Das Landesgericht Köln hat mit seinem Urteil vom 14.09.2020 (2 Sa 358/20) entschieden, dass die Kostenregelung aus § 12a ArbGG auch für Schadensersatzansprüche sowie Beseitigungsansprüche aus der DSGVO gilt.
§12a ArbGG regelt die Kostentragungspflicht im ersten Rechtszug vor dem Arbeitsgericht und sieht vor, dass kein Anspruch der obsiegenden Partei auf Entschädigung wegen Zeitversäumnis und auf Erstattung der Kosten für die Zuziehung eines Prozessbevollmächtigten oder Beistandes besteht.
Mit der Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO und Geltendmachung von Schadensersatz nach Art. 82 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung vor dem Arbeitsgericht Köln wurde der Klägerin Schadensersatz i.H.v. 300,00 € zugesprochen. Sie ging damit gegen ihre vorherige Arbeitgeberin vor, welche unbeabsichtigt, aber auch unbefugt, eine PDF mit personenbezogenen Daten der Klägerin auf ihrer Webseite auch nach Beendigung des Arbeitsverhältnisses veröffentlicht hielt. Hinsichtlich des geltend gemachten Kostenerstattungs- und Freistellungsanspruchs verlor sie und legte Berufung ein.
Neben der Feststellung, dass die Intensität der Rechtsverletzung marginal war, bestätigte das Landgericht im Berufungsverfahren die Entscheidung des Arbeitsgerichts und lehnte ebenfalls die volle Höhe des verlangten Schadensersatzes ab.
Aus Sicht der Klägerin müsse § 12a ArbGG im Zusammenhang mit Schadensersatzansprüchen aus Art. 82 DSGVO wegen der Unabdingbarkeit der DSGVO als europäische Verordnung unangewendet bleiben. Diese verlangte neben dem primären Schadensersatz aufgrund der Rechtsverletzung der Beklagten, auch die Kosten für die Zuziehung ihrer Prozessbevollmächtigten erstattet.
Dieser Ansicht ist das Landgericht nicht gefolgt und wies die Berufung mit folgender Begründung ab.
Das Gericht legt dar, dass die Schadensersatzansprüche der DSGVO ausschließlich den primären Schadensersatz begründen. Also Ersatz des Schadens, welcher durch den Verstoß gegen die DSGVO entstanden ist. Weitere Kosten die entstehen, wie Anwalts- und Prozesskosten, werden durch Art. 82 DSGVO nicht erfasst, sondern werden durch nationales Recht geregelt (Vgl. Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8).
Hinzu kommt, nach Auffassung des Gerichts, dass der Schadensersatzanspruch dadurch nicht eingeschränkt wird oder es zu einer Benachteiligung der Arbeitsnehmer kommt. § 12a ArbGG schützt ja gerade den Arbeitnehmer. Verlangt der Arbeitnehmer nämlich zu viel Schadensersatz im ersten Rechtszug und verliert zumindest teilweise, kommt ihm die Norm aus dem ArbGG hinsichtlich der zu erstatteten den Kosten zu Gute.
Bezüglich der Anwendbarkeit von § 12a ArbGG im Zusammenhang mit dem Beseitigungsanspruch aus Art. 17 DSGVO führt das Landgericht aus, dass die Prozessnorm den Beseitigungsanspruch nicht ausgestaltet. Er regelt lediglich die Kosten des Beseitigungsanspruch, wozu es in der DSGVO keine Regelungen gibt, sodass es bei den allgemeinen deutschen Regeln zur Kostenverteilung verbleibt.
Fazit:
Mithin stellt das Landgericht fest, dass nationale prozessrechtliche Regelungen sehr wohl bei Geltendmachung von Ansprüchen auf Grundlage der DSGVO anwendbar sind. „Das materielle deutsche Prozessrecht behalte seine Geltung“. Dieses Urteil und weitere Urteile (siehe auch Landgericht Köln, 28 O 71/20) zeigen, dass eine uferlose Haftung auf Grundlage der DSGVO vermieden werden soll.
Handlungsbedarf für das Datenschutzmanagement löst das Urteil nicht aus. Im konkreten Fall sollte es aber in die Abwägung mit einfließen, da es Folgen für die Beurteilung der Risiken im Zusammenhang mit Datenschutz und gerichtlichen Prozessen zwischen Arbeitgeber und Arbeitnehmer haben kann.
Jan Brinkmann
Consultant für Datenschutz
Volljurist
Seit dem 1. Januar 2021 stellen Krankenkassen die elektronische Patientenakte gemäß des neuen Patientendaten-Schutz-Gesetzes zur Verfügung. Ziel ist laut Bundesregierung, eine sichere, nutzerfreundliche und barrierefreie digitale Kommunikation zwischen Behandelnden und PatientInnen zu ermöglichen.
Zunächst können PatientInnen Befunde, Arztberichte oder auch Röntgenbilder speichern und entsprechend freigeben. Ab dem Jahr 2022 folgen dann auch der Impfausweis, der Mutterpass, das gelbe Untersuchungsheft für Kinder und das Zahnbonusheft.
Ein weiteres Feature, welches im Jahr 2022 erst verfügbar sein wird, ist die manuelle separate Freigabe von Datensätzen. So können NutzerInnen im kommenden Jahr selbst in der App entscheiden, welche Daten, wem frei gegeben werden.
Genau dieses Feature im Hinblick auf die elektronische Patientenakte verlangt Bundesdatenschutzbeauftragter Ulrich Kelber von den Krankenkassen. In einer offenen Stellungnahme warnte er vor aufsichtsrechtlichen Maßnahmen gegen Krankenkassen seitens seiner Behörde. Denn, wenn das Gesetz in seiner jetzigen Form umgesetzt wird, verstoße es gegen europäisches Datenschutzrecht (DSGVO).
Das Bundesgesundheitsministerium hingegen spricht davon, „dass der Patient Herr seiner Daten werde“. Weiter führt das Ministerium aus: „Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert und welche wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf.“ Dadurch sollen z.B. doppelte Untersuchungen vermieden werden.
Problematisch aus Sicht des Datenschutzes sei, dass im ersten Jahr der ePA personenbezogene Daten offengelegt werden, obwohl dies gegen Grundprinzipien (Zweckbindung) der DSGVO verstoße, so die Landesdatenschutzbeauftrage Niedersachsen Thiel. So kann jeder Arzt und jede Ärztin des Nutzers – im Jahre 2021 – Befunde, Berichte, Bilder etc. jeder anderen Praxis einsehen. Darüber hinaus geht es hierbei nicht um Daten mit einem niedrigen Risiko für die Betroffenen, sondern um sensible Daten besonderer Kategorien i.S.d DSGVO. So können z.B. Informationen intimster Natur wie psychische Erkrankungen oder Schwangerschaftsabbrüche bei dem behandelnden Augenarzt offengelegt werden.
Weiterer Kritikpunkt auch der Datenschützer, dass es zu einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung kommt. Bisher können nämlich nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA erhalten“.
Letztlich wird noch das Authentifizierungsverfahren für die ePA kritisiert da es keine technischen und organisatorischen Maßnahmen entsprechend der Vorgaben der DSGVO bietet. Insbesondere bei Anmeldungen ohne Einsatz der elektronischen Gesundheitskarte entspreche das Authentifizierungsverfahren nicht dem aktuellen Stand der Technik.
Fazit:
Die Krankenkassen befinden sich in einer schwierigen Situation. Auf der einen Seiten müssen sie ihren Versicherten die Chance einer nutzerfreundlichen und barrierefreien digitalen Kommunikation bieten. Auf der anderen Seite verstößt die durch das deutsche Gesetz vorgeschrieben Vorgehensweise gegen europäisches Datenschutzrecht, was das Risiko aufsichtsrechtlicher Maßnahmen mit sich bringt. Es ist abzuwarten, wie das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte oder ein damit betrautes Gericht entscheiden.
Als betroffene Person ist man derzeit also nur begrenzt „Herr seiner Daten“. Es bleibt also– wie so oft – eine Abwägung zwischen den eigenen Interessen: Digitale und leichtere Kommunikation oder Datenschutz.
Jan Brinkmann
Consultant für Datenschutz
Volljurist
In unserer heutigen Kommunikation sind Videokonferenzen nicht mehr wegzudenken. Deren Bedeutung hat sich durch die Corona-Krise noch weiter vergrößert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus diesem Grund im Oktober 2020 eine Orientierungshilfe veröffentlicht, in der sie die datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen erläutert. Die wichtigsten Punkte werden im Folgenden zusammengefasst.
