Inhaltsverzeichnis (verbergen)

Datenschutzrecht

Datenschutzrecht

Formelle Anforderungen an die Erklärung

Weiterhin muss eine rechtskonforme Einwilligungserklärung auch bestimmte formelle Voraussetzungen aufweisen.

Höchstpersönliche Erklärung

Nach allgemeiner Ansicht muss eine Datenschutzerklärung höchstpersönlich erfolgen. Dies bedeutet, dass eine Einwilligung durch einen Bevollmächtigten grundsätzlich ausscheidet. Die praktische Bedeutung dieser Vorschrift im Universitätsalltag dürfte jedoch als gering einzustufen sein.

Ausdrückliche oder konkludente Einwilligung

Eine konkludente oder stillschweigende Erklärung des Betroffenen genügt nicht für die Einwilligung in die Erhebung und Verwendung seiner personenbezogenen Daten (vgl. Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 4 a Rn. 46 m.w.N.). Dies folgt bereits daraus, dass die Einwilligungserklärung grundsätzlich schriftlich abzugeben ist.

Schriftlichkeit

Nach der Regelung in Art. 15 Abs. 3 S. 1 BayDSG bedarf eine Einwilligungserklärung grundsätzlich der Schriftform, wenn nicht wegen besonderer Umstände (ausnahmsweise) eine andere Form angemessen ist. Dies bedeutet nach allgemeinen Rechtsgrundsätzen, dass die Einwilligung vom Betroffenen unterschrieben werden muss (vgl. § 126 Abs. 1 BGB). Dies kann in einem eCampus ein Problem darstellen, wenn die gesamte Einwilligung vollständig auf elektronischem Wege erfolgen soll.

Besonderheit der elektronischen Einwilligung

Aus diesem Grund sieht § 13 Abs. 2 TMG für Telemedien eine bereichsspezifische Sondervorschrift vor, derzufolge unter bestimmten Umständen auch eine elektronische Einwilligung möglich ist. Eine solche genügt dann, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Die erste Voraussetzung der bewussten und eindeutigen Einwilligung nimmt dabei teilweise die oben bezeichneten materiellen Anforderungen an die Einwilligung in Bezug. Erforderlich ist dementsprechend, dass der Betroffene objektiv einen Einwilligungstatbestand erfüllt und subjektiv mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen im Hinblick auf die Verarbeitung konkret bezeichneter Daten handelt (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25 ff.).

Neben die Protokollierungspflicht tritt die Verpflichtung des Diensteanbieters die Einwilligungserklärung zu jeder Zeit während des Bestehens des Anbieter-Nutzer-Verhältnisses abrufbar zu halten. Erforderlich ist insoweit, dass der standardisierte Einwilligungstext jederzeit eingesehen werden kann.

Das abschließende Erfordernis der jederzeitigen Widerrufsmöglichkeit für die Zukunft entspricht inhaltlich der auch für die schriftliche Einwilligung bestehenden Widerrufsbefugnis. Im Hinblick auf die elektronische Einwilligung folgt hieraus die Pflicht des Diensteanbieters, die notwendige technische Infrastruktur zu schaffen, damit der Nutzer von der ihm zustehenden Befugnis auch tatsächlich Gebrauch machen kann (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 34 f.).

Zeitpunkt der Einwilligungserklärung

Die Erklärung muss grundsätzlich vor der Datenerhebung, Verarbeitung oder Nutzung abgegeben werden. Nur dann kann von einer Einwilligung im Rechtssinn gesprochen werden (vgl. die Regelung in § 186 BGB). Eine im Nachhinein erteilte Zustimmung (eine Genehmigung) ist nicht ausreichend. Es muss daher bei der Organisation des eCampus strikt darauf geachtet werden, dass eine Einwilligungserklärung vorliegt, bevor mit der Datenerhebung oder Datenverarbeitung begonnen wird.

Widerruf oder Anfechtung der Einwilligung

Eine einmal erteilte Einwilligung kann grundsätzlich widerrufen bzw. in bestimmten Fällen auch angefochten werden. Ein Widerruf kann grundsätzlich frei und ohne Einhaltung einer bestimmten Form erklärt werden (Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht ?, 4. Aufl. 2005, S. 324.). Er wirkt jedoch nur für die Zukunft, da sonst die paradoxe Situation entstehen würde, dass eine ursprünglich legale Datenerhebung rückwirkend rechtswidrig werden würde.

Im Rahmen der Organisation eines eCampus ist in diesem Zusammenhang weiterhin zu beachten, dass im Falle eines Widerrufs die bislang gespeicherten Daten des Betroffenen umgehend zu löschen bzw. eventuell erhaltene Unterlagen an den Betroffenen herauszugeben sind.

