Auch die Datenschutzbehörden Österreichs und der Schweiz haben auf die aktuelle Situation reagiert und aktuelle Mitteilungen zum datenschutzrechtlichen Umgang mit Daten rund um das Coronavirus veröffentlicht:
Österreich
Die österreichische Datenschutzbehörde stellt zunächst klar, dass es sich bei Daten über Infektionen mit dem Coronavirus und auch bei Verdachtsfällen um sensible Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt, die besonders schützenswert sind. Dennoch können solche Daten zur Eindämmung des Virus und zum Schutz der Mitmenschen verwendet werden.
Folgende Rechtsgrundlagen kommen hierfür grundsätzlich in Betracht:
- Verarbeitung zum Zwecke der Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h DSGVO
- Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten, Art. 9 Abs. 2 lit. b DSGVO: Arbeitgeber sind gegenüber ihren Arbeitnehmern zur Fürsorge verpflichtet, hierzu gehört auch der Ausschluss von Gesundheitsrisiken am Arbeitsplatz.
- Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO: Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden.
- Der Arbeitgeber kann darüber hinaus nach § 5 Abs. 3 Epidemiegesetz 1950 auf Verlangen zur Auskunftserteilung an die Bezirksverwaltungsbehörden verpflichtet sein.
Weiterhin ist es ausnahmsweise zulässig die private Telefonnummer von Mitarbeitern zu erheben, um die Mitarbeiter kurzfristig über aktuelle interne Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren. Die Mitteilung der privaten Telefonnummer ist jedoch freiwillig.
Bei allen Datenverarbeitungen ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. a DSGVO zu beachten, d.h. eine Verarbeitung der Daten zu anderen Zwecken ist unzulässig. Darüber hinaus gilt auch der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, wonach alle Daten nach Zweckwegfall wieder zu löschen sind.
Schweiz
In der Schweiz wurde nach Art. 7 Epidemiengesetz (EpG) eine „außerordentliche Lage“ ausgerufen. Dadurch können personenbezogene Gesundheitsdaten nach Maßgabe des Art. 58 EpG verarbeitet werden.
Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen können nach Art. 58 EpG personenbezogene Gesundheitsdaten verarbeiten, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten, ansteckungsverdächtigen und Krankheitserreger ausscheidenden Personen im Hinblick auf Maßnahmen zum Schutz der öffentlichen Gesundheit, insbesondere zur Erkennung, Überwachung und Bekämpfung übertragbarer Krankheiten, erforderlich ist. Zudem sind die allgemeinen Grundsätze der Datenschutzgesetzgebungen zu beachten.
Private, d.h. insbesondere Arbeitgeber, müssen bei Datenverarbeitungen die Grundsätze des Art. 4 des Bundesgesetzes über den Datenschutz einhalten:
- Gesundheitsdaten dürfen grundsätzlich nicht gegen den Willen der betroffenen Personen beschafft werden, da sie einem besonderen Schutz unterliegen.
- Die Verarbeitung der Gesundheitsdaten muss zweckgebunden und verhältnismäßig sein, d.h. sie muss nötig und geeignet sein, weitere Ansteckungen zu verhindern und darf auch nicht über das zur Zielerreichung erforderliche hinausgehen.
- Daten über Grippesymptome (wie z.B. Fieber) sollen durch die betroffenen Personen selbst erhoben und weitergegeben werden.
- Die Erhebung und Weiterverarbeitung von Gesundheitsdaten muss den betroffenen Personen gegenüber offengelegt werden.
Bei der Erhebung von medizinischen Daten (z.B. Körpertemperatur) beim Betreten von Gebäuden oder Arbeitsplätzen ist zu beachten, dass diese nur zur Zweckerreichung (Verhinderung von Ansteckungen) verarbeitet werden dürfen. Dies gilt sowohl inhaltlich als auch zeitlich. Ungeeignet und unverhältnismäßig ist jedoch das Beantworten zahlreicher Fragen zum Gesundheitszustand der betroffenen Personen. Alle personenbezogenen Daten, die in dem Zusammenhang verarbeitet werden, sind spätestens nach Ende der Pandemie zu löschen.
