsbehörde führte auch Gespräche mit Microsoft, mit folgenden Fortschritten:

  • Datensparsame und spezielle Softwareversion von Microsoft 365 für Schulen
  • Verbesserung der Verschlüsselung von Daten
  • Reduzierung der Datenverarbeitung seitens Microsoft
  • Erstellung einer Anleitung zur datensparsameren Nutzerführung für Lehrkräfte

Anmerkung der Datenbeschützerin

Sofern neue Informationen zu Microsoft 365 an Schulen veröffentlicht werden, werden wir hier darüber informieren.

Es ist ratsam, die bereits kostenlos zur Verfügung gestellten Tools des Kultusministeriums zu nutzen. Dennoch sind die Schulen selbst dazu angehalten, sich dem Thema Datenschutz anzunehmen und nicht alles auf das Kultusministerium abzuwälzen.

Prüfung von Tracking auf Medien-Webseiten

Die Aufsichtsbehörde forderte verschiedene redaktionelle Online-Webseiten auf, anzugeben,

  • welche Dienste von Drittanbietern (z.B. Zählpixel, Analysedienste etc.) auf der Webseite eingebunden sind,
  • wie die Kommunikation zwischen den Webseiten selbst funktioniert und
  • welche Informationen, Objekte oder sonstige Elemente auf den Endgeräten des Nutzers gespeichert werden.

Die Prüfung ist noch nicht abgeschlossen. Eine erste Bilanz zeigt, dass teilweise über 250 verschiedene Dienste auf den Webseiten eingebunden werden und über 500 verschiedene Cookies gesetzt werden.

Die Aufsichtsbehörde rät, dass Seitenbetreiber großen Wert darauf legen sollten, sich eine freiwillige, informierte, vorab und transparente Einwilligung einzuholen, sofern auf Drittanbieter zurückgegriffen wird.

Anmerkung der Datenbeschützerin

Es ist ratsam, dass die Webseite auf einwilligungsbedürftige Cookies und Plugins geprüft wird. Sind diese identifiziert, ist seitens der Nutzer die Einwilligung z.B. durch ein Cookie-Consent-Tool einzuholen.

Weiterhin sollte überprüft werden, ob die Cookies und Plugins auch in der Datenschutzerklärung erwähnt werden.

Datenschutz-Vielfalt, veranschaulicht von Fall zu Fall

Das Führungszeugnis

In einer Gemeinde bildetet sich eine Flüchtlingshilfe, an der jeder Bürger ehrenamtlich teilnehmen konnte. Allerdings verlangte die Behörde vor Amtsantritt von Jedem die Vorlage des erweiterten Führungszeugnisses. Ein Bürger wandte sich an die Aufsichtsbehörde, da er der Auffassung war, dass dies nicht rechtens ist.

Rechtsgrundlage für erweitertes Führungszeugnis

In § 30a BZRG ist festgehalten, unter welchem Umständen das erweiterte Führungszeugnis zu beantragen ist. Träger der öffentlichen Jugendhilfen (§ 72 SGB VIII) dürfen bzw. müssen sich das erweiterte Führungszeugnis in regelmäßigen Abständen vorlegen lassen.

Für den vorliegenden Fall gab es jedoch keine gesetzliche Grundlage zur Vorlage des erweiterten Führungszeugnisses.

Einwilligung zur Vorlage

Die Gemeinde holte sich für die Vorlage des Dokuments die Einwilligung mittels eines Vordrucks ein. Die Prüfung des Vordrucks ergab, dass mit diesem keine wirksame Einwilligung vorliegt.

Fazit

Die Aufsichtsbehörde führte wohl mehrere und intensive Gespräche mit dem Bürgermeister zur Sachverhaltsklärung. Die Gemeinde teilte mit, dass das erweiterte Führungszeugnis nicht mehr verlangt wird.

Anmerkung der Datenbeschützerin

Seitens der Verantwortlichen ist zu prüfen, in welchen Fällen die Vorlage des „einfachen“ Führungszeugnisses oder des „erweiterten Führungszeugnisses“ erforderlich ist. Weiterhin sind auch noch die formalen Bedingungen für Ausstellungen und Einholen (siehe § 30a BZRG) einzuhalten.

Die Verarbeitungstätigkeit ist auch im Verfahrensverzeichnis zu dokumentieren und auch im Rahmen der Informationspflicht transparent darzulegen.

Neues aus dem Amt III: Datenschutz in der Privatwirtschaft

Auskunft heißt Auskunft – so konkret wie möglich

Bei der Behörde gingen zahlreiche Beschwerden und Anfragen bezüglich der Erteilung von Auskünften ein. Dies betrifft insbesondere die Thematik, an wen die Daten übermittelt werden.

Die Aufsichtsbehörde stellt klar, dass die Nennung von Empfängerkategorien nicht ausreichend ist. Die Nennung der Empfänger ist unerlässlich, da der Betroffene auch ggf. bei dem Empfänger sein Auskunftsrecht geltend machen möchte.

Nicht ohne Veranlasser: Werbender und Adresshändler sind regelmäßig gemeinsam Verantwortliche

Auf vielen Werbebriefen ist meist kleingedruckt die Anschrift des Adresshändlers (meist mit Sitz in der Schweiz) als datenschutzrechtlicher Verantwortlicher genannt. Angaben zum eigentlich werbenden Unternehmen sind meist Fehlanzeige.