Der Verantwortliche hat verschiedene Möglichkeiten ein Videokonferenzsystem zu betreiben. Er kann das Videokonferenzsystem selbst betreiben, durch einen externen IT-Dienstleister betreiben lassen oder einen Online-Dienst nutzen.
Selbst betriebener Dienst
Aus datenschutzrechtlicher Sicht ist es am vorteilhaftesten das Videokonferenzsystem selbst zu betreiben, da der Verantwortliche dadurch selbst entscheiden kann, welche Software verwendet wird und welche Daten verarbeitet werden. Auch muss dann kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Allerdings liegt es in diesem Fall am Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und das Videokonferenzsystem zu betreiben und zu warten, d.h. der Verantwortliche muss dazu sowohl in technischer als auch in personeller Sicht in der Lage sein.
Externer Dienstleister
Der Verantwortliche kann einen externen IT-Dienstleister zum Betrieb der Software beauftragen und mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung seiner Zuverlässigkeit und der Geeignetheit, der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Hinsichtlich der Software ist zu prüfen, ob Datenabflüsse an den Hersteller oder Dritte erfolgen. Für die Datenabflüsse muss entweder eine Rechtsgrundlage bestehen oder sie müssen unterbunden werden.
Online Dienst
Der Verantwortliche kann schließlich auch bereits bestehende Online-Dienste nutzen. Auch in diesem Fall muss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Bei der Auswahl des Anbieters muss der Verantwortliche insbesondere darauf achten, dass die Anforderungen der DSGVO eingehalten werden und geeignete technische und organisatorische Maßnahmen vorhanden sind.
Da viele Anbieter von Videokonferenzsystem die Daten in den USA verarbeiten, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Eine Datenübermittlung in die USA kann seit der Ungültigkeitserklärung des Privacy Shield durch den EuGH nicht mehr auf dieses gestützt werden. Denkbar ist aber eine Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien, es müssen jedoch zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können. Es ist deshalb eine sorgfältige Prüfung vorzunehmen! Im Zweifel muss der Datenexport unterbleiben.
Außerdem muss der Verantwortliche die Software prüfen, z.B. auf Datenabflüsse und Zugriffsrechte, und ggf. Anpassungen vornehmen. Sollte der Anbieter Daten auch zu eigenen Zwecken oder Zwecken Dritter (z.B. zum Nutzerverhalten oder Tracking zu Werbezwecken) verarbeiten, ist für jede Offenlegung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Für diesen Fall ist außerdem eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu prüfen und ggf. eine entsprechende Vereinbarung abzuschließen.
Pflichten des Verantwortlichen
Der Verantwortliche hat bei der Nutzung von Videokonferenzsystem verschiedene Pflichten. Er muss insbesondere:
- seine Informationspflichten aus Art. 13, 14 DSGVO erfüllen und die Teilnehmer klar und eindeutig über die mit der Nutzung des Dienstes verbundenen Datenverarbeitungen informieren.
- Die Datenverarbeitungen nur bei Vorliegen einer Rechtsgrundlage vorzunehmen.
- die Betroffenenrechte gemäß Art. 15 bis 21 DSGVO gewährleisten.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
- die Veranstaltung der Videokonferenz in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen.
- sorgfältig prüfen, ob Daten in Drittländer (insbesondere die USA) übermittelt werden dürfen. Hierbei müssen zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.
Fazit
Prüfen Sie vor der Einführung eines Videokonferenzsystems daher sorgfältig, ob es datenschutzkonform ist und welche weiteren Anforderungen beachtet werden müssen.
Es ist außerdem empfehlenswert eine Richtlinie zur Durchführung von Videokonferenzen im Unternehmen zu implementieren, um einen reibungslosen Ablauf zu gewährleisten und die Mitarbeiter darin gleichzeitig aufzuklären und zu sensibilisieren.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Markteinführung des Produkts Microsoft Office 365 sorgte von Beginn an für Kritik. Diverse Einstellungsmöglichkeiten und die damit verbundene Unübersichtlichkeit machen es nicht geschulten Nutzern schwierig, die Einstellungen so datenschutzkonform wie möglich zu gestalten. Nun hat Microsoft eine neue Funktion ins Leben gerufen: Über Workplace Analytics kann ein so genannter Produktivitätswert erstellt werden.