In bestimmten Fällen kann dem Betroffenen auch ein Anfechtungsrecht wegen Irrtums oder wegen Täuschung nach den allgemeinen zivilrechtlichen Vorschriften zustehen (§§ 119, 123 BGB). Bei einer erfolgten Anfechtung wird die Einwilligung dann weitestgehend so behandelt, als wäre sie nie erteilt worden (vgl. § 142 Abs. 1 BGB).

Diese Tatbestände dürften im Rahmen eines eCampus keine sehr große Bedeutung haben: Ein Irrtum wäre z.B. dann anzunehmen, wenn sich eine Studentin/ ein Student bei der Abgabe seiner Einwilligung (völlig) falsche Vorstellungen über den Zweck der Datenerhebung und die spätere Verwendung seiner Daten gemacht hätte.

Eine Anfechtung wegen Täuschung käme dagegen z.B. dann in Betracht, wenn ein Mitarbeiter der Universität falsche Angaben über den Zweck der Datenerhebung und die weitere Verwendung der Daten gemacht hätte und eine Studentin/ ein Student durch diese Angaben getäuscht worden wäre.

Einwilligung durch freiwillige Aktivierung von Sonderfunktionen

Soweit für die Nutzung einer implementierten Sonderfunktion die Einwilligung nach datenschutzrechtlichen Prinzipien für erforderlich erachtet wird, ist die Frage aufgeworfen, ob allein die Aktivierung der Sonderfunktion hier ausreichend ist.

Dazu müsste die freiwillige Nutzung der Funktionen als eindeutige und bewusste Erklärung im Sinne des § 13 Abs. 2 Nr. 1 TMG zu qualifizieren sein. Neben der Vornahme einer Handlung, die den objektiven Tatbestand einer Erklärung erfüllt, setzt dies voraus, dass der Nutzer mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen handelt (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Erforderlich ist dazu, dass für einen verständigen Nutzer die Abgabe einer rechtsverbindlichen Erklärung im Hinblick auf die Erhebung bzw. Verwendung seiner personenbezogenen Daten ersichtlich ist (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 4 TDDSG Rn. 17; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Dies wiederum setzt voraus, dass der Nutzer erkennen kann, welche Daten von seiner Einwilligung betroffen sind und zu welchen Zwecken diese Daten verarbeitet werden (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 26). Jedenfalls letzteres wird in Bezug auf die oben angesprochene Aktivierung zu verneinen sein. Erforderlich wird damit eine Aufklärung des Nutzers über die Funktionsweise der Sonderfunktion und die durch ihre Nutzung anfallenden Daten. Diese Information hat vor der ersten Nutzung und insoweit im Zusammenhang mit der Einwilligung in die Datenspeicherung und verwendung zu erfolgen. Auch wird man das erforderliche Erklärungsbewusstsein, also das Bewusstsein, überhaupt eine rechtsgeschäftliche Erklärung abzugeben, nur annehmen können, wenn zumindest die Aktivierung eines Schaltfeldes mit dem Text Ich akzeptiere und willige ein gefordert wird.

Weiterhin hilft auch die Freiwilligkeit der Inanspruchnahme weiterer Funktionalität nicht darüber hinweg, dass eine abgegebene Einwilligungserklärung des Nutzers protokolliert werden und im Nachhinein jederzeit abrufbar sein muss. Dies bedeutet zwar nicht, dass die konkrete, vom Nutzer geforderte Einwilligung einsehbar sein muss, das standardisierte Formular muss jedoch abgerufen werden können (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13: § 13 Pflichten des Diensteanbieters, Rn. 29 f.).

Damit ist davon auszugehen, dass allein die Freiwilligkeit der Nutzung bestimmter Funktionen nicht ausreichend für die Einwilligung in die Datennutzung ist.

Datenschutzerklärung

Strikt von der Einwilligung zu trennen, ist die so genannte Datenschutzerklärung. Hierbei handelt es sich um Aussagen eines Anbieters hier also der Universität die seine konkreten Zielsetzungen und Maßnahmen näher beschreibt. Sie soll also nach außen kommunizieren, dass sich die Universität auch bei der Verwendung eines digitalen Lernmanagementsystems datenschutzkonform verhält (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7 Rn. 119). Insofern dient die Datenschutzerklärung der Herstellung von Transparenz hinsichtlich der Art und Weise der Datenverarbeitung sowie der Einbindung der Öffentlichkeit in die Kontrolle des rechtskonformen Verhaltens. Dies setzt voraus, dass die abgegebene Erklärung verständlich, transparent und problembewusst den Umgang mit den Daten der Nutzerinnen und Nutzer beschreibt (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Auf diese Weise soll den Sorgen der Nutzer bezüglich des Umgangs mit ihren personenbezogenen Daten über die Möglichkeiten des Datenschutzaudits hinaus begegnet werden (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 119 f).

