Transcript
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Unternehmensverkauf und Datenschutz Datenschutzkonformes Handling, Prüfpflichten und Verantwortlichkeiten
Wirtschaft digital Das IHK Themenforum Bei Unternehmenskauf und -verkauf im Fokus: IT, Datenschutz und Bewertung Mittwoch 14. Oktober 2015 IHK Akademie München
Alexander Filip und Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
2
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
3
1
Klärung der Begriffe: Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Share Deal = Erwerb einer gesellschaftsrechtlichen Beteiligung an einem Unternehmen (z.B. Aktien einer AG, Anteile einer GmbH) – Rechtsträger des Unternehmens (z.B. GmbH) bleibt unverändert, es ändert sich nur die Struktur der Anteilseigner – personenbezogene Daten (z.B. von Kunden) verbleiben bei derselben „verantwortlichen Stelle“ (z.B. der GmbH), daher keine „Übermittlung“ – somit datenschutzrechtlich grundsätzlich unproblematisch
4
1
Klärung der Begriffe: Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Asset Deal = Veräußerung einzelner Wirtschaftsgüter (Assets), z.B. Maschinen, Gebäude, … – Erwerber ist ein gegenüber dem Veräußerer neuer Rechtsträger (z.B. ABC GmbH veräußert „Assets“ an die XYZ GmbH) – werden personenbezogene Daten als Asset übertragen, so gelangen sie zu einer neuen „verantwortlichen Stelle“ – somit „Übermittlung“ im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG – Häufiger Fall: Veräußerung durch den Insolvenzverwalter
5
1
Klärung der Begriffe: Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Umwandlungen gemäß Umwandlungsgesetz / UmwG (Verschmelzungen; Spaltungen) – UmwG ordnet Gesamtrechtsnachfolge an – daher keine „Übermittlung“ personenbezogener Daten • andere Ansicht: zwar Übermittlung, diese ist aber gerechtfertigt, da UmwG gegenüber BDSG vorrangig (§ 1 Abs. 3 Satz 1 BSDG)
– „Datenfluss“ an die neue Gesellschaft im Ergebnis nach beiden Ansichten unproblematisch zulässig
6
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
7
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• „Übermittlung“ liegt vor, sobald Kundendaten – an den Erwerber weitergegeben oder – vom Erwerber abgerufen oder eingesehen werden
• Übermittlung personenbezogener Daten nur zulässig, wenn – Betroffener vorher eingewilligt hat oder – Übermittlung aufgrund einer Rechtsvorschrift zulässig ist (§ 4 Abs. 1 BDSG sog. Verbot mit Erlaubnisvorbehalt)
8
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• bei Asset Deals ist häufig die Übermittlung der „Kundendatenbank“ gewollt – typischerweise Stammdaten / Kontaktdaten (Name, postalische Adresse, ggf. E-Mail-Adresse, Telefonnummer, …) – u.U. weitergehende Daten, z.B. Konto-/Kreditkartendaten , „Bestellhistorie“, Interessenprofil, besondere Wünsche (z.B. bei „Stammkunden“), Historie der im Rahmen der Kundenbetreuung stattgefundenen Kontakte, …
9
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Einwilligung der Kunden liegt meist nicht vor
• Übermittlung aufgrund einer Rechtsvorschrift zulässig?
10
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• § 28 Abs. 3 Satz 2 BDSG: sog. Listendaten dürfen zu Werbezwecken auch ohne Einwilligung übermittelt werden • sog. Listendaten: Name, postalische Adresse, Geburtsjahr • nicht: Geburtsdatum, Telefonnummer, E-Mail-Adresse, Konto/Kreditkartendaten, „Bestellhistorie“, …
• Was ist mit den Nicht-Listendaten?
11
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Übermittlung auf Grundlage einer Rechtsvorschrift? – Veräußerer hat Interesse, Kundendaten zu verkaufen • so z.B. im Insolvenzfall • Allerdings keineswegs auf Insolvenzfälle beschränkt
– Erwerber hat oft Interesse, die Bestandskunden des Veräußerers selbst werblich anzusprechen – aber: Gesetz erlaubt Übermittlung zu werblichen Zwecken (sofern keine Einwilligung der Betroffenen vorliegt) nur für sog. Listendaten (s.o.) – sofern Übermittlungszweck die Werbung ist, dürfen Nicht-Listendaten somit nicht übermittelt werden
12
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• „Lösung“ nur möglich, wenn die Daten außer für werbliche Zwecke noch in Wahrnehmung anderer „berechtigter Interessen“ der beteiligten Unternehmen übermittelt werden
• Frage des Einzelfalls; Gesamtbetrachtung der Transaktion nötig
• hierbei: Fortführung des Unternehmens oder eines Unternehmensteils als (gegenüber der Werbung) eigenständiges Interesse denkbar
13
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Fortführung des Unternehmens • setzt meist voraus, dass das gesamte „Unternehmen“ oder zumindest ein Geschäftsbereich veräußert wird – nur dann kann man in der Regel von Unternehmens(teil)veräußerung sprechen – setzt wohl in der Regel die Veräußerung mehrerer signifikanter Vermögensgegenstände (Assets) voraus – Veräußerung einzig der Kundendatenbank genügt jedenfalls nicht, da dabei meist Werbezweck im Vordergrund stehen wird (dazu s.o.)
• Frage des Einzelfalls: Maßgeblich ist, ob man bei einer Gesamtbetrachtung von einer Fortführung des Unternehmens oder zumindest eines signifikanten Geschäftsbereichs sprechen kann
14
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Bei „Unternehmens(teil)fortführung“ kann Übermittlung u.U. mit berechtigten Interessen von Veräußerer und Erwerber legitimiert werden – allerdings nur, soweit schutzwürdige Interessen der Betroffenen (Kunden) dem nicht entgegenstehen bzw. nicht überwiegen (§ 28 Abs. 2 Nr. 1 bzw. Nr. 2 a BDSG) – Wann das der Fall ist, sagt das Gesetz leider nicht. – Fraglich bezgl. Kontoverbindungsdaten – Unzulässig jedenfalls bei besonderen Arten personenbezogener Daten, z.B. Gesundheitsdaten!
15
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• Auffassung des BayLDA: sog. Widerspruchslösung: Übermittlung (nur) zulässig, wenn – die Betroffenen vorher über die geplante Übermittlung ihrer Daten informiert wurden, – ihnen dabei ein ausreichend lang bemessenes Widerspruchsrecht (Regel: ca. 3 Wochen, jedoch Frage des Einzelfalls) eingeräumt wurde – und sie nicht widersprochen haben.
16
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Kriterien der Widerspruchslösung • korrekte Reihenfolge: erst Information mit Einräumung des Widerspruchsrechts; Übermittlung erst nach Ablauf der Widerspruchsfrist • Potentieller Erwerber darf im Zeitpunkt der Information noch keine Verfügungsgewalt über die Daten haben. • Nachträgliche Information der Kunden genügt nicht.
17
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Sonderproblem E-Mail- u. Telefonwerbung Sonderproblem: Erwerber möchte die E-Mail-Adressen und/oder Telefonnummern für eigene Werbezwecke nutzen
• Im Ergebnis - selbst bei Befolgung der „Widerspruchslösung“ nicht möglich (!) • Grund: § 7 Abs. 2 und Abs. 3 UWG: E-Mail-Werbung nur mit ausdrücklicher Einwilligung des Adressaten zulässig • Selbst eine vom Kunden dem Veräußerer erteilte Einwilligung zur E-Mail-Werbung hilft nicht, denn sie geht nicht auf den Erwerber über. 18
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Sonderproblem E-Mail- u. Telefonwerbung • Erworbene E-Mail-Adressen u. Telefonnummern sind damit hinsichtlich Werbung „totes Material“. • Anders bei Kunden, die zwischenzeitlich einen Vertrag mit dem Erwerber eingegangen sind: Gegenüber solchen Eigenkunden darf der Erwerber unter den Voraussetzungen des § 7 Abs. 3 UWG E-Mail-Werbung betreiben.
19
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Sonderfall bestehende Vertragsverhältnisse Bestehende Vertragsverhältnisse (z.B. Darlehen, Miete, Abonnements) können nur mit Zustimmung aller Vertragsparteien „im Ganzen“ auf den Erwerber übertragen werden. • Zustimmung des Kunden somit schon aus zivilrechtlichen Gründen nötig • datenschutzrechtliche Problematik ist demgegenüber nur sekundär
20
2
Datenschutzrechtliche Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Sonderfall Forderungsabtretung Forderungen können zivilrechtlich auch ohne Zustimmung des Schuldners abgetreten werden • Dürfen Daten des Schuldners an den Zessionar (Forderungserwerber) übermittelt werden? • in der Regel ja (§ 398 i.V.m. § 402 BGB) • u.U. aber nein, wenn Daten einem Berufsgeheimnis (§ 203 StGB) unterfallen (z.B. Arzt, Rechtsanwalt) – hier differenzierte Rechtsprechung, auch mit Unterschieden zwischen den einzelnen Berufsgruppen
21
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
22
3
Verantwortlichkeiten und Prüfpflichten
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Verantwortlichkeit • Datenschutzrechtlich verantwortlich sind grundsätzlich sowohl Veräußerer als auch Erwerber (Es geht um „übermitteln“ und „erheben“).
