Jede Video­auf­nah­me stellt grund­sätz­lich einen Eingriff in das Persön­lich­keits­recht der betrof­fe­nen Person dar. Sei es, weil die Kontrol­le über das eigene Bild nicht mehr voll­stän­dig gege­ben ist oder weil auch unver­däch­ti­ge Perso­nen einer dauern­den Aufzeich­nung ihres Verhal­tens ausge­setzt sind. Recht­lich sind daher hohe Anfor­de­run­gen an die Video­über­wa­chung gestellt, damit die Ziele der Video­über­wa­chung in einer Art und Weise erreicht werden können, die die Grund­rech­te der betrof­fe­nen Perso­nen nicht beeinträchtigten.

Bevor eine Video­über­wa­chung instal­liert wird, ist fest­zu­le­gen, welches Ziel damit erreicht werden soll. Ein berech­tig­tes Inter­es­se für den Betrieb einer Video­über­wa­chungs­an­la­ge kann ideel­ler, wirt­schaft­li­cher oder recht­li­cher Natur sein. Soll die Video­über­wa­chung dazu einge­setzt werden, vor Einbrü­chen, Dieb­stäh­len oder Vanda­lis­mus zu schüt­zen, ist darin grund­sätz­lich ein berech­tig­tes Inter­es­se zu sehen, wenn eine tatsäch­li­che Gefah­ren­la­ge nach­ge­wie­sen werden kann. Auch die Beweis­si­che­rung durch die Aufzeich­nung kann ein solches berech­tig­tes Inter­es­se darstellen.

Für jede geplan­te Video­über­wa­chung ist gemäß Art. 35 DSGVO eine Daten­schutz-Folgen­ab­schät­zung durch­zu­füh­ren; dies darf aller­dings nicht als einma­li­ger Vorgang ange­se­hen werden. Soll­ten sich neue Risi­ken erge­ben, die die Bewer­tung bereits erkann­ter Risi­ken ändern oder soll­ten sich wesent­li­che Ände­run­gen im Verfah­ren erge­ben, die in der Daten­schutz-Folgen­ab­schät­zung bisher nicht berück­sich­tigt wurden, so ist die Daten­schutz-Folgen­ab­schät­zung zu über­prü­fen und dementspre­chend anzu­pas­sen. Jeder Betrei­ber von Video­an­la­gen ist dazu verpflich­tet auf die Über­wa­chung durch geeig­ne­te Maßnah­men hinzuweisen.

Der Bericht zur durch­ge­führ­ten Daten­schutz-Folgen­ab­schät­zung muss in jedem Fall die syste­ma­ti­sche Beschrei­bung der geplan­ten Verar­bei­tungs­vor­gän­ge und ihrer Zwecke, die Bewer­tung der Notwen­dig­keit und Verhält­nis­mä­ßig­keit der Verar­bei­tung, die Beschrei­bung und Beur­tei­lung der Risi­ken sowie der Abhil­fe­maß­nah­men zur Risi­ko­ein­däm­mung enthal­ten. Zusätz­lich ist er um eine Darstel­lung der Rest­ri­si­ken samt Entschei­dun­gen über den Umgang mit diesen zu ergänzen.

Für die Video­über­wa­chung ist in jedem Fall ein Verzeich­nis von Verar­bei­tungs­tä­tig­kei­ten gemäß Art. 30 DSGVO zu erstel­len und auf Anfor­de­rung der Aufsichts­be­hör­de vorzu­le­gen. Für die Spei­cher­dau­er der Aufnah­men ist das maßgeb­li­che Krite­ri­um der Zweck, zu dem die Aufzeich­nun­gen ange­fer­tigt wurden. Fällt dieser weg, sind die Daten unver­züg­lich zu löschen (Art. 17 Abs. 1 lit. a DSGVO); zu berück­sich­ti­gen sind eben­falls die „Daten­mi­ni­mie­rung“ und die „Spei­cher­be­gren­zung“.

Die Kunden­kar­te ist für Handels­un­ter­neh­men ein belieb­tes Instru­ment, um Kunden zu werben und an sich zu binden. Meist werden die Karten kosten­los ausge­ge­ben. Beim Einkau­fen sammelt der Kunde (betrof­fe­ne Person) Punkte und kann dafür Geld- oder Sach­prä­mi­en erhalten.

• Daten­schutz und Kunden­kar­te unter Einhal­tung der DSGVO – das bedeu­tet im Wesent­li­chen eine Bestä­ti­gung der Rechts­la­ge mit eini­gen Erweiterungen.
• Kunden­kar­ten enthal­ten perso­nen­be­zo­ge­ne Daten, daher sind hier die Vorga­ben gelten­der Daten­schutz-Geset­ze zwin­gend einzuhalten.
• Demnach dürfen Daten ohne expli­zi­te Kunden-Einwil­li­gung nicht erho­ben werden.
• Für eine konfor­me Einwil­li­gungs­er­klä­rung müssen gelten­de Anfor­de­run­gen nach Art. 7 DSGVO (Nach­weis­pflicht, Verständ­lich­keit, Frei­wil­lig­keit, Wider­rufs­mög­lich­keit sowie Infor­ma­ti­ons- und Auskunfts­rech­te) beach­tet werden.
• Neu ist neben der Einwil­li­gungs-Nach­weis­bar­keit das Recht auf Daten­über­trag­bar­keit. Kunden können vom karten­aus­ge­ben­den Unter­neh­men die sie betref­fen­den Daten verlan­gen, um sie zu ande­ren Anbie­tern mitzunehmen.

• Teil­nah­me an einem Preis­aus­schrei­ben sowie anschlie­ßen­der Zusen­dung von (Werbe-) Informationen.
• Teil­nah­me an Markt­for­schungs­um­fra­gen, welche durch die verant­wort­li­che Stelle inizi­iert und für das eigene Unter­neh­men durch­ge­führt werden (Ausnah­me: anonym durch­ge­führ­te Umfragen).
• Teil­nah­me an Program­men zur Kunden­bin­dung wie z. B. Kunden‑, Rabatt- oder Bonus­pro­gram­men (z. B. Kunden­kar­te) sowie der anschlie­ßen­den (perso­na­li­sier­ten) Zusen­dung von (Werbe-) Informationen.

Ob Influ­en­cer, Blog­ger oder Online Shop: Die DSGVO nimmt alle in die Pflicht, die im Inter­net aus wirt­schaft­lich Grün­den heraus aktiv sind und in der EU gewerbs­mä­ßig Waren oder Dienst­lei­stun­gen anbie­ten und verkau­fen. Wich­tig für die Betrei­ber von Online Shops: Unter den Begriff der perso­nen­be­zo­ge­nen Daten fallen auch tech­ni­sche Eckda­ten wie die IP-Adres­se oder genutz­te Cookies.

Bieten Online Shops durch Kontakt­for­mu­la­re die Möglich­keit, unkom­pli­ziert mit dem Online Händ­ler in Verbin­dung zu treten, müssen die User auf der Websei­te vor der Benut­zung des Formu­lars über folgen­des infor­miert werden:

• Art, Umfang und Zweck der Daten­ab­fra­ge sowie
• die Verwen­dung und Verar­bei­tung der abge­frag­ten perso­nen­be­zo­ge­nen Daten.

Beach­ten Sie immer das Prin­zip der Daten­mi­ni­mie­rung gemäß Art. 5 DSGVO und fragen Sie nur die Daten ab, die Sie tatsäch­lich benötigen.

Check­li­ste — Das müssen Shop­be­trei­ber zur DSGVO konkret tun: Damit Sie als Betrei­ber eines Online Shops die DSGVO die daten­schutz­kon­for­me Daten­ver­ar­bei­tung für Ihre Kunden und Inter­es­sen­ten gewähr­lei­sten können, empfiehlt sich die Prüfung und ggf. Anpas­sung folgen­der Punkte:

• Daten­schutz­er­klä­rung,
• Kontakt­for­mu­lar,
• Über­tra­gung (SSL-Verschlüs­se­lung),
• Analy­se-Tools,
• Cookies (Zustim­mungs­pflicht),
• News­let­ter (Double-Opt-in-Verfah­ren),
• Schutz für Minder­jäh­ri­ge (Einwil­li­gungs­mög­lich­keit Erziehungsberechtigte).

Websi­ten müssen über eine voll­stän­di­ge und aktu­el­le Daten­schutz­er­klä­rung verfü­gen. Diese darf nicht unter einer ande­ren Rubrik, mit mehre­ren verschie­de­nen Themen zusam­men­ge­fasst werden. Die Daten­schutz­er­klä­rung muss von jeder Seite und Unter­sei­te aus abruf­bar sein.

• Kontakt­mög­lich­keit
• Daten- oder Daten­ka­te­go­rien die erho­ben, verar­bei­tet weiter­ge­ge­ben oder gespei­chert werden
• Zweck der Erhe­bung, Verar­bei­tung, Weiter­ga­be oder Speicherung
• Spei­cher­dau­er
• Kontakt­da­ten des Datenschutzbeauftragten
• Ob eine Daten­über­mitt­lung an Dritte oder das Ausland geplant sind
• Wider­rufs­be­leh­rung
• Daten­über­tra­gung an Dritte (z.B. Google+, Face­book, Google Analy­tics, Piwik, usw.)

Verant­wort­li­che für Websi­ten können verschie­de­ne Dien­ste in Anspruch nehmen um z. B. Stand­ort, Öffnungs­zei­ten, etc. opti­mal in der Google-Such­ma­schi­ne anzei­gen zu lassen. Gerade im Einzel­han­del ist der Weg zum Geschäft / zur Filia­le oder die Öffnungs­zei­ten so für even­tu­el­le Kunden mit einem Blick ersicht­lich. Im Rahmen der Account-Erstel­lung (Google My Busi­ness Account) aber auch bei der Angabe der Daten, die veröf­fent­licht werden sollen, spielt der Daten­schutz eine große Rolle.

• Einwil­li­gung bei Fotoveröffentlichungen
• Benut­zer-Rechte-Konzept
• Rege­lung zum Umgang mit Bewer­tun­gen / Rezensionen
• Auftrags­ver­ar­bei­tung Google
• Beach­tung der Rechts­grund­la­ge für die Veröf­fent­li­chung von Kontaktdaten
• Führen eines Verfah­rens nach Art. 30 DSGVO für die Auswer­tung von Nutzerdaten
• Wider­rufs­be­leh­rung für Bewer­tun­gen umset­zen (Prozess beschreiben)

Bei allen Daten­ver­öf­fent­li­chun­gen ist darauf zu achten, dass ausschließ­lich dienst­li­che Daten wie z.B. bei Nennung der Mobil­funk­num­mer, Tele­fon­num­mer des Inha­bers / des Geschäfts­füh­rers oder ggf. auch der Beschäf­tig­ten verwen­det werden.

Ein Bestand­teil des Online-Marke­tings ist das E‑Mail-Marke­ting. Hier versen­den die Unter­neh­men beispiels­wei­se News­let­ter und andere Marke­ting-Botschaf­ten per Mail an ihre Ziel­grup­pe. Die persön­li­che und direk­te Kunden­an­spra­che, sowie die gerin­gen Kosten und die großen Gestal­tungs­mög­lich­kei­ten, machen diese Art von Marke­ting so beliebt.

• E‑Mail-Werbung ohne Einwil­li­gung des Adres­sa­ten stellt (gemäß § 7 UWG) grund­sätz­lich eine unzu­mut­ba­re Belä­sti­gung dar.
• Die Ertei­lung der Einwil­li­gung muss nach­weis­bar sein (Art. 6 DSGVO).
• Es muss bewie­sen werden können, dass tatsäch­lich der Betrof­fe­ne einge­wil­ligt hat (Double-Opt-In-Verfah­ren).
• Erhe­bung von Namen und Anschrift sind für die Zusen­dung nicht erfor­der­lich, somit keine „Pflicht­fel­der“ (§ 13 TMG).
• Einfa­che Wider­rufs­mög­lich­keit muss vorge­se­hen sein, der Nutzer muss vor der Einwil­li­gung darauf hinge­wie­sen werden (§ 13 TMG).
• Der Adres­sat hat in die Zustel­lung von Werbe­mails einge­wil­ligt und der Inhalt der Werbe­mail passt zur Produkt­ka­te­go­rie, für die er Werbung erhal­ten möchte.

Die einzi­ge Ausnah­me vom Grund­satz „Keine Kalt­ak­qui­se“ sind Bestands­kun­den. Diesen können Sie auch ohne Einwil­li­gung Mails zusen­den, wenn diese bei Vertrags­ab­schluss darauf hinge­wie­sen wurden, dass die erho­be­nen Daten auch zu Werbungs­zwecken verwen­det werden sollen. Nach § 7 Abs. 3 UWG ist das Zusen­den erlaubt, wenn:

• ein Unter­neh­mer im Zusam­men­hang mit dem Verkauf einer Ware oder Dienst­lei­stung von dem Kunden die E‑Mail-Adres­se erhal­ten hat.
• der Unter­neh­mer die Adres­se zur Direkt­wer­bung für eigene ähnli­che Waren oder Dienst­lei­stun­gen verwendet.
• der Kunde der Verwen­dung nicht wider­spro­chen hat.
• der Kunde bei Erhe­bung der Adres­se (also bei der 1. Bestel­lung) und bei jeder Verwen­dung klar und deut­lich darauf hinge­wie­sen wird, dass er der Verwen­dung jeder­zeit wider­spre­chen kann, ohne dass hier­für andere als die Über­mitt­lungs­ko­sten nach den Basis­ta­ri­fen entstehen.
• Da im Zwei­fels­fall die verant­wort­li­che Stelle nach­wei­sen muss, dass der Betrof­fe­ne über die Erhe­bung seiner perso­nen­be­zo­ge­ne Daten für den Zweck der Werbung infor­miert wurde, ist das Einho­len einer Einwil­li­gung (nach Art. 6 DSGVO) auch hier empfehlenswert.

Hinzu kommt noch eine zeit­li­che Grenze, die von den Gerich­ten leider unter­schied­lich ausge­legt ist. Länger als 2 Jahre sollte die letzte Bestel­lung / der letzte Auftrag Ihres Kunden nicht zurück liegen.