Der Produktivitätswert
Bei Workplace Analytics handelt es sich um ein Statistik Tool, welches Arbeitsgewohnheiten und das Arbeitsverhalten auswerten kann. Dabei wird ein so genannter Produktivitätswert generiert, welcher beispielsweise auswerten kann, wann welcher Mitarbeiter E-Mails verschickt hat, wie viele E-Mails an einem bestimmten Tag verschickt wurden, wie oft welches Tool von Microsoft benutzt wurde und Ähnliches.
Ziel dieser Auswertung gemäß Microsoft ist es, die Produktivität der Mitarbeiter zu fördern und Mitarbeiter, welche wenig aktiv sind in der Benutzung der verschiedenen Tools durch sehr aktive Mitarbeiter zu unterstützen und dadurch wiederum die Produktivität zu erhöhen.
Kritik am Produktivitätswert
Die Standardeinstellung im Rahmen der Auswertung für den Produktivitätswert sieht vor, dass Mitarbeiter namentlich gelistet werden. Dadurch kann genau abgelesen werden, wer wann welches Tool benutzt, Mails geschrieben oder mit Kollegen Daten ausgetauscht hat. Eine Anonymisierung ist im Programm zwar möglich, muss jedoch manuell eingestellt werden.
Damit ist es für Arbeitgeber grundsätzlich möglich, über den Produktivitätswert seine Mitarbeiter einer Verhaltens- und Leistungskontrolle zu unterziehen. Damit einher geht jedoch die Verletzung des allgemeinen Persönlichkeitsrechts der jeweiligen Arbeitnehmer. Derartige Kontrollen der Arbeitnehmer sind datenschutzrechtlich unzulässig und sind daher zu unterlassen.
Stellungnahme von Microsoft
Auf der Seite von Microsoft wird klar herausgestellt, dass es sich bei den neuen Funktionen nicht um ein Überwachungstool handelt. Vielmehr sollen neue Arbeitsweisen entdeckt werden sowie die Zusammenarbeit gefördert werden. Dabei weist Microsoft darauf hin, dass die Nutzer diverse Kontrollmöglichkeiten haben, wie beispielsweise das Löschen oder Anonymisieren von Daten.
Fazit
Im Rahmen der Nutzung des Produktivitätswerts sind Unternehmen gut damit beraten, die Einstellungen so datenschutzkonform wie möglich zu gestalten und genau zu prüfen, welche Daten verarbeitet werden dürfen. Letztlich sind die Arbeitgeber Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) und müssen für einen datenschutzkonformen Einsatz der Software im Unternehmen sorgen.
Laura Piater
Juristin
Consultant für Datenschutz
H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.
Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.
Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.
Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
In den Art. 12 ff. Datenschutzgrundverordnung (DSGVO) sind die Rechte der betroffenen Personen geregelt. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Personen, dessen Reichweite und Grenzen schon einige Gerichte beschäftigt hat und auch in Zukunft noch beschäftigen wird.
Das Bundesverwaltungsgericht (Urteil vom 16.9.2020, Az. 6 C 10.19) hat nun entschieden, dass der Insolvenzverwalter vom Finanzamt keine Auskunft über das Steuerkonto des Insolvenzschuldners, dessen Vermögen er verwaltet, verlangen kann, weil er nicht betroffene Person im Sinne der DSGVO ist.
Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist.
Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 DSGVO genannten Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden). Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person ferner das Recht auf den Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
Das Auskunftsrecht ist ein höchstpersönliches Recht der betroffenen Person und gehört als solches nicht zur Insolvenzmasse und geht deshalb nicht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über. Als höchstpersönliches Recht ist es auch nicht darauf gerichtet, Dritten Informationen über die bei staatlichen Stellen vorhandenen Informationen zu verschaffen.
