Speicherungsdauer bei Videoüberwachung

Wie lange dürfen die Daten von einer Videoüberwachung gespeichert werden? Wann müssen laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) Videoaufnahmen gelöscht werden? Wie sehen die Datenschutz-Aufsichtsbehörden und deutsche Gerichte die Speicherungsdauer bei der Videoüberwachung? Ein Überblick.

Speichern und Löschen von Videodaten

Die Datenschutz-Grundverordnung benennt in Art. 35 Abs. 3 lit. c DSGVO bzw. Erwägungsgrund 91 DSGVO Videoüberwachung als „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen“. Sofern eine solche Überwachung erfolgt, ist aufgrund des hohen Risikos für die Rechte und Freiheiten der Betroffenen grundsätzlich die Durchführung einer Datenschutz-Folgenabschätzung erforderlich. Darüber hinaus macht die DSGVO keine konkreten Angaben zur Speicherdauer bzw. zu Löschfristen für Daten einer Videoüberwachung.

Im BDSG finden sich vor allem Angaben dazu, wann Überwachungsdaten gelöscht werden müssen. Die ehemalige Regelung in § 6b Abs. 5 BDSG (a. F.) schrieb vor, dass die Daten unverzüglich zu löschen sind, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Genau dies ist auch im aktuellen deutschen Datenschutzrecht in § 4 Abs. 5 BDSG normiert.

Noch nicht abschließend ist jedoch geklärt, ob und in welchem Umfang diese nationale Regelung aufgrund des Anwendungsvorrangs der europäischen Norm angewendet werden kann. Dies bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

Wann ist die Speicherung von Videodaten zulässig?

Da das Gesetz keine verbindlichen Fristen nennt, sollte sich an folgenden Voraussetzungen orientiert werden.

  • Die Speicherung oder Verwendung von Daten ist zulässig, wenn sie erforderlich ist, um den verfolgten Zweck zu erreichen. Gleichzeitig dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
  • Sofern die Daten zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, sind die Daten unverzüglich zu löschen.
  • Sofern Videodaten gespeichert werden, muss die Begründung für die Speicherung dokumentiert werden. Diese Begründung muss sich auf den Aufnahmezweck beziehen.
  • Für andere Zwecke als den ursprünglichen darf der Verantwortliche Videoüberwachungsdaten nur weiterverarbeiten, soweit dies erforderlich ist, um Gefahren für die staatliche und öffentliche Sicherheit abzuwehren sowie um Straftaten zu verfolgen.
  • Es muss zudem ein technisches Verfahren eingesetzt werden, mit dem die Speicherdauer von Videodaten konkret begrenzt wird, wie z. B. eine automatisierte periodische Löschung oder das Selbstüberschreiben zurückliegender Aufnahmen.

Welche Speicherdauer ist für Videodaten angemessen?

Grundsätzlich gilt also, dass die Speicherdauer für Videodaten

  1. dem Zweck entsprechen,
  2. notwendig und verhältnismäßig sowie
  3. derart begrenzt sein muss, dass die Risiken für Betroffene eingedämmt werden.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder vertritt die Meinung, dass grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden kann, ob das Videomaterial einer Sicherung bedarf (um die Aufnahmen z. B. vor Gericht verwerten zu können). Auch die Einhaltung der datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung (vgl. Artikel 5 Abs. 1 lit. c und e DSGVO) gebietet, dass die Daten von Videoüberwachung wie bisher grundsätzlich nach 48 Stunden gelöscht werden (Kurzpapier Nr. 15 der DSK).

Bereits im Jahr 2014 konstatierte jedoch das Oberverwaltungsgericht Lüneburg in einem Urteil (Az.: 11 LC 114/12), dass eine zehntägige Speicherung der Daten aus einer Videoüberwachung durchaus zulässig sei. Das Bundesarbeitsgericht (BAG) entschied in seinem Urteil vom 23. August 2018 (Az.: 2 AZR 133/18) nun, dass es Arbeitgebern vorbehalten ist, mit der Auswertung von Videoaufzeichnungen so lange warten zu dürfen, wie dafür ein berechtigtes Interesse angenommen werden kann.

