Nach dem erst kürzlich verhängten Rekordbußgeld gegen Amazon durch die luxemburgische Aufsichtsbehörde in Höhe von 746 Mio. Euro, hat die irische Aufsichtsbehörde DPC nun das zweithöchste Bußgeld in der Geschichte der DSGVO gegen WhatsApp verhängt: 225 Mio. Euro soll WhatsApp wegen Verstößen gegen die DSGVO zahlen.
Ermöglicht werden solche hohen Bußgelder durch Art. 83 Abs. 5 DSGVO, wonach im Fall eines Unternehmens Geldbußen von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.
Das Bußgeld bezieht sich auf ein bereits 2018 begonnenes Verfahren, in dem es um Verstöße gegen die Transparenzvorgaben aus Art. 12-14 DSGVO ging. Die irische Aufsichtsbehörde kam zu dem Ergebnis, dass WhatsApp diesen Vorgaben im Hinblick auf die Bereitstellung von Informationen und deren Weiterverarbeitung zwischen WhatsApp und anderen Facebook-Unternehmen nicht nachgekommen sei. Die ursprünglich veranschlagten 30-50 Mio. EUR schienen einigen anderen Aufsichtsbehörden unangemessen, so dass der EDSA einen gem. Art. 65 DSGVO verbindlichen Beschluss erlassen musste. Dieser erhöhte das Bußgeld auf 225 Mio. EUR, das sich folgendermaßen zusammensetzt:
- 90 Mio. EUR wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO
- 30 Mio. EUR wegen eines Verstoßes gegen Art. 12 DSGVO
- 30 Mio. EUR wegen eines Verstoßes gegen Art. 13 DSGVO und
- 75 Mio. EUR wegen eines Verstoßes gegen Art. 14 DSGVO.
Daneben sprach die DPC eine Verwarnung aus und forderte WhatsApp auf, seine Datenverarbeitung in Einklang mit den Vorschriften zu bringen.
WhatsApp ist mit der Entscheidung nicht einverstanden und hat bereits angekündigt gegen diese vorzugehen. Es bleibt daher abzuwarten, ob das Bußgeld in der Höhe rechtskräftig wird und auch tatsächlich gezahlt werden muss. Nichtsdestotrotz setzt die Entscheidung erneut ein wichtiges Zeichen für den Datenschutz und kann nur als Warnung verstanden werden, den Datenschutz und die Umsetzung der gesetzlichen Vorgaben ernst zu nehmen. Wird das Verfahren letztlich mit einem Urteil entschieden, werden einige strittige Punkte bisheriger Berechnungsmodelle thematisiert werden müssen. Dadurch würde in jedem Fall mehr Rechtssicherheit für Verantwortliche geschaffen.
Julia Bernard
Juristin (Univ.)
Consultant für Datenschutz
Der Bundestag hat eine Änderung des Gesetzes über den unlauteren Wettbewerb (UWG) beschlossen, die sich auf die Dokumentation und Aufbewahrung der Einwilligung in Telefonwerbung auswirkt. Die neuen Regelungen treten am 1. Oktober 2021 in Kraft.
Nach § 7a UWG müssen Werbetreibende demnach die Einwilligungen der Verbraucher in Telefonwerbung in angemessener Form dokumentieren und den Nachweis ab Erteilung der Einwilligung, sowie nach jeder Verwendung der Einwilligung für fünf Jahre aufbewahren. Die in § 7a Abs. 1 UWG geregelte Dokumentationspflicht ergibt sich zwar bereits aus der DSGVO und regelt daher nichts Neues. Neu ist jedoch die fünfjährige Aufbewahrungspflicht in § 7a Abs. 2 UWG.
Diese sollten Sie auch unbedingt beachten, da ein Verstoß nach § 20 Abs. 1 Nr. 2, Abs. 2 UWG bußgeldbewehrt ist und mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann.
Julia Bernard
Juristin (Univ.)
Consultant für Datenschutz
Situationsbeschreibung
Um aussagekräftige Informationen zu Produkten, Qualität der Dienstleistung oder Stimmung im Unternehmen zu erhalten, greifen Unternehmen gerne auf Umfragen an Kunden, Lieferanten und Mitarbeiter zurück. Um die Teilnehmer der Umfrage zu schützen und anonym zu halten, werden die Ergebnisse gerne in Form von aggregierten Daten ausgegeben.