Eine Erweiterung des Auskunftsrechts auf den Insolvenzverwalter stehe dem Sinn und Zweck der Betroffenenrechte entgegen. Denn diese dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dafür muss sich die betroffene Person von der Richtigkeit der Daten und der Zulässigkeit der Verarbeitung vergewissern können, was mit dem Auskunftsanspruch erreicht werden kann. Der Insolvenzverwalter wollte damit jedoch potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse ermitteln und damit Auskunft über Informationen mit vermögensrechtlichem Bezug.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Das Landesarbeitsgericht (LAG) Berlin-Brandenburg (Urteil vom 04.06.2020, Az.: 10 Sa 2130/19) hat entschieden, dass Arbeitnehmer die Nutzung eines Zeiterfassungssystems mittels Fingerabdrucks verweigern dürfen.
In dem Fall führte der Arbeitgeber ein elektronisches Zeiterfassungssystem ein, das die Mitarbeiter mittels eines Fingerabdruckscanners identifizierte. Dafür verarbeitete das System die sog. Minutien, d.h. die Endpunkte und Verzweigungen der Fingerlinien. Der Fingerabdruck der Mitarbeiter konnte auf Grund der gespeicherten Minutien nicht rekonstruiert werden. Ein Mitarbeiter verweigerte die Nutzung dieses elektronischen Zeiterfassungssystems und erfasste seine Arbeitszeit weiterhin händisch. Daraufhin erteilte der Arbeitgeber ihm eine Abmahnung, gegen die sich der Mitarbeiter mit einer Klage wandte.
Das LAG hat entscheiden, dass der Arbeitnehmer die Nutzung des Zeiterfassungssystems verweigern und die Entfernung der Abmahnung aus der Personalakte verlangen darf.
Auch wenn das System nicht den ganzen Fingerabdruck, sondern nur die Minutien verarbeite, handele es sich dabei um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO. Eine zulässige Verarbeitung dieser Daten kommt nur ausnahmsweise in den in Art. 9 Abs. 2 DSGVO geregelten Fällen in Betracht. Dies kann der Fall sein, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche die ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann, Art. 9 Abs. 2 lit. b DSGVO, oder die betroffene Person ihre Einwilligung erteilt hat. Die Erforderlichkeit einer Arbeitszeiterfassung mittels Fingerabdruck lehnte das LAG hier jedoch ab.
Insgesamt sollten Arbeitgeber somit auf die Zeiterfassung mittels biometrischer Daten verzichten.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Schrems II Urteil des EuGH
Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.
Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield
Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.
Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)
Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.
Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.
Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?
Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.
Fazit
Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.
Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.
Laura Piater
Justiziarin
Consultant für Datenschutz
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.
Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?
Rechtsprechung des Bundesgerichtshofs (BGH)
Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.
Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:
- Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
- Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?
Bewertung
Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.
Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Arbeitnehmer haben nach Art. 15 Datenschutzgrundverordnung (DSGVO) ein Auskunftsrecht gegenüber ihrem Arbeitgeber. Dieser ist verpflichtet, die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Art. 82 DSGVO regelt bei Verstößen einen entsprechenden Schadensersatzanspruch.
Ein ehemaliger Arbeitnehmer hat gegenüber seinem Arbeitgeber diesen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht. Der Arbeitgeber ist diesem Auskunftsverlangen jedoch erst nach Monaten und auch nur unvollständig nachgekommen.
Das Arbeitsgericht Düsseldorf (Az.: 9 Ca 6557/18) hat das beklagte Unternehmen aus diesem Grund nun zu Schadensersatz in Höhe von 5.000 Euro verurteilt.
Die 5.000 Euro Schadensersatz setzen sich wie folgt zusammen: je 500 Euro für die ersten zwei Monate der Verspätung, je 1.000 Euro für die weiteren drei Monate und für die beiden inhaltlichen Mängel der Auskunft je 500 Euro. In die Abwägung des Gerichts floss dabei ein, dass es nur von einem fahrlässigen Verstoß des Unternehmens ausging, der entstandene immaterielle Schaden beim Kläger nur gering war, keine anderen Verstöße bekannt waren und das Unternehmen eine hohe Finanzkraft hatte.
Die Entscheidung ist noch nicht rechtskräftig, da das Gericht wegen der grundsätzlichen Bedeutung der Sache, insbesondere der fehlenden höchst- und obergerichtlichen Rechtsprechung, die Berufung zugelassen hat.
Nehmen Sie daher Auskunftsansprüche ernst und beginnen Sie unverzüglich mit deren Bearbeitung.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz