Was muss nach der DS-GVO eingehalten werden?

Für Sales Manager ist insbesondere der Artikel 6 der EU-Datenschutz-Grundverordnung (DSGVO) relevant. Dieser Artikel regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Er beschreibt die verschiedenen Bedingungen, unter denen die Verarbeitung zulässig ist, wie z.B. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen. Auch Artikel 5, der die Grundsätze der Datenverarbeitung festlegt, ist wichtig, um sicherzustellen, dass die Datenverarbeitung transparent und fair erfolgt.

Die Datenschutz-Grundverordnung (DSVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum. Die wichtigsten Punkte der DSGVO sind: 1. **Rechtmäßigkeit der Verarbeitung**: Personenbezogene Daten dürfen nur rechtmäßig verarbeitet werden, wenn eine der festgelegten Bedingungen erfüllt ist, wie z.B. Einwilligung, Vertragserfüllung oder rechtliche Verpflichtung. 2. **Transparenz und Informationspflichten**: Betroffene Personen müssen klar und verständlich über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung und der Rechte, die sie haben. 3. **Rechte der betroffenen Personen**: Die DSGVO stärkt die Rechte der Individuen, darunter das Recht auf Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung und Datenübertragbarkeit. 4. **Datensicherheit**: Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. 5. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung müssen Unternehmen diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. 6. **Datenschutz-Folgenabschätzung**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, ist eine Datenschutz-Folgenabschätzung erforderlich. 7. **Bußgelder und Sanktionen**: Die DSGVO sieht hohe Bußgelder für Verstöße vor, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können, je nachdem, welcher Betrag höher ist. Die DSGVO zielt darauf ab, den Datenschutz in der digitalen Welt zu stärken und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben.

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum (EWR). Die wichtigsten Punkte der DSGVO sind: 1. **Recht auf Auskunft**: Betroffene Personen haben das Recht zu erfahren, welche personenbezogenen Daten über sie gespeichert sind und wie diese verwendet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Auch als "Recht auf Vergessenwerden" bekannt, ermöglicht es den Betroffenen, die Löschung ihrer Daten unter bestimmten Bedingungen zu verlangen. 4. **Recht auf Einschränkung der Verarbeitung**: Personen können die Verarbeitung ihrer Daten unter bestimmten Umständen einschränken. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Einwilligung**: Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat oder eine andere rechtliche Grundlage vorliegt. 7. **Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen**: Unternehmen müssen Datenschutzmaßnahmen bereits bei der Entwicklung von Produkten und Dienstleistungen berücksichtigen. 8. **Verstärkter Schutz für besondere Datenkategorien**: Die DSGVO sieht einen höheren Schutz für sensible Daten wie Gesundheitsdaten oder Daten über ethnische Herkunft vor. Die DSGVO hat das Ziel, den Datenschutz in der EU zu harmonisieren und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben. Verstöße gegen die DSGVO können mit hohen Geldstrafen geahndet werden.

Ja, bei der Durchführung eines Gewinnspiels unter neuen Newsletter-Abonnenten gibt es datenschutzrechtliche Aspekte zu beachten. Grundsätzlich ist es zulässig, ein Gewinnspiel mit der Anmeldung zu einem Newsletter zu verknüpfen, solange die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Die wichtigsten Punkte sind: 1. **Transparenz und Information**: Die Teilnehmer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben und verarbeitet werden. Dies sollte in einer Datenschutzerklärung geschehen. 2. **Einwilligung**: Für den Versand des Newsletters ist eine ausdrückliche, informierte Einwilligung der Teilnehmer erforderlich (z. B. durch ein Double-Opt-In-Verfahren). 3. **Keine Kopplung von Einwilligungen**: Die Teilnahme am Gewinnspiel darf nicht an die Einwilligung zu weiteren, nicht erforderlichen Datenverarbeitungen gekoppelt werden. Die Einwilligung zum Newsletter muss freiwillig erfolgen und darf nicht Bedingung für die Teilnahme am Gewinnspiel sein, wenn der Newsletter nicht zwingend für die Teilnahme erforderlich ist. 4. **Zweckbindung**: Die erhobenen Daten dürfen nur für die angegebenen Zwecke (z. B. Versand des Newsletters, Durchführung des Gewinnspiels) verwendet werden. 5. **Löschung der Daten**: Nach Abschluss des Gewinnspiels und ggf. nach Abmeldung vom Newsletter müssen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. **Fazit:** Ein Gewinnspiel unter neuen Newsletter-Abonnenten ist datenschutzrechtlich möglich, wenn die genannten Vorgaben eingehalten werden. Es empfiehlt sich, die Teilnahmebedingungen und die Datenschutzerklärung entsprechend anzupassen und transparent zu kommunizieren. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/). Hinweis: Dies ist keine Rechtsberatung, sondern eine allgemeine Information. Im Zweifel sollte ein Datenschutzexperte oder Rechtsanwalt konsultiert werden.