Kommen Sie bei datenschutzrechtlichen Fragen zu diesen Themen gerne auf uns zu.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Corona macht auch vor dem Datenschutz nicht halt. Die jetzt notwendigen Maßnahmen verlangen Unternehmen und ihren Mitarbeitern einiges ab. Umso besser, wenn datenschutzrechtliche Bestimmungen frühzeitig in die Überlegungen einbezogen werden, um betroffene Personen nicht noch stärker zu belasten.
Wir haben nachfolgend die wichtigsten Themen für Sie zusammengefasst:
Rundmail vom Mutterkonzern
Es gibt vermehrt Konzerne, die eine Richtlinie mit Verhaltensregeln herausgeben, um die Gefahr der Ansteckung mit dem Coronavirus innerhalb der Belegschaft einzudämmen (z.B. Verbot des Händeschüttelns). Hier müssen ggf. mitbestimmungsrechtliche Vorgaben beachtet und der Betriebsrat vorab eingebunden werden. Die Erhebung der betrieblichen E-Mail-Adressen aller aktiven Mitarbeiter konzernweit zum Versand der Rundmail, um über die Konzernrichtlinie zu informieren, kann auf ein berechtigtes Interesse gestützt werden, da es internen Verwaltungszwecken dient. Sehen Betriebsvereinbarungen Einschränkungen vor bei der konzernweiten Adressverarbeitung, müssen diese beachtet werden. Die konzernweite Adressverarbeitung sollte auch bereits in den Intercompany-Vertrag aufgenommen worden sein. Vor Versand der Rundmail müssen die E-Mail-Adressen ins „BCC“-Feld eingetragen werden. Ein offener E-Mail-Verteiler stellt ggf. eine unbefugte Datenverarbeitung dar.
Frage des Arbeitgebers nach der letzten Urlaubsreise
So ist eine in Zusammenhang mit dem Coronavirus erfolgte Umfrage bei Mitarbeitern nach der letzten Urlaubsreise nach Art. 9 DSGVO, §§ 26 Abs. 3, 22 Abs. 1 Nr. 1 lit. b) BDSG abgedeckt. Im Sinne des Verhältnismäßigkeitsgrundsatzes gilt jedoch: Die Frage des Arbeitgebers muss sich darauf beschränken, ob der Mitarbeiter sich in einem Risikogebiet aufgehalten hat. Die Erhebung des genauen Urlaubsortes ist nicht zulässig. Um Missverständnissen vorzubeugen, sollte der Arbeitgeber die aktuellen Risikogebiete aufzählen.
Abklärung von Risikogruppen
Der Arbeitgeber darf ebenso abklären, ob einzelne Beschäftigte zu einer Risikogruppe[1] gehören. Zweck muss dabei sein, diese bereits im besonderen Maße vor der Gefahr einer Ansteckung zu schützen, bspw. in dem sie von Schulungen, Seminaren, Messen oder sonstigen Veranstaltungen befreit werden oder die Erlaubnis für einen Home-Office-Arbeitsplatz erhalten.
Umgang mit Verdachtsfällen
Aufgrund seiner arbeitsvertraglichen Nebenpflichten hat der Mitarbeiter eine Informationspflicht, wenn eine Ansteckungsgefahr mit dem Coronavirus besteht, bspw. weil er selbst positiv auf das Virus getestet wurde oder möglicherweise infiziert ist, weil er in den letzten 14 Tagen unmittelbaren Kontakt hatte mit einer infizierten Person. Der Arbeitgeber muss aufgrund seiner Fürsorgepflicht die übrigen Beschäftigten informieren, wenn diese einer Ansteckungsgefahr durch einen Kollegen ausgesetzt waren. Eine Übermittlung der Namensangaben oder sonstiger Angaben, die den (möglicherweise) infizierten Kollegen identifizieren, ist in der Regel jedoch nicht zulässig.
Notfallkontakte für Warnungen / Schließungen / Quarantäne-Maßnahmen etc.
Grundsätzlich ist die Preisgabe der privaten Telefonnummern ein erheblicher Eingriff in die Persönlichkeitsrechte der Mitarbeiter. Für Notfälle wie die jetzige Pandemie mit dem Coronavirus ist die Erhebung von Notfallkontaktdaten wie privaten Telefonnummern ausnahmsweise nach Art. 6 Abs. 1 lit. f) DSGVO zulässig, seitens des Mitarbeiters jedoch freiwillig und widerrufbar. Der Arbeitgeber darf die Daten ausschließlich verwenden, um die Mitarbeiter kurzfristig über die aktuellen internen Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren.
Home-Office
Als Präventionsmaßnahme sowie wegen der vorläufigen Schließung von Kitas und Schulen, weichen Mitarbeiter nun vermehrt auf Home-Office-Arbeitsplätze aus.
Sofern in Privatwohnungen personenbezogene Daten, für die der Arbeitgeber verantwortlich ist, verarbeitet werden, muss der Arbeitgeber dafür Sorge tragen, dass die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet ist. Der Arbeitgeber sollte daher frühzeitig entsprechende Arbeitsmittel bereitstellen (festplattenverschlüsselte Notebooks, sichere VPN-Verbindung, Sichtschutzfolien etc.) und Mitarbeitern konkrete Vorgaben machen zum vertraulichen Umgang mit Daten im Home-Office.
Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!
Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.
- Zugriffsrechte, Speicherdauer und Informationspflichten
- Umgang mit Besucherdaten
- Übermittlung von Betroffenendaten an Öffentliche Stellen
Unsere Kontaktdaten für Ihre Datenschutz-Fragen:
Dr. Bettina Kraft
Tel. +49 731 20589-0
Bleiben Sie gesund!
Ihre it.sec GmbH
[1]https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html#doc13776792bodyText2
Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.
Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.
Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.
Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.
Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.
S. Kieselmann
Senior Consultant Datenschutz
Dipl.sc.pol.Univ.
EuGH-Urteil
Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.
Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.
Konsequenzen des EuGH-Urteil
Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.
Datenschutzrechtliche Herausforderungen
Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:
- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.
- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.
- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.
- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.
- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.
- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.
- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.
Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.
Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.
Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.
Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die Klingelschild-Debatte wurde losgetreten durch die Beschwerde eines Mieters bei einer Wohnungsbaugesellschaft in Österreich und griff dann sogleich auf Deutschland über.Unter großer medialer Aufmerksamkeit wurde angenommen, dass die Namen auf den Klingelschildern nun überall entfernt werden müssen, da die damit verbundene Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) unzulässig sei.
Aufsichtsbehörden und Fachliteratur haben sich zu Recht verwundert gezeigt, über die plötzlich aufkommende Diskussion, die mehr von „Panikmache“ und weniger von „fachliche[r] Auseinandersetzung“ (Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349) bestimmt wurde.
Auf Klingelschildern am Hauseingang stehen üblicherweise die (Nach-) Namen der Mieter und sind für jeden einsehbar, der vor dem Haus steht oder daran vorbeigeht. Namensangaben und Wohnungsanschrift sind auch definitiv personenbezogene Daten.
Die Frage ist nun, wie diese Datenverarbeitung nach der DSGVO zu bewerten ist:
Bringt der Mieter seinen Namen auf dem Klingelschild selbst an, fällt diese Datenverarbeitung schon nicht unter die DSGVO. Als betroffene natürliche Person darf der Mieter mit seinen personenbezogenen Daten machen, was er möchte. Auf jeden Fall aber unterliegt diese Datenverarbeitung dem ausschließlich persönlichen oder familiären Bereich, so dass die DSGVO schon gemäß Art. 2 Abs. 2 lit. c) DSGVO nicht gilt.
Werden die Klingelschilder jedoch vom Vermieter angebracht, ist der Anwendungsbereich der DSGVO eröffnet. Der Vermieter (bzw. die Hausverwaltung) ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da die Datenverarbeitung zu geschäftlichen Zwecken vorgenommen wird.
Einige Aufsichtsbehörden nehmen an, dass auch in diesem Fall der Anwendungsbereich der DSGVO wegen Art 2 Abs. 1 DSGVO nicht eröffnet ist, da „das Ausstatten der Klingelschilder mit Namen für sich genommen (…) weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar[stellt].“
Die Aufsichtsbehörden in Sachsen und Schleswig-Holstein teilen diese Auffassung zwar nicht. Die Datenverarbeitung ist aber dennoch zulässig nach Art. 6 Abs. 1 lit. b) oder f) DSGVO: Entweder weil der zwischen Mieter und Vermieter abgeschlossene Mietvertrag eine solche Datenverarbeitung erforderlich macht. Hier kommt es auf die konkrete Ausgestaltung des Vertragsverhältnisses an. In jedem Fall haben aber Vermieter oder Dritte (Postdienstleister, Lieferanten, Rettungsdienst etc.) ein berechtigtes Interesse an der Datenverarbeitung (hierzu auch ausführlich: Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349).
Sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird, hat der Mieter selbstverständlich auch das Recht, der Anbringung seines Namens auf dem Klingelschild zu widersprechen gemäß Art. 21 Abs. 1 DSGVO. Allerdings steht dem Mieter dieses Recht nur zu, sofern sich aus seiner besonderen persönlichen Situation schutzwürdige Interessen am Ausschluss der Datenverarbeitung ergeben, bspw. wenn er gefährdet ist aufgrund seiner Prominenz, Opfer von Stalking ist oder sich im Zeugenschutzprogramm befindet.
Die Aufsichtsbehörden führen an, man hätte sich vorab bei ihnen „nach der Rechtslage erkundigen“ sollen, anstatt mit haltlosen Behauptungen die DSGVO „als ‚weltfremdes europäisches Recht‘ [zu] diskreditieren“.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Groß war die Aufregung, als der EuGH entschied, dass die Betreiber der Facebook-Fanpages mit verantwortlich für ihre Seiten sind (vgl. Blog-Eintrag "Müssen wir Facebook jetzt sofort abschalten?"). Nun hat Facebook reagiert: Neue Nutzungsbedingungen für das Produkt „Insights“ wurden am gestrigen Tag veröffentlicht, in denen dem Betreiber der Seiten nicht nur die Verantwortung für die Seite übertragen wurde, sondern auch neue Pflichten festgelegt wurden:
Demnach übernimmt der Betreiber die rechtliche Verpflichtung,
- für die Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten, die im Rahmen von Insight erhoben werden, zu sorgen,
- einen Verantwortlichen für die Datenverarbeitung zu benennen
sowie
- „jedwede sonstige rechtliche Pflichten zu erfüllen“.
Ein Recht, die durch Facebook verarbeiteten Daten auch zu erhalten, besteht indes im Umkehrschluss nicht.
Vielmehr sind Insights-Nutzer nun rechtlich verpflichtet, entsprechende Anfragen innerhalb von 7 Tagen an Facebook weiterzuleiten, wo diese in eigenem Ermessen durch Facebook beantwortet werden. Mehr noch, es ist den Mitverantwortlichen ausdrücklich untersagt, selbst zu antworten und eine Verpflichtung, von Facebook, den Mitverantwortlichen über den Stand einer laufenden Anfrage zu informieren, lässt sich den neuen Nutzungsbedingungen ebenfalls nicht entnehmen.
Die Tatsache, dass sich der Betreiber der Seite unwiderruflich dem irischen Recht und der irischen Gerichtsbarkeit unterwirft, soll ebenfalls nicht unerwähnt bleiben.
Am Ende der neuen Nutzungsbedingungen wird noch darauf hingewiesen, dass die Nutzungsbedingungen durch Facebook jederzeit geändert werden können, diesbezüglich ist der Betreiber der Seite verpflichtet, die Nutzungsbedingungen regelmäßig zu überprüfen.
Als erstes Fazit zu den neuen Nutzungsbedingungen lässt sich damit sagen:
Die Seitenbetreiber sind „auf dem Papier“ nun mitverantwortlich für die Verarbeitung der personenbezogenen Daten, haben aber weder Zugriff darauf, noch wissen sie, was mit den Daten passiert. Allerdings haben sie für die Rechtsgrundlage zur Verarbeitung zu sorgen. Wie dies geschehen soll, bleibt indes unklar. Ohne zu wissen, welche Daten zu welchem Zweck verarbeitet werden ist eine Information der betroffenen Personen jedenfalls nicht möglich, so dass eine informierte Einwilligung gem. Art. 6 Abs. 1 lit a) DSGVO durch diese jedenfalls ausscheidet und auch die Informationen nach Art. 13 DSGVO durch den Verantwortlichen können nicht bereitgestellt werden. Dieses Wissen bleiben Facebook überlassen. Der Verantwortliche muss Facebook andererseits über sämtliche Anfragen informieren und gibt dann das Verfahren komplett aus der Hand.
Da klingt der letzte Absatz der Nutzungsbedingungen wie ein Hohn, in dem es heißt:
„personenbezogene Daten“, „betroffene Person“ und „Verantwortlicher“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.“
Art. 4 Nr. 7 DSGVO definiert nämlich den Verantwortlichen als denjenigen, der über die Zwecke und Mittel der Verarbeitung entscheidet. Eine Widerspiegelung dieser Definition in den neuen Nutzungsbedingungen ist auch mit viel gutem Willen leider nicht erkennbar.
Die Einhaltung der Verpflichtungen aus der neuen Nutzungserklärung sind durch den Betreiber der Seiten ohne weitere Informationen durch Facebook nicht einzuhalten. Wir können die Nutzung des Tools daher aus datenschutzrechtlicher Sicht nicht empfehlen.
C. Lürmann
Rechtsanwältin
Consultant Datenschutz
Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.
Wie funktioniert Custom Audience?
Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.
Fazit:
In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.
Dr. Bettina Kraft
Senior Consultant für Datenschutz
Teamleitung/Volljuristin
Gemäß Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung Art. 6 Abs. 1 lit. a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
- Form: ausdrückliche Erklärung oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann. Wichtig ist, dass der Verantwortliche nachweisen kann, dass eine Einwilligung abgegeben wurde (Dokumentation).
- Informiertheit: Der Betroffene ist vorab über die Identität des Datenverarbeiters, über die Zwecke der Datenverarbeitung und über sein jederzeitiges, freies Widerrufsrecht ohne entsprechende Rückwirkung zu informieren.
- Bei Unterbringung u.a. in Allgemeinen Geschäftsbedingungen muss die Einwilligung deutlich hervorgehoben und klar verständlich sein.
- Vertragliche Einwilligungsklauseln sind in der Regel unwirksam, wenn sie sich auf Daten erstrecken, die für die Erfüllung des Vertrages nicht erforderlich sind.
- Einwilligungserklärungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Ein solches ist in der Regel beispielsweise, wie bisher auch schon, zwischen Arbeitgeber und Arbeitnehmer gegeben. Da auch im Massenverkehr zwischen Unternehmern und Verbrauchern regelmäßig davon auszugehen ist, wird der rechtskonforme Datenverkehr mit Verbrauchern erheblich erschwert.
- Das Mindestalter für die Einwilligung beträgt in der Regel 16 Jahre.
Zusammenfassend lässt sich sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen unverändert bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Hinzu gekommen sind das Mindestalter sowie die Problematik eines möglichen Ungleichgewichts zwischen dem Verantwortlichen und dem Betroffenen. Teilweise wurden Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.
- Die Verarbeitung ist für die Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, erforderlich, der der Verantwortliche unterliegt. Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
- Die Verarbeitung erforderlich ist, um lebenswichtige Interessen, Art. 6 Abs. 1 lit. d DSGVO, der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, Art. 6 Abs. 1 lit. e DSGVO, erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO, des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
- Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse von unterschiedlichen Ausprägungen verfolgt.
- Ob das verfolgte Interesse berechtigt ist, ist eine reine Wertungsfrage, deren Maßstäbe aus den allgemeinen Datenschutzgrundsätzen abzuleiten sind.
- Nach Erwägungsgrund 47 S. 1-4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an.
Erfolgt im Anschluss eine Weiterverarbeitung von Daten zu einem vereinbaren Zweck, so bedarf es keiner gesonderten Rechtsgrundlage für eine solche Weiterverarbeitung, Art. 6 Abs. 4 DSGVO. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen:
- ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
- in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen,
- in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt,
- welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Mit der EU-Datenschutzgrundverordnung kommt somit viel Neues aber auch viel alt Bekanntes und Bewehrtes. Die Unternehmen sind gefordert, hier schnell geeignete Umsetzungsorganismen zu implementieren.
Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de