Home / Aktuelles & Termine / it.sec blog

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union und der Europäischen Atomgemeinschaft (Euratom) ausgetreten. Das Austrittsabkommen ist zum 1. Februar 2020 in Kraft getreten und sieht einen Übergangszeitraum bis zum 31. Dezember 2020 vor, in dem das EU-Recht für das Vereinigte Königreich weiterhin mindestens gilt.

 

Am 3. Februar 2020 hat nun die Europäische Kommission den ersten Schritt zur Aufnahme von Verhandlungen mit dem Vereinigten Königreich unternommen und dem Rat eine Empfehlung vorgelegt. Darin wird auch die große Bedeutung des Datenschutzes hervorgehoben. Die Kommission betont, dass die geplante Partnerschaft angesichts der Bedeutung des Datenflusses eine Verpflichtung zu einem hohen Niveau des Schutzes personenbezogener Daten gewährleisten muss. Außerdem sei es wichtig, dass die Vorschriften der Union über den Schutz personenbezogener Daten uneingeschränkt respektiert werden – ebenso wie die Entscheidungsprozesse der Union in Bezug auf Angemessenheitsentscheidungen. Eine solche Angemessenheitsentscheidung wird erforderlich, da das Vereinigte Königreich aus datenschutzrechtlicher Sicht nach dem Übergangszeitraum zu einem Drittstaat wird. Mit dem Angemessenheitsbeschluss der EU-Kommission – sofern die Bedingungen dafür erfüllt sind – wird das Vereinigte Königreich als ein Drittland mit angemessenem Schutzniveau eingestuft.

 

Ein solcher Angemessenheitsbeschluss sollte auch die Zusammenarbeit und den Informationsaustausch, insbesondere im Bereich der Strafverfolgung und der justiziellen Zusammenarbeit in Strafsachen ermöglichen.

 

Darüber hinaus sollte die Partnerschaft nach der Empfehlung der Kommission im Zusammenhang mit der Digitalisierung des Waren- und Dienstleistungsverkehrs für den Schutz der Verbraucher im Internet sorgen, einschließlich des Schutzes vor unerbetener Direktmarketingkommunikation.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.

Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.

Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.

Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.

Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

EuGH-Urteil

 

Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.

 

Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.

 

Konsequenzen des EuGH-Urteil

 

Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.

 

Datenschutzrechtliche Herausforderungen

 

Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:

 

- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.

 

- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.

 

- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.

 

- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.

 

- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.

 

- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.

 

- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.

 

Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:

 

Sachverhalt

 

Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.

 

 

Entscheidung des OLG

 

Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.

 

 

Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.

 

 

Fazit

 

Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.

 

 

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Wir hatten bereits in unserem Blogbeitrag im Juli 2019 darüber berichtet und seit November 2019 ist es auch „amtlich“: Unternehmen müssen erst ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.

Seit dem 26.11.2019 ist der neue § 38 Abs. 1 S. 1 BDSG in Kraft getreten.

Natürlich müssen Unternehmen auch ohne einen Datenschutzbeauftragten ihren Pflichten aus der Datenschutzgrundverordnung (DSGVO) vollständig nachkommen.

Die Anzahl der Personen spielt aber auch weiterhin keine Rolle, wenn Unternehmen

- Verarbeitungen personenbezogener Daten vornehmen, die einer Datenschutz-Folgenabschätzung bedürfen (§ 38 Abs. 1 S. 2 BDSG)

oder

- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 Abs. 1 S. 2 BDSG).

In diesen Fällen muss ein Datenschutzbeauftragter weiterhin benannt werden.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

Die Aufsichtsbehörden in Hamburg und Bayern haben ausdrücklich darauf hingewiesen, dass Google Analytics-Cookies nur mit Einwilligung gesetzt werden dürfen.

 

Eine weitere wichtige Aussage in diesem Zusammenhang ist außerdem, dass die Aufsichtsbehörden Google LLC nicht mehr als Auftragsverarbeiter der Website-Betreiber ansehen: „Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich Google als Anbieter das Recht ein, die Daten auch zu eigenen Zwecken zu verwenden.“

 

Die Konsequenz hieraus ist, dass nach Ansicht der Aufsichtsbehörden Google LLC damit aktuell gegen seine eigenen Auftragsverarbeitungsbedingungen (Ziffer 5.2, Weisungsgebundenheit) verstoßen würde. Leider sind bislang aus dieser Auffassung keine sichtbaren Schritte seitens der Aufsichtsbehörden gegen Google LLC an die Öffentlichkeit gedrungen.

 

Website-Betreibern ist zu empfehlen, sich den Einsatz von Google Analytics gut zu überlegen. Zwar haben die Aufsichtsbehörden immer wieder beteuert, man werde sich zunächst an die Hersteller/Anbieter wenden, wenn diese für die Vertragsgestaltung verantwortlich sind (so zum Beispiel auch im Zusammenhang mit Microsoft), allerdings ist das datenschutzrechtliche Verhältnis zwischen Website-Betreiber und Google LLC zumindest ungeklärt und damit auch angreifbar.

 

S. Kieselmann

 

Senior Consultant Datenschutz

 

Dipl.sc.pol.Univ.

So ist es zumindest in der Datenschutzerklärung auf der Webseite zu lesen.

Es bleibt zu hoffen, dass zumindest die Daten der Webseitenbesucher geschützt sind, den aktuellen Medienberichten zufolge scheint dies für die Mitarbeiterdaten nicht ganz zuzutreffen. Zumindest hat der Landesdatenschutzbeauftragte von Hamburg, Johannes Caspar, ein Bußgeldverfahren eingeleitet, da sich der Verdacht massiver Verstöße gegen die Rechte der Beschäftigten erhärtet hat.

In einem exklusiven Interview mit der FAZ sprach Herr Caspar von systematischen Aufzeichnungen, die von Vorgesetzten über deren Mitarbeiter detailliert erstellt worden seien. Dabei wurden angeblich auch gesundheitliche Diagnosen, privaten Streitigkeiten oder Urlaubserlebnisse der Mitarbeiter festgehalten. Diese Informationen stammten aus offiziellen Gesprächen einerseits, seien aber auch mit „privat gewonnenen Informationen“ etwa aus Plauderrunden oder während Raucherpausen angereichert worden.

Dem Unternehmen H&M droht bei einem festgestellten Verstoß ein Bußgeld, welches sich am Umsatz des Konzerns orientiert. Nach eigenen Angaben lag dieser im Jahr 2018 bei 3,14 Milliarden Euro. Nach dem erst im November 2019 durch die Datenschutzkonferenz (DSK) veröffentlichten Bußgeldkonzept würde der Tagessatz für ein Bußgeld damit bei 8,7 Millionen Euro liegen. Dieser Tagessatz wäre dann – je nach Verstoß – mit einem Faktor zwischen 1 und 14,4, je nach Schwere des Verstoßes, zu multiplizieren. Falls die Daten sich wie behauptet tatsächlich ungeschützt und unverschlüsselt auf einem internen Laufwerk befanden, dürfte dies auch bei der Festlegung des Tagessatzes und damit bei der Festlegung des Bußgelds eine große Rolle spielen.

Sollten sich die Vorwürfe bewahrheiten und ein Millionenbußgeld verhängt werden, würde sich wieder einmal zeigen, dass es sich auch finanziell lohnt, den Datenschutz tatsächlich wichtig zu nehmen und schon im Vorhinein für einen ordnungsgemäßen Umgang mit den im Unternehmen vorhandenen personenbezogenen Daten zu sorgen. Die rechtzeitige Beauftragung von Datenschutzexperten und die notwendige Umsetzung der Vorgaben der DSGVO wäre mit Sicherheit günstiger gekommen.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?

 

Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.

 

Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.

 

Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden

 

Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.

 

Wir werden Sie weiter auf dem Laufenden halten.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Ein britisches Gericht hat nun entschieden, dass Veganismus eine Weltanschauung ist, die dem Diskriminierungsverbot unterliegt.

Damit ist die Angabe „vegan“ oder „Veganer“ in Zusammenhang mit einer natürlichen Person ein diskriminierungsrelevantes Datum, wie etwa das Alter oder das Geschlecht.

Ist es aber auch eine besondere Datenkategorie im Sinne Art. 9 Abs. 1 DSGVO? Derzeit wird wohl überwiegend die Meinung vertreten, hierbei handle es sich lediglich um eine Einstellung. Im bloßen Verzicht auf tierische Produkte beim Essen sei erst einmal noch keine ideologische Überzeugung erkennbar.

Laut dem britischen Gericht handelt es sich aber insofern um eine Weltanschauung, wenn die vegane Lebensweise einer Ethik folgt, die das alltägliche Handeln in vielerlei Hinsicht moralisch bestimmt, d.h. wenn man sich dem Ziel des Tierschutzes durch seine nahezu gesamte Lebensweise verschreibt (durch entsprechende Ernährung, Boykott von Produkten, die mit Tierversuchen in Zusammenhang stehen, Teilnahme an Demonstrationen, Verzicht auf Teilnahme bei Veranstaltungen wie Zirkus etc.).

Dementsprechend lösen die Angaben „Vegan“ oder „Veganer“ an sich noch nicht unmittelbar ein Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO aus, bspw. um sich vor der Firmen-Weihnachtsfeier nach besonderen Essenswünschen zu erkundigen. Es sollte jedoch darauf geachtet werden, dass in diesem Zusammenhang tatsächlich lediglich nach „Wünschen“ oder „Vorlieben“ gefragt wird und nicht nach Lebenseinstellungen. Formulieren Sie die Abfrage also entsprechend: „Ich wähle für die Weihnachtsfeier eine vegane/vegetarische/halal…Ernährung“. In dem Moment, wo Sie die Abfrage so stellen, dass sich hieraus eine weltanschauliche oder philosophische Überzeugung herauslesen lässt -bspw. „Ich bin Veganer“-, könnte sich hieraus ggfs. ein Verarbeitungsverbot ergeben.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Festplatte Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Update Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31