Dabei stellt sich immer wieder die Frage, ab welcher Gruppengröße aggregierte Daten keinen Personenbezug mehr aufweisen.
Einzelfallbezug
Eine pauschale Antwort kann hierbei nicht gegeben werden, da diese Frage einzelfallbezogen bewertet werden muss. So ist zu fragen, auf welcher Ebene findet die Aggregierung statt (Bsp. Mittelwert aus allen Antworten einer Frage oder prozentuale Angabe pro Antwortmöglichkeit), an wie viele Personen ging diese Umfrage und wird innerhalb der Umfrage zwischen verschiedenen Gruppen unterschieden (Bsp. jede Abteilung bekommt eine andere Umfrage), welche Fragen werden dabei gestellt (Bsp. Fragen zu Personalverantwortlichkeit oder Funktion im Unternehmen), etc.
Aufsichtsbehörden
Einigkeit besteht in der Literatur und bei den Aufsichtsbehörden dahingehend, dass 3 Teilnahmen in der Regel nicht ausreichend sind, um die Anonymität der Personen zu wahren.
Vielmehr liegt die Untergrenze in der Regel bei 5 bis 7 Teilnahmen. Geht es um die Auswertung besonderer Kategorien personenbezogener Daten ist die Grenze für die notwendige Gruppengröße wesentlich höher einzustufen.
Fazit
Verantwortliche müssen sich den Einzelfall genau anschauen und bewerten, ob ein Personenbezug möglich ist. Hierfür sollten Sie Ihren Datenschutzbeauftragten rechtzeitig einbinden.
Laura Piater
Consultant für Datenschutz
Volljuristin
In einem verwaltungsgerichtlichen Verfahren musste die Frage geklärt werden, wie mit Videokamera-Attrappen im Rahmen des Datenschutzes umgegangen werden muss und ob eine Abbauverfügung der Aufsichtsbehörde rechtmäßig ist.
Ausgangssituation
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hatte im Rahmen einer Überprüfung der Videoüberwachung die Anordnung erteilt, eine Videokamera zu demontieren. Das bloße Ausschalten genüge nicht, da hierdurch dennoch ein Überwachungsdruck entstünde, welcher das allgemeine Persönlichkeitsrecht der betroffenen Personen beeinträchtigt. Der Verantwortliche ging gegen diese Entscheidung gerichtlich vor.
Neues Urteil der Verwaltungsgerichte
Das Verwaltungsgericht (VG) Mainz hatte hierzu in seinem Urteil vom September 2020 (Az. 1 K 584/19.MZ) entschieden, dass die Aufsichtsbehörde zur Anordnung des Abbaus der Videokamera nicht befugt war und die Anordnung daher rechtswidrig sei. Die Aufsichtsbehörde darf zwar den Betrieb der Videoüberwachung untersagen gemäß Art 58 Abs. 2 lit. f DSGVO, eine Abbauanordnung übersteigt jedoch die Handlungsmöglichkeiten der Aufsichtsbehörde.
Auch das Oberverwaltungsgericht (OVG) Rheinland-Pfalz hat in seinem Urteil vom 25.06.2021 (Az. 10 A 10302/21) entschieden, dass eine Abbauverfügung nicht im Rahmen der Ermächtigungsgrundlagen der Aufsichtsbehörden enthalten sind. Zudem machte das OVG Rheinland-Pfalz klar, dass durch eine Videokamera-Attrappe bzw. einer ausgeschalteten Videokamera keine personenbezogenen Daten verarbeitet werden und die DSGVO nicht anwendbar sei.
Fazit
Aufsichtsbehörden dürfen natürlich auch weiterhin Videoüberwachung auf deren Datenschutz Konformität hin überprüfen. Allerdings beschränken sich die Maßnahmen auf die Regelungen gemäß Art 58 Abs. 2 DSGVO.
Im Rahmen von Kamera-Attrappen und ausgeschalteten Videokameras ist nicht die DSGVO einschlägig. Vielmehr können betroffene Personen auf zivilrechtlichem Wege (Bsp. Schadensersatz, Unterlassungsanspruch) gegen derartige Kameras und damit gegen die Verantwortlichen vorgehen.
