Datenschutz 3

Questions and Answers

Ein Unternehmen mit Hauptsitz in der Schweiz verarbeitet Daten von EU-Bürgern. Unter welchen Umständen findet die DSGVO Anwendung?

• Die DSGVO findet immer Anwendung, wenn die Datenverarbeitung Personen in der EU betrifft. (correct)
• Die DSGVO findet nur dann Anwendung, wenn die Datenverarbeitung in deutscher Sprache erfolgt.
• Die DSGVO findet keine Anwendung, da das Unternehmen seinen Sitz außerhalb der EU hat.
• Die DSGVO findet nur Anwendung, wenn das Unternehmen eine Niederlassung in der EU hat.

Welche Aussage trifft im Allgemeinen auf den Datenschutz juristischer Personen (z.B. GmbHs) nach BDSG und DSGVO zu?

• Der Datenschutz für juristische Personen ist im BDSG umfassender geregelt als in der DSGVO.
• Juristische Personen sind grundsätzlich vom Datenschutz ausgenommen, es sei denn, die Daten betreffen natürliche Personen, die für das Unternehmen tätig sind. (correct)
• Juristische Personen genießen den gleichen Datenschutz wie natürliche Personen.
• Juristische Personen haben das Recht auf unentgeltliche Auskunft über die zu ihnen gespeicherten Daten.

In welchem Kontext regelt das BDSG spezifische Datenverarbeitungen?

• Ausschliesslich im Bankwesen.
• Im Zusammenhang mit strafrechtlichen oder verwaltungsbehördlichen Maßnahmen. (correct)
• Ausschliesslich im Rahmen von Marketingaktivitäten.
• Ausschliesslich im Bereich der Personalverwaltung.

Ein deutsches Unternehmen speichert personenbezogene Daten seiner Kunden auf einem Server in den USA. Welche Gesetze sind hier relevant?

Sowohl das Bundesdatenschutzgesetz (BDSG) als auch die Datenschutz-Grundverordnung (DSGVO). (C)

Welches Ziel verfolgen die spezifischen Regelungen im BDSG bezüglich der Datenverarbeitung für wissenschaftliche oder historische Forschungszwecke?

Die Schaffung eines rechtlichen Rahmens, der die Verarbeitung von Daten unter bestimmten Umständen ermöglicht, ohne die Grundrechte der Betroffenen unangemessen zu beeinträchtigen. (B)

Was bedeutet das Marktortprinzip im Kontext der DSGVO?

Die DSGVO gilt für alle Datenverarbeitungen, die Personen in der EU betreffen, unabhängig davon, wo das Unternehmen seinen Sitz hat. (C)

Welche der folgenden Aussagen beschreibt korrekt die Beziehung zwischen dem BDSG und der DSGVO?

Das BDSG ergänzt und konkretisiert die DSGVO in Deutschland. (A)

Ein Unternehmen mit Sitz in Deutschland verarbeitet personenbezogene Daten ausschließlich für interne Zwecke und bietet keine Produkte oder Dienstleistungen in anderen EU-Ländern an. Findet die DSGVO Anwendung?

Ja, da das Unternehmen seinen Sitz in der EU hat und personenbezogene Daten verarbeitet. (D)

Welche der folgenden Aussagen beschreibt am besten das Ziel des Telekommunikationsgesetzes?

Den fairen Wettbewerb und die Qualität der elektronischen Kommunikation zu fördern. (A)

Welche der folgenden Handlungen im Bereich der Direktwerbung ist laut Telekommunikationsgesetz ohne vorherige Einwilligung des Empfängers zulässig?

Der Versand von E-Mails zu Werbezwecken unter bestimmten Voraussetzungen. (D)

Welche der folgenden Aussagen trifft im Kontext von Cold Calling nicht zu?

Die Rufnummernanzeige darf bei Werbeanrufen unterdrückt werden, wenn der Anrufer eine Genehmigung besitzt. (D)

Ein Unternehmen versendet E-Mails mit Direktwerbung für ähnliche Produkte an seine Kunden. Welche Bedingung muss erfüllt sein, damit dies ohne vorherige Einwilligung des Kunden rechtens ist?

Der Kunde muss bei der Erhebung der E-Mail-Adresse die Möglichkeit gehabt haben, den Empfang solcher Nachrichten abzulehnen. (C)

Welche Konsequenz droht bei Verstoß gegen das Verbot der Rufnummernunterdrückung bei Werbeanrufen?

Eine Geldstrafe von bis zu 50.000 Euro. (A)

Ein Unternehmen plant eine Werbekampagne per E-Mail. Welche der folgenden Maßnahmen ist keine notwendige Voraussetzung, um rechtlich auf der sicheren Seite zu sein?

Vorab eine ausdrückliche Einwilligung aller Empfänger einholen. (A)

Welche der folgenden Instanzen ist für die Verfolgung von Verstößen gegen das Telekommunikationsgesetz im Bereich Cold Calling zuständig?

Das jeweils regionale Fernmeldebüro. (A)

Ein Unternehmen betreibt wiederholt unerlaubte Telefonwerbung. Welche rechtlichen Konsequenzen können neben den Bußgeldern des Telekommunikationsgesetzes drohen?

Eine Unterlassungs- oder Schadenersatzklage gemäß dem Bundesgesetz gegen unlauteren Wettbewerb (UWG). (C)

Welche Aussage beschreibt das Double-Opt-In-Verfahren korrekt im Kontext der Newsletter-Anmeldung?

Es erfordert, dass der Nutzer seine E-Mail-Adresse auf der Website angibt und anschließend einen Bestätigungslink in einer E-Mail anklickt, um die Anmeldung abzuschließen. (D)

Welche Informationen müssen laut Mediengesetz in Newslettern angegeben werden, die mindestens viermal jährlich versendet werden?

Das Impressum, entweder direkt im Newsletter oder per Link zu einer Website. (D)

Welche der folgenden Aussagen trifft nicht auf den Versand von E-Mails zu Werbezwecken zu?

Das Versenden anonymer E-Mails mit verschleierter E-Mail-Adresse ist erlaubt, solange der Inhalt informativ ist. (A)

Welche rechtliche Grundlage regelt in Deutschland den Einsatz von Cookies?

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). (A)

Unter welcher Bedingung ist für den Einsatz von Cookies keine aktive Einwilligung des Nutzers erforderlich?

Wenn die Cookies technisch zwingend für die Funktionalität der Website erforderlich sind. (B)

Welche Aussage beschreibt am besten die Rolle der ECG-Liste (Robinson-Liste) im Kontext des E-Mail-Marketings?

Sie enthält Kontaktdaten von Personen, die keine Werbe-E-Mails empfangen möchten. (C)

Was muss dem Nutzer vor dem Setzen von einwilligungspflichtigen Cookies bereitgestellt werden?

Relevante datenschutzrechtliche Informationen, einschließlich Informationen über die Speicherdauer, den Zweck der Datenverarbeitung und eine mögliche Weitergabe an Dritte. (A)

Welches Prinzip gilt im Falle des Versands unerbetener Werbe-E-Mails (Spam) über Landesgrenzen hinweg?

Das Empfängerprinzip, d.h. es gilt das Recht des Staates, in dem der Empfänger seinen Sitz hat. (B)

Welche Aussage trifft nicht auf die Anforderungen an die Einwilligung zum Setzen von Cookies zu?

Das Häkchen für die erforderliche Zustimmung darf in einer Checkbox vorab gesetzt sein, um dem Nutzer Zeit zu sparen. (D)

Unter welcher Bedingung ist eine Einwilligung zum Empfang eines Newsletters nicht erforderlich?

Wenn der Empfänger bereits Kunde des Unternehmens ist. (B)

Wie wird die IP-Adresse datenschutzrechtlich im Kontext von Website-Besuchen behandelt?

Sie wird als personenbezogenes Datum gewertet und unterliegt den datenschutzrechtlichen Bestimmungen der DSGVO. (C)

Welche Konsequenz droht bei Zuwiderhandlung gegen die Bestimmungen zum Versand von Werbe-E-Mails?

Eine Geldstrafe von bis zu 50.000 Euro. (D)

Was muss bei Newslettern beachtet werden?

Die Empfänger müssen ihr Einverständnis freiwillig und für diesen Zweck abgegeben haben und dieses sollte dokumentiert werden. (D)

Ein Webseitenbetreiber möchte Marketing-Cookies einsetzen, um personalisierte Werbung anzuzeigen. Welche Schritte muss er datenschutzrechtlich beachten, bevor er diese Cookies setzt?

Er muss die aktive Einwilligung des Nutzers einholen, bevor die Marketing-Cookies gesetzt werden, und relevante datenschutzrechtliche Informationen bereitstellen. (C)

In welchem Fall ist der Versand von E-Mails an mehr als 50 Empfänger ohne vorherige Einwilligung zulässig?

Der Versand von E-Mails an mehr als 50 Empfänger ist grundsätzlich nur mit vorheriger Einwilligung zulässig. (A)

Welche Aussage trifft im Bezug auf die Kennzeichnung von Werbe-E-Mails nicht zu?

Die Kennzeichnung muss in der Betreffzeile erfolgen. (A)

Unter welchen Umständen ist eine längere Speicherung von Foto- und Videoaufnahmen über die üblichen 72 Stunden hinaus zulässig?

Wenn innerhalb der regulären Speicherfrist festgestellt wird, dass die Bildaufnahme eine strafbare Handlung dokumentiert. (C)

Welche Aussage trifft im Kontext der DSGVO und des BDSG nicht auf die anlasslose Anfertigung von Bildaufnahmen zu?

Sie kann zulässig sein, wenn eine Betriebsvereinbarung mit den Arbeitnehmern vorliegt. (A)

Was muss bei der Auswertung von Videoüberwachungsaufzeichnungen zum Schutz von personenbezogenen Daten beachtet werden?

Die Auswertung darf nur erfolgen, wenn der begründete Verdacht eines Angriffs auf Personen oder Sachen besteht und der Anlassfall vom Zweck der Videoüberwachung erfasst ist. (B)

Welche Voraussetzung muss erfüllt sein, damit eine Veröffentlichung von Fotos oder Videos in sozialen Medien datenschutzrechtlich zulässig ist?

Es muss eine entsprechende Rechtsgrundlage, wie Einwilligung, Vertragserfüllung oder das Überwiegen berechtigter Interessen, vorliegen. (B)

Welche der folgenden Aussagen beschreibt am besten den Zweck eines Cookie Consent Tools?

Die transparente Einholung und Verwaltung der Nutzereinwilligung für verschiedene Cookie-Kategorien. (C)

Welche der folgenden Maßnahmen ist keine notwendige Voraussetzung für die Zulässigkeit einer Videoüberwachung im betrieblichen Kontext?

Die Installation von Kameras mit hochauflösenden Objektiven. (D)

Was muss in den Datenschutzbestimmungen einer Website im Zusammenhang mit der Verwendung von Cookies angegeben werden?

Ein Hinweis darauf, dass eine erteilte Einwilligung jederzeit widerrufen werden kann. (D)

Welche rechtliche Folge kann es haben, wenn eine Videoüberwachung durchgeführt wird, ohne dass der Zugang zu den Bildaufnahmen und deren nachträgliche Veränderung durch Unbefugte ausgeschlossen ist?

Es liegt ein Verstoß gegen die Datensicherheit vor, der zu Bußgeldern oder Schadensersatzforderungen führen kann. (C)

Eine Firma installiert eine Videoüberwachung in ihrer Lagerhalle, um Diebstähle zu verhindern. Nach einem Einbruch wertet der Sicherheitschef die Aufnahmen aus, um den Täter zu identifizieren. Dabei entdeckt er, dass ein Mitarbeiter regelmäßig Pausen überzieht. Darf er diese Information nutzen, um den Mitarbeiter abzumahnen?

Nein, die Auswertung darf nur im Zusammenhang mit dem ursprünglichen Zweck (Diebstahlprävention) erfolgen und nicht für andere Zwecke, wie die Überwachung der Mitarbeiter. (A)

In welchem Fall besteht eine Meldepflicht bei der Datenschutzbehörde bezüglich der Verarbeitung von Nutzerdaten durch Cookies?

Wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht und eine Datenschutz-Folgenabschätzung erforderlich ist. (B)

Was versteht man unter dem Begriff 'Click-Fatigue' im Zusammenhang mit Cookie-Einwilligungen?

Die Überforderung und Ignoranz von Nutzern gegenüber Cookie-Hinweisen aufgrund der ständigen Präsenz von Einwilligungsabfragen. (C)

Was beinhaltet das Recht am eigenen Bild im Kontext des Urheberrechtsgesetzes?

Das Recht, selbst zu entscheiden, ob und wie das eigene Bildnis veröffentlicht und verbreitet wird. (A)

Was ist das primäre Ziel der 'Privacy Sandbox' Initiative von Google?

Die Verbesserung des Datenschutzes im Web bei gleichzeitiger Bereitstellung effektiver Werbelösungen. (A)

Wie hat sich die Bedeutung von Third Party Cookies im Zuge der DSGVO und anderer Datenschutzentwicklungen verändert?

Sie sind stärker in den Fokus geraten und werden von vielen Browser-Anbietern eingeschränkt oder blockiert. (C)

Welche Maßnahme ist nicht erforderlich, um die Datenschutzbestimmungen bei der Verwendung von Cookies auf einer Website einzuhalten?

Die uneingeschränkte Nutzung von Third Party Cookies ohne Zustimmung des Nutzers. (A)

Ein Unternehmen plant, auf seiner Website Cookies für Marketingzwecke einzusetzen. Welche Schritte sind notwendig, um die Datenschutzkonformität zu gewährleisten?

Es muss ein Cookie Consent Tool implementiert werden, das eine differenzierte Einwilligung des Nutzers für Marketing-Cookies ermöglicht und die Verarbeitung im Verarbeitungsverzeichnis dokumentiert wird. (A)

Flashcards

Bundesdatenschutzgesetz (BDSG)

Deutsches Gesetz zum Schutz personenbezogener Daten, ergänzt die DSGVO.

Geltungsbereich des BDSG/DSGVO

Erfasst Datenverarbeitung in Deutschland oder wenn sich Angebot an EU-Bürger richtet.

Wen schützt das BDSG?

DSGVO und BDSG schützen Daten von natürlichen, nicht juristischen Personen (z.B. Unternehmen).

Inhaltliche Schwerpunkte des BDSG

Das BDSG regelt Details zu Korrektur, Löschung und Zugriff auf Daten.

BDSG bei Forschung

Spezifische Datenverarbeitung für Forschung, Statistik etc. unter Wahrung der Grundrechte.

Grundrecht auf Datenschutz

Grundsätzliches Recht auf informationelle Selbstbestimmung und Schutz der Privatsphäre.

Marktortprinzip

Auch wenn die Verarbeitung außerhalb der EU stattfindet, gilt die DSGVO, sobald EU Bürger betroffen sind.

BDSG und Strafverfolgung

Umfasst Regeln für Datenverarbeitung im Kontext von Strafverfolgung und Behörden.

Anlasslose Bildaufnahmen?

Bildaufnahmen ohne konkreten Anlass sind unzulässig, wenn sie lediglich für potenzielle Rechtsstreitigkeiten angefertigt werden.

Speicherdauer von Aufnahmen

Foto- und Videoaufnahmen dürfen üblicherweise nur 72 Stunden gespeichert werden.

Längere Speicherung?

Eine längere Speicherung von Aufnahmen ist zulässig, wenn sie für den Zweck erforderlich, verhältnismäßig und protokolliert ist.

Auswertung von Videoüberwachung

Videoüberwachungsdaten dürfen nur bei begründetem Verdacht auf Angriff auf Personen oder Sachen ausgewertet werden.

Zugriff auf Bildaufnahmen?

Der Zugang zu Bildaufnahmen und deren Veränderung durch Unbefugte muss ausgeschlossen sein.

Videoüberwachung im Betrieb?

Im betrieblichen Kontext ist für Videoüberwachung eine Betriebsvereinbarung oder Einwilligung der Arbeitnehmer erforderlich.

Kennzeichnung von Aufnahmen?

Eine Bildaufnahme muss immer gekennzeichnet werden, und der Verantwortliche muss erkennbar sein.

Veröffentlichung von Bildern?

Für die Veröffentlichung von Fotos/Videos ist eine Rechtsgrundlage (z.B. Einwilligung) erforderlich.

Cold Calling/Spamming

Anrufe/E-Mails zu Werbezwecken ohne vorherige Erlaubnis.

Telekommunikationsgesetz (TKG)

Gesetz, das fairen Wettbewerb und Qualität in der elektronischen Kommunikation fördert.

Widerruf der Einwilligung möglich?

Ja, kann jederzeit widerrufen werden.

Rufnummernanzeige bei Werbeanrufen

Unterdrückung der Rufnummer ist unzulässig.

Strafe für unerbetene Werbeanrufe

Bis zu 100.000 Euro.

Strafe für Rufnummernunterdrückung

Bis zu 50.000 Euro.

Cold Calling für Marktforschung?

Anonyme Datenerhebung ist erlaubt.

Ausnahme: E-Mail-Werbung ohne Einwilligung

Wenn Kunde Kauf + ähnliche Produkte + Wahl ablehnen.

ECG-Liste (Robinson-Liste)

Eine Liste, die von der Regulierungsbehörde geführt wird und Personen enthält, die keine unerwünschte Werbung per E-Mail erhalten möchten.

Anonyme E-Mail

Das Versenden von E-Mails, bei denen die wahre Absenderadresse verschleiert ist.

Werbung (Definition)

Jede Form der Kommunikation, die darauf abzielt, den Verkauf von Produkten oder Dienstleistungen zu fördern.

Kennzeichnung von Werbung

Werbung muss klar und deutlich als solche erkennbar sein.

Impressumspflicht für E-Mails

Der Absender muss klar identifizierbar sein und Kontaktinformationen angeben.

Strafe für Spam

Das Versenden unerwünschter E-Mails oder das Fehlen einer Werbekennzeichnung kann teuer werden.

Spam-Verbote (Recht)

Das Recht des Empfängerstandorts bestimmt, ob eine E-Mail als Spam gilt.

Einwilligung für Newsletter

Eine Zustimmung ist erforderlich, es sei denn, der Empfänger ist bereits Kunde des Unternehmens.

Double-Opt-In-Verfahren

Eine Einwilligung muss durch ein Double-Opt-In-Verfahren eingeholt werden, um die tatsächliche Inhaberschaft der E-Mail-Adresse zu verifizieren.

Impressum im Newsletter

In Newslettern, die viermal jährlich versendet werden, muss laut Mediengesetz das Impressum direkt im Newsletter angegeben werden.

TDDDG

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) regelt den Einsatz von Cookies in Deutschland.

DSGVO bei Website-Daten

Die DSGVO kommt zur Anwendung, wenn über eine Website personenbezogene Daten verarbeitet werden.

Was sind Cookies?

Cookies sind kleine Textdateien, die vom Informationsanbieter über den Browser auf dem Endgerät des Nutzers gespeichert werden.

Zustimmungsfreie Cookies

Cookies, die für die Funktionalität der Website technisch zwingend erforderlich sind, bedürfen keiner gesonderten Zustimmung.

Einwilligungspflichtige Cookies

Für alle Cookies, die nicht technisch erforderlich sind, ist eine aktive Einwilligung des Nutzers erforderlich.

Cookie-Zustimmung vor Setzen

Einwilligungspflichtige Cookies dürfen nicht vor der entsprechenden Zustimmung gesetzt werden.

Cookie Consent Tool

Ein Tool, das Nutzern erlaubt, Cookie-Einstellungen vorzunehmen (z.B. funktionale, Tracking- oder Marketing-Cookies).

Cookie-Hinweis in Datenschutzbestimmungen

Die Datenschutzbestimmungen einer Website müssen die Cookie-Nutzung und den Widerruf der Einwilligung erwähnen.

Verarbeitungsverzeichnis

Eine Dokumentation, die festhält, welche Daten zu welchem Zweck erhoben werden und was mit ihnen geschieht.

Click-Fatigue/Informationsermüdung

Eine Überforderung durch zu viele Informationen, die dazu führt, dass Hinweise ignoriert werden.

Third Party Cookies

Cookies, die von Drittanbietern platziert werden und oft für Tracking über verschiedene Websites hinweg genutzt werden.

Privacy Sandbox

Eine Initiative von Google zur Verbesserung des Datenschutzes im Web als Alternative zu Third Party Cookies.

Widerruf der Cookie-Einwilligung

Die erteilte Einwilligung zur Nutzung von Cookies kann jederzeit widerrufen werden.

Datenschutz-Folgenabschätzung

Bewertung, ob Datenverarbeitung ein hohes Risiko für Betroffene darstellt, was eine spezielle Abschätzung erfordert.

Study Notes

Datenschutzgesetz, Digitale Dienste Gesetz und E-Commerce-Gesetz

• Das Bundesdatenschutzgesetz (BDSG) regelt den Datenschutz in Deutschland seit 2001.
• Es verankert das Grundrecht auf Schutz personenbezogener Daten im Verfassungsrang.
• Das BDSG wurde mehrfach novelliert, zuletzt 2018 zur Umsetzung der Datenschutz-Grundverordnung (DSGVO).
• Zusammen mit der DSGVO schützt das BDSG personenbezogene Daten in Deutschland.
• Es gilt auch bei Datenverarbeitung im Zusammenhang mit einer deutschen Niederlassung, selbst wenn die Verarbeitung im EU-Ausland stattfindet.
• Für Niederlassungen außerhalb der EU gilt das Marktortprinzip (die DSGVO gilt für Datenverarbeitung von EU-Bürgern).
• Die DSGVO gilt auch für Unternehmen in den USA, die ihre Produkte in Deutschland über das Internet anbieten.
• Das BDSG gilt nur für die Verarbeitung von Daten natürlicher Personen; juristische Personen sind grundsätzlich ausgenommen, es sei denn, die Daten betreffen natürliche Personen, die für das Unternehmen tätig sind.
• Das BDSG enthält Regelungen zur Berichtigung, Löschung und Einschränkung von Auskunftsansprüchen.
• Es gibt besondere Bestimmungen zur Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen oder verwaltungsbehördlichen Maßnahmen.
• Das BDSG regelt Datenverarbeitungen für wissenschaftliche, historische oder statistische Forschungszwecke, um einen rechtlichen Rahmen zu schaffen, ohne die Grundrechte der betroffenen Personen unangemessen zu beeinträchtigen.

Datenverarbeitung zu spezifischen Zwecken

• Fotos und Videoaufnahmen dürfen nur unter bestimmten Bedingungen gemacht werden.
• Dies ist der Fall, wenn sie im lebenswichtigen Interesse einer Person erforderlich sind, wenn die Person eingewilligt hat, wenn eine gesetzliche Pflicht besteht oder wenn ein berechtigtes Interesse des Verantwortlichen vorliegt und die Verhältnismäßigkeit gewahrt wird.
• Die Verhältnismäßigkeit ist beispielsweise bei der Überwachung eines Einfamilienhauses zum Schutz von Personen oder Sachen gegeben, oder bei der Überwachung eines öffentlich zugänglichen Ortes, der dem Hausrecht unterliegt.
• Es sind die sonstigen Bestimmungen der DSGVO zu beachten, wie die Pflicht zur Datenschutzmitteilung.
• Bildaufnahmen im höchstpersönlichen Lebensbereich ohne ausdrückliche Einwilligung der betroffenen Person sind unzulässig, insbesondere im Arbeitsverhältnis.
• Bildaufnahmen zum Zweck der Kontrolle von Arbeitnehmern sind verboten, dies betrifft nur die unmittelbare Überwachung von Arbeitsplätzen, nicht aber Überwachungskameras im Eingangsbereich oder in Aufzügen.
• Ein digitaler Abgleich mehrerer Bildaufnahmen ist nicht zulässig.
• Die Auswertung von Bildaufnahmen darf nicht im Hinblick auf sensible Daten erfolgen (Verbot der Gesichtserkennung).
• Anlasslose Bildaufnahmen zum Zweck ihrer potenziellen Verwendung in Rechtsstreitigkeiten sind unzulässig.
• Foto- und Videoaufnahmen dürfen üblicherweise nur 72 Stunden aufbewahrt werden.
• Eine längere Speicherung ist nur zulässig, wenn sie für den Verarbeitungszweck erforderlich ist, verhältnismäßig erfolgt und gesondert protokolliert und begründet wird oder wenn die Bildaufnahme eine strafbare Handlung dokumentiert.
• Aufzeichnungen einer Videoüberwachung dürfen nur zum Schutz von personenbezogenen Daten ausgewertet werden, wenn der begründete Verdacht eines Angriffs auf Personen oder Sachen besteht.
• Der Anlassfall muss vom Zweck der Videoüberwachung erfasst sein.
• Der Verantwortliche muss sicherstellen, dass der Zugang zu Bildaufnahmen und ihre nachträgliche Veränderung durch Unbefugte ausgeschlossen ist.
• Eine Videoüberwachung im Betrieb erfordert eine Betriebsvereinbarung oder eine Einwilligung der Arbeitnehmer.
• Bildaufnahmen müssen gekennzeichnet und der Verantwortliche erkennbar sein.
• Potenziell Betroffene können vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft Auskunft über die Identität des Verantwortlichen einfordern, wenn keine ausreichenden Informationen zur Verfügung gestellt werden.

Wissenschaftliche Forschungszwecke

• Die DSGVO sieht eine privilegierte Stellung von wissenschaftlicher und historischer Forschung, Statistik und Archiven im öffentlichen Interesse vor.
• Im Rahmen des Datenschutzgesetzes wurden Erleichterungen für die Zulassung derartiger Datenverarbeitungen geschaffen.
• Falls die Verarbeitung keine personenbezogenen Ergebnisse zum Ziel hat,, dürfen zusätzlich zu öffentlich zugänglichen Daten auch jene verwendet werden, die für andere Untersuchungen ermittelt wurden.
• Die Identität der betroffenen Personen darf mit rechtlich zulässigen Mitteln nicht bestimmt werden können.
• Wissenschaftliche Untersuchungen mit personenbezogenen Ergebnissen dürfen nur gemäß besonderen gesetzlichen Vorschriften, mit Zustimmung der betroffenen Person oder mit einer Genehmigung durch die Aufsichtsbehörde verarbeitet werden.
• Die Datenschutzbehörde kann eine Genehmigung erteilen, wenn ein öffentliches Interesse an der Durchführung eines Forschungsvorhabens besteht.
• In jenen Fällen, in denen die Verarbeitung personenbezogener Daten für wissenschaftliche Forschung oder Statistik zulässig ist, ist der direkte Personenbezug unverzüglich zu verschlüsseln.

Aufgaben und Befugnisse der Datenschutzbehörde

• Die für die Vollziehung der DSGVO in Deutschland zuständige Aufsichtsbehörde ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).
• Sie wurde bereits 1978 gegründet und arbeitet weisungsfrei.
• Ihre Aufgaben liegen in der Überwachung der Einhaltung des Datenschutzrechts und der DSGVO in Deutschland.
• Sie entscheidet über Beschwerden von Betroffenen, die wegen Verletzungen des Rechts auf Auskunft, Geheimhaltung, Löschung und Richtigstellung vorgebracht werden.
• Sie kann von Branchenverbänden erstellte Verhaltenskodizes im Rahmen der DSGVO genehmigen.
• Die BfDI übt auf deren Ersuchen eine Beratungsfunktion für Bundestagsausschüsse, Bundesregierung und Landesregierungen bezüglich legislativer und administrativer Maßnahmen aus.
• Sie ist befugt, vom Verantwortlichen oder Auftragsverarbeiter alle notwendigen Aufklärungen zu verlangen und Einsicht in Datenverarbeitungen sowie in diesbezügliche Unterlagen zu erhalten.
• Sie ist berechtigt, Räumlichkeiten zu betreten, in denen Datenverarbeitungen durchgeführt werden, und Datenverarbeitungsanlagen in Betrieb zu nehmen.
• Bei unmittelbarer Gefährdung der Geheimhaltungsinteressen der betroffenen Person kann die BfDI die Weiterführung der Datenverarbeitung mit Bescheid untersagen.
• Die BfDI ist befugt, einen Verantwortlichen oder Auftragsverarbeiter zu verwarnen, wenn Verarbeitungsvorgänge voraussichtlich gegen die erlassenen Vorschriften verstoßen.
• Sie kann den Verantwortlichen oder Auftragsverarbeiter anweisen, Verarbeitungsvorgänge zu berichtigen, personenbezogene Daten zu löschen oder die Datenverarbeitung einzuschränken.
• Nicht zuletzt kann die Datenschutzbehörde die Verarbeitung vorübergehend oder endgültig einschränken oder verbieten, sowie Geldbußen verhängen.
• Die Datenschutzbehörde muss jährlich einen Tätigkeitsbericht erstellen.
• Entscheidungen der Datenschutzbehörde von grundlegender Bedeutung müssen veröffentlicht werden.

Rechtsmittel

• Jede betroffene Person hat das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie eine Verletzung der DSGVO oder des Datenschutzgesetzes sieht.
• Die Beschwerde muss die Bezeichnung des verletzten Rechts, den Beschwerdegegner und eine Darstellung des Sachverhalts mit Begründung enthalten.
• Sie muss innerhalb eines Jahres nach Kenntnis der Rechtsverletzung eingebracht werden und kann maximal auf drei Jahre ausgedehnt werden.
• Der Beschwerdeführer muss innerhalb von drei Monaten über den Stand und das Ergebnis der Ermittlungen informiert werden.
• Andernfalls ist er berechtigt, das Bundesverwaltungsgericht zu befassen.
• Betroffene Personen können eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht beauftragen, in ihrem Namen eine Beschwerde einzureichen.

Datenschutzregeln in der Kommunikation

• Die Regelungen für den Datenschutz im Zusammenhang mit Kommunikationsmedien und E-Commerce werden im Telekommunikationsgesetz (TKG 2021) und im E-Commerce-Gesetz (ECG) geregelt.
• Bei Verstößen drohen hohe Strafen.
• Das Telekommunikationsgesetz soll den fairen Wettbewerb und die Qualität der elektronischen Kommunikation fördern.
• Betroffen sind elektronische Post, wie E-Mails oder SMS, Telefonanrufe und Faxaussendungen.

Cold Calling

• Anrufe, Faxbenachrichtigungen und elektronische Benachrichtigungen zu Zwecken der Direktwerbung per E-Mail oder SMS bedürfen einer vorherigen Einwilligung des Empfängers.
• Diese Einwilligung kann jederzeit widerrufen werden.
• Bereits das Einholen der Einwilligung für nachfolgende Kontakte ist unzulässig.
• Bei Telefonanrufen zu Werbezwecken ist die Rufnummernanzeige verpflichtend.
• Marktforschungsunternehmen dürfen Cold Calling-Anrufe durchführen, wenn die Datenerhebung anonym erfolgt.
• Unerbetene Anrufe zu Werbezwecken werden mit Geldstrafen von bis zu 100.000 Euro geahndet.
• Das Unterdrücken oder Verfälschen der Rufnummernanzeige wird mit bis zu 50.000 Euro bestraft.
• Wiederholte unerbetene Werbung gilt als Verstoß gegen das Bundesgesetz gegen unlauteren Wettbewerb (UWG).
• Es drohen Unterlassungsklage und Schadenersatzklage.

