Seit wann gelten die DSGVO und die Deklaration von Helsinki?

Eine Bestandsdatenabfrage bei GMX bezieht sich in der Regel auf die Anfrage von sogenannten Bestandsdaten, also personenbezogenen Daten wie Name, Adresse, Geburtsdatum oder Vertragsdaten eines Nutzers. Solche Abfragen werden häufig von Behörden (z. B. Polizei) im Rahmen von Ermittlungen gestellt und sind durch das Telekommunikationsgesetz (TKG) geregelt. Für Privatpersonen ist eine Bestandsdatenabfrage in der Regel nicht möglich. Wenn du als Nutzer deine eigenen Bestandsdaten einsehen möchtest, kannst du dies über dein GMX-Konto tun oder eine Auskunft nach Art. 15 DSGVO (Datenschutz-Grundverordnung) anfordern. Dazu kannst du dich an den Datenschutzbeauftragten von GMX wenden. Weitere Informationen findest du auf der offiziellen GMX-Seite: https://www.gmx.net/datenschutz/ Für Behörden gibt es spezielle Kontaktwege, die auf Anfrage bereitgestellt werden. Diese sind nicht öffentlich zugänglich. Zusammengefasst: - Privatpersonen können nur ihre eigenen Daten abfragen (z. B. per DSGVO-Anfrage). - Behörden können im Rahmen gesetzlicher Vorgaben Bestandsdaten abfragen. - Weitere Infos findest du direkt bei [GMX](https://www.gmx.net/datenschutz/).

Nach Art. 15 DSGVO (Recht auf Auskunft) haben betroffene Personen das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu erhalten. Dies umfasst grundsätzlich auch handschriftliche Notizen, sofern sie personenbezogene Daten enthalten und Teil eines Dateisystems sind oder verarbeitet werden. **Zur Herausgabe:** - Die betroffene Person hat das Recht eine Kopie der personenbezogenen Daten erhalten (Art. 15 Abs. 3 DSGVO). - Das bedeutet: Es reicht nicht aus, nur den Inhalt der Notiz zu benennen oder zusammenzufassen. Die betroffene Person kann verlangen, dass ihr eine Kopie der Notiz (z. B. als Scan oder Abschrift) zur Verfügung gestellt wird. - Eine reine Inhaltsbenennung genügt nur dann, wenn die Identität der Person nicht eindeutig aus der Notiz hervorgeht oder wenn die Notiz keine personenbezogenen Daten enthält. **Wichtige Einschränkungen:** - Es gibt Ausnahmen, z. B. wenn Rechte und Freiheiten anderer Personen beeinträchtigt würden (Art. 15 Abs. 4 DSGVO). - Auch kann der Aufwand für die Herausgabe in Einzelfällen berücksichtigt werden, aber grundsätzlich besteht ein Anspruch auf eine Kopie. **Fazit:** Bei handschriftlichen Notizen, die personenbezogene Daten enthalten, muss grundsätzlich eine Kopie der Notiz herausgegeben werden, nicht nur eine Benennung des Inhalts. Nur in Ausnahmefällen kann eine Zusammenfassung oder Inhaltsbenennung ausreichend sein. Weitere Informationen: - [Art. 15 DSGVO – Recht auf Auskunft der betroffenen Person](https://dsgvo-gesetz.de/art-15-dsgvo/) - [Datenschutzkonferenz: Orientierungshilfe zur Auskunft nach Art. 15 DSGVO (PDF)](https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_auskunft.pdf)

