Ist ein Gewinnspiel unter neuen Newsletter-Abonnenten ein Datenschutzproblem?

Im Kontext Datenschutz steht „TOM“ für **Technische und Organisatorische Maßnahmen**. Diese Maßnahmen sind im Rahmen der Datenschutz-Grundverordnung (DSGVO) erforderlich, um personenbezogene Daten angemessen zu schützen. **Technische Maßnahmen** betreffen die IT-Sicherheit, z. B. Verschlüsselung, Zugangskontrollen oder Firewalls. **Organisatorische Maßnahmen** beziehen sich auf interne Prozesse, wie Schulungen, Richtlinien oder das Berechtigungskonzept. Ziel der TOM ist es, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und Risiken wie unbefugten Zugriff, Verlust oder Manipulation zu minimieren. Unternehmen und Organisationen müssen diese Maßnahmen dokumentieren und regelmäßig überprüfen.

Ob eine dauerhafte Aufzeichnung von CCTV-Kameras in einem Unternehmen von Mitternacht bis zum Morgen zulässig ist, hängt maßgeblich von den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG) ab. **Grundsätze:** - Die Videoüberwachung ist grundsätzlich nur zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). - Die Aufzeichnung darf nicht „anlasslos“ und „flächendeckend“ erfolgen, sondern muss verhältnismäßig sein. - Es muss ein konkreter Zweck für die Überwachung und Aufzeichnung bestehen (z. B. Schutz vor Einbruch, Diebstahl, Vandalismus). **Dauerhafte Aufzeichnung in der Nacht:** - Eine dauerhafte Aufzeichnung außerhalb der Geschäftszeiten (z. B. von Mitternacht bis zum Morgen) kann unter Umständen zulässig sein, wenn in dieser Zeit ein erhöhtes Risiko für Straftaten besteht (z. B. Einbruchgefahr). - Die Interessenabwägung fällt in der Nacht oft zugunsten des Unternehmens aus, da sich in der Regel keine Mitarbeiter oder Kunden im überwachten Bereich aufhalten und somit weniger Persönlichkeitsrechte betroffen sind. - Dennoch muss die Überwachung auf das notwendige Maß beschränkt bleiben (z. B. keine Überwachung von Pausenräumen, Toiletten, etc.). **Weitere Anforderungen:** - Betroffene Personen müssen durch geeignete Hinweisschilder auf die Videoüberwachung hingewiesen werden. - Die Aufnahmen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (meist wenige Tage). - Es muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. - Die Aufnahmen müssen vor unbefugtem Zugriff geschützt werden. **Fazit:** Eine dauerhafte Aufzeichnung von Mitternacht bis zum Morgen kann zulässig sein, wenn sie auf ein berechtigtes Interesse gestützt wird, verhältnismäßig ist und die datenschutzrechtlichen Vorgaben eingehalten werden. Es empfiehlt sich, die geplante Maßnahme vorab mit dem Datenschutzbeauftragten abzustimmen und eine Datenschutz-Folgenabschätzung durchzuführen. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2019_10_17_Orientierungshilfe_Video%C3%BCberwachung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Themen/Technologischer-Datenschutz/Videoueberwachung/videoueberwachung_node.html).

Background Screenings – also Überprüfungen von Bewerbern oder Mitarbeitern auf bestimmte persönliche oder berufliche Informationen – sind in Deutschland grundsätzlich zulässig, unterliegen jedoch strengen datenschutzrechtlichen Vorgaben. Die wichtigsten rechtlichen Grundlagen sind: - **Datenschutz-Grundverordnung (DSGVO)**: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage besteht (z.B. Einwilligung, berechtigtes Interesse des Arbeitgebers). - **Bundesdatenschutzgesetz (BDSG)**: Ergänzt die DSGVO und regelt speziellere Fragen, etwa im Beschäftigungskontext (§ 26 BDSG). **Wichtige Voraussetzungen für die Zulässigkeit:** 1. **Erforderlichkeit**: Es dürfen nur solche Daten erhoben werden, die für die zu besetzende Stelle relevant und erforderlich sind. Eine pauschale oder umfassende Überprüfung ist unzulässig. 2. **Transparenz**: Die betroffene Person muss über Art, Umfang und Zweck der Datenverarbeitung informiert werden. 3. **Einwilligung**: Oft ist eine ausdrückliche, freiwillige und informierte Einwilligung des Bewerbers erforderlich. 4. **Verhältnismäßigkeit**: Die Maßnahmen dürfen nicht über das Ziel hinausschießen. Beispielsweise ist eine Bonitätsprüfung nur bei Positionen mit Zahlungsverkehr oder Vermögensverantwortung zulässig. 5. **Keine heimlichen Recherchen**: Das Ausspähen von Social-Media-Profilen oder das Einholen von Informationen ohne Wissen des Betroffenen ist in der Regel unzulässig. **Fazit:** Background Screenings sind in Deutschland nur unter strikter Beachtung der datenschutzrechtlichen Vorgaben erlaubt. Arbeitgeber sollten den Grundsatz der Erforderlichkeit und Verhältnismäßigkeit beachten und die Einwilligung der betroffenen Person einholen. Weitere Informationen findest du z.B. beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/DE/Home/home_node.html).