Zwar gilt mangels Anwendbarkeit der DSGVO die Hinweispflicht gemäß Art 13 DSGVO auf Kamera-Attrappen nicht. Allerdings sollten Verantwortliche in Betracht ziehen, die Informationen i.S.d Art 13 DSGVO entsprechend für Attrappen zu geben, um dem Argument des Überwachungsdrucks und damit ggfs. einhergehende Ansprüche der betroffenen Personen entgegenzuwirken.
Laura Piater
Consultant für Datenschutz
Volljuristin
Moderne Probleme erfordern moderne Lösungen. Trotz der immer wieder aufflammenden Diskussion um die Vertrauenswürdigkeit von Messenger-Diensten sind sie doch selbstverständliche und nicht mehr wegzudenkende Kommunikationsmittel in unserem Alltag geworden. Wir sind es gewohnt, dass wir schnell und unkompliziert Text-, Bild- und Sprachnachrichten mit einzelnen Kontakten oder – ratzfatz und kinderleicht erstellten – Gruppen austauschen können. Was privat normal geworden ist, vermissen viele im beruflichen Kontext. Aus Gründen des Datenschutzes und der Informationssicherheit sind Messenger-Dienste in Unternehmen und Behörden regelmäßig verboten und die Mitarbeitenden an E-Mails oder gar Faxe gefesselt. Eigenständige Lösungen, wie sie von einigen Branchen oder Behörden entwickelt wurden, scheinen zwar sicher, sind dabei aber mit einem abschreckenden Aufwand verbunden.
Eine der meiner Meinung nach besten Lösungen bietet nunmehr der Schweizer Anbieter Threema mit seinem neuen „Threema OnPrem“. Dabei handelt es sich um ein vollständig vom Verwender selbst gehostetes Threema. Die Nutzer können mit der vielleicht schon aus dem Privatleben bekannten Oberfläche arbeiten und die gleichen Funktionen nutzen, während die Datenverarbeitung vollständig in der Hoheit des Unternehmens bleibt.
Für den internen Betrieb im Unternehmen sind überschaubare Ressourcen erforderlich, die sich mit einem physischen oder virtuellen Linux-Server gut unterbringen lassen. Über die Kosten informiert der Anbieter derzeit nur auf Anfrage (www.threema.ch).
Konsequenterweise ist mit dieser Variante von Threema auch nur die ausschließlich interne Kommunikation möglich. Ein Austausch mit externen Nutzern oder einer anderen OnPrem-Instanz ist nicht möglich. Für einige Verwender mag das ein Nachteil sein, für Verantwortliche mit sehr hohen Ansprüchen an Sicherheit und Vertraulichkeit jedoch definitiv ein Vorteil.
Wer mit Threema sowohl intern als auch extern kommunizieren möchte, könnte in Threema Work eine Lösung finden. Der Funktionsumfang von OnPrem und Work identisch. Beide Versionen kommen mit einem MDM und einem „Management-Cockpit“ für die zentrale Administration und Nutzerverwaltung. Einziger Unterschied ist, dass Threema Work auf Servern des Anbieters in der Schweiz betrieben wird. Die Kommunikation mit Externen ist dadurch möglich, kann aber im Bedarfsfall auch technisch unterbunden werden.
Entscheidendes Argument für Threema ist die Möglichkeit, die App auch ohne Zugriff auf das Telefonbuch des Smartphones zu verwenden. So wird eine Datenübermittlung an Dritte, für die eine Rechtsgrundlage bestehen müsste und die Informationspflichten auslöst, vermieden. Der Kommunikationskanal muss dann über die Threema-ID hergestellt werden, die für sich genommen ein relativ starkes Pseudonym ist.
Stefan Effmert
Berater für Datenschutz und Informationssicherheit
Volljurist
Die EU-Kommission hat den von vielen Unternehmen lang ersehnten Angemessenheitsbeschluss gemäß Art. 45 Datenschutzgrundverordnung (DSGVO) für Großbritannien erlassen. Damit bescheinigt die EU-Kommission dem Vereinigten Königreich ein angemessenes Datenschutzniveau im Sinne der Datenschutzgrundverordnung. Dies vereinfacht nach dem Brexit den Datentransfer. Seit diesem galt Großbritannien als Drittland und jede Datenübermittlung musste zusätzlich mit EU-Standardvertragsklauseln abgesichert werden. Denn Datentransfers in Drittländer sind nur zulässig, wenn geeignete Garantien (Art. 44 ff. DSGVO) ein angemessenes Datenschutzniveau in diesem Land sicherstellen.
Eine Datenübermittlung nach Großbritannien kann nach dieser Entscheidung der EU-Kommission nun auf Grundlage des Angemessenheitsbeschlusses erfolgen; weitere Maßnahmen zum Schutz der Daten im Sinne des Art. 46 DSGVO müssen folglich nicht mehr ergriffen werden.
Wenn Sie einen Auftragsverarbeiter in Großbritannien einsetzen reicht folglich wieder der alleinige Abschluss eines Vertrages zur Auftragsverarbeitung aus.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Das Betriebsrätemodernisierungsgesetz, welches die Betriebsratswahlen und die Betriebsratsarbeit in der digitalen Arbeitswelt fördern möchte, ist am 18. Juni 2021 in Kraft getreten.
Das Gesetz sieht neben einigen anderen Regelungen vor, dass der Arbeitgeber für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat datenschutzrechtlich verantwortlich ist, wenn er die Beschäftigtendaten zur Erfüllung der in seiner Zuständigkeit als Betriebsrat liegenden Aufgaben verarbeitet.
Folglich ist der Datenschutzbeauftragte des Arbeitgebers nun auch für die Datenverarbeitung des Betriebsrats zuständig. Dies war in der Vergangenheit heftig umstritten und eine Zuständigkeit des Datenschutzbeauftragten des Arbeitgebers wurde vor allem seitens der Betriebsräte häufig verneint. Mit dem Betriebsrätemodernisierungsgesetz wurde die Zuständigkeit nun gesetzlich geklärt.
Sensibilisieren Sie dahingehend Ihren Betriebsrat. Der Datenschutzbeauftragte wird dessen Arbeit in Zukunft intensiv kontrollieren müssen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Wie wir bereits in unserem Blogbeitrag Update zum Umgang mit personenbezogenen Daten beim internationalen Datentransfer berichtet haben, hat die Europäische Kommission bereits im November letzten Jahres auf das Schrems II-Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, reagiert und neue EU-Standardvertragsklauseln (SCC) zur öffentlichen Konsultation gegeben.
Am Freitag, den 04.06.2021, hat die Europäische Kommission die neuen EU-Standardvertragsklauseln (SCC) als Garantie im internationalen Datentransfer gemäß Art. 46 Abs. 1 DSGVO nun verabschiedet. Auch die Veröffentlichung im Amtsblatt ist mittlerweile bereits erfolgt.
Doch was bedeutet das nun für Unternehmen, welche mit den bisherigen SCC gearbeitet haben?
Einführung der neuen SCC im Unternehmen
Dem Artikel 4 des Durchführungsbeschlusses der Europäischen Kommission können die nun geltenden Übergangsfristen entnommen werden. Die bisherigen SCC können noch für 3 Monate wie bisher für den Datentransfer in Drittstaaten abgeschlossen werden. Nach dieser ersten genannten Frist müssen bei neuen Verträgen die neuen SCC abgeschlossen werden. Innerhalb einer weiteren Frist von 15 Monate müssen Verträge mit den bisherigen SCC auf die neuen SCC angepasst werden. Bis zum Ablauf dieser zweiten Frist können sich Unternehmen jedoch noch auf die bisherigen SCC in ihren Verträgen als Garantie für den Drittstaattransfer personenbezogener Daten berufen.
Die neuen SCC weisen einen modularen Aufbau vor, um verschiedene Szenarien abzudecken. Auch die Kritik aus dem Schrems II-Urteil des EuGH, dass Behörden auf personenbezogene Daten in den USA zugreifen können, ohne dass betroffene Personen einen adäquaten Rechtsbehelf gegen dieses Vorgehen haben, wurde berücksichtigt. Der Zugriff auf die personenbezogenen Daten durch die örtlichen Behörden wird nun unter Abschnitt III geregelt. Dabei geht man zwar grundsätzlich vertrauensvoll von der Wahrung von Betroffenenrechten aus, vereinbart jedoch zusätzliche Benachrichtigungs- und Überprüfungspflichten für den Fall staatlicher Zugriffsversuche.
Fazit
Unternehmen sollten sich klar machen, welche Verträge von den neuen SCC und der damit verbundenen Übergangsfristen betroffen sind und einen Prozess für die Aktualisierung ausarbeiten. Darüber hinaus ist ein Prozess zu entwickeln, um künftig die neuen SCC bei zukünftigen Verträgen zu nutzen. Zudem sind Mitarbeiter, welche mit den neuen SCC arbeiten, entsprechend auf die neuen Anforderungen zu sensibilisieren.
Laura Piater
Consultant für Datenschutz
Volljuristin
Dem Europäischen Gerichtshof (EuGH) wurde durch das Bundesarbeitsgericht (BAG) die Frage zur Entscheidung vorgelegt, ob der deutsche Sonderkündigungsschutz im Arbeitsrecht für Datenschutzbeauftragte mit der DSGVO vereinbar ist und ob Betriebsratsvorsitzende die Position des betrieblichen Datenschutzbeauftragten bekleiden können, ohne dass hierbei ein Interessenkonflikt besteht.
Im zugrunde liegenden Fall, welchen das BAG zu entscheiden hat, wurde ein zum betrieblichen Datenschutzbeauftragter ernannter Betriebsratsvorsitzender mit dem Hinweis abberufen, beide Ämter gleichzeitig in Personalunion zu betreiben. Dies würde zwingend zu einem mit den Amtspflichten unvereinbaren Interessenkonflikt führen und stelle somit einen wichtigen Grund iSd § 626 BGB zur Kündigung der Tätigkeit als Datenschutzbeauftragter dar.
Das BAG hingegen ist der Auffassung, ein wichtiger Grund für eine Abberufung würde nicht vorliegen. Für die Frage, ob der Datenschutzbeauftragte abberufen werden kann, kommt es jedoch auf die Auslegung der DSGVO als Unionsrecht an, welches durch den EuGH geklärt werden muss.
Im Rahmen eines Vorabentscheidungsverfahrens hat sich der 9. Senat des BAG daher an den EuGH gewandt. Dabei soll zunächst die Frage geklärt werden, ob neben Art. 38 Abs. 3 Satz 2 DSGVO nationale Regelungen wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG anwendbar sind, wenn die Voraussetzungen für eine Abberufung durch das nationale Recht wesentlich verschärft werden.
Entscheidet sich der EuGH für die Anwendbarkeit der nationalen Regelungen gemäß BDSG, so soll weiterhin die Frage geklärt werden, ob die Ausübung der Tätigkeit des betrieblichen Datenschutzbeauftragten neben der Tätigkeit als Betriebsratsvorsitzender zu einem Interessenkonflikt gemäß Art. 38 Abs. 6 Satz 2 DSGVO führt.
Es bleibt abzuwarten, wie der EuGH in dieser Sache entscheidet, da dies auch Auswirkungen auf weitere streitige Themen hat, wie beispielsweise, ob der Betriebsrat ein eigener Verantwortlicher iSd DSGVO darstellt.
Laura Piater
Consultant für Datenschutz
Volljuristin
Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um unter anderem die Vertraulichkeit und Integrität dieser Daten sicherzustellen. Im Rahmen der sog. „Transportkontrolle“ ist zu prüfen, ob die eingesetzte Technik einen angemessenen Schutz für die transportierten personenbezogenen Daten bietet. Dabei sind unter anderem die Implementierungskosten von Maßnahmen, Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von Risiken für die betroffenen Personen abzuwägen.
Die Bremer Landesdatenschutzbeauftragte Frau Sommer erklärte Anfang Mai 2021 das Telefax für zu unsicher, um damit personenbezogene Daten zu übermitteln. Das liege am Internet.
Telefaxe werden heute nicht mehr zwingend von Gerät zu Gerät über Telefonleitungen geschickt. Vielmehr erfolge die Übertragung häufig über das Internet.
Es werden in der Regel Systeme genutzt, die Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Adressen innerhalb des Verantwortlichen weiterleiten. Damit hat das Fax nach Aussage von Frau Sommer nur noch das Sicherheitsniveau einer unverschlüsselten E-Mail.
Das bringt weitreichende Konsequenzen mit sich. Telefaxe sind folglich auf keinen Fall mehr für die Übermittlung von besonderen personenbezogenen Daten im Sinne des Art. 9, Abs. 1 DSGVO geeignet.
Schulen Sie dahingehend vor allem auch Ihre HR-Mitarbeiter.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin