Einwilligungserfordernis für die Anlage eines fortlaufenden Onlineshop Kundenkontos: was ist zu beachten?

Was steht im Beschluss der DSK?

Aus dem Grundsatz der Datenminimierung ergibt sich:

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Grund:

Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.

In welchen Fällen kann sich bei der Rechtsgrundlage der Verarbeitung
auch auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden?

Aus dem Beschluss hierzu:

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige

Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.

Aber:

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Welche vertraglichen Anpassungen wären dafür erforderlich?

Wichtig:

der DSK-Beschluss ist nicht rechtsverbindlich, sondern nur eine Rechtsauffassung.

Wer ihn trotzdem einhalten möchte:

Verträge:

•Mit Customer-Service ausstatten --> rechtfertigt Kundenservice über ein Portal

•Mit als Dauerschuldverhältnis (Miete) gestalten --> dauerhafte Verbindung zum Kunden

Stand: 18.05.2022

Was sind die Anforderungen für eine Einwilligung nach Art. 49 I a DSVGO im Falle der Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 I DSVGO (Gesundheitsdaten) in einem Drittland wie den USA?

Ausnahmen  für bestimmte Fälle, Art. 49 DSGVO

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: 1.die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Folgen aus dem Art. 49 Abs. 1 lit.a DSGVO:

  1. Ausdrückliche Einwilligung des Nutzers
  2. freiwillig, informiert und für den konkreten Fall
  3. Einschließlich der vorherigen Unterrichtung über die für den Nutzer bestehenden möglichen Risiken derartiger Datenübermittlungen

Oder muss beispielsweise folgender Hinweis vor der Verarbeitung erfolgen?

Hinweis auf die Verarbeitung Ihrer erhobenen Daten in den USA durch Google, Airtable, Survey Sparrow: Indem Sie auf „Akzeptieren“ klicken, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. 

Antwort: Ja, sofern ein solcher Hinweis nicht nur ein Hinweis ist, sondern der Nutzer ausdrücklich für jeden Einzelfall eingewilligt hat. Bei der vorgeschlagenen Formulierung fehlt m.E. ein Hinweis auf das Nichtvorliegen von Betroffenenrechten und dass keine angesessenen Garantien für die USA vorliegen.

Genügt hierbei ein Hinweis in der Datenschutzerklärung (die mit einem „Klick“ erreichbar ist), dass die Verarbeitung in einem Drittland stattfindet?

Antwort:

Nein!

Es braucht nach dem klaren Gesetzeswortlaut eine informierte Einwilligung.

Stand: 04.05.2022

Welche Löschfristen gelten für Fotografien, die Bildnisse zeigen?

Folgende Gesetze müssen hier zur Beantwortung hinzugezogen werden:

UrhG: Urheberrecht besteht 70 Jahre bei Fotografien (§ 64 UrhG);
hat mit Löschungspflichten nichts zu tun, sondern nur mit Urheberrechten, v.a. Verwertungsrechten nach §§ 15 ff. UrhG

KUG: bei Bildnissen muss eine Einwilligung vorliegen nach § 22 KUG oder eine Ausnahme nach § 23 KUG. Wenn Einwilligung widerrufen wird --> Löschung!

DSGVO: Löschung bei Zweckerreichung oder Wegfall des Zwecks, oder die anderen Gründe des Art. 17 DSGVO

• Geht DSGVO oder KUG vor, wenn es um die Prüfung der Zulässigkeit einer Veröffentlichung geht?
--> DSGVO gilt neben dem KUG!

• Im BDSG-neu gibt es keine Ausnahme für „Meinungsfreiheit“

Rechtslage derzeit etwas unklar v.a. für private Fotos, auf denen Menschen als „Beiwerk“ zu sehen sind

• Rechtslage aber für die Mehrzahl der Anwendungsgebiete klar: Fotos mit Menschen drauf bei Schulfeiern, Ausflüge, Veranstaltungen, Websites etc.: Einwilligung einholen!

• Gleiches Ergebnis gilt für Löschfristen: Wenn Einwilligung widerrufen wurde: löschen!
Ansonsten: je nach Vereinbarung.

Stand: 06.04.2022

Muss bei Gesundheitsdaten die betroffene Person über die Weitergabe dieser entnommenen Proben in anonymisierter Form an z.B. Labore informiert werden?

Wenn die Proben rein dem Gesundheitsschutz oder wissenschaftlichen Zwecken dienen sollen, greift Art. 9 Abs. 2 lit h. i DSGVO. und Erwägungsgrund 52

--> Verarbeitung sogar in nicht anonymisierter Form zulässig, wenn Voraussetzungen vorliegen.

Sind die Proben anonymisierbar?

Antwort:

•Ja, natürlich, weil derzeit keine Gendatenbank der Bundesbürger existiert. Aber:

• vielleicht gibt es irgendwann eine solche Datenbank, in der alle Bürger „aufgeschlüsselt“ liegen.

• Dann braucht es erst recht ein wirksames Datenschutzrecht, das den Zugriff darauf streng regelt.

• Die Polizei hat bereits über die Strafprozessordnung (v.a. § 483 STPO) die Möglichkeit, entsprechende Datenbanken zu unterhalten.

• Es gibt zudem eine DNA-Analysedatei des BK, über die Identifizierungsmuster gespeichert werden

Stand: 06.04.2022

Wie sieht ein DSGVO-konformes Kontaktformular aus?

Ein DSGVO-konformes Kontaktformular sollte folgende Punkte abdecken:

1. Datensparsamkeit: so wenige Daten wie möglich erheben

2. Zweckbindung: Daten nur zu einem bestimmten Zweck verwenden

3. Mit Datenschutzerklärung der Transparenz- und Informationspflicht nachkommen:

• Information, dass personenbezogene Daten erhoben werden,

• Information, welche Daten genau erhoben werden,

• warum diese Daten erhoben werden,

• was mit den Daten gemacht wird und

• wie lange die Daten gespeichert werden.

Gutes Beispiel (ohne die ReCaptcha-Thematik)

Was kann man falsch machen beim Kontaktformular?

• Man kann vergessen eine Datenschutzerklärung bereitzuhalten

• Keine SSL-Übertragung anzubieten

• Alle möglichen Informationen als Pflichtangaben abzufragen

Welche Einwilligungen braucht man?

Man braucht keine gesonderte Einwilligung des Nutzers, weil die Absendung des Kontaktformulars bereits die Einwilligung darstellt!

Wie bewerkstelligt man DS-GVO-konforme Spam-Verhinderung beim Anmeldeformular?

Vorschläge:

Beispiel - Mehr Informationen finden Sie hier

Wie "tief" muss die Verarbeitung der Daten im Kontaktformular in der Datenschutzerklärung erläutert werden?

Nicht tief. Es müssen die gesetzlichen Anforderungen erfüllt sein.

Gutes Beispiel

Ziff. 13

Was ist im Verfahrensverzeichnis zu beachten?

Im Verfahrensverzeichnis sollte die Website ein eigenes Verzeichnis haben – außer es ist eine reine Informationsseite.

Dort kann der Punkt „Kontaktformular“ als Unterpunkt aufgenommen werden.

Stand: 30.03.2022

Gilt die DSGVO auch für Selbständige und kleine Unternehmen bis 10 Mitarbeiter?

Ja, die DSGVO gilt auch für Selbstständige und kleine Unternehmen.

Die gesetzlichen Vorgaben aus DSGVO, BDSG und TTDSG sind immer einzuhalten, sobald der Anwendungsbereich eröffnet ist.

Der sachliche Anwendungsbereich der DSGVO ist bei automatisierter Verarbeitung von personenbezogenen Daten gemäß Art. 2 Abs. 2 immer eröffnet - und bei nichtautomatisierter Verarbeitung dann, wenn die Daten in einem Dateisystem gespeichert sind.

Nicht zu verwechseln ist dies mit der Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Stand: 02.02.2022

Welche Angaben zum Datenschutzbeauftragten sind auf einer Website notwendig?

Es gibt keine gesetzliche Verpflichtung, den DSB auf der Website anzugeben.

Gibt man ihn aber an, muss eine natürliche Person genannt werden.

BayLDA hierzu:

„Die Regelungen zur Benennung, zur Stellung und zu den Aufgaben des Datenschutzbeauftragten nach den Art. 37, 38 und 39 DS-GVO stellen auf eine natürliche Person des Datenschutzbeauftragten ab, so dass auch betroffene Personen (Beschäftigte, Kunden usw.) einen klaren Ansprechpartner für ihre oft sehr vertraulichen Datenschutz-Anliegen haben.“

Stand: 26.01.2022

Wie soll man mit der Anforderung an eine Zertifizierung nach §42 DSGVO umgehen?

Das BayLDA gibt folgende Hinweise zum Thema Zertifzierung nach DSGVO

Zertifizierung
Datenschutzzertifikate

Datenschutzzertifikate nach Art. 42 DS-GVO sind freiwillig und können entweder von der zuständigen Datenschutzaufsichtsbehörde oder einer dafür akkreditierten Zertifizierungsstelle erteilt werden. Das BayLDA wird mangels personeller Ressourcen als Aufsichtsbehörde selbst nicht zertifizieren, ist jedoch maßgeblich in den Akkreditierungsprozess involviert, so dass zukünftig erfolgreich akkreditierte Stellen diese Aufgabe übernehmen werden. Momentan gibt es noch keine akkreditierten Zertifizierungsstellen und somit auch noch keine Zertifikate.

Das Verzeichnis aller in Deutschland akkreditierter Stellen finden Sie hier

Stand: 26.01.2022