DA+

Berichte, Informationen, Sonstiges

Archiv RDV
Lesezeit 7 Min.

BfDI genehmigt Verhaltensregeln für Notare

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat datenschutzrechtliche Verhaltensregeln für Notare in Deutschland genehmigt. Es ist die erste Genehmigung auf Bundesebene und ein weiterer Schritt zu mehr Sicherheit im Umgang mit personenbezogenen Daten. Notarinnen und Notare erhalten konkrete Orientierung in Datenschutzfragen. Gleichzeitig gewährleisten die Verhaltensregeln den Bürgerinnen und Bürgern ein verbindliches, einheitliches und hohes Sicherheitsniveau. Die Verhaltensregeln stellen nach Ansicht von BfDI eine gelungene Präzisierung der technischen und organisatorischen Regelungen dar, die von Notarinnen und Notaren in Bezug auf die insbesondere elektronische Schriftgutverwaltung zu treffen sind. Bei den Verhaltensregeln für die Notarinnen und Notare handelt es sich um die ersten Verhaltensregeln aus dem öffentlichen Bereich überhaupt. Der BfDI hofft, dass weitere Verbände und Vereinigungen zunehmend von dem Instrument der Verhaltensregeln Gebrauch machen, um die Anwendung der Datenschutz-Grundverordnung zu präzisieren und so größere Rechtssicherheit bei ihrer Anwendung zu schaffen. Die genehmigten Verhaltensregeln finden Sie auf der Internetseite des BfDI. (PM vom 05.05.2022)

Hinweise der DSK: Datenschutzkonformer Online-Handel mittels Gastzugang

Auch im Online-Handel gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO). Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Die zulässige Verarbeitung der personenbezogenen Daten hängt im Einzelfall insbesondere davon ab, ob Kundinnen und Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen Kundinnen und Kunden jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.

Daraus ergibt sich Folgendes:

  1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kundinnen und Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen.

Im Online-Handel ist das fortlaufende Kundenkonto regelmäßige Praxis. Es wird unter Vergabe von Zugangsdaten (z.B. Benutzername/Passwort) eingerichtet, um sich gegenüber dem Verantwortlichen eindeutig zu identifizieren. Kundinnen und Kunden können damit auf ein bei dem Verantwortlichen geführtes Kundenkonto selbst und aktiv zugreifen, um ggf. ihre Daten zu ändern oder Bestellungen zu prüfen. Fortlaufende Kundenkonten werden über den erstmaligen Geschäftsabschluss hinaus im Aktivdatenbestand gepflegt. Sie dienen den Kundinnen und Kunden zur vereinfachten wiederkehrenden Bestellmöglichkeit ohne die nochmalige Eingabe aller personenbezogenen Daten. Darüber hinaus kann ein fortlaufendes Kundenkonto eine Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur Profilbildung und für Werbezwecke ermöglicht.

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kundinnen und Kunden für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende bewusste Willenserklärung der Kundinnen und Kunden erforderlich. Für Kundinnen und Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung. Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kundinnen und Kunden erfasst werden. Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungspflichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung). Ein Zugriff der Kundinnen und Kunden auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kundenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

  1. Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden. Damit eine für die Einrichtung eines fortlaufenden Kundenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt, müssen die Kund*innen im Online-Shop auch die gleichen Angebote auf anderem gleichwertigen Wege als über das fortlaufende Kundenkonto bestellen können (vgl. Rn. 37 f. der Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 des Europäischen Datenschutzausschusses vom 04.05.2020). Gleichwertig ist eine Bestellmöglichkeit, wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kundenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.
  2. Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke sowie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung. Sollen in einem fortlaufenden Kundenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten, ggf. einschließlich der Vertragsdaten der Bestellungen, für Werbezwecke (Profiling der Kundenhistorien, Zusammenführung mit Daten aus anderen Quellen) ausgewertet und verarbeitet werden, sind darauf bezogen Einwilligungen der Kundinnen und Kunden nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DS-GVO einzuholen. Da dies eine Verarbeitung ist, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht, ist diese nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt. Da Kundinnen und Kunden, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten. Siehe dazu die Empfehlungen des EDSA 02/2021 zur Rechtsgrundlage für die Speicherung von Kreditkartendaten ausschließlich zum Zweck der Erleichterung weiterer Online-Transaktionen.
  3. Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kundinnen und Kunden transparenten Weise verarbeitet werden. Verantwortliche haben sowohl bei Einrichtung eines Gastzugangs als auch bei Einrichtung des fortlaufenden Kundenkontos ihre Informationspflichten bei erstmaliger Datenerhebung zu erfüllen. Die Einrichtung des fortlaufenden Kundenkontos im Wege einer Einwilligung nach Art. 6 Abs. 1 S. 1 Buchstabe a) DS-GVO setzt zusätzlich voraus, dass diese in informierter Weise erfolgt. Sowohl für die Einwilligung gemäß Art. 7 DS-GVO, als auch bei einer für die Vertragserfüllung erforderlichen Datenverarbeitung sind die Kundinnen und Kunden in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren (Art. 7 Abs. 2 und Art. 12 – 14 DS-GVO).

(Beschluss vom 24.03.2022)


DSK fordert Beschäftigtendatenschutzgesetz

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 5.5.22 ihre erneute Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Entschließung weisen die Datenschutzbeauftragten darauf hin, dass die sich dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen ermöglichen. Deshalb sind aus ihrer Sicht weitergehende gesetzliche Regelungen, wie auch im Koalitionsvertrag auf Bundesebene angekündigt, notwendig und überfällig.

Der den Vorsitz der DSK innehabende BfDI stellt fest: „Wichtig sind Regelungen zum Einsatz algorithmischer Systeme – dazu gehört auch die Künstliche Intelligenz – im Beschäftigungskontext. Die Beschäftigten sowie Bewerberinnen und Bewerber sind wegen ihres Abhängigkeitsverhältnisses besonders schutzbedürftig. Damit diesem Schutzbedürfnis Rechnung getragen wird und zugleich alle Beteiligten von den Chancen des KI-Einsatzes profitieren können, sind gesetzliche Regelungen unabdingbar. Von zentraler Bedeutung sind gesetzliche Regelungen zu Datenverarbeitungen in der Bewerbungsphase. Bislang fehlen spezifische gesetzliche Regelungen. Das führt zu wenig Rechtssicherheit, beispielsweise in Bereichen wie dem Fragerecht der Arbeitgeberinnen und Arbeitgeber, bei Datenerhebungen über die Bewerberinnen und Bewerber in sozialen Netzwerken, bei Dritten oder beim so genannten Active Sourcing.“

Unter Active Sourcing werden Methoden verstanden, mit denen Unternehmen Kandidaten für zu besetzende Stellen identifizieren und kontaktieren. Der Text der Entschließung ist auf der Homepage des BfDI veröffentlicht: https://bit.ly/3aD6Cm0