Auch hier wären Beispiele gut. Ich sehe eigentlich nur das Problem, dass Werbeanrufe usw. nerven. Hier könnte ein klareres Opt-In sinnvoll sein. Generell ist das aber IMHO eher ein kleines Problem, dass sich auch ignorieren bzw. in den Papierkorb werfen lässt.

Hallo,

Zunächst einmal gehe ich davon aus, dass der letzte Satz des oben verlinkte Gesetzesausschnitt eine Online-Einwilligung erlaubt. Ist dies nicht der Fall, muss dies natürlich aufgenommen werden, denn bei einer derartig hohen Nutzeranzahl von Social Networks ist eine schriftliche Einwilligung nicht zu realisieren.

Bei der Einwilligung würde ich differenzieren.

Für Kinder und Jugendliche, würde ich eine gewerbliche Weiterverarbeitung von Daten verbieten. Dies gewährleistet, dass Kinder und Jugendliche nicht mit personifizierter Werbung bombadiert werden und hat den Vorteil, dass Kinder die ggf. nicht verantwortungsvoll mit Geld umgehen können nicht zu sehr zum Aggieren gereizt werden.
Für eine plattforminterne Weiterverarbeitung bei Kinder und Jugendlichen, wie z.B. für Algorithmen, die Nutzer der gleichen Schule o.ä. finden, sollte die Verwendung der Daten erlaubt sein, denn sonst ist der Mehrwert der heutigen Social Networks nicht wirklich gegeben. Dies liegt daran, dass viele der interessanten Zusatzfunktionen, wie das Finden von Freunden per Personenattribut oder das Aufzeigen von Freunden von Freunden nicht realisierbar wären. Optional sollte dies aber auch abschaltbar sein, für Kinder/Eltern, die besonders viel Wert auf Datenschutz legen.
Eine plattformübergreifende Verwendung von Daten (also eine indirekte Weitergabe der Daten an Dritte, z.B. bei einem API Aufruf) zur Realisierung von Funktionalität sehe ich als kritisch an, denn je weiter die Daten verbreitet werden, desto höher wird das Risiko, dass diese in falsche Hände geraten. Sei es durch die Weitergabe an einen unseriösen Anbieter oder durch mangelnde Sicherheitsvorkehrungen eines Drittanbieters.
Somit ist für Kinder und Jugendliche Voraussetzung zur Einwilligung, dass Daten nicht kommerziell weiterverarbeitet werden dürfen und dass die Daten optional zur Realisierung interner Funktionalität verwendet werden dürfen. Für die zuletzt genannte Option muss dem Kind vor der Einwilligung verständlich klar gemacht werden, welche Folge eine Zustimmung bzw. Ablehnung hat.

Bei Erwachsenen ist zwischen uneingeschränkter plattforminterner (also auch kommerzieller Nutzung), eingeschränkter plattforminterner Nutzung (also zur Realisierung von Plattformfunktionalität) und gar keiner Nutzung der Daten bei der Einwilligung zu differenzieren.
Bei der ersten Option ist die bereits angeprochene Ablehnung von Werbung mit persönlicher Kontaktaufnahme anzubieten, denn diese Art der Werbung verleitet in meinen Augen zu überhasteten und uninformierten Kauf von Gütern und Dienstleistungen. Des Weiteren muss hierbei eine Weitergabe der Daten an Dritte zur kommerziellen Nutzung ausgeschlossen werden, denn ansonsten werde die Nutzerdaten beliebig verbreitet ohne Kontrolle darüber zu haben, wer diese erhält. Dabei ist auch eine Auflistung von Drittanbietern, die diese erhalten würden sinnlos, denn Werbepartner ändern sich schnell. Ziel der ersten Option ist es, Personen, die lieber personifizierte Werbung erhalten möchten, diese Möglichkeit zu bieten.
Die zweite Option hat zur Folge, dass die Daten nicht zur Realisierung von personifizierter Werbung verwendet werden dürfen, wohl aber zur Realisierung von plattforminterner Funktionalität, wie z.B. das bereits angesprochene Finden von Freunden anhand bestimmter Personenattribute. Dies hat zur Folge, dass der Mehrwert der Plattformen genutzt werden kann und das allgemeine Werbung zu sehen sein wird.
Die dritte Option, bietet die Möglichkeit, die Nutzung personifizierter Daten komplett zu verbieten. Dies ist für Personen anzubieten, die sehr viel Wert auf Datenschutz legen aber trotzdem nicht auf Internettrends verzichten möchten.