Die Datenschutzerklärung wird zunächst ohne Überprüfung durch eine dritte, unabhängige Seite von der Universität selbst verfasst (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42) und derart zur Verfügung gestellt, dass sie für die Interessierten auf zumutbare Weise auffindbar ist. Irrelevant ist dabei, auf welche Art und Weise die Zugänglichkeit sichergestellt wird. Grundsätzlich wäre somit auch der Abdruck der Informationen in einer Broschüre möglich, soweit auch hier der problemlose und uneingeschränkte Zugang zur Datenschutzerklärung sichergestellt ist (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 121). Damit ist es letztlich unerheblich, an welcher Stelle auf die Datenschutzerklärung verlinkt wird. Der maßgebliche Link muss nur derart sichtbar platziert werden, dass er für die Nutzer ohne weitere Probleme auffindbar ist.

Im Ergebnis stellt die Datenschutzerklärung damit eine Zusicherung der Daten verarbeitenden Stelle an die Nutzer dar, dass sie bei der Verarbeitung der personenbezogenen Daten die Datenschutzstandards einhält (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Dementsprechend sollte die Funktionsweise der geplanten Systeme sowie die anfallenden Einzelangaben über persönliche und sachliche Verhältnisse der Studierenden (personenbezogene Daten) in der Datenschutzerklärung angegeben werden.

Mit der Datenschutzerklärung kommt die datenverarbeitende Stelle ihrer Informationspflicht hinsichtlich der Abgabe einer informierten Einwilligung nach. Sie gibt ihm Aufschluss über die Art und Weise der Erhebung und Verwendung seiner Daten und ermöglicht ihm, sich ein Bild davon zu machen, auf welche Daten sich eine von ihm geforderte Einwilligung bezieht und zu welchen Zwecken die Daten verarbeitet werden (Vgl. hierzu die nach § 13 Abs. 1 TMG bestehende Informationspflicht; vgl. auch OLG Brandenburg v. 10.01.2006 7 U 52/05 MMR 2006, 405; Anmerkung Breyer, MMR 2006, 447; Schöttle, K&R K&R 2006, 236 Datenschutzrecht).

Formelle Anforderungen an die Erklärung

Weiterhin muss eine rechtskonforme Einwilligungserklärung auch bestimmte formelle Voraussetzungen aufweisen.

Höchstpersönliche Erklärung

Ausdrückliche oder konkludente Einwilligung

Schriftlichkeit

Besonderheit der elektronischen Einwilligung

Zeitpunkt der Einwilligungserklärung

Widerruf oder Anfechtung der Einwilligung

Einwilligung durch freiwillige Aktivierung von Sonderfunktionen

Damit ist davon auszugehen, dass allein die Freiwilligkeit der Nutzung bestimmter Funktionen nicht ausreichend für die Einwilligung in die Datennutzung ist.