Daraus folgt, dass Arbeitgeber nicht dazu verpflichtet sind bspw. offen angebrachte Kameras in Geschäften täglich zu kontrollieren, um evtl. Zuwiderhandlungen von Mitarbeitern aufzudecken und somit längere Speicherfristen möglich sind. Dass der Richterspruch des BAG jedoch nicht als Freifahrtschein für unbegrenzte Speicherung von Videoüberwachungsmaterial verstanden werden sollte, zeigt unsere datenschutzrechtliche Einschätzung des Urteils.

Fazit: Zwei Tage Speicherdauer sind zu empfehlen

Aus Sicht des Datenschutzes sollte die Speicherdauer von Aufnahmen einer Videoüberwachung grundsätzlich auf 48 Stunden begrenzt werden. Ausnahmen davon lassen sich nur mit einem erhöhten Schutzbedarf sowie der Verfolgung eines Straftatverdachts von Mitarbeitern begründen. Immer gilt jedoch, dass die Aufzeichnung selbst DSGVO-konform erfolgt sein muss.

Dieser aktualisierte Artikel wurde zuerst am 12. Dezember 2014 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonforme Zufriedenheitsbefragung per Telefon

Wenn ein Unternehmen nach Beendigung eines Auftrages von seinem Kunden erfahren möchte, wie zufrieden dieser mit der erbrachten Leistung war, könnte man dies als ein zuvorkommendes Verhalten des Anbieters verstehen, der den Service für seine Kunden optimieren möchte. Rechtlich gesehen kann eine solche Handlung aber durchaus als unlautere Werbung gewertet werden, insbesondere wenn die Befragung telefonisch erfolgt.

Anrufe bei Kunden nur mit ausdrücklicher Einwilligung

Das Gesetz gegen den unlauteren Wettbewerb (UWG) geht bei einem Werbeanruf bei einem Verbraucher ohne dessen ausdrückliche Einwilligung von einer „unzumutbaren Belästigung“ aus (§ 7 Abs. 2 Nr. 2 UWG). Eine Zufriedenheitsabfrage nach Abschluss eines Auftrags wird in der Rechtsprechung als Werbung verstanden. So sieht es etwa das Oberlandesgericht Köln in mehreren Urteilen (Az. 6 U 41/08 und Az. 6 U 191/11).

Für die telefonische Kontaktaufnahme gelten zudem strengere Regeln als beispielsweise für ein postalisches Anschreiben, weil der Adressat sich einem Anruf schwerer entziehen kann. Seine Aufmerksamkeit wird sofort und direkt für das Anliegen des Anrufers gebunden. Wenn ein Adressat wenig interessiert ist, kann er einen Brief einfach beiseitelegen, wohingegen ein Callcenter-Mitarbeiter nachhaken und im direkten Gespräch vehementer versuchen kann, den Angerufenen von den Vorzügen seines Angebots zu überzeugen.

Deshalb ist bei der telefonischen Ansprache von Kunden mehr Fingerspitzengefühl gefragt. Dabei sollte immer bedacht werden, dass ein Anruf viel schneller als belästigend empfunden wird, als andere Formen der Ansprache. Nicht nur um eventuelle Abmahnungen zu vermeiden, sollte hier streng darauf geachtet werden, dass eine rechtskonforme Einwilligung vorliegt.

Regelungen der DSGVO zur telefonischen Werbung

Laut EU-Datenschutz-Grundverordnung (DSGVO) bedarf es – wie auch schon nach dem alten Bundesdatenschutzgesetz – für Werbung entweder einer ausdrücklichen Einwilligung oder einer gesetzlichen oder rechtlichen Vorschrift, die dies erlaubt bzw. anordnet. Insbesondere kommt hier die Generalklausel aus Art. 6 Abs. 1 lit. f DSGVO in Betracht, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und nicht die Interessen oder Rechte der betroffenen Personen diesen entgegenstehen. Hierfür spricht insbesondere auch Erwägungsgrund 47 DSGVO:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Praktische Umsetzung der neuen Informationspflichten

In der Praxis stellt sich allerdings das Problem, wie der Verantwortliche seinen Informationspflichten gemäß Art. 13 und Art. 14 DSGVO am Telefon nachkommen kann. Hiernach muss der Verantwortliche der betroffenen Person bereits bei Erhebung der Daten eine Fülle von Informationen mitteilen, etwa die Identität des Verantwortlichen, die Zwecke der Datenverarbeitung etc.