Ja, handschriftliche Notizen können unter bestimmten Umständen vom Auskunftsanspruch nach Art. 15 DSGVO erfasst sein. Entscheidend ist, ob die Notizen personenbezogene Daten enthalten und Teil eines Dateisystems sind oder für die Verarbeitung bestimmt sind. **Wichtige Punkte:** - **Personenbezogene Daten:** Die Notizen müssen Informationen über eine identifizierte oder identifizierbare Person enthalten. - **Dateisystem:** Auch handschriftliche Notizen können unter die DSGVO fallen, wenn sie Teil eines strukturierten Ablagesystems sind (z. B. in einer Akte abgelegt oder nach bestimmten Kriterien geordnet). - **Rein persönliche Notizen:** Notizen, die ausschließlich für den persönlichen Gebrauch gemacht werden und nicht Teil eines Dateisystems sind, fallen in der Regel nicht unter die DSGVO. **Beispiel:** Ein Arzt macht handschriftliche Notizen zu einem Patienten und legt diese in die Patientenakte – diese Notizen sind auskunftspflichtig. Macht er sich hingegen private, lose Notizen, die nicht abgelegt oder strukturiert werden, sind diese meist nicht auskunftspflichtig. **Rechtliche Grundlage:** Art. 2 Abs. 1 DSGVO, Erwägungsgrund 15 DSGVO, sowie die Rechtsprechung, z. B. des Bundesarbeitsgerichts (BAG, Urteil vom 27. April 2021 – 2 AZR 342/20). **Fazit:** Handschriftliche Notizen müssen herausgegeben werden, wenn sie personenbezogene Daten enthalten und Teil eines (auch analogen) Dateisystems sind. Andernfalls besteht keine Auskunftspflicht.

Die wichtigsten Merkmale, die die Notwendigkeit eines Auftragsverarbeitungsvertrags (AV-Vertrag) gemäß Art. 28 DSGVO begründen, sind: 1. **Verarbeitung personenbezogener Daten im Auftrag**: Ein AV-Vertrag ist erforderlich, wenn ein Unternehmen (der Verantwortliche) einen externen Dienstleister (den Auftragsverarbeiter) damit beauftragt, personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen zu verarbeiten. 2. **Keine eigene Entscheidungsbefugnis des Dienstleisters**: Der Dienstleister darf die Daten nicht zu eigenen Zwecken nutzen, sondern verarbeitet sie ausschließlich im Rahmen der Weisungen des Verantwortlichen. 3. **Typische Beispiele**: Klassische Fälle sind IT-Dienstleister, Cloud-Anbieter, Lohnbuchhaltungsfirmen oder Aktenvernichter, die personenbezogene Daten im Auftrag verarbeiten. 4. **Keine gemeinsame Verantwortlichkeit**: Liegt eine gemeinsame Verantwortlichkeit vor (beide Parteien entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung), ist stattdessen eine Vereinbarung nach Art. 26 DSGVO erforderlich. 5. **Rechtliche Grundlage**: Die Notwendigkeit eines AV-Vertrags ergibt sich aus Art. 28 DSGVO, sobald eine Auftragsverarbeitung vorliegt. **Fazit:** Ein AV-Vertrag ist immer dann notwendig, wenn ein externer Dienstleister personenbezogene Daten ausschließlich im Auftrag und nach Weisung eines Verantwortlichen verarbeitet und keine eigenen Zwecke verfolgt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_05_auftragsverarbeitung.pdf) oder beim [BfDI](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung/Verarbeitung-AV/Verarbeitung-AV_node.html).

Grundsätzlich ist es aus datenschutzrechtlicher Sicht möglich, dass externe Freelancer an Vorstellungsgesprächen teilnehmen, wenn sie später mit dem Bewerber zusammenarbeiten würden. Allerdings müssen dabei bestimmte Voraussetzungen beachtet werden: 1. **Vertraulichkeit und Zweckbindung:** Der Freelancer darf die im Gespräch erhaltenen Informationen ausschließlich für den Zweck der Bewerberauswahl verwenden. Es sollte sichergestellt werden, dass der Freelancer zur Vertraulichkeit verpflichtet ist, idealerweise durch eine entsprechende Verschwiegenheitserklärung oder eine Regelung im Vertrag. 2. **Rechtsgrundlage:** Die Teilnahme des Freelancers muss auf einer rechtlichen Grundlage beruhen. In der Regel ist dies das berechtigte Interesse des Unternehmens an einer fundierten Auswahlentscheidung (§ 26 BDSG, Art. 6 Abs. 1 lit. f DSGVO). Das Interesse des Bewerbers am Schutz seiner Daten muss dabei gegen das Interesse des Unternehmens abgewogen werden. 3. **Transparenz:** Der Bewerber muss vorab darüber informiert werden, dass ein externer Freelancer am Gespräch teilnimmt und zu welchem Zweck. Idealerweise wird die Einwilligung des Bewerbers eingeholt, auch wenn sie nicht zwingend erforderlich ist, erhöht dies die Rechtssicherheit. 4. **Datenminimierung:** Es sollten nur die für das Gespräch und die Auswahlentscheidung notwendigen Informationen geteilt werden. **Fazit:** Die Teilnahme externer Freelancer an Vorstellungsgesprächen ist datenschutzrechtlich zulässig, wenn Vertraulichkeit sichergestellt, der Bewerber informiert und die Daten nur zweckgebunden verwendet werden. Eine vorherige Information und ggf. Einwilligung des Bewerbers ist empfehlenswert, um Transparenz und Vertrauen zu gewährleisten. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Das Verbot automatisierter Entscheidungsfindung bei Personen bezieht sich vor allem auf Regelungen im Datenschutzrecht, insbesondere in der Datenschutz-Grundverordnung (DSGVO) der EU. Hier sind die wichtigsten Punkte dazu: **1. Definition:** Automatisierte Entscheidungsfindung bedeutet, dass Entscheidungen, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen, ausschließlich auf einer automatisierten Verarbeitung – also ohne menschliches Eingreifen – beruhen. **2. Grundsatz:** Nach Art. 22 DSGVO hat jede betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. **3. Ausnahmen:** Automatisierte Entscheidungen sind nur zulässig, wenn: - sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich sind, - sie auf einer gesetzlichen Grundlage beruhen, die auch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht, - sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgen. **4. Schutzmaßnahmen:** In den Ausnahmefällen müssen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden. Dazu gehören mindestens das Recht auf: - Eingreifen einer Person seitens des Verantwortlichen, - Darlegung des eigenen Standpunkts, - Anfechtung der Entscheidung. **5. Beispiele:** Typische Anwendungsfälle sind automatisierte Kreditwürdigkeitsprüfungen, Online-Bewerbungsverfahren oder Versicherungsentscheidungen, die ohne menschliches Zutun getroffen werden. **6. Ziel:** Das Verbot soll verhindern, dass Menschen durch undurchsichtige Algorithmen benachteiligt werden, ohne dass sie Einfluss nehmen oder die Entscheidung nachvollziehen können. **7. Aktuelle Diskussion:** Mit dem Aufkommen von KI-Systemen und immer komplexeren Algorithmen gewinnt das Thema weiter an Bedeutung. Es wird diskutiert, wie Transparenz, Nachvollziehbarkeit und Fairness bei automatisierten Entscheidungen sichergestellt werden können. Weitere Informationen findest du direkt im Gesetzestext der [DSGVO, Art. 22](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) und bei Datenschutzaufsichtsbehörden.

Tracking ohne Consent (Einwilligung) ist in der EU und Deutschland grundsätzlich nur in sehr engen Grenzen zulässig. Nach der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist für das Setzen und Auslesen von Cookies und ähnlichen Technologien grundsätzlich eine vorherige, informierte Einwilligung der Nutzer:innen erforderlich. **Ausnahme:** Eine Einwilligung ist nur dann nicht erforderlich, wenn das Tracking technisch unbedingt erforderlich ist, um den vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen (§ 25 Abs. 2 Nr. 2 TTDSG). Das betrifft z.B.: - Warenkorb-Cookies im Online-Shop - Session-Cookies für Login-Funktionen - Sicherheitsrelevante Cookies (z.B. zur Betrugsprävention) **Nicht erlaubt ohne Consent:** Tracking zu Analyse-, Marketing- oder Werbezwecken (z.B. Google Analytics, Facebook Pixel) ist ohne Einwilligung nicht zulässig. **Fazit:** Tracking ohne Einwilligung ist nur für technisch notwendige Zwecke erlaubt, die für den Betrieb und die Funktionalität der Webseite zwingend erforderlich sind. Für alles andere ist eine aktive Einwilligung der Nutzer:innen erforderlich. Weitere Informationen: - [Datenschutzkonferenz: Orientierungshilfe Telemedien 2021 (PDF)](https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_ttdsg.pdf) - [Bundesbeauftragter für den Datenschutz: Cookies und Tracking](https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technischer-Datenschutz/Cookies/cookies_node.html)

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten regelt. Sie gilt seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Ziel der DSGVO ist es, die Privatsphäre und die Rechte von Personen bei der Verarbeitung ihrer Daten zu stärken und zu vereinheitlichen. Kernpunkte der DSGVO sind: - **Transparenz:** Unternehmen und Organisationen müssen offenlegen, welche Daten sie erheben, wie sie diese verwenden und wie lange sie gespeichert werden. - **Rechte der Betroffenen:** Personen haben das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung ihrer Daten. - **Einwilligung:** Die Verarbeitung personenbezogener Daten ist in der Regel nur mit ausdrücklicher Zustimmung der betroffenen Person erlaubt. - **Datensicherheit:** Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten zu schützen. - **Meldepflichten:** Bei Datenschutzverletzungen müssen Unternehmen diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden. - **Strafen:** Verstöße gegen die DSGVO können mit hohen Geldbußen geahndet werden. Weitere Informationen findest du auf der offiziellen Seite der Europäischen Kommission: https://ec.europa.eu/info/law/law-topic/data-protection_de

Ob eine bedrohte Person der Polizei die Nummer und Adresse von Zeugen geben darf, hängt von verschiedenen rechtlichen und datenschutzrechtlichen Aspekten ab. **Grundsätzliches:** - Wenn die Polizei im Rahmen einer Ermittlung oder Gefahrenabwehr Informationen zu Zeugen benötigt, ist es üblich und zulässig, dass diese Daten (wie Name, Adresse, Telefonnummer) an die Polizei weitergegeben werden. - Die Weitergabe dient in diesem Fall einem berechtigten Interesse, nämlich der Aufklärung einer Straftat oder dem Schutz der bedrohten Person. **Datenschutz:** - Nach der Datenschutz-Grundverordnung (DSGVO) ist die Weitergabe personenbezogener Daten grundsätzlich nur mit Einwilligung der betroffenen Person oder auf einer gesetzlichen Grundlage erlaubt. - Im Zusammenhang mit polizeilichen Ermittlungen ist die Weitergabe an die Polizei in der Regel durch das öffentliche Interesse an der Strafverfolgung oder Gefahrenabwehr gedeckt (§ 24 BDSG, Art. 6 Abs. 1 lit. c und e DSGVO). **Praktische Hinweise:** - Es ist ratsam, Zeugen vorab zu informieren, dass ihre Kontaktdaten an die Polizei weitergegeben werden, sofern dies möglich und zumutbar ist. - In besonders sensiblen Fällen (z.B. bei Gefahr für Leib und Leben) kann die Polizei auch Maßnahmen zum Schutz der Zeugen ergreifen. **Fazit:** Ja, eine bedrohte Person darf der Polizei die Nummer und Adresse von Zeugen geben, insbesondere wenn dies zur Aufklärung des Sachverhalts oder zum Schutz der Beteiligten notwendig ist. Es ist jedoch sinnvoll, die Zeugen darüber zu informieren. Weitere Informationen findest du z.B. beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/DE/Home/home_node.html).