Was ist bei Datenschutz zu beachten?

Ja, das ist datenschutzrechtlich zulässig und sogar erforderlich. Wenn sich ein Kunde von Newslettern abmeldet (Opt-out), darf ihm aus datenschutzrechtlichen Gründen keine weitere werbliche Kommunikation per E-Mail zugesendet werden. Dies entspricht den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) in Deutschland. Die Abmeldung (Widerruf der Einwilligung) muss respektiert werden. Danach ist es nicht mehr erlaubt, dem Kunden Newsletter oder vergleichbare Updates zuzusenden, es sei denn, es besteht eine andere rechtliche Grundlage (z. B. zwingende Informationen zu einem bestehenden Vertragsverhältnis). Weitere Informationen: - [DSGVO – Einwilligung und Widerruf](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [UWG § 7 – Unzumutbare Belästigungen](https://www.gesetze-im-internet.de/uwg_2004/__7.html)

Die Aufbewahrungsdauer von telefonischen Einwilligungen zu Post Repair-Umfragen richtet sich in Deutschland nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und ggf. branchenspezifischen Regelungen. **Wesentliche Punkte:** - **Nachweisbarkeit der Einwilligung:** Nach Art. 7 Abs. 1 DSGVO muss ein Unternehmen jederzeit nachweisen können, dass eine wirksame Einwilligung vorliegt. Das bedeutet, die Einwilligung sollte so lange gespeichert werden, wie sie für den jeweiligen Zweck (z.B. Durchführung und Nachweis der Umfrage) benötigt wird. - **Zweckbindung:** Die Einwilligung darf nur so lange aufbewahrt werden, wie sie für den Zweck der Umfrage und den Nachweis erforderlich ist. Nach Abschluss der Umfrage und Ablauf etwaiger Fristen (z.B. für Beschwerden oder Prüfungen durch Aufsichtsbehörden) sollte die Einwilligung gelöscht werden. - **Verjährungsfristen:** Es empfiehlt sich, die zivilrechtlichen Verjährungsfristen zu berücksichtigen, die in der Regel drei Jahre betragen (§ 195 BGB). In Einzelfällen können längere Fristen gelten, etwa bei möglichen Schadenersatzansprüchen. - **Löschkonzept:** Unternehmen sollten ein Löschkonzept haben, das regelt, wann und wie Einwilligungen gelöscht werden. **Fazit:** Telefonische Einwilligungen zu Post Repair-Umfragen sollten mindestens so lange aufbewahrt werden, wie die Umfrage durchgeführt und deren Rechtmäßigkeit nachgewiesen werden muss – in der Praxis meist bis zu drei Jahre nach Abschluss der Umfrage. Eine längere Aufbewahrung ist nur zulässig, wenn ein berechtigtes Interesse besteht (z.B. laufende Rechtsstreitigkeiten). **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe zur Einwilligung nach DSGVO (PDF)](https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_einwilligung.pdf) - [Art. 7 DSGVO – Bedingungen für die Einwilligung](https://dsgvo-gesetz.de/art-7-dsgvo/) Für eine verbindliche Auskunft empfiehlt sich die Rücksprache mit dem Datenschutzbeauftragten des Unternehmens.

Ob Social Media Listening datenschutzkonform ist, hängt von verschiedenen Faktoren ab, insbesondere davon, wie die Daten erhoben, verarbeitet und genutzt werden. Grundsätzlich ist Social Media Listening – also das systematische Beobachten und Analysieren öffentlicher Beiträge in sozialen Netzwerken – unter bestimmten Bedingungen mit dem Datenschutz vereinbar. Hier die wichtigsten Aspekte: **1. Öffentliche Daten:** Social Media Listening bezieht sich in der Regel auf öffentlich zugängliche Informationen, etwa Tweets, öffentliche Facebook-Posts oder Instagram-Beiträge. Die Analyse solcher Daten ist grundsätzlich zulässig, da sie von den Nutzern bewusst öffentlich gemacht wurden. **2. Personenbezug:** Sobald die gesammelten Daten Rückschlüsse auf einzelne Personen zulassen (z.B. durch Benutzernamen, Profilbilder oder andere personenbezogene Informationen), greift die Datenschutz-Grundverordnung (DSGVO). Dann müssen die Grundsätze der DSGVO beachtet werden, insbesondere Transparenz, Zweckbindung und Datenminimierung. **3. Rechtsgrundlage:** Für die Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich. Bei Social Media Listening kann dies das berechtigte Interesse des Unternehmens sein (Art. 6 Abs. 1 lit. f DSGVO). Dieses Interesse muss jedoch gegen die Interessen und Grundrechte der betroffenen Personen abgewogen werden. **4. Information der Betroffenen:** Die DSGVO verlangt, dass betroffene Personen über die Verarbeitung ihrer Daten informiert werden. In der Praxis ist dies beim Social Media Listening oft schwierig, da die Nutzer nicht direkt kontaktiert werden können. Hier gibt es noch rechtliche Unsicherheiten. **5. Keine Profilbildung ohne Einwilligung:** Das Erstellen von Nutzerprofilen oder das gezielte Auswerten von nicht-öffentlichen Inhalten ist ohne ausdrückliche Einwilligung der Betroffenen nicht zulässig. **6. Einsatz von Dienstleistern:** Werden externe Tools oder Dienstleister eingesetzt, müssen diese ebenfalls DSGVO-konform arbeiten. Es ist ein Auftragsverarbeitungsvertrag erforderlich. **Fazit:** Social Media Listening ist datenschutzkonform möglich, wenn ausschließlich öffentliche Daten verarbeitet werden, keine tiefgehende Profilbildung erfolgt und die Grundsätze der DSGVO eingehalten werden. Bei Unsicherheiten empfiehlt sich eine datenschutzrechtliche Beratung. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Das Bitten der Teilnehmer, einen Freund zu taggen, ist aus datenschutzrechtlicher Sicht problematisch. Beim Taggen wird eine dritte Person (der getaggte Freund) ohne deren vorherige Einwilligung in einen Gewinnspiel-Kontext einbezogen. Nach der Datenschutz-Grundverordnung (DSGVO) ist die Verarbeitung personenbezogener Daten (hier: der Name oder das Profil des getaggten Freundes) grundsätzlich nur mit einer Rechtsgrundlage zulässig – in der Regel mit Einwilligung der betroffenen Person. Da der getaggte Freund in der Regel keine Einwilligung zur Teilnahme am Gewinnspiel oder zur Nennung seines Namens gegeben hat, kann dies einen Verstoß gegen die DSGVO darstellen. Die Datenschutzkonferenz (DSK) und verschiedene Datenschutzbehörden haben bereits darauf hingewiesen, dass das Taggen Dritter ohne deren Einwilligung im Rahmen von Gewinnspielen unzulässig sein kann. Zusammengefasst: Das Bitten, einen Freund zu taggen, ist datenschutzrechtlich unzulässig, da die betroffene Person (der Freund) nicht eingewilligt hat, dass ihre Daten im Rahmen des Gewinnspiels verarbeitet werden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder bei der [Aufsichtsbehörde deines Bundeslandes](https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html).

Nach Art. 15 Abs. 1 lit. c DSGVO muss die betroffene Person Auskunft über die Empfänger oder Kategorien von Empfängern erhalten, gegenüber denen personenbezogene Daten offengelegt wurden oder noch offengelegt werden. Es sollen **nur die konkreten Empfängerkategorien im spezifischen Fall** genannt werden, also diejenigen, an die tatsächlich Daten weitergegeben wurden oder werden. Eine pauschale Aufzählung aller theoretisch möglichen Empfängerkategorien ist nicht zulässig und entspricht nicht dem Transparenzgebot der DSGVO. Die Auskunft muss sich also auf die tatsächlichen Empfänger oder die tatsächlich betroffenen Kategorien beziehen, nicht auf alle denkbaren oder potenziellen Empfänger. Nur wenn im Einzelfall die konkreten Empfänger nicht benannt werden können, dürfen stattdessen die Kategorien angegeben werden. **Quellen:** - [Art. 15 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Erwägungsgrund 63 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-63/) - [Datenschutzkonferenz, Kurzpapier Nr. 6](https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf)

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Sie regelt den Schutz personenbezogener Daten und die Rechte von Betroffenen. Die Deklaration von Helsinki wurde erstmals 1964 von der World Medical Association (WMA) verabschiedet. Sie ist eine ethische Richtlinie für die medizinische Forschung am Menschen und wurde seitdem mehrfach überarbeitet, zuletzt 2013. Weitere Informationen: - [DSGVO – offizielle EU-Seite](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [Deklaration von Helsinki – WMA](https://www.wma.net/policies-post/wma-declaration-of-helsinki-ethical-principles-for-medical-research-involving-human-subjects/)

Eine Bestandsdatenabfrage bei GMX bezieht sich in der Regel auf die Anfrage von sogenannten Bestandsdaten, also personenbezogenen Daten wie Name, Adresse, Geburtsdatum oder Vertragsdaten eines Nutzers. Solche Abfragen werden häufig von Behörden (z. B. Polizei) im Rahmen von Ermittlungen gestellt und sind durch das Telekommunikationsgesetz (TKG) geregelt. Für Privatpersonen ist eine Bestandsdatenabfrage in der Regel nicht möglich. Wenn du als Nutzer deine eigenen Bestandsdaten einsehen möchtest, kannst du dies über dein GMX-Konto tun oder eine Auskunft nach Art. 15 DSGVO (Datenschutz-Grundverordnung) anfordern. Dazu kannst du dich an den Datenschutzbeauftragten von GMX wenden. Weitere Informationen findest du auf der offiziellen GMX-Seite: https://www.gmx.net/datenschutz/ Für Behörden gibt es spezielle Kontaktwege, die auf Anfrage bereitgestellt werden. Diese sind nicht öffentlich zugänglich. Zusammengefasst: - Privatpersonen können nur ihre eigenen Daten abfragen (z. B. per DSGVO-Anfrage). - Behörden können im Rahmen gesetzlicher Vorgaben Bestandsdaten abfragen. - Weitere Infos findest du direkt bei [GMX](https://www.gmx.net/datenschutz/).

Die wichtigsten Merkmale, die die Notwendigkeit eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO begründen, sind: 1. **Verarbeitung personenbezogener Daten im Auftrag**: Ein AV-Vertrag ist erforderlich, wenn ein Unternehmen (der Verantwortliche) einen externen Dienstleister (den Auftragsverarbeiter) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. 2. **Keine eigene Entscheidungsbefugnis des Dienstleisters**: Der Dienstleister darf die Daten nicht zu eigenen Zwecken nutzen, sondern verarbeitet sie ausschließlich im Rahmen der Weisungen des Verantwortlichen. 3. **Typische Beispiele**: Klassische Fälle sind IT-Dienstleister, Cloud-Anbieter, Lohnbuchhaltungsfirmen oder Aktenvernichter, die personenbezogene Daten im Auftrag verarbeiten. 4. **Keine gemeinsame Verantwortlichkeit**: Liegt eine gemeinsame Verantwortlichkeit vor (beide Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung), ist stattdessen eine Vereinbarung nach Art. 26 DSGVO erforderlich. 5. **Rechtliche Grundlage**: Die Notwendigkeit eines AV-Vertrags ergibt sich aus Art. 28 DSGVO, sobald eine Auftragsverarbeitung vorliegt. **Fazit:** Ein AV-Vertrag ist immer dann notwendig, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung eines Verantwortlichen verarbeitet und keine eigenen Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung/Verarbeitung-AV/Verarbeitung-AV_node.html).

Grundsätzlich ist es aus datenschutzrechtlicher Sicht möglich, dass externe Freelancer an Vorstellungsgesprächen teilnehmen, wenn sie später mit dem Bewerber zusammenarbeiten würden. Allerdings müssen dabei bestimmte Voraussetzungen beachtet werden: 1. **Vertraulichkeit und Zweckbindung:** Der Freelancer darf die im Gespräch erhaltenen Informationen ausschließlich für den Zweck der Bewerberauswahl verwenden. Es sollte sichergestellt werden, dass der Freelancer zur Vertraulichkeit verpflichtet ist, idealerweise durch eine entsprechende Verschwiegenheitserklärung oder eine Regelung im Vertrag. 2. **Rechtsgrundlage:** Die Teilnahme des Freelancers muss auf einer rechtlichen Grundlage beruhen. In der Regel ist dies das berechtigte Interesse des Unternehmens an einer fundierten Auswahlentscheidung (§ 26 BDSG, Art. 6 Abs. 1 lit. f DSGVO). Das Interesse des Bewerbers am Schutz seiner Daten muss dabei gegen das Interesse des Unternehmens abgewogen werden. 3. **Transparenz:** Der Bewerber muss vorab darüber informiert werden, dass ein externer Freelancer am Gespräch teilnimmt und zu welchem Zweck. Idealerweise wird die Einwilligung des Bewerbers eingeholt, auch wenn sie nicht zwingend erforderlich ist, erhöht dies die Rechtssicherheit. 4. **Datenminimierung:** Es sollten nur die für das Gespräch und die Auswahlentscheidung notwendigen Informationen geteilt werden. **Fazit:** Die Teilnahme externer Freelancer an Vorstellungsgesprächen ist datenschutzrechtlich zulässig, wenn Vertraulichkeit sichergestellt, der Bewerber informiert und die Daten nur zweckgebunden verwendet werden. Eine vorherige Information und ggf. Einwilligung des Bewerbers ist empfehlenswert, um Transparenz und Vertrauen zu gewährleisten. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Eine Nacktkontrolle ist eine polizeiliche oder behördliche Maßnahme, bei der eine Person dazu aufgefordert wird, sich vollständig zu entkleiden, damit der Körper und die Kleidung auf versteckte Gegenstände, Waffen, Drogen oder andere verbotene Dinge durchsucht werden können. Solche Kontrollen werden meist in Justizvollzugsanstalten, bei der Polizei oder an Flughäfen durchgeführt, wenn ein konkreter Verdacht besteht oder besondere Sicherheitsanforderungen vorliegen. In Deutschland sind Nacktkontrollen rechtlich streng geregelt und dürfen nur unter bestimmten Voraussetzungen und unter Wahrung der Menschenwürde durchgeführt werden. Sie müssen verhältnismäßig sein und dürfen nicht willkürlich erfolgen. Häufig ist vorgeschrieben, dass die Kontrolle von einer Person gleichen Geschlechts durchgeführt wird und dass die Intimsphäre so weit wie möglich gewahrt bleibt.