Im Kontext Datenschutz steht „TOM“ für **Technische und Organisatorische Maßnahmen**. Diese Maßnahmen sind im Rahmen der Datenschutz-Grundverordnung (DSGVO) erforderlich, um personenbezogene Daten angemessen zu schützen. **Technische Maßnahmen** betreffen die IT-Sicherheit, z. B. Verschlüsselung, Zugangskontrollen oder Firewalls. **Organisatorische Maßnahmen** beziehen sich auf interne Prozesse, wie Schulungen, Richtlinien oder das Berechtigungskonzept. Ziel der TOM ist es, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten und Risiken wie unbefugten Zugriff, Verlust oder Manipulation zu minimieren. Unternehmen und Organisationen müssen diese Maßnahmen dokumentieren und regelmäßig überprüfen.

Ob eine dauerhafte Aufzeichnung von CCTV-Kameras in einem Unternehmen von Mitternacht bis zum Morgen zulässig ist, hängt maßgeblich von den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG) ab. **Grundsätze:** - Die Videoüberwachung ist grundsätzlich nur zulässig, wenn sie zur Wahrung berechtigter Interessen erforderlich ist und keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO). - Die Aufzeichnung darf nicht „anlasslos“ und „flächendeckend“ erfolgen, sondern muss verhältnismäßig sein. - Es muss ein konkreter Zweck für die Überwachung und Aufzeichnung bestehen (z. B. Schutz vor Einbruch, Diebstahl, Vandalismus). **Dauerhafte Aufzeichnung in der Nacht:** - Eine dauerhafte Aufzeichnung außerhalb der Geschäftszeiten (z. B. von Mitternacht bis zum Morgen) kann unter Umständen zulässig sein, wenn in dieser Zeit ein erhöhtes Risiko für Straftaten besteht (z. B. Einbruchgefahr). - Die Interessenabwägung fällt in der Nacht oft zugunsten des Unternehmens aus, da sich in der Regel keine Mitarbeiter oder Kunden im überwachten Bereich aufhalten und somit weniger Persönlichkeitsrechte betroffen sind. - Dennoch muss die Überwachung auf das notwendige Maß beschränkt bleiben (z. B. keine Überwachung von Pausenräumen, Toiletten, etc.). **Weitere Anforderungen:** - Betroffene Personen müssen durch geeignete Hinweisschilder auf die Videoüberwachung hingewiesen werden. - Die Aufnahmen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (meist wenige Tage). - Es muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. - Die Aufnahmen müssen vor unbefugtem Zugriff geschützt werden. **Fazit:** Eine dauerhafte Aufzeichnung von Mitternacht bis zum Morgen kann zulässig sein, wenn sie auf ein berechtigtes Interesse gestützt wird, verhältnismäßig ist und die datenschutzrechtlichen Vorgaben eingehalten werden. Es empfiehlt sich, die geplante Maßnahme vorab mit dem Datenschutzbeauftragten abzustimmen und eine Datenschutz-Folgenabschätzung durchzuführen. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2019_10_17_Orientierungshilfe_Video%C3%BCberwachung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Themen/Technologischer-Datenschutz/Videoueberwachung/videoueberwachung_node.html).

Background Screenings – also Überprüfungen von Bewerbern oder Mitarbeitern auf bestimmte persönliche oder berufliche Informationen – sind in Deutschland grundsätzlich zulässig, unterliegen jedoch strengen datenschutzrechtlichen Vorgaben. Die wichtigsten rechtlichen Grundlagen sind: - **Datenschutz-Grundverordnung (DSGVO)**: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage besteht (z.B. Einwilligung, berechtigtes Interesse des Arbeitgebers). - **Bundesdatenschutzgesetz (BDSG)**: Ergänzt die DSGVO und regelt speziellere Fragen, etwa im Beschäftigungskontext (§ 26 BDSG). **Wichtige Voraussetzungen für die Zulässigkeit:** 1. **Erforderlichkeit**: Es dürfen nur solche Daten erhoben werden, die für die zu besetzende Stelle relevant und erforderlich sind. Eine pauschale oder umfassende Überprüfung ist unzulässig. 2. **Transparenz**: Die betroffene Person muss über Art, Umfang und Zweck der Datenverarbeitung informiert werden. 3. **Einwilligung**: Oft ist eine ausdrückliche, freiwillige und informierte Einwilligung des Bewerbers erforderlich. 4. **Verhältnismäßigkeit**: Die Maßnahmen dürfen nicht über das Ziel hinausschießen. Beispielsweise ist eine Bonitätsprüfung nur bei Positionen mit Zahlungsverkehr oder Vermögensverantwortung zulässig. 5. **Keine heimlichen Recherchen**: Das Ausspähen von Social-Media-Profilen oder das Einholen von Informationen ohne Wissen des Betroffenen ist in der Regel unzulässig. **Fazit:** Background Screenings sind in Deutschland nur unter strikter Beachtung der datenschutzrechtlichen Vorgaben erlaubt. Arbeitgeber sollten den Grundsatz der Erforderlichkeit und Verhältnismäßigkeit beachten und die Einwilligung der betroffenen Person einholen. Weitere Informationen findest du z.B. beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/DE/Home/home_node.html).

CV Parsing, also das automatisierte Auslesen und Verarbeiten von Lebensläufen (Curricula Vitae), ist grundsätzlich datenschutzrechtlich zulässig – allerdings nur unter bestimmten Voraussetzungen. In Deutschland und der EU gilt hierfür insbesondere die Datenschutz-Grundverordnung (DSGVO). Wichtige Punkte zur Zulässigkeit: 1. **Rechtsgrundlage:** Die Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsprozesses ist in der Regel nach Art. 6 Abs. 1 lit. b DSGVO zulässig, da sie zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Für weitergehende Analysen oder die Speicherung für spätere Bewerbungsverfahren ist ggf. eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) notwendig. 2. **Transparenz und Information:** Bewerber müssen gemäß Art. 13 DSGVO darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden und welche Rechte sie haben. 3. **Datenminimierung:** Es dürfen nur die Daten verarbeitet werden, die für den Bewerbungsprozess erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). 4. **Sicherheit:** Die Daten müssen angemessen geschützt werden (Art. 32 DSGVO). 5. **Weitergabe an Dritte:** Eine Weitergabe an Dritte (z.B. externe Dienstleister für CV Parsing) ist nur zulässig, wenn ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO besteht. 6. **Besondere Kategorien personenbezogener Daten:** Angaben zu Gesundheit, Religion oder Gewerkschaftszugehörigkeit dürfen nur unter strengen Voraussetzungen verarbeitet werden (Art. 9 DSGVO). **Fazit:** CV Parsing ist datenschutzrechtlich zulässig, wenn die genannten Anforderungen eingehalten werden. Unternehmen sollten ihre Prozesse regelmäßig überprüfen und dokumentieren, um die Einhaltung der DSGVO sicherzustellen. Weitere Informationen: - [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) – Bewerbungsverfahren](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Arbeitswelt/Bewerbungsverfahren/bewerbungsverfahren-node.html)

Eine Verarbeitungstätigkeit nach DSGVO bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Dazu zählen insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Die DSGVO (Datenschutz-Grundverordnung) definiert den Begriff „Verarbeitung“ in Art. 4 Nr. 2 DSGVO. Eine Verarbeitungstätigkeit ist also jede Aktivität, bei der personenbezogene Daten genutzt werden – zum Beispiel das Führen einer Kundenliste, das Versenden von Newslettern oder die Speicherung von Mitarbeiterdaten. Unternehmen und Organisationen sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO), um Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten zu gewährleisten.

Der Download eines Whitepapers gegen die Einwilligung in einen Newsletter ist grundsätzlich **zulässig**, aber es gibt dabei wichtige rechtliche Vorgaben zu beachten, insbesondere nach der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland. **Wichtige Punkte:** 1. **Kopplungsverbot:** Nach Art. 7 Abs. 4 DSGVO darf die Einwilligung in die Verarbeitung personenbezogener Daten (z.B. für den Newsletter) nicht an die Erbringung einer Dienstleistung (z.B. Download des Whitepapers) gekoppelt werden, wenn die Daten für die Dienstleistung nicht erforderlich sind. Das bedeutet: Die Einwilligung muss freiwillig erfolgen. Allerdings ist es nach aktueller Rechtsauffassung zulässig, den Download eines Whitepapers an die Einwilligung zum Newsletter zu koppeln, solange der Nutzer klar und transparent darüber informiert wird und eine echte Wahl hat (z.B. indem das Whitepaper auch ohne Newsletter-Einwilligung erhältlich ist). 2. **Transparenz und Information:** Die Nutzer müssen klar und verständlich darüber informiert werden, dass sie mit der Einwilligung in den Newsletter auch Werbe-E-Mails erhalten und dass sie diese Einwilligung jederzeit widerrufen können. 3. **Double-Opt-In:** Für den Versand von Newslettern ist das Double-Opt-In-Verfahren erforderlich, um die Einwilligung nachweisen zu können. 4. **Keine Irreführung:** Es darf nicht der Eindruck erweckt werden, dass der Download nur mit Newsletter-Anmeldung möglich ist, wenn es auch eine andere Möglichkeit gibt. **Fazit:** Die Praxis, den Download eines Whitepapers an die Newsletter-Einwilligung zu koppeln, ist rechtlich möglich, solange die Einwilligung freiwillig, informiert und widerrufbar ist und die gesetzlichen Vorgaben eingehalten werden. Es empfiehlt sich, die Einwilligungserklärung und die Informationspflichten rechtlich prüfen zu lassen, um Abmahnungen zu vermeiden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei [IHK.de](https://www.ihk.de/).