Fragen und Antworten (FAQ)

Die Rundfunkanstalten und die Plattformbetreiber sind gemeinsam für die Datenverarbeitung verantwortlich. Beide benötigen deshalb für die ihnen zuzurechnende Datenverarbeitung jeweils eine Rechtsgrundlage. Zudem haben die Rundfunkanstalten auf den Abschluss einer Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO mit dem – in aller Regel in den USA oder einem anderen Drittstaat ansässigen – Plattformanbieter hinzuwirken. Ihre entsprechenden Aktivitäten müssen sie dokumentieren. Nähere Informationen zur gemeinsamen Verantwortung und die daraus erwachsenden Pflichten finden Sie in den Empfehlungen zur Nutzung von Facebook-Fanpages und im Tätigkeitsbericht 2021, Rn. 114.

Die Rundfunkanstalten müssen sorgfältig begründen, warum sie sich zur Erfüllung ihres Programmauftrags veranlasst sehen, die jeweilige Plattform zu nutzen und dort ihre Inhalte zu verbreiten. Sie müssen darlegen, auf welche Rechtsgrundlage sie sich insoweit stützen und warum ihre Belange die der betroffenen Personen überwiegen. Außerdem müsse sie ihre Nutzer über alle relevanten Umstände der durch sie veranlassten Datenverarbeitung informieren. Nähere Informationen zu den Informations- und Transparenzpflichten im Zusammenhang mit der Nutzung von Social-Media-Plattformen finden Sie in den Empfehlungen zur Nutzung von Facebook-Fanpages und im Tätigkeitsbericht 2021, Rn. 113ff.

Für den Einsatz von Cookies wird gemäß § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) in der Regel eine wirksame Einwilligung benötigt. Nur unter engen Voraussetzungen, etwa wenn Cookies unbedingt erforderlich sind, um einen Dienst bereitzustellen, den die Nutzer ausdrücklich wünschen, ist eine Einwilligung entbehrlich. Das ist unter anderem dann der Fall, wenn sie eine technische Fehleranalyse ermöglichen oder – wie im Fall der Nutzungsmessung – dazu dienen, ein im publizistischen Wettbewerb bestmöglich konkurrenzfähiges Angebot zur Verfügung zu stellen. Weitere Informationen finden Sie in den Empfehlungen der RDSK zum Einsatz Cookies in Online-Angeboten der Rundfunkanstalten vom September 2020 und – bezüglich der Neuerungen durch das Vorgängergesetz (TTDSG) des TDDDG – im Tätigkeitsbericht 2021, Rn. 117ff.

Ja. Bei Funktionen, die Inhalte in Mediatheken individualisiert darstellen – zum Beispiel indem gespeichert wird, welche Videos abgespielt wurden – kann nicht angenommen werden, dass die Nutzer diese ausdrücklich wünschen. Ob eine Individualisierung gewünscht ist, muss daher erst durch eine ausdrückliche Einwilligung geäußert werden (siehe dazu auch Tätigkeitsbericht 2021, Rn. 127).

Bevor neue Software eingeführt wird, muss der Verantwortliche umfassend prüfen, ob sie sich datenschutzrechtskonform einsetzen lässt und welche Vereinbarungen mit deren Anbieter getroffen werden müssen. Dies stößt vor allem bei den US-amerikanischen Anbietern wie Microsoft oder Google auf große Schwierigkeiten, insbesondere soweit es um die Datenübermittlung in die USA geht, und erfordert entsprechenden Nachdruck. Sollte die Prüfung ergeben, dass sich die Software datenschutzkonform einsetzen lässt, müssen die Datenverarbeitung im Zusammenhang mit deren Einsatz im Verarbeitungsverzeichnis dokumentiert, Mitarbeiter im datenschutzkonformen Umgang mit der Software geschult und gegebenenfalls Vorgaben zu deren Einsatz in internen Regularien aufgenommen werden. Nähere Informationen finden Sie in den Orientierungshilfen zum Einsatz webbasierter Videokonferenzsysteme, zum Einsatz cloudbasierter Office-Systeme und zum Einsatz von Kollaborationssystemen sowie in den Empfehlungen der RDSK zur Datenübermittlung in die USA.