23
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
24
4
Was sagt die Rechtsprechung?
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• BAG, Urt. v. 20.05.2010, Az 8 AZR 872/08 (Asset Deal von BenQ) Nur eine ordnungsgemäße Unterrichtung setzt die Widerspruchsfrist nach § 613a Abs. 6 in Gang
• LAG München, Urt. v. 10.02.2010, Az 6 Sa 872/07 Ein Unterrichtungsschreiben ist fehlerhaft und unvollständig iSv § 613a Abs. 5 BGB beim Fehlen der Angabe der Anschrift des Betriebserwerbers, der Angabe für den Grund des Übergangs und der näheren Ausgestaltung des zugrunde liegenden Rechtsgeschäfts
25
4
Was sagt die Rechtsprechung?
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
• LG Düsseldorf, Urt. v. 06.02.2012, Az 5 O 288/06 u.a. Der Käufer einer Steuerberaterpraxis kann von dem Kaufvertrag zurücktreten, wenn der verkauften Praxis zum Zeitpunkt der Übergabe eine vereinbarte Beschaffenheit i.S.v. § 434 BGB in Form der vereinbarten Ertragsfähigkeit (nachhaltiges jährliches Nettohonorar), bezogen auf den Fortbestand und den Umsatzwert der laufenden Mandate, fehlte.
• OLG Köln, Urt. v. 14.08.2009, Az I-6 70/09 Der Antragsgegnerin wird untersagt, im geschäftlichen Verkehr zum Zwecke des Wettbewerbs ehemalige eigene Kunden zum Zwecke der Werbung anzuschreiben, wenn sie hierbei die Information nutzt, dass diese zur Antragstellerin gewechselt sind, eine Einwilligung der Verbraucher in die Nutzung dieser Information nicht vorliegt . 26
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
27
Wenn´s daneben geht: Bußgeldverfahren
5
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Doppelfunktion des BayLDA BayLDA als Aufsichtsbehörde
BayLDA als Bußgeldbehörde Präsident •
Leitung
•
Grundsatzfragen
•
Öffentlichkeitsarbeit
Geschäftsstelle
Referat 1
Referat 2
Referat 3
Referat 4
Referat 5
•
Beschäftigtendatenschutz
•
Banken
•
Versicherungen
•
Internet
•
Industrie
•
Auskunfteien
•
Telemedien
•
Handel
Videoüberwachung
•
Werbung
Gesundheitswesen
•
•
•
Geodatendienste
•
Bußgeldverfahren
Freiberufliche Tätigkeiten
•
Apps
•
Internationaler Datenverkehr
Soziale Einrichtungen
•
Vereine
•
Vermietung und Wohneigentum
•
Auftragsdatenverarbeitung
•
•
Kundenbindung
•
•
Datenschutzorganisation
Referat 6 •
Technischer Datenschutz
•
IT-Sicherheit
28
5
Wenn´s daneben geht: Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Folgen bei Verstößen • unzulässige Übermittlung -> Speicherung beim Erwerber ebenfalls unzulässig – Erwerber muss die Kundendaten löschen (Ausnahme: Listendaten, s.o.) – Datenschutzaufsichtsbehörde kann dies per Anordnung durchsetzen.
• zudem (häufig) Ordnungswidrigkeit – Geldbuße bis zu 300.000,- € möglich
29
5
Wenn´s daneben geht: Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Mögliche Adressaten für Bußgeld • Geldbuße ist grundsätzlich gegen beide beteiligten Unternehmen denkbar . • Geldbußen auch denkbar gegen die Personen, die die entsprechende unternehmerische Entscheidung getroffen haben.
