Ist es ausreichend, wenn die Aufklärung über die Drittlandsverarbeitung in den Datenschutzhinweisen ausführlicher und bei dem Hinweis-Text etwas sparsamer erfolgt?

Beispiel mit folgendem Wortlaut:

Ja, ich möchte News per E-Mail zugesendet bekommen. Ich bin damit einverstanden, dass eine Datenverarbeitung auch außerhalb der EU stattfinden könnte. Weiterführende Detail finden Sie in unseren Datenschutzhinweisen. Diese Einwilligung kann ich jederzeit widerrufen.

Antwort: das ist eine Frage der Informiertheit der Einwilligung:

Die Einwilligung hat in informierter Weise zu erfolgen. In ErwGr. 42 der DS-GVO wird insbesondere darauf abgestellt, dass eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln enthalten sind und die betroffene Person mindestens darüber in formiert wird, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. DSGVO).

Darüber hinaus ist die betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen, ggf. über die Verwendung der Daten für eine automatisierte Entscheidungsfindung und über mögliche Risiken von Datenübermittlungen in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46 DS-GVO zu informieren.

Ergebnis: Abwägungsfrage!

Wir halten den Hinweistext gerade noch für zulässig (wegen der besseren Lesbarkeit), wenn der verlinkte Text dann vollständig ist. Vielleicht sollte zusätzlich im Hinweistext vor allem die Rechtsfolge beschrieben werden, was mit den pbD in den USA passiert. 

Stand: 30.11.2022

Kann Salesforce datenschutzkonform verwendet werden?

Ausführliche Informationen über Salesforce finden Sie in unserem Blog.

Darf die Schufa meine Daten speichern

Immer wieder hört man, dass Freunde oder Bekannte keinen Kredit bekommen haben, weil sie einen negativen Schufa-Eintrag haben. Da stellt man sich schon mal die Frage: was darf die Schufa eigentlich alles speichern?

Sind Rechtsanwälte und Ärzte strafrechtlich wegen Verletzung ihres Berufsgeheimnisses belangbar, wenn Google-Fonts dynamisch eingebunden wird?

Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.

Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant. 

Gegen eine Strafbarkeit sprechen folgende Erwägungen:

• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.

• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.

Weitere Überlegungen:

• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.

• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!

• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).

Ergebnis:

Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)

Stand: 09.11.2022

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen?

Wann dürfen Newsletter verschickt werden?

Werbe-Newsletter sind grundsätzlich nach § 7 Abs. 2 Nr. 2 UWG nur mit vorheriger ausdrücklicher Einwilligung des Adressaten zulässig. Hiervon macht § 7 Abs. 3 UWG eine Ausnahme für sog. Bestandskunden. Dies sind Kunden, von denen der Unternehmer, die Email-Adresse im Rahmen eines Verkaufs von Waren oder Dienstleistungen erhalten hat. Bei solchen Bestandskunden darf ein Newsletter an die angegebene Email-Adresse versendet werden, wenn der Kunde dieser Verwendung nicht widersprochen hat und in jeder einzelnen Newsletter-Email auf sein Widerspruchsrecht hingewiesen wird. Des Weiteren darf sich der Newsletter nur auf eigene und ähnliche Waren oder Dienstleistungen beziehen.

Datenschutzrechtlich ist die Newsletter-Werbung gemäß Artikel 6 Abs. 1 S. 1 lit. a DSGVO mit Einwilligung zulässig. Wie Erw. 47 S. 7 DSGVO klarstellt, kann die Direktwerbung aber auch als berechtigtes Interesse nach Artikel 6 Abs. 1 S. 1 lit. f DSGVO betrachtet werden. Artikel 6 Abs. 1 S. 1 lit. f DSGVO kann also insbesondere dann in Betracht kommen, wenn es sich bei den Adressaten des Newsletters um Bestandskunden handelt.

Wie kann man sinnvoll mit der Zusammenlegung von Newslettern umgehen bzw. geht das überhaupt?