Eine einheitliche Lösung gibt es hierfür derzeit noch nicht. Die Artikel 29 Gruppe vertritt die Ansicht, dass beim telefonischen Kontakt ein Identitätsnachweis nicht eingeholt werden muss. Die gesetzlich vorgeschriebenen Informationen und für das Gespräch nicht relevanten Informationen müssen den Betroffenen auch nicht direkt am Telefon angesagt werden, sondern können durch vorab aufgezeichnete Aufnahmen oder auf einer Website bereitgestellt werden, um den Betroffenen nicht durch die Masse von Informationen zu belasten und die Möglichkeit anzubieten, die Informationen öfter abzurufen.

Dieser aktualisierte Artikel wurde zuerst am 14. November 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Zukunft des EU-U.S. Privacy Shield unter Trump unsicher

Dass US-Präsident Donald Trump nicht viel vom Datenschutz hält, hat er schon mehrfach gezeigt. Zukünftig könnten auch Unternehmen innerhalb der EU davon betroffen sein. Denn ob das erst 2016 ausgehandelte EU-U.S. Privacy Shield unter Trump Bestand haben wird, ist derzeit sehr fraglich. Ohne dieses Abkommen ist eine Übertragung personenbezogener Daten in die USA aber juristisch (nahezu) unmöglich.

Was ist das EU-U.S. Privacy Shield?

Beim Privacy Shield handelt es sich um den Nachfolger des vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2016 annullierten Safe-Harbor-Abkommens . Safe Harbor war gekippt worden, weil es den in Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht sicherstellen konnte.

Das EU-U.S. Privacy Shield soll nun den Datentransfer zwischen der EU und den USA ermöglichen. US-Unternehmen, die sich dazu verpflichten, bestimmte Prinzipien nach dem Privacy Shield einzuhalten und dieses durch eine Selbstzertifizierung belegen, können auf dieser Grundlage personenbezogene Daten aus der EU in die USA übermitteln. Denn personenbezogene Daten dürfen nur dann aus der Europäischen Union in ein anderes Land übermittelt werden, wenn dort ein sogenanntes angemessenes Datenschutzniveau vorherrscht, um einen zur EU gleichwertigen Schutz der personenbezogenen Daten zu gewährleisten. Einen solchen gleichwertigen Datenschutz hat die EU-Kommission am 12. Juli 2016 in ihrem Angemessenheitsbeschluss für das Privacy Shield konstatiert.

Die Datenschutz-Situation unter Obama

Die vorgenannte Entscheidung der EU-Kommission basiert grundlegend auf US-Recht, Zusicherungen der Obama-Administration und auf dem Judicial Redress Act 2015 (JRA), der im Februar 2016 vom US-Kongress gebilligt wurde. Grundsätzlich dürfen hiermit auch nicht-amerikanische Staatsbürger (wie EU-Bürger) sich an US-Behörden wenden, sofern sie meinen, dass ihre Daten durch US-Behörden unrechtmäßig verarbeitet wurden.

Zu beachten ist jedoch, dass der JRA den EU-Bürgern kein grundsätzliches Klagerecht einräumt. Ein solches ist von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die Begründung hierfür ist, dass die Beschreitung des Rechtsweges regelmäßig ausgeschlossen ist, sofern es um Interessen der inneren Sicherheit geht.

Im Rahmen dieser Zusicherungen bekannte sich der damalige US-Präsident Obama auch zur Presidential Policy Directive 28 (PPD-28) vom 17. Januar 2014. Diese regelt, dass Auslandsüberwachungen beschränkt werden und dass amerikanisches Recht dahingehend ausgelegt wird, dass datenschutzrechtliche Bestimmungen (sofern rechtlich zulässig) auch auf Daten von europäischen Bürgern angewendet werden.

Die Datenschutz-Situation unter Trump

Dies entfällt nun unter der Regierung Trumps. Am 25. Januar 2017 unterzeichnete der US-Präsident die Anordnung (excecutive order) zur „Verbesserung der öffentlichen Sicherheit“. Diese Anordnung schreibt u.a. vor, dass Behörden im Einklang mit dem anwendbaren Recht dafür Sorge zu tragen haben, dass ihre Datenschutzrichtlinien Personen, die nicht Staatsangehörige der Vereinigten Staaten sind oder gesetzlich ständige Einwohner, vom Schutz des Privacy Acts bezüglich ihrer personenbezogenen Daten nicht umfasst sind.

Die Anordnung richtet sich vornehmlich gegen die Millionen von Menschen, die sich ohne gültige Papiere in den USA aufhalten. Sie könnte aber auch gravierende Auswirkung auf den transatlantischen Datentransfer haben, wenn sie auf EU-Bürger angewendet wird.

Darüber hinaus wird befürchtet, dass die partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei Überwachungsmaßnahmen des US-Geheimdienstes außer Kraft gesetzt werden. Ein solcher Schritt wird von Vertretern der US-Politik und -Wirtschaft kritisch gesehen. Grund hierfür ist, dass damit die US-Zusicherungen und demnach auch die Erklärung des US-Geheimdienstkoordinators im Rahmen der Privacy-Shield-Verhandlungen als hinfällig betrachtet werden müssen.

Handlungsbedarf der EU-Kommission & der Datenschutzbehörden

Die aktuellen Entwicklungen zeigen einen dringenden Handlungsbedarf der EU-Kommission an. Die Prüfung, ob die Voraussetzungen für den Angemessenheitsbeschluss zum Privacy Shield weiterhin vorliegen, sollte nicht erst bis zur regulären, für Sommer 2017 vorgesehenen Überprüfung warten.

Aber auch die Datenschutzbehörden sollten aktiv werden. Bereits in der Safe-Harbor-Entscheidung legte der EuGH  den Datenschutzbehörden nahe, nicht auf entsprechende Feststellungen der Kommission zu warten, sondern eigenverantwortlich Zweifeln an einem angemessenen Datenschutzniveau nachzugehen.

Schließlich ist auch die Resolution des EU-Parlaments vom 06. April 2017 dazu, dass die aktuelle Überwachung in den USA nicht mit dem EU-Recht zu vereinbaren ist, als ein politisches Zeichen zu deuten. Es ist allerdings unwahrscheinlich, dass sich die US-Regierung davon beeinflussen lässt.

Ausblick: Unternehmen sollten sich nach Alternativen umsehen:

Ein akuter Handlungsbedarf lässt sich aus der Anordnung von Trump derzeit (noch) nicht herleiten. So können EU-Bürger weiterhin US-amerikanische Dienste wie Facebook wie gewohnt nutzen. Gleiches gilt für europäische Unternehmen, jedoch sollte jetzt schon nach Alternativen gesucht werden. Denn für Unternehmen innerhalb der Europäischen Union zeichnen sich erhebliche Schwierigkeiten ab, zukünftig US-amerikanische Dienstleister einzusetzen. Die Erfahrung bzgl. des gescheiterten Safe-Harbor-Abkommens zeigt, dass jetzt umso mehr europäische Dienstleister eingesetzt werden sollten.

Aufgabe der EU-Kommission ist es, sich zukünftig noch mehr für den Schutz personenbezogener Daten der EU-Bevölkerung beim Datentransfer in die USA einzusetzen und somit das EU-U.S. Privacy Shield zu einem richtigen Schutzschild erstarken lassen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Umsetzung der informierten Einwilligung nach Datenschutz-Grundverordnung

Auch unter der Europäischen Datenschutz-Grundverordnung (DSGVO) bleibt die informierte Einwilligung als Legitimation für die Datenverarbeitung sehr wichtig. Doch in der Praxis stellen sich meist Probleme, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie also kann die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Die Herausforderung der informierten Einwilligung

Die bereits aus dem Bundesdatenschutzgesetz (BDSG) bekannte informierte Einwilligung wird auch in der neuen Datenschutz-Grundverordnung in Gestalt des Art. 4 Ziff. 11 DSGVO weiter Bestand haben. Es handelt sich dabei um einen datenschutzrechtlichen Erlaubnistatbestand: Betroffene Personen müssen vor jeder Verarbeitung personenbezogener Daten umfassend informiert werden. Ziel ist es, dass die Nutzer sich darüber im Klaren sind, worin genau sie einwilligen.