30
5
Wenn´s daneben geht: Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
31
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
32
6
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO Vorschlag EU-Kommission EU-Parlament
Standpunkt: 12.03.2014
Vorschlag: 25.01.2012
EU-Rat
Standpunkt: 16.06.2015
Gemeinsamer Gesetzgeber: Parlament und Rat Trilog läuft seit 24. Juni 2016 Für BayLDA mit europaweiter Zuständigkeit für relevante bayerische Unternehmen wird´s sicherlich nicht leichter/weniger 33
6
… und in Zukunft nach DS-GVO
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Informationsmöglichkeit über Diskussionsstand zur DS-GVO unter www.lda.bayern.de
34
6
… und in Zukunft nach DS-GVO
http://www.eppgroup.eu/de/news/Data-protection-reform-timetable
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
35
6
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO
Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung Kommission
EU-Parlament
Rat
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
1. Die Verarbeitung personenbezogener Daten ist 1. Die Verarbeitung personenbezogener Daten ist nur 1. nur rechtmäßig, wenn mindestens eine der nachrechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: stehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenVerarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau bezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben. festgelegte Zwecke gegeben.
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(a) Die betroffene Person hat ihre unmissverständliche Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben;
b) Die Verarbeitung ist für die Erfüllung eines b) Die Verarbeitung ist für die Erfüllung eines Vertrags, (b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene dessen Vertragspartei die betroffene Person ist, Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung erforderlich oder zur Durchführung vorvertraglicher Person ist, oder zur Durchführung vorvertraglicher vorvertraglicher Maßnahmen, die auf Antrag der Maßnahmen, die auf Antrag der betroffenen Person Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen. erfolgen. betroffenen Person erfolgen; … f)
…
…
Die Verarbeitung ist zur Wahrung der f) Die Verarbeitung ist zur Wahrung der berechtigten (f) Interessen des für die Verarbeitung Verantwortlichen berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die – oder, im Fall der Weitergabe, der berechtigten Interessen eines Dritten, an den die Daten Interessen oder Grundrechte und Grundfreiheiten weitergegeben wurden – , die die berechtigten der betroffenen Person, die den Schutz Erwartungen der betroffenen Person, die auf personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllen, erforderlich, betroffenen Person um ein Kind handelt. Dieser sofern nicht die Interessen oder Grundrechte und gilt nicht für die von Behörden in Erfüllung ihrer Grundfreiheiten der betroffenen Person, die den Aufgaben vorgenommene Verarbeitung. Schutz personenbezogener Daten erfordern, überwiegen. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (…) .
36
6
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO
Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung Kommission
EU-Parlament
Rat
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
1. Die Verarbeitung personenbezogener Daten ist 1. Die Verarbeitung personenbezogener Daten ist nur 1. nur rechtmäßig, wenn mindestens eine der nachrechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: stehenden Bedingungen erfüllt ist: a) Die
betroffene
Person
hat
Einwilligung
(a) Die betroffene unmissverständliche
ihre
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau Verarbeitung der sie betreffenden personenfestgelegte Zwecke gegeben. bezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben. zu
b) Die Verarbeitung ist für die Erfüllung eines
Vertrags,
… Die
Verarbeitung
ist
ihre
zu
der
Vertrags
, dessen Vertragspartei
die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen; …
zur f) Die Verarbeitung ist zur Wahrung der berechtigten (f) Interessen des für die Verarbeitung Verantwortlichen – oder, im Fall der Weitergabe, der berechtigten Interessen eines Dritten, an den die Daten weitergegeben wurden – , die die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllen, erforderlich, sofern nicht die Interessen oder Grundrechte und des für die Grundfreiheiten der betroffenen Person, die den Verarbeitung Verantwortlichen erforderlich, sofern Schutz personenbezogener Daten erfordern, nicht die Interessen oder Grundrechte und überwiegen. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Grundfreiheiten der betroffenen Person, die den Verarbeitung. Schutz personenbezogener Daten erfordern, über-wiegen, insbesondere dann, wenn es sich
Wahrung der berechtigten Interessen
hat
Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben; (b) die Verarbeitung ist für die Erfüllung eines
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, dessen Vertragspartei erforderlich oder zur Durchführung vorvertraglicher die betroffene Person ist, erforderlich oder zur Maßnahmen, die auf Antrag der betroffenen Person erfolgen. Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.
f)
Person
Einwilligung
der
…
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
die
Verarbeitung
ist
zur
Wahrung der berechtigten Interessen des
für
die
Verarbeitung Verantwort-lichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grund-freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, über-wiegen, insbesondere
37
B AYERISCHES L ANDESAMT FÜR D ATENSCHUTZ A UFSICHT
Vielen Dank für Ihr Interesse
Alexander Filip Thomas Kranig Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 (Schloss) 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981) 53-5300 E-Mail:
[email protected] Webseite: www.lda.bayern.de