Zur Zusammenlegung von Newslettern:

Gegen eine Zusammenlegung von Newslettern sprechen keine Bedenken, wenn die oben genannten Voraussetzungen erfüllt wurden. Hat der Kunde dem Erhalt des Newsletters wirksam zugestimmt oder kann sich der Versender auf das Bestandskundenprivileg und das berechtigte Interesse berufen, ist die Zusammenlegung mehrerer Newsletter zu einem einzigen weder wettbewerbsrechtlich noch datenschutzrechtlich zu beanstanden. Die Zusammenlegung erfolgt zum Zwecke der (effektivere) Direktwerbung und dürfte damit von der Einwilligung des Betroffenen zur Direktwerbung sowie von dem berechtigten Interesse gedeckt sein. Eine Offenlegung der persönlichen Daten an weitere Dritte erfolgt bei der Zusammenlegung ebenso wenig (auf BCC achten!).

Vorsicht: Beruft sich der Werbende auf das Bestandskundenprivileg, bleibt zu beachten, dass dieses nur bei der Werbung mit ähnlichen Produkten eingreift. Daher ist bei der Zusammenlegung der Newsletter zu beachten, dass auch danach der Kunde nur Werbung bezüglich ähnlichen Waren oder Dienstleistungen erhält (Verwandtschaft der Themen).

Was ist bei Verarbeitung der Abonnentendaten bei einem externen Dienstleister zu beachten?

Findet die Adressdatenverwaltung über ein einen externen Dienstleister statt, muss sichergestellt werden, dass der Dienstleister die Vorgaben der DSGVO einhält und eine korrekte Verarbeitung der personenbezogenen Daten stattfindet.

Stand: 19.10.2022

Darf ein Dienstleister die Daten ohne die Einwilligung der Endverbraucher verarbeiten, ohne dabei selbst gegen die DSGVO zu verstoßen?

Konkretisierung der Fragestellung:

Wir (DL-Unternehmen im Bereich B2B) sollen Daten der Kunden (E, Endverbraucher) unserer Kunden (K, B2C) bezüglich ableitbarer Verhalten analysieren. Das bedeutet, es interessiert uns letzten Endes nicht, wie ein Kunde E heißt, wo er genau wohnt, wann er genau geboren ist. 

Unser Kunde K hat dabei die Daten genau vorliegen, also wie heißt die Person E, welche Email-Adresse(n) hat sie, wie lautet die Adresse, Geburtsdatum, ...; kurzum, unser Kunde K weiß soweit "alles" über seine Kunden E, was Datenschützer-Herzen höher schlagen lässt.

Wie dürfen wir (DL) nun die Daten der Endverbraucher E verwenden bzw. wie muss unser Kunde K uns die gewünschten Daten zur Verfügung stellen? 
Uns interessiert wie gesagt NICHT die Adresse, genaues Geburtsdatum, Email-Adresse; Ausschließlich betrachtet werden soll das Geschlecht sowie die Altersspanne (wir dachten an das Alter auf 5 bis 10 Jahre genau, sofern möglich), evtl. eine Umkreis-Angabe zum ungefähren Wohnort / Region des Wohnorts, die bestellten / gekauften Produkte, angesehene Produkte bis zur Kaufentscheidung, ggf. das verwendete Endgerät (Hersteller und Model, nicht Seriennummer!), usw.

An sich dachten wir in einem ersten Schritt der konzeptionellen Überlegungen daran, die Adress- und Namensdaten komplett zu vernachlässigen und noch bei unserem Kunden K eine Verschlüsselung der Email-Adresse vorzunehmen, die von uns als DL nicht wieder zurückgerechnet werden kann ("hashing").* Mit diesen gehashed-ten Email-Adressen könnten wir als DL dann eine ID bilden, die die uns relevanten Informationen anschließend der verschlüsselten ID zuordnen lässt. Hintergrund für diese Notwendigkeit wäre, dass die Infos einzelnen fiktiven Personen zugeordnet und nicht zu einer großen Datenmasse verschmelzen sollen.


In einem vergangenen Datenschutz-Weekly hatten wir über die Begriffe Anonymisierung und Pseudonymisierung gesprochen. Aktuell wäre soweit vermutlich vom Begriff der Pseudonymisierung auszugehen, anhand des Hashes ist das erfolgreiche Durchführen einer Rückrechnung dabei höchst unwahrscheinlich. Unserem Kunde K hingegen würde in dem Szenario voraussichtlich die Zuordnung "genaue Kundendaten" (die K sowieso von E weiß...) zu der verschlüsselten Email-Adresse vorliegen.