Spamming

• Für E-Mails gilt im Zusammenhang mit Direktwerbung die Pflicht zur Einholung einer vorherigen Einwilligung.
• Eine vorherige Einwilligung ist ausnahmsweise nicht erforderlich, wenn der Absender die Kontaktinformation im Zusammenhang mit dem Verkauf oder einer Dienstleistung erhalten und die Nachricht dem Zweck der Direktwerbung für ähnliche Produkte oder Dienstleistungen dient.
• Der Kunde muss die Möglichkeit erhalten, den Empfang solcher Nachrichten bei jeder Übertragung kostenfrei und problemlos abzulehnen und die Zusendung nicht im Vorhinein abgelehnt haben.
• Die sogenannte ECG-Liste („Robinson-Liste“) ist zu beachten.
• Das Versenden anonymer elektronischer Post über eine verschleierte E-Mail-Adresse ist generell verboten.
• Bei jedem E-Mail-Versand muss die Adresse des Absenders klar erkennbar sein und es muss einen Rückkanal geben.
• Bereits der Versand einer einzigen E-Mail zu Werbezwecken erfüllt einen Verwaltungsstraftatbestand, sofern weder eine Einwilligung vorliegt noch eine Ausnahme zur Anwendung kommt.
• Jede Form von Werbung muss entsprechend gekennzeichnet werden, zum Beispiel über die Betreffzeile.

Newsletter

• Eine Einwilligung zum Empfang eines Newsletters ist nur erforderlich, wenn der Empfänger kein Kunde des Unternehmens ist.
• Bei der Erstellung von Newsletter-Verteilern ist das Einverständnis der Empfänger freiwillig und für diesen Zweck einzuholen und dokumentieren.
• Werbe-E-Mails, auch E-Mails, die an mehr als 50 Empfänger adressiert sind dürfen sollen nur nach Einwilligung versendet werden.
• Eine solche Einwilligung muss durch ein sogenanntes Double-Opt-In-Verfahren eingeholt werden.
• Zuerst muss der Nutzer seine E-Mail-Adresse auf der Website angeben und einwilligen, dass diese für die Zusendung von Werbung verwendet wird.
• Anschließend wird an den Nutzer eine Bestätigungs-E-Mail geschickt.
• Nur wenn der Nutzer den Link anklickt, wird die E-Mail-Adresse auf den Newsletter gesetzt.
• Dadurch kann die Inhaberschaft der E-Mail-Adresse verifiziert werden.
• In Newslettern, die mindestens viermal im Kalenderjahr gesendet werden, ist das Impressum direkt im Newsletter anzugeben.
• Darüber hinaus ist eine Offenlegung im Newsletter selbst oder per Link auf einer Website anzuführen.

Einsatz von Cookies

• Für den Einsatz von Cookies gelten die Bestimmungen des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), welches seit dem 1. Dezember 2021 in Deutschland in Kraft ist.

• Wenn über eine Website personenbezogene Daten verarbeitet werden gelten zusätzlich die Bestimmungen der DSGVO.

• Die IP-Adresse wird dabei als personenbezogenes Datum gewertet.

• Cookies sind Textdateien, die vom Informationsanbieter über den Browser auf dem Endgerät des Nutzers gespeichert werden.

• Sie dienen der Speicherung von Einstellungen (funktionale Cookies), der Analyse des Nutzerverhaltens (statistische Cookies) oder der Anzeige gezielter Werbung (Marketing-Cookies).

• Cookies, die technisch für die Funktionalität der Website zwingend erforderlich sind (z.B. Session-Cookies), benötigen keine Zustimmung.

• Für alle anderen Cookies ist eine aktive Einwilligung des Nutzers erforderlich.

• Bevor Cookies gesetzt werden, müssen dem Nutzer relevante datenschutzrechtliche Informationen bereitgestellt werden.

• Dazu gehören Informationen über die Weitergabe der Daten an Dritte, die Speicherdauer der Cookies und der Zweck der Datenverarbeitung.

• Einwilligungspflichtige Cookies dürfen nicht vor der entsprechenden Zustimmung gesetzt werden.

• Es ist nicht erlaubt, dass in einer Checkbox das Häkchen für die erforderliche Zustimmung vorab gesetzt wurde.

• Der Nutzer muss die Möglichkeit haben, die Cookies individuell zu akzeptieren oder abzulehnen.

• Empfohlen wird ein Cookie Consent Tool, über welches der Nutzer die Einstellungen vornehmen kann.

• Der Nutzer muss Cookies nach Kategorien zulassen oder abwählen können (funktionale Cookies, Tracking-Cookies oder Marketing-Cookies).

• Der Einsatz von Cookies muss auch in den Datenschutzbestimmungen der Website festgehalten werden.

• In diesen muss ein Hinweis auf den jederzeitigen Widerruf der Einwilligung enthalten sein.

• Da im Zusammenhang mit der Nutzung einer Website Nutzerdaten verarbeitet werden, besteht eine Dokumentationspflicht im Rahmen eines Verarbeitungsverzeichnisses.

• Dieses muss festhalten, welche Daten zu welchem Zweck erhoben werden und was damit geschieht.

• Eine Meldepflicht bei der Datenschutzbehörde besteht nur bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen (Datenschutz-Folgenabschätzung erforderlich).

• Die Einholung einer Einwilligung ist beim Einsatz von Cookies notwendig zur Vermeidung der Click-Fatigue der Nutzer.

• Seit Inkrafttreten der DSGVO und den Entwicklungen rund um die Datenschutzvorgaben wurden Third Party Cookies stärker ins Visier genommen.

• Viele Browser-Anbieter planen, den Einsatz von Third Party Cookies stark einzuschränken.

• Apple blockiert bereits sämtliche Cookies von Drittanbietern.

• Google hat mit der Privacy Sandbox eine Alternative zu Cookies entwickelt.

• Die Privacy Sandbox von Google zielt darauf ab, die Privatsphäre der Nutzer zu schützen und gleichzeitig effektive Werbelösungen bereitzustellen und wurde im Juli 2023 zur allgemeinen Verfügbarkeit gebracht.

• Ursprünglich plante Google, die Unterstützung für Drittanbieter-Cookies in Chrome bis Ende 2023 schrittweise einzustellen, allerdings wurde diese Entscheidung revidiert.

• Nutzern wird die Entscheidung gegeben, selbst zu entscheiden, ob sie Drittanbieter-Cookies zulassen möchten.

• Google entwickelt weiterhin Privacy Sandbox-Technologien und Schutzmaßnahmen gegen IP-Tracking im Inkognito-Modus.

• Die britische Wettbewerbs- und Marktaufsichtsbehörde (CMA) bestätigte diese Änderung.

• Google wurde kritisiert zu seinem ursprünglichen Plan, der Wettbewerb beeinträchtigen und dem eigenen Werbegeschäft zugutekommen könnte.

• Trotz Beibehaltung von Drittanbieter-Cookies bleibt die Privacy Sandbox ein bedeutender Schritt hin zu einem datenschutzfreundlicheren Web.

• Nutzer können Drittanbieter-Cookies selbst bestimmen, und Unternehmen können datenschutzfreundliche Werbelösungen implementieren.

• Das bekannte Tracking-Tool Google Analytics wurde von den Datenschutzbehörden in Deutschland und EU geprüft und für unzulässig erklärt, wenn die Daten ohne ausreichende Schutzvorkehrungen übertragen werden.

• Unternehmen, die Google Analytics weiterhin nutzen, müssen sicherstellen, dass die Einstellungen datensparsam erfolgen und das Setzen von Cookies auf einer transparenten Einwilligung beruht.

• Tools wie Matomo oder etracker, die eine lokale Datenverarbeitung auf eigenen Servern ermöglichen, sind eine datenschutzfreundliche Alternative.

• In Deutschland ist die Nutzung von Cookies grundsätzlich nur dann zulässig, wenn eine aktive Einwilligung der Nutzer vorliegt. Transparente Information und die Möglichkeit zur Auswahl von Cookie-Kategorien sind erforderlich, um den datenschutzrechtlichen Anforderungen der DSGVO und des TDDDG gerecht zu werden.

Soziale Netzwerke

• Werden Social-Media- wie Facebook, Instagram, Twitter oder WhatsApp, für Unternehmenszwecke genutzt, ist darauf zu achten, dass dabei oft unbedacht Datenschutz- oder andere Rechtsverstöße erfolgen.
• Laut einer Entscheidung des Europäischen Gerichtshofes ist beim Betrieb einer Facebook-Fanpage nicht nur Facebook selbst, sondern auch der Betreiber für Datenschutzrecht verantwortlich.
• Es ist erforderlich, dass der Nutzer so umfangreich wie möglich informiert wird.
• Bei Plugins ist es wichtig, dass Nutzer über eine allfällige Verwendung informiert werden.
• Die Einwillihung des Nutzers ist erfoderlich.
• Ohne ausdrückliche Einwilligung müssen die Plugins deaktiviert bleiben und es dürfen keine Daten übermittelt werden.

Behavioral Targeting

• Es ist wichtig, dass der Betreiber einer Webseite datenschutzrechtlich mitverantwortlich ist, wenn auf einer Webseite Platz für Dritte bereitgestellt wird.
• Der Betreiber muss sicherstellen, dass Behavioral Targetingdurchgeführt wird und dass personenbezogene Daten verarbeitet werden.
• Für diesen Zweck muss eine der Webseite eine Einwilligung eingeholt und Informationen über die Datenverarbeitung erteilt werden.

Videokonferenzen

• Waren Telefone früher meistens ortsgebunden und gegen ein unbefugtes Mithören abgesichert, gilt dies für die web- bzw. cloudbasierte Kommunikation nicht.
• Gerade die Bildübertragung rückt neben dem eigentlichen Arbeitsplatz etwa im Homeoffice gerne Kinder, Besucher oder persönliche Einrichtungsgegenstände in den Fokus.
• Die zusätzliche Möglichkeit, Videokonferenzen oder Webinare aufzuzeichnen, macht es nicht leichter, die Vertraulichkeit sicherzustellen.