CV Parsing, also das automatisierte Auslesen und Verarbeiten von Lebensläufen (Curricula Vitae), ist grundsätzlich datenschutzrechtlich zulässig – allerdings nur unter bestimmten Voraussetzungen. In Deutschland und der EU gilt hierfür insbesondere die Datenschutz-Grundverordnung (DSGVO). Wichtige Punkte zur Zulässigkeit: 1. **Rechtsgrundlage:** Die Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsprozesses ist in der Regel nach Art. 6 Abs. 1 lit. b DSGVO zulässig, da sie zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Für weitergehende Analysen oder die Speicherung für spätere Bewerbungsverfahren ist ggf. eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) notwendig. 2. **Transparenz und Information:** Bewerber müssen gemäß Art. 13 DSGVO darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden und welche Rechte sie haben. 3. **Datenminimierung:** Es dürfen nur die Daten verarbeitet werden, die für den Bewerbungsprozess erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). 4. **Sicherheit:** Die Daten müssen angemessen geschützt werden (Art. 32 DSGVO). 5. **Weitergabe an Dritte:** Eine Weitergabe an Dritte (z.B. externe Dienstleister für CV Parsing) ist nur zulässig, wenn ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht. 6. **Besondere Kategorien personenbezogener Daten:** Angaben zu Gesundheit, Religion oder Gewerkschaftszugehörigkeit dürfen nur unter strengen Voraussetzungen verarbeitet werden (Art. 9 DSGVO). **Fazit:** CV Parsing ist datenschutzrechtlich zulässig, wenn die genannten Anforderungen eingehalten werden. Unternehmen sollten ihre Prozesse regelmäßig überprüfen und dokumentieren, um die Einhaltung der DSGVO sicherzustellen. Weitere Informationen: - [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) – Bewerbungsverfahren](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeitswelt/Bewerbungsverfahren/bewerbungsverfahren-node.html)

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Der Download eines Whitepapers gegen die Einwilligung in einen Newsletter ist grundsätzlich **zulässig**, aber es gibt dabei wichtige rechtliche Vorgaben zu beachten, insbesondere nach der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Kopplungsverbot:** Nach Art. 7 Abs. 4 DSGVO darf die Einwilligung in die Verarbeitung personenbezogener Daten (z.B. für den Newsletter) nicht an die Erbringung einer Dienstleistung (z.B. Download des Whitepapers) gekoppelt werden, wenn die Daten für die Dienstleistung nicht erforderlich sind. Das bedeutet: Die Einwilligung muss freiwillig erfolgen. Allerdings ist es nach aktueller Rechtsauffassung zulässig, den Download eines Whitepapers an die Einwilligung zum Newsletter zu koppeln, solange der Nutzer klar und transparent darüber informiert wird und eine echte Wahl hat (z.B. indem das Whitepaper auch ohne Newsletter-Einwilligung erhältlich ist). 2. **Transparenz und Information:** Die Nutzer müssen klar und verständlich darüber informiert werden, dass sie mit der Einwilligung in den Newsletter auch Werbe-E-Mails erhalten und dass sie diese Einwilligung jederzeit widerrufen können. 3. **Double-Opt-In:** Für den Versand von Newslettern ist das Double-Opt-In-Verfahren erforderlich, um die Einwilligung nachweisen zu können. 4. **Keine Irreführung:** Es darf nicht der Eindruck erweckt werden, dass der Download nur mit Newsletter-Anmeldung möglich ist, wenn es auch eine andere Möglichkeit gibt. **Fazit:** Die Praxis, den Download eines Whitepapers an die Newsletter-Einwilligung zu koppeln, ist rechtlich möglich, solange die Einwilligung freiwillig, informiert und widerrufbar ist und die gesetzlichen Vorgaben eingehalten werden. Es empfiehlt sich, die Einwilligungserklärung und die Informationspflichten rechtlich prüfen zu lassen, um Abmahnungen zu vermeiden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [IHK.de](https://www.ihk.de/).