Beste Grüße
Robert Fretschner

Wie der Vorposter schon schrieb, muss zwischen den Daten von Erwachsenen einerseits und Kindern und Jugendlichen andererseits unterschieden werden.

Für alle Daten sollte ein generelles Verbot der Weitergabe existieren. Der Betroffene kann schriftlich einer Weitergabe an explizit angegebene Entitäten zustimmen (Beispiel: Zustimmung zur Schufa-Auskunft), alles andere geht nicht. Eventuelle Ausnahmen sollten auf ein absolutes Minimum beschränkt werden.

Für Kinder und Jugendliche würde ich ein generelles Verbot der Datenweitergabe ohne jede Ausnahme als absoluten Minimalstandard ansehen. Die Erhebung der Daten darf nur mit Zustimmung eines Gesetzlichen Vertreters erfolgen. Die Daten sollten als besonders Schutzwürdig betrachtet werden und ihre Speicherung darf auf keinen Fall permanent sein, sondern muss auf eine gesetzlich festzulegende maximale Speicherdauer beschränkt sein.

Des Weiteren sollte auch an die bestehenden Daten gedacht werden. Existierende Datenbestände sollten von ihren Verwendern überprüft werden, und Datensätze, zu denen keine explizite schriftliche Einwilligung zur Speicherung vorliegt, müssen gelöscht werden. Die Datenschutzbeauftragten sind so mit Rechten und Personal auszustatten, dass sie regelmäßige Kontrollen über die Einhaltung dieser Regeln durchführen könnnen und bei Verstoß signifikante Strafen verhängen können.

Ich bin mir im klaren darüber, dass die Branche der Adresshändler gegen jede Rückeroberung der Datenautonomie durch ihre Opfer endlos durch ihre Lobbyisten jammern wird, aber hier müssen endlich mal die Rechte der Bürger über das Profitinteresse einiger weniger gestellt werden.

Zitat von enquete1

Welche Voraussetzungen sollten nach Ihrer Meinung für eine wirksame Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten gegeben sein, und in welcher Form?

Voraussetzung für eine Einwilligung ist zuvor einmal eine klare und deutliche Aufklärung über den Zweck der Einwilligung mit alle daraus resultierenden Konsequenzen. Dabei sollte darauf Wert gelegt werden, das nicht Juristen in ihren Worten den tatsächlichen Sachverhalt verklausulieren, sondern das transparent angesprochen wird, worin tatsächlich eingewilligt wird.

Mir ist bewusst, das Unternehmen und Organisationen, die eine wirksame Einwilligung vom Betroffenen erbeten, sich dabei nicht selber einschränken wollen, aber wie soll ein Betroffener denn Wirkungsvoll sein Recht auf informationelle Selbstbestimmung ausüben können, wenn er nicht klar darauf hingewiesen wird und er die Konsequenzen seiner Einwilligung abschätzen kann.

Zitat von enquete1

Wo sehen Sie ggf. einen Anpassungsbedarf?

Keine Verallgemeinerungen sondern klare Ansprache der Zwecke, der Ziele unter Benennung der verantwortlichen Stellen. Anstelle

"...ich willige ein in Werbung zu Dienstleistungen aus dem Finanz- und Versicherungssektor..."

lieber

"...ich willige ein in Werbung zu (bitte zutreffendes ankreuzen): Lebensversicherungen, Hausratsversicherungen,... der Unternehmen A, B, C..."

In Abhängigkeit des Kommunikationskanals sollte dann auch eine Verifizierung der Einwilligung erfolgen. Dies sollte Verhältnismäßig geschehen, aber dabei die Notwendigkeit einer revisionssicheren Dokumentation Rechnung tragen.

Einwilligungen müssen immer im Kontext gesehen werden und benötigen daher auch ein individuelles "Verfallsdatum". Um den Aufwand für den Betroffenen zu minimieren, wäre daher eine Abstimmung des "Verfallsdatum" durch Mitbestimmung des Betroffenen die optimale Lösung. Bevor es aber immer und zwangsweise zu unbefristete Laufzeiten von Einwilligungen führt, muss eine pauschale Obergrenzen festgeschrieben werden. Die von verschiedenen Gerichten im Falle der Werbung häufig diskutierten "2 Jahre" sehe ich ebenfalls als praktikabel an.

Zitat von enquete1

Inwieweit ist für die Einwilligung zu differenzieren, z. B. nach der Art der jeweils betroffenen Daten oder nach dem jeweiligen Zweck der Datenverarbeitung?

Der Grad des Missbrauchspotentials muss hierbei eine wichtige Rolle spielen. Wie bereits bei der Novellierung des BDSG und des UWG in 2009 geschehen, wurden die unterschiedlichen Werbeformen und deren Belästigungsgrad bei unerwünschter Werbung als Maßstab genutzt.

Im Kontext der sozialen Netzwerke (um ein Beispiel zu nennen) darf die Einwilligung in die Veröffentlichung von Daten nicht schon pauschal beim Anlegen eines Accounts erfolgen, sondern sie muss im Kontext der jeweiligen Information bzw. des jeweiligen Informationsblockes eingeholt werden. Nur wenige Benutzer solcher Netzwerke erstellen in einem Rutsch Ihr Profil, sondern bauen dieses sukzessive auf. Kommt ein neuer Informationsblock hinzu, muss eine Kontexteinwilligung eingeholt werden, die dann auch zu bestätigen ist.

In Abhängigkeit von der Art der Daten (hierzu zähle ich auch Daten die einen direkten Kontakt zulassen, Daten zum Lebenslauf, Bilder und Videos, etc. da bei Ihnen der Grad des Missbrauchs und der daraus resultierende Schaden hoch ist) sind entsprechende Meldungen verpflichtend, die im Vorfeld der Einwilligung auf mögliche Konsequenzen hinweisen (z.B. Verstoß gegen Uhrheberrechte oder gegen das Recht am eigenen Bild Dritter, usw.).

Zitat von enquete1

Welche Besonderheiten ergeben sich aus dem Verhältnis der beiden betroffenen Seiten (z. B. bei Beteiligung von Bürger und Staat, von zwei Privatpersonen, von Arbeitgebern und Arbeitnehmern, von Verbraucher und Unternehmer/Anbieter oder sonstigen schutzwürdige Gruppen)?

Das Prinzip eines Schutzgesetzes muss unangetastet bleiben. Es gilt den Bürger vor dem Staat zu beschützen, den Arbeitnehmer vor dem Arbeitgeber, den Verbraucher vor dem Unternehmen/Anbieter, usw.

Dies gilt meiner Meinung nach auch im Verhältnis zwischen zwei Privatpersonen. Wenn eine Person ein Bild veröffentlichen will (im Folgenden als "verantwortliche Personen" bezeichnet), auf dem auch eine weitere Person zu erkennen ist (im Folgenden als "betroffene Person" bezeichnet), dann braucht es auch hier einer Einwilligung, sofern das Bild in einem Medium veröffentlicht werden soll, wo es sich mittelbar der Kontrolle der verantwortlichen Person entzieht. Der potentielle Schaden, der einer betroffenen Personen durch eine nicht autorisierte Veröffentlichung entstehen kann, rechtfertigt in meinen Augen den administrativen Mehraufwand einer wirksamen Einwilligung. Eine Verpflichtung der Dienstleistungsanbeiter (z.B. der Betreiber eines sozialen Netzwerkes, aber auch einer Verlag zählt dazu) zur Verifizierung der Existenz einer wirksamen Einwilligung zur Veröffentlichung, sehe ich hier nicht, sehrwohl aber die Notwendigkeit einer Information an die verantwortliche Person, das eine wirksame Einwilligung der betroffenen Person erforderlich ist mit Hinweisen auf eventuelle Konsequenzen.