Art. 5 Abs. 1 c) DGSVO – Datenminimierung und

Art. 6 DSGVO – Rechtsgrundlage für Verarbeitung notwendig

1. Dienstleister DL muss vom Kunden K also so wenig wie möglich Daten über den Endverbraucher E bekommen.

Idealerweise sollte der Datensatz keine Adressdaten, keine Geburtsdaten, keine Namen und keine Mailadressen umfassen.


2. Wenn der Kunde K die Ergebnisse nach dem Analyseprozess wieder zurückführen kann auf einzelne Personen, dann wäre das ein Analyseverfahren auf Basis personenbezogener Daten, nach denen er die Vorgaben der DSGVO einhalten muss. Dafür braucht er wiederum eine Rechtsgrundlage. Das kann wohl nur durch die vorab eingeholte Einwilligung der Endverbraucher E geschehen.

Ergebnis: Verarbeitet der Kunde K die Daten der Endverbraucher E nach durchgeführter Analyse so, dass er die Daten wieder zusammenführen kann (und damit wieder personenbezogene Daten vorliegen hat), braucht er eine  vorherige Einwilligung der Endverbraucher.

Vor Einführung der DSGVO spielte es keine Rolle, welche Daten an den Dienstleister DL geschickt worden wären, da der Auftragsverarbeiter nicht verantwortlich war für die personenbezogenen Daten.


Seit der Einführung der DGSVO ist die Rechtslage anders:

Er muss … hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, vgl. Art. 28 Abs. 1 DSGVO

Die Verpflichtung geht sogar noch weiter: vgl. Art. 28 Abs. 3, letzter Absatz:

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

Stand: 28.09.2022

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVO,  Art. 49 DSGVO und § 25 TTDSG?

Was steht im Art. 6 DSGVO?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was steht im Art. 49 DSGVO?

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Was steht in § 25 TTDSG?

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 (1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVOArt. 49 DSGVO und § 25 TTDSG?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.

Stand: 21.09.2022

Welche gesetzlichen Anforderungen werden an die Einwilligung zur Verwendung von Bildern mit Personen drauf gestellt?

Welche Anforderungen stellt das KUG bzgl. der Einwilligung?

§ 22 KUG

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.

Welche Anforderungen stellt die DSGVO bzgl. der Einwilligung?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)….

Welche Anforderungen stellt das BDSG bzgl. der Einwilligung?

§ 26 BDSG

(1) …

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

Inhalt der Einwilligung:

Die Einwilligung im Arbeitsverhältnis muss zudem freiwillig sein:

Eine Einwilligung im Arbeitsverhältnis kann nur dann freiwillig sein, wenn der Arbeitnehmende eine Wahl hat und ihm/ihr keine Konsequenzen drohen, falls er/sie die Einwilligung verweigert.

Stand: 29.06.2022

Wie verhält sich das Aushängen von Schichtplänen in der Produktionshalle datenschutzrechtlich gesehen?

--> Aushang des Dienstplans ist nur bei Vorliegen einer Rechtsgrundlage erlaubt

Darf der Arbeitgeber die Namen und Arbeitszeiten der Mitarbeiter aushängen? 

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) …

§ 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. 

Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen

Bei Einwilligung ist also die gesetzliche Voraussetzung in jedem Fall erfüllt.

Wie aber sieht es ohne Einwilligung aus?

Art. 6 Abs. 1 lit. b) DSGVO: Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist …

Hier: Arbeitsvertrag

Argumente für Veröffentlichung der Schichtpläne:

--> Es muss also Abwägung stattfinden!

Zu beachten:

Stand: 01.06.2022

Ist bei Video-Embedding-Anwendungen auf einer Website ein Cookie Consent Tool erforderlich?

Ist zwangsläufig ein Cookie Consent Tool beim ersten Aufruf der Website erforderlich?

Grundsätzlich:

Aber:

Problematisch kann aber bereits das Laden von Skripten, Schriften und Trackern sein (insbesondere wird der DoubleClick Tracker von der Domäne doubleclick.net geladen, ohne dass das Video selbst angeklickt), wenn die Website aufgerufen wird. Auch diese brauchen nach § 25 TTDSG eine Einwilligung, wenn über sie eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, stattfindet. Dies geschieht wohl bereits beim Laden der Website an sich – und nicht erst des Videos.

Mehr dazu finden Sie hier.

Stand: 25.05.2022