Großansicht Aktuelle Änderungen Login Historie Druckansicht
Navigation Hauptseite Forum Kategorien Übersicht FAQs User Login Registrieren Sonstiges Rechtlicher Hinweis Datenschutzerklärung Impressum Kontakt TriadSkin powered by	Elrex Datenschutzrecht-Formelle Anforderungen Inhaltsverzeichnis (verbergen) Datenschutzrecht Formelle Anforderungen an die Erklärung Einwilligung durch freiwillige Aktivierung von Sonderfunktionen Datenschutzerklärung Formelle Anforderungen an die Erklärung Einwilligung durch freiwillige Aktivierung von Sonderfunktionen Datenschutzerklärung Datenschutzrecht Formelle Anforderungen an die Erklärung Weiterhin muss eine rechtskonforme Einwilligungserklärung auch bestimmte formelle Voraussetzungen aufweisen. Höchstpersönliche Erklärung Nach allgemeiner Ansicht muss eine Datenschutzerklärung höchstpersönlich erfolgen. Dies bedeutet, dass eine Einwilligung durch einen Bevollmächtigten grundsätzlich ausscheidet. Die praktische Bedeutung dieser Vorschrift im Universitätsalltag dürfte jedoch als gering einzustufen sein. Ausdrückliche oder konkludente Einwilligung Eine konkludente oder stillschweigende Erklärung des Betroffenen genügt nicht für die Einwilligung in die Erhebung und Verwendung seiner personenbezogenen Daten (vgl. Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 4 a Rn. 46 m.w.N.). Dies folgt bereits daraus, dass die Einwilligungserklärung grundsätzlich schriftlich abzugeben ist. Schriftlichkeit Nach der Regelung in Art. 15 Abs. 3 S. 1 BayDSG bedarf eine Einwilligungserklärung grundsätzlich der Schriftform, wenn nicht wegen besonderer Umstände (ausnahmsweise) eine andere Form angemessen ist. Dies bedeutet nach allgemeinen Rechtsgrundsätzen, dass die Einwilligung vom Betroffenen unterschrieben werden muss (vgl. § 126 Abs. 1 BGB). Dies kann in einem eCampus ein Problem darstellen, wenn die gesamte Einwilligung vollständig auf elektronischem Wege erfolgen soll. Besonderheit der elektronischen Einwilligung Aus diesem Grund sieht § 13 Abs. 2 TMG für Telemedien eine bereichsspezifische Sondervorschrift vor, derzufolge unter bestimmten Umständen auch eine elektronische Einwilligung möglich ist. Eine solche genügt dann, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Die erste Voraussetzung der bewussten und eindeutigen Einwilligung nimmt dabei teilweise die oben bezeichneten materiellen Anforderungen an die Einwilligung in Bezug. Erforderlich ist dementsprechend, dass der Betroffene objektiv einen Einwilligungstatbestand erfüllt und subjektiv mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen im Hinblick auf die Verarbeitung konkret bezeichneter Daten handelt (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25 ff.). Neben die Protokollierungspflicht tritt die Verpflichtung des Diensteanbieters die Einwilligungserklärung zu jeder Zeit während des Bestehens des Anbieter-Nutzer-Verhältnisses abrufbar zu halten. Erforderlich ist insoweit, dass der standardisierte Einwilligungstext jederzeit eingesehen werden kann. Das abschließende Erfordernis der jederzeitigen Widerrufsmöglichkeit für die Zukunft entspricht inhaltlich der auch für die schriftliche Einwilligung bestehenden Widerrufsbefugnis. Im Hinblick auf die elektronische Einwilligung folgt hieraus die Pflicht des Diensteanbieters, die notwendige technische Infrastruktur zu schaffen, damit der Nutzer von der ihm zustehenden Befugnis auch tatsächlich Gebrauch machen kann (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 34 f.). Zeitpunkt der Einwilligungserklärung Die Erklärung muss grundsätzlich vor der Datenerhebung, Verarbeitung oder Nutzung abgegeben werden. Nur dann kann von einer Einwilligung im Rechtssinn gesprochen werden (vgl. die Regelung in § 186 BGB). Eine im Nachhinein erteilte Zustimmung (eine Genehmigung) ist nicht ausreichend. Es muss daher bei der Organisation des eCampus strikt darauf geachtet werden, dass eine Einwilligungserklärung vorliegt, bevor mit der Datenerhebung oder Datenverarbeitung begonnen wird. Widerruf oder Anfechtung der Einwilligung Eine einmal erteilte Einwilligung kann grundsätzlich widerrufen bzw. in bestimmten Fällen auch angefochten werden. Ein Widerruf kann grundsätzlich frei und ohne Einhaltung einer bestimmten Form erklärt werden (Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht ?, 4. Aufl. 2005, S. 324.). Er wirkt jedoch nur für die Zukunft, da sonst die paradoxe Situation entstehen würde, dass eine ursprünglich legale Datenerhebung rückwirkend rechtswidrig werden würde. Im Rahmen der Organisation eines eCampus ist in diesem Zusammenhang weiterhin