Im Bericht wird klargestellt, dass sowohl das werbende Unternehmen als auch der Adresshändler gemeinsam für die Daten verantwortlich sind. Insbesondere dann, wenn das werbende Unternehmen Kriterien für die Empfänger festlegt (z.B. Frauen ab 40 Jahren, Einkommen etc.). Im Gegenzug kann auch die Bereitstellung von bereits vorgeschlagenen Kriterien seitens des Adresshändlers ggf. auch bereits eine gemeinsame Verantwortlichkeit darstellen.

Durch die Nennung der beiden Verantwortlichen kann der Betroffenen seine Rechte geltend machen und die Aufsichtsbehörde das werbende Unternehmen ggf. prüfen.

Löschfristen im Betriebs- und Personalratsbüro

Viele Arbeitnehmervertreter fragen bei der Behörde bezüglich Aufbewahrungs- und Löschfristen für ihre Stelle und Position an.

Im Betriebsverfassungsgesetz gibt es keine eindeutige Regelungen zu Betriebsratsdokumenten. Auch für Personalräte gilt, dass die Daten aufzubewahren sind, solange es für die Erfüllung ihrer Aufgaben erforderlich ist.

Fazit Aufsichtsbehörde

Demnach gelten hinsichtlich der Aufbewahrung und
Löschung von Beschäftigtendaten für die Mitarbeitendenvertretungen
im Kern dieselben Voraussetzungen
wie für die Arbeitgeber_innen, welche Daten speichern
dürfen, solange dies zur Begründung, Durchführung
oder Beendigung eines Beschäftigtenverhältnisses erforderlich
ist. Besteht diese Erforderlichkeit nicht mehr,
wandelt sich die Aufbewahrungspflicht in eine Löschpflicht.
Für auf Papier und elektronisch erfasste Daten
gelten dieselben Grundsätze. Ausgangspunkt für die
Aufbewahrung der personenbezogenen Daten durch
die Mitarbeitervertretungen ist die Erforderlichkeit der
Speicherung für einen konkreten und zuvor festgelegten
kollektivarbeitsrechtlichen oder sozialrechtlichen
Zweck im Rahmen ihrer Gremienarbeit.

Datenschutz-Tätigkeitsbericht
des Landesbeauftragten für den Datenschutz und
die Informationsfreiheit Baden-Württemberg 2020, Seite 107

Anmerkung Datenbeschützerin

Wie so oft, kommt es hier im Einzelfall darauf an, welche „richtige“ Aufbewahrungs- und Löschfristen für das eigene Unternehmen gelten können.

Vereine III: Veröffentlichung von Fotos eines Vereinsmitglieds

Für eine Werbekampagne des Vereins wurden großformatige Fotos eines Mitglieds an einem Gebäude angebracht. Zuvor gab es ein Fotoshooting, bei dem die verschiedenen Mitglieder für die Werbezwecke posierten.

Das betroffene Mitglied wollte jedoch die Entfernung des Bildes an dem Gebäude. Dieser Forderung kam der Verein nicht nach. Rechtsgrundlage für die Verarbeitung und Veröffentlichung des Fotos war die Einwilligung.

Der Verein konnte diese jedoch nicht nachweisen, da diese nicht schriftlich vorlag. Nach Art. 7 DSGVO gibt es keine Formvorschrift für die Erteilung der Einwilligung.

Im vorliegenden Fall ging man von der Einwilligung der Betroffenen aus. Strittig war dann noch der Umfang der Veröffentlichung und ob man mit der Anbringung des Bildes an einem Gebäude rechnen hätte können.

Das Bild wurde zeitnah nach Anfrageeingang entfernt.

Hinweise der Aufsichtsbehörde

Vereinsmitglieder müssen über die Datenverarbeitung nach Art. 13 DSGVO informiert werden. Insbesondere bei Fotoveröffentlichung sollten der Ort oder die Stelle bekannt gegeben werden.

Vereine IV: Der Gewinner als Verlierer – die Veröffentlichung von Spenden-Daten

Ein Verein veröffentlichte den Spender-Namen sowie auch die Höhe des Spendenbetrags. Der Spender teilte mit, dass er keine Einwilligung zur Veröffentlichung erteilt hatte.

Der Verein teilte mit, dass der Spender im Rahmen eines Gewinnspiels teilgenommen hat und der Wunsch auf Anonymität explizit erwähnt hätte werden müssen.

Die Aufsichtsbehörde ließ sich dazu die Teilnahmebedingungen zusenden. In diesen stand tatsächlich, dass sich der Spender mit der Veröffentlichung des Namens und der Spendenhöhe automatisch einverstanden erklärt.

Nach Ansicht der Behörde wurde hier nicht ausreichend über die Datenverarbeitung informiert und auch die konkludente Einwilligung in den Teilnahmebedingungen ist unzulässig.

Anmerkung der Datenbeschützerin

Grundsätzlich sollte geprüft werden, zu welchen Zweck(en) die Daten verarbeitet werden und auf welche Rechtsgrundlage diese zu stützen sind.

Bei einer Veröffentlichung von Gewinnspielteilnehmern sollte eine gesonderte und explizite Einwilligung eingeholt werden.

Quelle

Diesen Beitrag teilen