In der Praxis stellt es sich jedoch immer wieder als problematisch heraus, wie die Informiertheit des Betroffenen sichergestellt werden kann, damit die Wirksamkeit der Einwilligung gewährleistet ist. Viele Nutzer sind angesichts der Informationsflut, die mit der Nutzung von Online-Diensten einhergeht und in die sie vor der Benutzung einwilligen müssen, schlichtweg überfordert.

Dies ist nicht weiter verwunderlich, wenn man bedenkt, dass z. B. die Datenschutzbestimmung von Facebook knapp zehn DIN-A4-Seiten lang ist. Solche nahezu endlosen Datenschutzbestimmungen sind leider keine Seltenheit, obwohl ausdrücklich im Gesetz vorgeschrieben ist, dass die Unterrichtung in allgemein verständlicher Form zu erfolgen hat (§ 13 Abs. 1 TMG, § 4a Abs. 1 Satz 2 BDSG).

Gesetzliche Theorie vs. Praxistauglichkeit

Die gesetzlichen Normen sollen das Recht der Verbraucher auf informationelle Selbstbestimmung schützen. So müssen die Datenschutzbestimmungen alle beabsichtigten Verarbeitungsvarianten personenbezogener Daten nennen. Doch durch den technischen Fortschritt werden die Methoden der Datenverarbeitung und mit ihr einhergehend auch die datenschutzrechtlichen Bestimmungen immer komplexer. Praktisch stellt sich das Problem, dass durch die immer ausschweifenderen Regelungen dem Erfordernis der informierten Einwilligung kaum noch entsprochen werden kann. Faktisch existiert die Entscheidungsfreiheit des Einzelnen in Form des informationellen Selbstbestimmungsrechts also nur noch als gesetzliche Regelung auf dem Papier.

Derzeit erscheint es tatsächlich äußerst schwierig, eine vollständige Informiertheit beim Betroffenen zu erreichen. Es ist schlichtweg unverhältnismäßig, dass der Internetnutzer zeitlich einen viel größeren Aufwand für das Lesen der Datenschutzbestimmungen aufwenden muss, als für den gesamten Vertragsabschluss oder etwa den Registrierungsprozess.

Daher besteht dringender Bedarf an neuen Instrumentarien, die im Rahmen der heutigen und zukünftigen Bedingungen der digitalen Vernetzung eine informierte Einwilligung sicherstellen können. Mit anderen Worten: Das theoretische Konzept der informierten Einwilligung muss auch in der Praxis umsetzbar sein und bleiben. Hierfür bieten sich verschiedene Methoden an, die im Folgenden näher erläutert werden.

1. Lösung: Datenschutzbestimmungen auf einem Blick mit dem „One-Pager“

Die vom Bundesministerium für Justiz und für Verbraucherschutz betriebene Plattform „Verbraucherschutz in der digitalen Welt“ stellt Unternehmen eine Vorlage zur Verfügung, mit der sie die wichtigsten Datenverwendungsrichtlinien auf einem Blick auf nur einer Seite präsentieren können. Dafür werden mit Hilfe von Links und Mouseover-Funktion die Bestimmungen auf mehreren Ebenen angeordnet. Ohne eine faktische Verkürzung der Bestimmungen in Kauf nehmen zu müssen, kann der Umfang der Datenschutzbestimmung zumindest optisch stark verkürzt dargestellt werden. Damit kann dem Grundsatz der informierten Einwilligung weiterhin entsprochen werden.

Praktische Probleme in Bezug auf die Übersichtlichkeit könnten sich bei der Darstellung auf mobilen Endgeräten ergeben. Eine zusätzliche Gefahr besteht darin, dass die Rechtsprechung die Mouseover-Funktion in Bezug auf Unterrichtungspflichten mehrfach als unzureichend erachtet hat, weil nicht sichergestellt werden kann, dass jeder Nutzer, die Informationen, die erst nach einem kurzen Verweilen mit dem Cursor auf einem bestimmten Wort erscheinen, tatsächlich zur Kenntnis nimmt.

2. Lösung: Mehr Übersichtlichkeit durch die Verwendung von Symbolen

Alternativ können die Datenschutzbestimmungen anhand von farblichen Piktogrammen visualisiert werden. Dies könnte z. B. so aussehen, dass eine Einteilung in drei verschiedene Spalten erfolgt:

  • In der ersten Spalte werden verschiedene Verwendungsarten mithilfe von Bildsymbolen illustriert, wie bspw. Umfang, Art und Weise der Datennutzung oder auch die verschlüsselte Aufbewahrung personenbezogener Daten.
  • In der zweiten Spalte fänden sich Beschreibungen zu den Verwendungsarten.
  • In der dritten Spalte würde mit Hilfe von Symbolen (grünes Hakensymbol = Bestätigung, rotes Kreuzsymbol = Verneinung des Vorhandenseins der Verwendungsart) Angaben darüber gemacht, ob das Unternehmen von der jeweiligen Verwendungsart Gebrauch macht.

Der wohl größte Vorteil liegt darin, dass die Datenschutzbestimmungen durch die Visualisierung transparent und leicht zugänglich dargestellt werden. In der endgültigen Fassung der Datenschutz-Grundverordnung ist der Einsatz von Bildsymbolen immerhin als freiwillige Option vorgesehen (Art. 12 Abs. 7 DSGVO).

3. Lösung: Höherer Aussagegehalt durch farbliches „Ampel-System“

Trotz möglicher Darstellung mittels Bildsymbolik dürfte es dem Betroffenen in Bezug auf eine informierte Einwilligung schwer fallen, eine Einschätzung darüber zu treffen, wie stark er durch die jeweilige Verwendungsart in seinem informationellen Selbstbestimmungsrecht berührt wird. Aus diesem Grund wäre ergänzend zur bildlichen Darstellung eine Bewertung der einzelnen Kategorien empfehlenswert.

Dafür bietet sich das in verschiedenen Bereichen der Konsumenteninformation bereits verbreitete farbliche „Ampel-System“ an:

  • Rot bedeutet eine hohe Beeinträchtigung;
  • gelb eine mittlere Beeinträchtigung und
  • grün eine Beeinträchtigung mit geringer Intensität.

Auf diese Weise könnten Betroffene schnell erkennen, inwiefern sie durch die Datenverwendungsarten des jeweiligen Unternehmens in ihrem Recht auf informationelle Selbstbestimmung betroffen wären. Die Bewertung könnte sich anhand der erhobenen Datenmenge, ihrer Art und dem Zweck ihrer Verwendung kategorisieren lassen.

Negative Bewertungskriterien könnten z. B. sein, dass das Unternehmen sensible Daten erhebt oder Daten auch nach der Erreichung ihres Verarbeitungszweckes weiterverarbeitet. Positive Bewertungskriterien wären z. B., dass das Unternehmen erleichterte Bedingungen für die Betroffenen zur Wahrnehmung ihrer Rechte (auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch) schafft.

Ein besonders wichtiges Bewertungskriterium wäre zudem, wie die technischen und organisatorischen Maßnahmen des Unternehmens ausgestaltet sind, um die Daten der Nutzer vor unberechtigtem Zugriff zu schützen, denn je besser die IT-Sicherheit eines Unternehmens ist, desto höher ist sein Datenschutzstandard zu bewerten.

Fazit: Die informierte Einwilligung bleibt eine Herausforderung

Durch den technischen Wandel und stetig neue Medienformen (vor allem im Bereich der sozialen Netzwerke und Apps) bleibt es eine Herausforderung, die umfassende Informiertheit des Nutzers bei der Einwilligung zu gewährleisten. Vor allem mittels grafischer Darstellung lassen sich jedoch gut verständliche Datenschutzerklärungen entwickeln. Neben dem zuständigen Datenschutzbeauftragten sollten Unternehmen hierbei auch auf die Erfahrung von Usability-Experten setzen. Weitere Tipps finden Sie in unserem Ratgeberartikel zu den Grundlagen für eine rechtskonforme Einwilligung nach DSGVO.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.