Nur unter engen Voraussetzungen und strengen Auflagen, die sich insbesondere aus dem Infektionsschutzgesetz (InfSG) ergeben. Individuelle Nachfragen, die keinem klar definierten und das schutzwürdige Interesse der betroffenen Personen überwiegenden Zweck dienen, sind dagegen unzulässig (siehe dazu auch Tätigkeitsbericht 2021, Rn. 139ff.). In jedem Fall ist zu beachten, dass Gesundheitsdaten gemäß § 22 Abs. 2 Bundesdatenschutzgesetz (BDSG) besonders zu schützen sind.

Nein. Die Beschäftigtenvertretung nimmt ihre Aufgaben zwar völlig eigenständig und unabhängig wahr, aber ausschließlich nach Maßgabe des jeweils einschlägigen Personalvertretungsrechts und deshalb nicht nach freier eigener Entscheidung. Dabei greift sie in vollem Umfang auf die technische und sonstige Infrastruktur des Betriebs zurück. Verantwortlich für die Datenverarbeitung des Personal- bzw. Betriebsrats ist daher die Rundfunkanstalt bzw. das Unternehmen. Für die Überwachung und Beratung in Datenschutzfragen ist die/der interne Datenschutzbeauftragte zuständig (siehe dazu auch Tätigkeitsbericht 2019, Rn. 202ff.).

In der Regel reicht ein Überlassungsvertrag zwischen Ver- und Entleiher aus, in dem sich der Verleiher gegenüber dem Entleiher verpflichtet, diesem zur Förderung von dessen Betriebszwecken Arbeitnehmer zur Verfügung zu stellen. Bei der Erfüllung dieses Vertrags verarbeiten beide Parteien die anfallenden personenbezogenen Daten gewöhnlich nur zu eigenen Zwecken und sind für daher allein für die jeweilige Datenverarbeitung verantwortlich. Ein Vertrag über die gemeinsame Verantwortung ist nach Art. 26 DSGVO dann erforderlich, wenn Ver- und Entleiher neben der Überlassung von Personal hinaus gemeinsame (wirtschaftliche oder sonstige) Interessen verfolgen, die sich auch auf die Datenverarbeitung auswirken (siehe dazu auch Tätigkeitsbericht 2021, Rn. 110ff.).

Nein. Die Vorschriften zur gemeinsamen Verantwortung (Art. 26 DSGVO) und zur Auftragsverarbeitung (Art. 27 DSGVO) gelten nicht für die journalistische Datenverarbeitung. Das bedeutet, dass die Verantwortlichkeit für die Datenverarbeitung zwischen den Kooperationspartnern im Programmbereich nicht vertraglich geregelt werden muss. Gleichwohl können die Parteien freiwillig eine Auftragsverarbeitung vereinbaren, um jeden Zweifel daran auszuschließen, dass in diesen Fällen die Aufsichtszuständigkeit allein beim Rundfunkdatenschutzbeauftragten liegt. Anderenfalls ist dies die für den jeweiligen Kooperationspartner zuständige Datenschutzaufsichtsbehörde (siehe dazu auch Tätigkeitsbericht 2021, Rn. 136f.). In jedem Falle sind die Aufsichtsbefugnisse der jeweiligen Datenschutzbehörde in solchen Fällen durch das sogenannte "Medienprivileg" beschränkt.

Die Rundfunkanstalten sind grundsätzlich dazu verpflichtet, eine interne Datenschutzbeauftragte zu bestellen, Art. 37 DSGVO. Für ihre rechtlich unselbstständigen Gemeinschaftseinrichtungen sind die Rundfunkanstalten gemeinsam verantwortlich und müssen alle damit verbundenen Fragen einschließlich der Bestellung bzw. Zuständigkeit eines internen Datenschutzbeauftragten in einer Vereinbarung nach Art. 26 DSGVO regeln. Für den gemeinsamen Beitragsservice von ARD, ZDF und Deutschlandradio schreibt § 11 Abs. 2 Rundfunkbeitragsstaatsvertrag (RBStV) ausdrücklich vor, einen eigenen Datenschutzbeauftragten zu bestellen. Die Beteiligungsunternehmen müssen unter den in Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 Bundesdatenschutzgesetz (BDSG) genannten Bedingungen einen internen Datenschutzbeauftragten bestellen. In den Empfehlungen der Rundfunkdatenschutzkonferenz (RDSK) zu Datenschutzbeauftragten im öffentlich-rechlichen Rundfunk finden Sie nähere Informationen dazu, welche Kriterien für die Bestellung interner Datenschutzbeauftragte zugrunde gelegt werden sollten.