Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auferlegt.
Das Unternehmen hat seine Beschäftigten über einen Zeitraum von mindestens zwei Jahren per Video überwacht, wobei die Kameras u.a. Lager, Verkaufsräume, Arbeitsplätze und Aufenthaltsbereiche erfassten. Eine Rechtsgrundlage für diese Überwachung gab es nicht.
Ziel der Videoüberwachung sei laut dem Unternehmen die Verhinderung und Aufklärung von Straftaten sowie eine Nachverfolgung des Warenflusses in den Lagern gewesen. Eine Videoüberwachung zur Aufdeckung von Straftaten kann jedoch nur rechtmäßig sein, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass eine konkrete Person eine Straftat begangen hat. Ein Generalverdacht reicht nicht aus. Ferner ist bei einem begründeten Verdacht nur eine zeitlich begrenzte Überwachung angezeigt. Die Videoüberwachung bei notebooksbilliger.de war jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Personen beschränkt. Die Aufzeichnungen wurden zudem teilweise 60 Tage gespeichert und damit laut LfD Niedersachsen deutlich länger als erforderlich. In der Regel sind die Daten innerhalb von 2 bis 3 Tagen (max. 72 Stunden) nach Erhebung zu löschen, da es zumutbar ist, in diesem Zeitraum zu klären, ob eine Sicherung des Materials notwendig ist.
Einige Kameras waren auch auf Sitzgelegenheiten im Verkaufsraum gerichtet, sodass von der unzulässigen Videoüberwachung neben den Beschäftigten auch Kunden und Kundinnen des Unternehmens betroffen waren. Die Landesbeauftragte führte aus, dass die betroffenen Personen in Bereichen, in denen sich Menschen typischerweise länger aufhalten, z.B. um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen haben. Dies gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen.
Sie betonte außerdem, dass es sich hierbei um einen schwerwiegenden Fall der Videoüberwachung im Betrieb handele und Unternehmen verstehen müssen, dass sie damit massiv gegen die Rechte ihrer Mitarbeiter und Mitarbeiterinnen verstoßen.
Bei dem Bußgeld in Höhe von 10,4 Millionen handelt es sich um das bisher höchste Bußgeld, das Niedersachsen seit Inkrafttreten der DSGVO ausgesprochen hat. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig, da notebooksbilliger.de hiergegen Einspruch eingelegt hat.
Nach der Verhängung des bisher höchsten Bußgeldes in Deutschland in Höhe von 35,3 Millionen Euro im letzten Jahr, zeichnet sich auch durch diese Entscheidung der LfD Niedersachsen ab, dass die Aufsichtsbehörden ihr Vorgehen bei Datenschutzverstößen verschärfen. Prüfen Sie daher auch in Ihrem Unternehmen sorgfältig, ob Sie die Vorgaben der DSGVO einhalten.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Videokonferenzdienste erfreuen sich zur Zeit zunehmender Beliebtheit. Sie können helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten. Nicht alle Lösungen sind jedoch für den geschäftlichen Einsatz empfehlenswert.
Insbesondere der US-amerikanische Anbieter Zoom fiel bereits mehrfach durch Sicherheits- und Datenschutzmängel auf. Sogar die New Yorker Generalstaatsanwaltschaft sah sich nach einigen unschönen Zwischenfällen gezwungen, Ermittlungen aufzunehmen. Mittlerweile hat man bereits Nachbesserungen in Aussicht gestellt. Es soll künftig nicht mehr möglich sein, als Außenstehender einfach an fremden Videokonferenzen teilzunehmen.
Wichtig für Unternehmen ist: Sprechen sie möglichst vor der Einführung neuer Software mit Ihrem Datenschutz- und Informationssicherheitsbeauftragten! Nur auf diesem Weg erhalten Sie eine kompetente und unabhängige Einschätzung der Risiken von Datenverarbeitungsprozessen. Außerdem kann eine bestehende Lösung bei Bedarf besser abgesichert werden.
Ansonsten können sich Schnellschüsse zum öffentlichkeitswirksamen Debakel entwickeln. Selbst das bayerische Innenministerium bot ungesicherte Zugänge zu Videokonferenzräumen an. Lassen wir uns dies eine Warnung sein und weiterhin besonnen auf die Herausfordeungen der Krise reagieren.
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.
Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.
Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.
Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.
Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.
Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Mit der Datenschutzgrundverordnung (DSGVO) trat letztes Jahr auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Dieses regelt in § 38 BDSG, dass Unternehmen ab zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Hier wurde seitens Deutschlands die Öffnungsklausel in der der DSGVO genutzt. Kein anderes Land innerhalb der EU ist bei diesem Punkt derart streng.
Der Bundestag hat nun beschlossen, diese Schwelle auf 20 Mitarbeiter anzuheben. Dem muss der Bundesrat noch zustimmen. Begründet wird diese Änderung mit der Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.
Zu beachten ist jedoch, dass Unternehmen unabhängig von der Anzahl ihrer Mitarbeiter die Anforderungen der DSGVO erfüllen müssen. D.h. inhaltlich ändert sich durch diesen Beschluss für kleinere Unternehmen nichts. Ihnen wird lediglich die Möglichkeit eingeräumt die Anforderungen der DSGVO auch ohne einen Datenschutzbeauftragten zu erfüllen. Dann ist die Geschäftsführung und Vorstandschaft gefragt den Datenschutz im Unternehmen/Verein rechtskonform umzusetzen. Was ohne entsprechende Fachkunde oft schwierig werden kann.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Oftmals wird innerhalb einer Unternehmensgruppe nicht zwischen den einzelnen Unternehmen unterschieden und es werden personenbezogene Daten unüberlegt ausgetauscht, z.B. im Personalwesen oder bei der Einbindung von Kollegen aus anderen Unternehmen in den Kundensupport.
Dabei sind auch die einzelnen Unternehmen einer Unternehmensgruppe zueinander grundsätzlich Dritte. Auch die Datenschutzgrundverordnung (DSGVO) enthält kein Konzernprivileg. Sofern ein Unternehmen personenbezogene Daten, für die es verantwortlich ist, gegenüber anderen Unternehmen, die derselben Unternehmensgruppe angehören, offenlegt, muss diese Offenlegung daher datenschutzrechtlich abgesichert werden:
Der Verantwortliche kann die anderen Unternehmen, die derselben Unternehmensgruppe angehören, als Auftragsverarbeiter einsetzen und diese Auftragsverhältnisse über Verträge zur Auftragsverarbeitung absichern. Hierzu muss der Verantwortliche einen Vertrag zur Auftragsverarbeitung mit jedem Unternehmen oder mit dem Mutterkonzern, welcher wiederum die anderen Unternehmen als weitere Auftragsverarbeiter einsetzt, abschließen. Dies kann über einen Intercompany-Vertrag geregelt werden. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO i.V.m. der bestehenden Datenschutzvereinbarung bzw. dem Intercompany-Vertrag i.S.v. Art. 28 Abs. 3 DSGVO.
Der Datenaustausch innerhalb eines Konzerns ist durch den Erwägungsgrund 48 der DSGVO als „berechtigtes Interesse“ privilegiert. Der Verantwortliche, der Teil einer Unternehmensgruppe ist, darf daher personenbezogene Daten innerhalb der Unternehmensgruppe übermitteln, sofern die empfangenden Unternehmen dieser Unternehmensgruppe ebenso angehören, die empfangenden Unternehmen dieser Unternehmensgruppe ihren Sitz innerhalb der EU/EWR haben, es internen Verwaltungszwecken dient und im Falle einer gemeinsamen Verarbeitung eine Vereinbarung i.S.v. Art. 26 Abs. 1 S. 2 DSGVO geschlossen wurde. Im Fall der gemeinsamen Verarbeitung kann dies in den Intercompany-Vertrag aufgenommen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.
Sofern mit dem konzerninternen Datenaustausch Datenübermittlungen in Drittstaaten verbunden sind (z.B. weil ein Unternehmen seinen Sitz in den USA hat), müssen zusätzlich die Vorgaben der Art. 44 ff DSGVO beachtet werden.
Wir empfehlen, die konzerninternen Datenflüsse zu ermitteln, zu prüfen, auf welcher Rechtsgrundlage diese beruhen und etwaige damit verbundene Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau datenschutzrechtlich abzusichern.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.