zu beachten, dass im Falle eines Widerrufs die bislang gespeicherten Daten des Betroffenen umgehend zu löschen bzw. eventuell erhaltene Unterlagen an den Betroffenen herauszugeben sind. In bestimmten Fällen kann dem Betroffenen auch ein Anfechtungsrecht wegen Irrtums oder wegen Täuschung nach den allgemeinen zivilrechtlichen Vorschriften zustehen (§§ 119, 123 BGB). Bei einer erfolgten Anfechtung wird die Einwilligung dann weitestgehend so behandelt, als wäre sie nie erteilt worden (vgl. § 142 Abs. 1 BGB). Diese Tatbestände dürften im Rahmen eines eCampus keine sehr große Bedeutung haben: Ein Irrtum wäre z.B. dann anzunehmen, wenn sich eine Studentin/ ein Student bei der Abgabe seiner Einwilligung (völlig) falsche Vorstellungen über den Zweck der Datenerhebung und die spätere Verwendung seiner Daten gemacht hätte. Eine Anfechtung wegen Täuschung käme dagegen z.B. dann in Betracht, wenn ein Mitarbeiter der Universität falsche Angaben über den Zweck der Datenerhebung und die weitere Verwendung der Daten gemacht hätte und eine Studentin/ ein Student durch diese Angaben getäuscht worden wäre. Einwilligung durch freiwillige Aktivierung von Sonderfunktionen Soweit für die Nutzung einer implementierten Sonderfunktion die Einwilligung nach datenschutzrechtlichen Prinzipien für erforderlich erachtet wird, ist die Frage aufgeworfen, ob allein die Aktivierung der Sonderfunktion hier ausreichend ist. Dazu müsste die freiwillige Nutzung der Funktionen als eindeutige und bewusste Erklärung im Sinne des § 13 Abs. 2 Nr. 1 TMG zu qualifizieren sein. Neben der Vornahme einer Handlung, die den objektiven Tatbestand einer Erklärung erfüllt, setzt dies voraus, dass der Nutzer mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen handelt (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Erforderlich ist dazu, dass für einen verständigen Nutzer die Abgabe einer rechtsverbindlichen Erklärung im Hinblick auf die Erhebung bzw. Verwendung seiner personenbezogenen Daten ersichtlich ist (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 4 TDDSG Rn. 17; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Dies wiederum setzt voraus, dass der Nutzer erkennen kann, welche Daten von seiner Einwilligung betroffen sind und zu welchen Zwecken diese Daten verarbeitet werden (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 26). Jedenfalls letzteres wird in Bezug auf die oben angesprochene Aktivierung zu verneinen sein. Erforderlich wird damit eine Aufklärung des Nutzers über die Funktionsweise der Sonderfunktion und die durch ihre Nutzung anfallenden Daten. Diese Information hat vor der ersten Nutzung und insoweit im Zusammenhang mit der Einwilligung in die Datenspeicherung und verwendung zu erfolgen. Auch wird man das erforderliche Erklärungsbewusstsein, also das Bewusstsein, überhaupt eine rechtsgeschäftliche Erklärung abzugeben, nur annehmen können, wenn zumindest die Aktivierung eines Schaltfeldes mit dem Text Ich akzeptiere und willige ein gefordert wird. Weiterhin hilft auch die Freiwilligkeit der Inanspruchnahme weiterer Funktionalität nicht darüber hinweg, dass eine abgegebene Einwilligungserklärung des Nutzers protokolliert werden und im Nachhinein jederzeit abrufbar sein muss. Dies bedeutet zwar nicht, dass die konkrete, vom Nutzer geforderte Einwilligung einsehbar sein muss, das standardisierte Formular muss jedoch abgerufen werden können (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13: § 13 Pflichten des Diensteanbieters, Rn. 29 f.). Damit ist davon auszugehen, dass allein die Freiwilligkeit der Nutzung bestimmter Funktionen nicht ausreichend für die Einwilligung in die Datennutzung ist. Datenschutzerklärung Strikt von der Einwilligung zu trennen, ist die so genannte Datenschutzerklärung. Hierbei handelt es sich um Aussagen eines Anbieters hier also der Universität die seine konkreten Zielsetzungen und Maßnahmen näher beschreibt. Sie soll also nach außen kommunizieren, dass sich die Universität auch bei der Verwendung eines digitalen Lernmanagementsystems datenschutzkonform verhält (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7 Rn. 119). Insofern dient die Datenschutzerklärung der Herstellung von Transparenz hinsichtlich der Art und Weise der Datenverarbeitung sowie der Einbindung der Öffentlichkeit in die Kontrolle des rechtskonformen Verhaltens. Dies setzt voraus, dass die abgegebene Erklärung verständlich, transparent und problembewusst den Umgang mit den Daten der Nutzerinnen und Nutzer beschreibt (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Auf diese Weise soll