Auch hier im Forum erkennt man, dass sehr häufig der Datenschutz mit dem Schutz vor belästigender Werbung gleichgesetzt wird. Die Frage der Weitergabe von Daten an Dritte zur Verarbeitung ist hier wesentlich tiefgreifender. So gibt es nützliche, lästige und schädliche Folgen der Weitergabe von Daten. Beispiele hier können sein. Meldung von Liquiditätsdaten an die Schufa durch die Bank oder andere Firmen, die Meldung des Kinderarztes an das Jugendamt beim Verdacht von Kindesmisshandlung, oder die Mitteilung von Gesundheitsdaten durch den behandelnden Arzt an die Krankenkasse oder an den Arbeitgeber. Die Anforderungen an die Einwilligung sind vor allem auch an die Sensibilität der Daten zu knüpfen. Auch ist hier die Frage zu stellen, ob die Einwilligung des Betroffenen der alleinige Maßstab sein soll. Im Falle der Meldung des Kinderarztes an das Jugendamt, wird diese Einwilligung nur schwer zu bekommen sein. In anderen komplexen wirtschaftlichen bzw. sicherheitsrelevanten Zusammenhängen wird der Verbraucher gar nicht genug verstehen, um eine wirksame aufgeklärte Einwilligungserklärung abgeben zu können. Hier sind auf jeden Fall zusätzliche Regelungen notwendig, die die Verwendung der Daten unabhängig etwaiger Einwilligungsmöglichkeiten Einschränken.

Eine Einwilligung zur Nutzung von Daten sollte grundsätzlich zeitlich beschränkt sein.
Nach Ablauf dieser Einwilligungszustimmung, beispielsweise nach zwei Jahren, muss dieser erneuert werden.

Hierzu ist es notwendig, bei der Zustimmung eine Kontaktmöglichkeit für die Erneuerung der Einwilligung anzugeben. Ist der Urheber nach Ablauf der gesetzten Frist hierüber nicht mehr erreichbar, erlischt die Einwilligung.

Es sollten auch verschiedene Klassen von Informationen gebildet werden, die unterschiedlich gehandhabt werden. Ein Klasse sind "persönliche Daten", darunter fallen Adresse, Name, Email, Geburtsdatum, Bankverbindungen, Ausbildung, Einkommen usw.. Diese Daten haben erhöhten Schutz.
Die zweite Klasse sind "Einstellungen und Tätigkeiten". Darunter fallen Foreneinträge, Statusmeldungen (auch Ortsbezogen), Interessenbekundungen oder Bilder. Hier kann ein "Verfallsdatum" der Einwilligung auch langfristiger sein.

Grundsätzlich gilt aber: "Das Internet muss vergesslich werden"

Google Streetview sammelt Panoramabilder und stellt diese durch das Internet der Bevölkerung zur Verfügung.
Es ist eindeutig, dass ohne „Blurring“ von Personen bezogenen Daten in diesem Fall eine Einwilligung erforderlich ist.
Wie verhält sich aber die Situation, wenn ein Unternehmen ähnliche Panoramabilder erzeugt und diese Kommunen sowie staatlichen Einrichtungen zur Verfügung stellt, die laut einer Gesetzgebung mit Personen bezogenen Daten umgehen dürfen?
Ist es dem Hersteller Unternehmen erlaubt, die Panoramabilder ohne Einwilligung (und ohne Blurring) an Dienstleistungsunternehmen weiter zu geben, die im Auftrag der vorgenannten Organisationen handeln?