FamilyWall und WhatsApp unterscheiden sich deutlich in ihren Ansätzen zum Datenschutz, da sie unterschiedliche Zielgruppen und Funktionen haben. Hier ein Vergleich der wichtigsten Datenschutzaspekte beider Dienste: **FamilyWall:** - FamilyWall ist eine App für Familienorganisation (Kalender, Aufgaben, Fotos, Standortfreigabe). - Die Daten werden laut Anbieter auf Servern in der EU gespeichert ([Quelle](https://familywall.com/privacy-policy/)). - FamilyWall gibt an, personenbezogene Daten nicht ohne Zustimmung an Dritte weiterzugeben. - Die App bietet keine Ende-zu-Ende-Verschlüsselung für Nachrichten oder geteilte Inhalte. - Es werden nur die für die Funktionalität notwendigen Daten erhoben. - Die Datenschutzrichtlinie ist übersichtlich und legt Wert auf Transparenz. **WhatsApp:** - WhatsApp ist ein Messenger-Dienst von Meta (Facebook). - Nachrichten und Anrufe sind standardmäßig Ende-zu-Ende-verschlüsselt ([Quelle](https://www.whatsapp.com/security/)). - WhatsApp erhebt Metadaten (z.B. wer mit wem wann kommuniziert) und teilt diese mit anderen Meta-Unternehmen ([Quelle](https://www.whatsapp.com/legal/privacy-policy-eea)). - Die Server können außerhalb der EU stehen. - WhatsApp steht wegen der Datenweitergabe an Meta/Facebook regelmäßig in der Kritik von Datenschützern. **Fazit:** - FamilyWall speichert Daten in der EU und gibt sie laut eigener Aussage nicht an Dritte weiter, bietet aber keine Ende-zu-Ende-Verschlüsselung. - WhatsApp bietet starke Verschlüsselung für Inhalte, teilt aber Metadaten mit Meta und speichert Daten auch außerhalb der EU. **Datenschutztechnisch** ist FamilyWall für Familien, die Wert auf Datenspeicherung in der EU und weniger Datenweitergabe legen, oft die bessere Wahl. Wer jedoch maximale Vertraulichkeit der Kommunikation (Ende-zu-Ende-Verschlüsselung) sucht, ist bei WhatsApp besser aufgehoben – muss aber die Datenweitergabe an Meta in Kauf nehmen. Weitere Informationen: - [FamilyWall Datenschutzrichtlinie](https://familywall.com/privacy-policy/) - [WhatsApp Datenschutzrichtlinie (EU)](https://www.whatsapp.com/legal/privacy-policy-eea)

Ob Newsletter-Leads aus dem Jahr 2023 weiterhin regelmäßig angeschrieben werden dürfen, hängt maßgeblich von der ursprünglichen Einwilligung und den geltenden Datenschutzbestimmungen ab, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlaut Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Einwilligung:** Die Empfänger müssen dem Erhalt von Newslettern ausdrücklich zugestimmt haben (Opt-in). Die Einwilligung muss dokumentiert und jederzeit nachweisbar sein. 2. **Zweckbindung:** Die Nutzung der E-Mail-Adressen darf nur zu dem Zweck erfolgen, dem die Empfänger zugestimmt haben. Wurde die Einwilligung für einen regelmäßigen Newsletter erteilt, ist ein Versand 2x jährlich in der Regel zulässig. 3. **Widerrufsmöglichkeit:** In jedem Newsletter muss eine einfache Möglichkeit zum Abbestellen (Opt-out) angeboten werden. Der Widerruf muss jederzeit möglich sein. 4. **Keine zeitliche Begrenzung, aber Aktualität:** Solange die Einwilligung nicht widerrufen wurde und der Zweck (z.B. regelmäßige Informationen per Newsletter) weiterhin besteht, gibt es keine feste zeitliche Begrenzung. Allerdings kann eine sehr lange Inaktivität der Empfänger problematisch sein, da die Einwilligung nach langer Zeit als „veraltet“ angesehen werden könnte. Die Datenschutzbehörden empfehlen, die Einwilligung nach längerer Inaktivität (z.B. mehrere Jahre ohne Interaktion) zu überprüfen oder zu erneuern. 5. **Dokumentationspflicht:** Es muss nachgewiesen werden können, wann und wie die Einwilligung erteilt wurde. **Fazit:** Wenn die Leads aus 2023 eine gültige Einwilligung für den Erhalt von Newslettern gegeben haben, dürfen sie grundsätzlich weiterhin 2x im Jahr angeschrieben werden – solange sie nicht widersprechen und der Zweck der Einwilligung eingehalten wird. Es empfiehlt sich jedoch, die Listen regelmäßig zu pflegen und inaktive Empfänger ggf. nach einer gewissen Zeit erneut um Bestätigung zu bitten. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ja, das Aussehen des Penis oder anderer intimer Körperteile fällt unter den Datenschutz, insbesondere unter den Schutz der Privatsphäre und der sogenannten besonderen Kategorien personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO). Bilder oder Informationen über das Aussehen intimer Körperteile sind besonders sensibel und dürfen ohne ausdrückliche Einwilligung der betroffenen Person nicht erhoben, gespeichert oder weitergegeben werden. Das gilt sowohl für Fotos als auch für Beschreibungen, die Rückschlüsse auf eine bestimmte Person zulassen. Weitere Informationen zum Datenschutz findest du z.B. auf der Seite des [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Ja, das Aussehen des Penis oder anderer intimer Körperteile fällt unter besonders schützenswerte personenbezogene Daten im Sinne des Datenschutzes, insbesondere nach der Datenschutz-Grundverordnung (DSGVO). Bilder oder Informationen über das Aussehen solcher Körperteile sind sensible Daten, die nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet oder weitergegeben werden dürfen. Das unbefugte Ansehen, Speichern oder Weitergeben solcher Informationen stellt einen Verstoß gegen den Datenschutz und gegebenenfalls auch gegen andere Gesetze (z. B. Strafrecht) dar.