den Sorgen der Nutzer bezüglich des Umgangs mit ihren personenbezogenen Daten über die Möglichkeiten des Datenschutzaudits hinaus begegnet werden (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 119 f). Die Datenschutzerklärung wird zunächst ohne Überprüfung durch eine dritte, unabhängige Seite von der Universität selbst verfasst (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42) und derart zur Verfügung gestellt, dass sie für die Interessierten auf zumutbare Weise auffindbar ist. Irrelevant ist dabei, auf welche Art und Weise die Zugänglichkeit sichergestellt wird. Grundsätzlich wäre somit auch der Abdruck der Informationen in einer Broschüre möglich, soweit auch hier der problemlose und uneingeschränkte Zugang zur Datenschutzerklärung sichergestellt ist (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 121). Damit ist es letztlich unerheblich, an welcher Stelle auf die Datenschutzerklärung verlinkt wird. Der maßgebliche Link muss nur derart sichtbar platziert werden, dass er für die Nutzer ohne weitere Probleme auffindbar ist. Im Ergebnis stellt die Datenschutzerklärung damit eine Zusicherung der Daten verarbeitenden Stelle an die Nutzer dar, dass sie bei der Verarbeitung der personenbezogenen Daten die Datenschutzstandards einhält (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Dementsprechend sollte die Funktionsweise der geplanten Systeme sowie die anfallenden Einzelangaben über persönliche und sachliche Verhältnisse der Studierenden (personenbezogene Daten) in der Datenschutzerklärung angegeben werden. Mit der Datenschutzerklärung kommt die datenverarbeitende Stelle ihrer Informationspflicht hinsichtlich der Abgabe einer informierten Einwilligung nach. Sie gibt ihm Aufschluss über die Art und Weise der Erhebung und Verwendung seiner Daten und ermöglicht ihm, sich ein Bild davon zu machen, auf welche Daten sich eine von ihm geforderte Einwilligung bezieht und zu welchen Zwecken die Daten verarbeitet werden (Vgl. hierzu die nach § 13 Abs. 1 TMG bestehende Informationspflicht; vgl. auch OLG Brandenburg v. 10.01.2006 7 U 52/05 MMR 2006, 405; Anmerkung Breyer, MMR 2006, 447; Schöttle, K&R K&R 2006, 236 Datenschutzrecht). Formelle Anforderungen an die Erklärung Weiterhin muss eine rechtskonforme Einwilligungserklärung auch bestimmte formelle Voraussetzungen aufweisen. Höchstpersönliche Erklärung Nach allgemeiner Ansicht muss eine Datenschutzerklärung höchstpersönlich erfolgen. Dies bedeutet, dass eine Einwilligung durch einen Bevollmächtigten grundsätzlich ausscheidet. Die praktische Bedeutung dieser Vorschrift im Universitätsalltag dürfte jedoch als gering einzustufen sein. Ausdrückliche oder konkludente Einwilligung Eine konkludente oder stillschweigende Erklärung des Betroffenen genügt nicht für die Einwilligung in die Erhebung und Verwendung seiner personenbezogenen Daten (vgl. Simitis, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 4 a Rn. 46 m.w.N.). Dies folgt bereits daraus, dass die Einwilligungserklärung grundsätzlich schriftlich abzugeben ist. Schriftlichkeit Nach der Regelung in Art. 15 Abs. 3 S. 1 BayDSG bedarf eine Einwilligungserklärung grundsätzlich der Schriftform, wenn nicht wegen besonderer Umstände (ausnahmsweise) eine andere Form angemessen ist. Dies bedeutet nach allgemeinen Rechtsgrundsätzen, dass die Einwilligung vom Betroffenen unterschrieben werden muss (vgl. § 126 Abs. 1 BGB). Dies kann in einem eCampus ein Problem darstellen, wenn die gesamte Einwilligung vollständig auf elektronischem Wege erfolgen soll. Besonderheit der elektronischen Einwilligung Aus diesem Grund sieht § 13 Abs. 2 TMG für Telemedien eine bereichsspezifische Sondervorschrift vor, derzufolge unter bestimmten Umständen auch eine elektronische Einwilligung möglich ist. Eine solche genügt dann, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Die erste Voraussetzung der bewussten und eindeutigen Einwilligung nimmt dabei teilweise die oben bezeichneten materiellen Anforderungen an die Einwilligung in Bezug. Erforderlich ist dementsprechend, dass der Betroffene objektiv einen Einwilligungstatbestand erfüllt und subjektiv mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen im Hinblick auf die Verarbeitung konkret bezeichneter Daten handelt (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25 ff.). Neben die Protokollierungspflicht tritt die Verpflichtung des Diensteanbieters die Einwilligungserklärung zu jeder Zeit während des Bestehens des Anbieter-Nutzer-Verhältnisses abrufbar zu halten. Erforderlich ist insoweit, dass der standardisierte Einwilligungstext jederzeit eingesehen werden kann. Das abschließende Erfordernis der jederzeitigen Widerrufsmöglichkeit für die Zukunft entspricht inhaltlich der auch für die schriftliche Einwilligung bestehenden Widerrufsbefugnis. Im Hinblick auf die elektronische Einwilligung folgt hieraus die Pflicht des Diensteanbieters, die notwendige technische Infrastruktur zu schaffen, damit der Nutzer von der ihm zustehenden Befugnis auch tatsächlich Gebrauch machen kann (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 34 f.). Zeitpunkt der Einwilligungserklärung Die Erklärung muss grundsätzlich vor der Datenerhebung, Verarbeitung oder Nutzung abgegeben werden. Nur dann kann von einer Einwilligung im Rechtssinn gesprochen werden (vgl. die Regelung in § 186 BGB). Eine im Nachhinein erteilte Zustimmung (eine Genehmigung) ist nicht ausreichend. Es muss daher bei der Organisation des eCampus strikt darauf geachtet werden, dass eine Einwilligungserklärung vorliegt, bevor mit der Datenerhebung oder Datenverarbeitung begonnen wird. Widerruf oder Anfechtung der Einwilligung Eine einmal erteilte Einwilligung kann grundsätzlich widerrufen bzw. in bestimmten Fällen auch angefochten werden. Ein Widerruf kann grundsätzlich frei und ohne Einhaltung einer bestimmten Form erklärt werden (Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht ?, 4. Aufl. 2005, S. 324.). Er wirkt jedoch nur für die Zukunft, da sonst die paradoxe Situation entstehen würde, dass eine ursprünglich legale Datenerhebung rückwirkend rechtswidrig werden würde. Im Rahmen der Organisation eines eCampus ist in diesem Zusammenhang weiterhin zu beachten, dass im Falle eines Widerrufs die bislang gespeicherten Daten des Betroffenen umgehend zu löschen bzw. eventuell erhaltene Unterlagen an den Betroffenen herauszugeben sind. In bestimmten Fällen kann dem Betroffenen auch ein Anfechtungsrecht wegen Irrtums oder wegen Täuschung nach den allgemeinen zivilrechtlichen Vorschriften zustehen (§§ 119, 123 BGB). Bei einer erfolgten Anfechtung wird die Einwilligung dann weitestgehend so behandelt, als wäre sie nie erteilt worden (vgl. § 142 Abs. 1 BGB). Diese Tatbestände dürften im Rahmen eines eCampus keine sehr große Bedeutung haben: Ein Irrtum wäre z.B. dann anzunehmen, wenn sich eine Studentin/ ein Student bei der Abgabe seiner Einwilligung (völlig) falsche Vorstellungen über den Zweck der Datenerhebung und die spätere Verwendung seiner Daten gemacht hätte. Eine Anfechtung wegen Täuschung käme dagegen z.B. dann in Betracht, wenn ein Mitarbeiter der Universität falsche Angaben über den Zweck der Datenerhebung und die weitere Verwendung der Daten gemacht hätte und eine Studentin/ ein Student durch diese Angaben getäuscht worden wäre. Einwilligung durch freiwillige Aktivierung von Sonderfunktionen Soweit für die Nutzung einer implementierten Sonderfunktion die Einwilligung nach datenschutzrechtlichen Prinzipien für erforderlich erachtet wird, ist die Frage aufgeworfen, ob allein die Aktivierung der Sonderfunktion hier ausreichend ist. Dazu müsste die freiwillige Nutzung der Funktionen als eindeutige und bewusste Erklärung im Sinne des § 13 Abs. 2 Nr. 1 TMG zu qualifizieren sein. Neben der Vornahme einer Handlung, die den objektiven Tatbestand einer Erklärung erfüllt, setzt dies voraus, dass der Nutzer mit Handlungswillen, Erklärungsbewusstsein und Geschäftswillen handelt (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Erforderlich ist dazu, dass für einen verständigen Nutzer die Abgabe einer rechtsverbindlichen Erklärung im Hinblick auf die Erhebung bzw. Verwendung seiner personenbezogenen Daten ersichtlich ist (Schmitz, in: Spindler/Schmitz/Geis, Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz Kommentar, 2004, § 4 TDDSG Rn. 17; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 25). Dies wiederum setzt voraus, dass der Nutzer erkennen kann, welche Daten von seiner Einwilligung betroffen sind und zu welchen Zwecken diese Daten verarbeitet werden (LG Potsdam v. 10.03.2005 12 O 287/04 DuD 2005, 302; Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13, Rn. 26). Jedenfalls letzteres wird in Bezug auf die oben angesprochene Aktivierung zu verneinen sein. Erforderlich wird damit eine Aufklärung des Nutzers über die Funktionsweise der Sonderfunktion und die durch ihre Nutzung anfallenden Daten. Diese Information hat vor der ersten Nutzung und insoweit im Zusammenhang mit der Einwilligung in die Datenspeicherung und verwendung zu erfolgen. Auch wird man das erforderliche Erklärungsbewusstsein, also das Bewusstsein, überhaupt eine rechtsgeschäftliche Erklärung abzugeben, nur annehmen können, wenn zumindest die Aktivierung eines Schaltfeldes mit dem Text Ich akzeptiere und willige ein gefordert wird. Weiterhin hilft auch die Freiwilligkeit der Inanspruchnahme weiterer Funktionalität nicht darüber hinweg, dass eine abgegebene Einwilligungserklärung des Nutzers protokolliert werden und im Nachhinein jederzeit abrufbar sein muss. Dies bedeutet zwar nicht, dass die konkrete, vom Nutzer geforderte Einwilligung einsehbar sein muss, das standardisierte Formular muss jedoch abgerufen werden können (Heckmann, in: jurisPK-Internetrecht, Kapitel 1, Abschnitt 13: § 13 Pflichten des Diensteanbieters, Rn. 29 f.). Damit ist davon auszugehen, dass allein die Freiwilligkeit der Nutzung bestimmter Funktionen nicht ausreichend für die Einwilligung in die Datennutzung ist. Datenschutzerklärung Strikt von der Einwilligung zu trennen, ist die so genannte Datenschutzerklärung. Hierbei handelt es sich um Aussagen eines Anbieters hier also der Universität die seine konkreten Zielsetzungen und Maßnahmen näher beschreibt. Sie soll also nach außen kommunizieren, dass sich die Universität auch bei der Verwendung eines digitalen Lernmanagementsystems datenschutzkonform verhält (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7 Rn. 119). Insofern dient die Datenschutzerklärung der Herstellung von Transparenz hinsichtlich der Art und Weise der Datenverarbeitung sowie der Einbindung der Öffentlichkeit in die Kontrolle des rechtskonformen Verhaltens. Dies setzt voraus, dass die abgegebene Erklärung verständlich, transparent und problembewusst den Umgang mit den Daten der Nutzerinnen und Nutzer beschreibt (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Auf diese Weise soll den Sorgen der Nutzer bezüglich des Umgangs mit ihren personenbezogenen Daten über die Möglichkeiten des Datenschutzaudits hinaus begegnet werden (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 119 f). Die Datenschutzerklärung wird zunächst ohne Überprüfung durch eine dritte, unabhängige Seite von der Universität selbst verfasst (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42) und derart zur Verfügung gestellt, dass sie für die Interessierten auf zumutbare Weise auffindbar ist. Irrelevant ist dabei, auf welche Art und Weise die Zugänglichkeit sichergestellt wird. Grundsätzlich wäre somit auch der Abdruck der Informationen in einer Broschüre möglich, soweit auch hier der problemlose und uneingeschränkte Zugang zur Datenschutzerklärung sichergestellt ist (Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht ?, 2003, 3.7, Rn. 121). Damit ist es letztlich unerheblich, an welcher Stelle auf die Datenschutzerklärung verlinkt wird. Der maßgebliche Link muss nur derart sichtbar platziert werden, dass er für die Nutzer ohne weitere Probleme auffindbar ist. Im Ergebnis stellt die Datenschutzerklärung damit eine Zusicherung der Daten verarbeitenden Stelle an die Nutzer dar, dass sie bei der Verarbeitung der personenbezogenen Daten die Datenschutzstandards einhält (Dix, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl. 2006, § 33 Rn. 42). Dementsprechend sollte die Funktionsweise der geplanten Systeme sowie die anfallenden Einzelangaben über persönliche und sachliche Verhältnisse der Studierenden (personenbezogene Daten) in der Datenschutzerklärung angegeben werden. Mit der Datenschutzerklärung kommt die datenverarbeitende Stelle ihrer Informationspflicht hinsichtlich der Abgabe einer informierten Einwilligung nach. Sie gibt ihm Aufschluss über die Art und Weise der Erhebung und Verwendung seiner Daten und ermöglicht ihm, sich ein Bild davon zu machen, auf welche Daten sich eine von ihm geforderte Einwilligung bezieht und zu welchen Zwecken die Daten verarbeitet werden (Vgl. hierzu die nach § 13 Abs. 1 TMG bestehende Informationspflicht; vgl. auch OLG Brandenburg v. 10.01.2006 7 U 52/05 MMR 2006, 405; Anmerkung Breyer, MMR 2006, 447; Schöttle, K&R 2006, 236). Quelltext anzeigen Inhalt der Gruppe Zuletzt geändert am 17.07.2007 11:45 Uhr von Admin Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.	Die Suche in eLRex ist jetzt noch einfacher gestaltet und zeigt Ergebnisse zu Schlagwörtern direkt an. Hier können Sie sich das Video zur einfachen Suche mit eLRex ansehen.

Datenschutzrecht-Formelle Anforderungen

Datenschutzrecht

Formelle Anforderungen an die Erklärung

Einwilligung durch freiwillige Aktivierung von Sonderfunktionen

Datenschutzerklärung

Formelle Anforderungen an die Erklärung

Einwilligung durch freiwillige Aktivierung von Sonderfunktionen

Datenschutzerklärung