EuGH-Urteil
Nach dem Urteil des EuGH vom 14.05.2019 (C‑55/18) müssen Unternehmen die Arbeitszeiten ihrer Arbeitnehmer erheben und speichern, und zwar vollumfänglich. Denn ohne eine solche Arbeitszeiterfassung, entfalte die EU-Richtlinie zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit keinerlei Wirkung. Hierüber hatten wir bereits berichtet.
Bisher sind Unternehmen in Deutschland nur vereinzelt verpflichtet, Arbeitszeiten zu erfassen: So müssen bspw. die Überstunden der Mitarbeiter (§ 16 ArbZG), die Arbeitszeiten von Jugendlichen (§ 50 JArbSchG) sowie die Arbeitszeiten von geringfügig Beschäftigten oder solchen, die in besonderen Wirtschaftsbereichen (z.B. Gaststättengewerbe) tätig sind, (§ 17 MiLoG) aufgezeichnet werden.
Konsequenzen des EuGH-Urteil
Die Mitgliedstaaten müssen nun entsprechende Gesetze erlassen, die die Unternehmen verpflichten, „ein objektives, verlässliches und zugängliches System einzurichten, um die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit zu erfassen.“ Derzeit ist in Deutschland ein entsprechender Gesetzesentwurf noch nicht veröffentlicht, so dass über die genaue Regelung noch spekuliert werden darf. Laut Information einer Sprecherin des Bundesarbeitsministeriums am 13.01.2020 laufen jedoch bereits Vorarbeiten.
Datenschutzrechtliche Herausforderungen
Unternehmen sollten gleichwohl bereits jetzt beginnen, ein Verfahren zur Arbeitszeiterfassung einzuführen. Dabei ist aus datenschutzrechtlicher Sicht folgendes zu beachten:
- Das zur Arbeitszeiterfassung ausgewählte Datenverarbeitungssystem muss den Anforderungen von Privacy by Design & Privacy by Default entsprechen und - sofern es sich um einen Cloud-Dienst handelt - die Vorgaben der DSK (Gremium der deutschen Datenschutzaufsichtsbehörden) erfüllen. Es sollte hierbei darauf geachtet werden, dass keine Daten erfasst werden, die nicht benötigt werden. Außerdem sollte das System unbedingt über eine Löschfunktion verfügen.
- Die für den Zweck erforderlichen Datenarten sowie die Regellöschfristen sind im Vorfeld zu bestimmen. Hier wäre es wünschenswert, dass der Gesetzgeber diese bereits vorgibt.
- Es sollte abgeklärt werden, welche Auswertungen des Datenbestands notwendig sind, um die Einhaltung der Arbeitszeitregeln effektiv kontrollieren zu können. Sofern Sie planen, diese Daten für Produktivitätsplanungen zu verwenden achten Sie darauf, dass eine Anonymisierungsfunktion enthalten ist, die Sie auch nach der Löschung der personenbezogenen Daten noch weiterhin verwenden können.
- Empfänger der Daten/Auswertungen bzw. zum Zugriff Berechtigte sind ebenfalls festzulegen, u.a. Serverstandorte, Arbeitnehmer selbst, interne Stellen im Unternehmen (Vorgesetzte, Personalabteilung, IT), Auftragsverarbeiter, ggf. Berechtigte anderer Konzerngesellschaften oder öffentliche Stellen. Empfehlenswert ist ein differenziertes Zugriffskonzept, welches nach dem Need-to-know Prinzip Berechtigungen vergibt. So muss der Mitarbeiter aus der Abteilung Lohn und Gehalt ggfs. einen Abwesenheitsgrund kennen, um die Lohnzahlung zu bestimmen, bei der Personaleinsatzplanung reicht es zu wissen, dass ein Mitarbeiter nicht da sein wird. Hinterfragen Sie auch kritisch, ob die Daten bei den Empfängern tatsächlich benötigt werden, oder ob ggfs. anonymisierte Daten für die Zwecke ausreichen.
- Erforderliche Verträge (Verträge zur Auftragsverarbeitung, Joint Control-, Intercompany-Vertrag) sind abzuschließen und etwaige Datenübermittlungen in Drittstaaten nach Art. 44 ff DSGVO abzusichern. Hier ist zum einen an den Anbieter der Software zu denken, zum anderen an einen etwaigen Austausch der Daten innerhalb einer Unternehmensgruppe, insbesondere, wenn eine einheitliche Lösung für sämtliche Unternehmen einer Gruppe geplant ist.
- Die Arbeitnehmer sind über die damit verbundene Datenverarbeitung und über die Auswirkungen, die die Auswertungen für sie haben, zu informieren. Hierzu sollten Sie die datenschutzrechtliche Mitarbeiterinformation entsprechend anpassen bzw. ergänzen. Sofern vorhanden, ist der Betriebsrat von Beginn an einzubeziehen.
- Die Daten müssen durch geeignete Maßnahmen geschützt werden, und zwar bereits bei der Migration der Daten aus anderen Systemen sowie beim Betrieb des neuen Datenverarbeitungssystems selbst. Gerade hierbei sollten Sie darauf achten, dass die teilweise sensiblen Daten möglichst verschlüsselt vorliegen, so dass diejenigen, die den Transfer der Daten durchführen nicht davon Kenntnis nehmen können.
Wenn Sie ein Zeiterfassungssystem einführen möchten und hierbei datenschutzrechtliche Unterstützung benötigen, unterstützen wir Sie selbstverständlich gerne.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Wir hatten bereits in unserem Blogbeitrag im Juli 2019 darüber berichtet und seit November 2019 ist es auch „amtlich“: Unternehmen müssen erst ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.
Seit dem 26.11.2019 ist der neue § 38 Abs. 1 S. 1 BDSG in Kraft getreten.
Natürlich müssen Unternehmen auch ohne einen Datenschutzbeauftragten ihren Pflichten aus der Datenschutzgrundverordnung (DSGVO) vollständig nachkommen.
Die Anzahl der Personen spielt aber auch weiterhin keine Rolle, wenn Unternehmen
- Verarbeitungen personenbezogener Daten vornehmen, die einer Datenschutz-Folgenabschätzung bedürfen (§ 38 Abs. 1 S. 2 BDSG)
oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (§ 38 Abs. 1 S. 2 BDSG).
In diesen Fällen muss ein Datenschutzbeauftragter weiterhin benannt werden.
S. Kieselmann
Senior Consultant Datenschutz
Dipl.sc.pol.Univ.
So ist es zumindest in der Datenschutzerklärung auf der Webseite zu lesen.
Es bleibt zu hoffen, dass zumindest die Daten der Webseitenbesucher geschützt sind, den aktuellen Medienberichten zufolge scheint dies für die Mitarbeiterdaten nicht ganz zuzutreffen. Zumindest hat der Landesdatenschutzbeauftragte von Hamburg, Johannes Caspar, ein Bußgeldverfahren eingeleitet, da sich der Verdacht massiver Verstöße gegen die Rechte der Beschäftigten erhärtet hat.
In einem exklusiven Interview mit der FAZ sprach Herr Caspar von systematischen Aufzeichnungen, die von Vorgesetzten über deren Mitarbeiter detailliert erstellt worden seien. Dabei wurden angeblich auch gesundheitliche Diagnosen, privaten Streitigkeiten oder Urlaubserlebnisse der Mitarbeiter festgehalten. Diese Informationen stammten aus offiziellen Gesprächen einerseits, seien aber auch mit „privat gewonnenen Informationen“ etwa aus Plauderrunden oder während Raucherpausen angereichert worden.
Dem Unternehmen H&M droht bei einem festgestellten Verstoß ein Bußgeld, welches sich am Umsatz des Konzerns orientiert. Nach eigenen Angaben lag dieser im Jahr 2018 bei 3,14 Milliarden Euro. Nach dem erst im November 2019 durch die Datenschutzkonferenz (DSK) veröffentlichten Bußgeldkonzept würde der Tagessatz für ein Bußgeld damit bei 8,7 Millionen Euro liegen. Dieser Tagessatz wäre dann – je nach Verstoß – mit einem Faktor zwischen 1 und 14,4, je nach Schwere des Verstoßes, zu multiplizieren. Falls die Daten sich wie behauptet tatsächlich ungeschützt und unverschlüsselt auf einem internen Laufwerk befanden, dürfte dies auch bei der Festlegung des Tagessatzes und damit bei der Festlegung des Bußgelds eine große Rolle spielen.
Sollten sich die Vorwürfe bewahrheiten und ein Millionenbußgeld verhängt werden, würde sich wieder einmal zeigen, dass es sich auch finanziell lohnt, den Datenschutz tatsächlich wichtig zu nehmen und schon im Vorhinein für einen ordnungsgemäßen Umgang mit den im Unternehmen vorhandenen personenbezogenen Daten zu sorgen. Die rechtzeitige Beauftragung von Datenschutzexperten und die notwendige Umsetzung der Vorgaben der DSGVO wäre mit Sicherheit günstiger gekommen.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?
Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.
Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.
Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden
Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.
Wir werden Sie weiter auf dem Laufenden halten.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.
Doch es kam anders.
Ausgangsfrage
Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.
Wirksamkeit der Standardvertragsklauseln
Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.
Wirksamkeit des Privacy Shields
Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.
Pragmatismus
Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.
Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.
Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.
Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Ein britisches Gericht hat nun entschieden, dass Veganismus eine Weltanschauung ist, die dem Diskriminierungsverbot unterliegt.
Damit ist die Angabe „vegan“ oder „Veganer“ in Zusammenhang mit einer natürlichen Person ein diskriminierungsrelevantes Datum, wie etwa das Alter oder das Geschlecht.
Ist es aber auch eine besondere Datenkategorie im Sinne Art. 9 Abs. 1 DSGVO? Derzeit wird wohl überwiegend die Meinung vertreten, hierbei handle es sich lediglich um eine Einstellung. Im bloßen Verzicht auf tierische Produkte beim Essen sei erst einmal noch keine ideologische Überzeugung erkennbar.
Laut dem britischen Gericht handelt es sich aber insofern um eine Weltanschauung, wenn die vegane Lebensweise einer Ethik folgt, die das alltägliche Handeln in vielerlei Hinsicht moralisch bestimmt, d.h. wenn man sich dem Ziel des Tierschutzes durch seine nahezu gesamte Lebensweise verschreibt (durch entsprechende Ernährung, Boykott von Produkten, die mit Tierversuchen in Zusammenhang stehen, Teilnahme an Demonstrationen, Verzicht auf Teilnahme bei Veranstaltungen wie Zirkus etc.).
Dementsprechend lösen die Angaben „Vegan“ oder „Veganer“ an sich noch nicht unmittelbar ein Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO aus, bspw. um sich vor der Firmen-Weihnachtsfeier nach besonderen Essenswünschen zu erkundigen. Es sollte jedoch darauf geachtet werden, dass in diesem Zusammenhang tatsächlich lediglich nach „Wünschen“ oder „Vorlieben“ gefragt wird und nicht nach Lebenseinstellungen. Formulieren Sie die Abfrage also entsprechend: „Ich wähle für die Weihnachtsfeier eine vegane/vegetarische/halal…Ernährung“. In dem Moment, wo Sie die Abfrage so stellen, dass sich hieraus eine weltanschauliche oder philosophische Überzeugung herauslesen lässt -bspw. „Ich bin Veganer“-, könnte sich hieraus ggfs. ein Verarbeitungsverbot ergeben.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Ab 2021 soll es den „gelben Schein“ nicht mehr geben. Die Arbeitsunfähigkeitsbescheinigung soll dann elektronisch von der Krankenkasse an den Arbeitgeber übermittelt werden. Der entsprechende Entwurf zum Bürokratieentlastungsgesetz wurde nun vom Kabinett beschlossen.
Jährlich werden bundesweit ca. 75 Millionen Arbeitsunfähigkeitsbescheinigungen erstellt. Die Arbeitnehmer bekommen diese dann in dreifacher Ausführung: zur Vorlage bei der Krankenkasse und dem Arbeitgeber und für die eigenen Unterlagen. Das verursacht nicht nur viel Papiermüll, sondern ist auch nicht mehr ganz zeitgemäß. Durch die digitale Arbeitsunfähigkeitsbescheinigung sollen die Unternehmen und Mitarbeiter entlastet werden.
In § 109 Abs. 1 SGB IV soll künftig geregelt werden, dass nur noch die folgenden Daten in der Arbeitsunfähigkeitsbescheinigung erfasst werden:
- Daten über den Namen des Beschäftigten,
- den Beginn und das Ende der Arbeitsunfähigkeit,
- das Ausstelldatum
- die Kennzeichnung als Erst- oder Folgemeldung
Nicht mehr in der Arbeitsunfähigkeitsbescheinigung enthalten sind daher u.a. Adresse, Geburtsdatum und Versicherten-Nr. des Arbeitnehmers, attestierender Arzt und Angaben darüber, ob es sich um einen Arbeitsunfall, Arbeitsunfallfolgen oder eine Berufskrankheit handelt. Wegen der fehlenden Angabe des (Fach-)Arztes können nun beispielsweise auch keine Rückschlüsse mehr auf den Grund der Erkrankung geschlossen werden.
Aus datenschutzrechtlicher Sicht, insbesondere im Hinblick auf den Grundsatz der Datenminimierung, ist es eine erfreuliche Entwicklung, dass in Zukunft auf die Angabe dieser Daten verzichtet wird, auf die es für den Arbeitgeber auch nicht ankommt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.
Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.
Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.
Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.
Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.
Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die Mitglieder des Betriebsrats haben Zugriff auf äußerst sensible Unternehmens- und Mitarbeiterdaten. Wir wollen im Folgenden ein paar Maßnahmen aufzeigen, die die Vertraulichkeit hinsichtlich dieser Daten unterstützen.
Wer ist für die technischen und organisatorischen Maßnahmen des Betriebsrats verantwortlich?
Obwohl es umstritten ist, wer als datenschutzrechtlich „Verantwortlicher“ im Sinne des BDSG für die personenbezogenen Daten im Herrschaftsbereich des Betriebsrats anzusehen ist, dürfte klar sein, dass der Betriebsrat zumindest dafür selbst verantwortlich ist, wie seine Mitglieder mit den Vertraulichkeitserfordernissen umgehen. Das Unternehmen weiß naturgemäß nicht, welche Betriebsratsmitglieder mit welchen Sachverhalten betraut sind, denn diese Maßnahmen unterliegen der Selbstorganisation des Betriebsrats. Daher muss sich der Betriebsrat auch zwingend selbst mit den Maßnahmen, die erforderlich sind um die Vertraulichkeit der Informationen zu gewährleisten, auseinandersetzen. So kommt auch das zitierte Urteil zu dem Schluss, dass der Betriebsrat unter Beachtung der Datenschutzbestimmungen und des technisch Möglichen die Ausgestaltung der Art und Weise der Einsichtsmöglichkeit zu gestalten hat.
Konkrete Maßnahmen
Bezüglich der konkreten Maßnahmen sollte sich der Betriebsrat an den Vorgaben für die Personalabteilung orientieren. Insbesondere gilt:
- Betriebsratsunterlagen müssen gegen unbefugte Einsichtnahme geschützt werden. Dies gilt sowohl für Unterlagen in Papierform wie für Dateien bzw. deren Anzeige z.B. auf Bildschirmen.
- Betriebsratsunterlagen, die nicht unmittelbar benötigt werden, sind daher in abgeschlossenen Schränken aufbewahren, in der Regel im Betriebsratsbüro.
- Datenschutzbehälter oder angemessene Shredder müssen zur Entsorgung bereitgestellt und durch die Betriebsratsmitglieder verwendet werden.
- In Großraumbüros (von nicht freigestellten Betriebsratsmitgliedern) sollten die Betriebsratsmitglieder außerdem folgendes beachten:
- Bildschirme und Unterlagen so stellen und ablegen, dass nicht jeder und vor allem keine Besucher (Kollegen) Einblick haben
- Bildschirmschutz bei Verlassen des Arbeitsplatzes aktivieren
- Sichtschutzfolie verwenden, falls der Arbeitsplatz/Bildschirm nicht anders geschützt werden kann.
Die entsprechenden finanziellen Mittel müssen durch den Arbeitgeber gem. § 40 Abs. 2 BetrVG bereitgestellt werden.
Kommen Sie gerne auf uns zu, wenn wir Ihnen bei Fragen zum Thema technische und organisatorische Maßnahmen weiterhelfen können.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Die Datenschutzgrundverordnung (DSGVO) beschäftigt immer noch sehr viele Unternehmen, nun steht schon die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung (ePVO)) vor der Tür. Ursprünglich sollte sie schon mit der DSGVO in Kraft treten, dies wird nun aller Wahrscheinlichkeit nach 2020 der Fall sein.
Die ePVO ist eine EU-Verordnung, die nach ihrem Inkrafttreten sofort innerhalb der EU gilt. Eine Umsetzung durch die Mitgliedsstaaten ist nicht erforderlich. Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ist ein Spezialgesetz zur DSGVO und soll diese bezüglich elektronischer Kommunikationsdaten präzisieren und ergänzen.
Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 2 des Entwurfs gilt die Verordnung für
- die Verarbeitung von elektronischen Kommunikationsinhalten und von Metadaten der elektronischen Kommunikation, die im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten durchgeführt werden;
- Informationen über die Endgeräte der Endverbraucher
- das Angebot eines öffentlich zugänglichen Verzeichnisses der Endnutzer elektronischer Kommunikationsdienste;
- die Versendung von Direktmarketing-Mitteilungen an die Endverbraucher.
Von der ePVO betroffen sind daher u.a.:
- Messenger-Dienste
- Internettelefonie
- Webbasierte E-Mail-Dienste
- Soziale Medien
- Internetzugang
Wesentliche Inhalte
- Endnutzer sollen in regelmäßigen Abständen von max. 12 Monaten an die Möglichkeit des Widerrufs ihrer Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten erinnert werden, Art. 4a Abs. 3 des Entwurfs.
- Die Möglichkeit der Rufnummerunterdrückung soll den Endnutzern auf einfache Weise und kostenlos zur Verfügung gestellt werden, Art. 12 des Entwurfs.
- Die Endnutzer sollen außerdem kostenlos die Möglichkeit bekommen eingehende Anrufe von bestimmten Rufnummern oder anonymen Quellen zu sperren und eine von einem Dritten veranlasste automatische Anrufweiterschaltung zur Endeinrichtung des Endnutzers abzuschalten, Art. 14 des Entwurfs.
- Die Aufnahme personenbezogener Daten der Endnutzer in öffentlich zugängliche Verzeichnisse (z.B. Telefonbücher) ist nur mit Einwilligung des Endnutzers möglich. Die Mitgliedsstaaten dürfen hier jedoch eine Widerspruchslösung einführen, d.h. dass die Einwilligung des Endnutzers als erteilt gilt, solange er nicht widerspricht, Art. 15 des Entwurfs.
- Direktwerbung ist nach Art. 16 des Entwurfs unerwünschte Kommunikation. Eine Direktwerbung über elektronische Kommunikationsdienste darf nur mit Einwilligung des Endnutzers erfolgen. Wurden die elektronischen Kontaktangaben durch den Verkauf eines Produkts oder einer Dienstleistung erlangt, dürfen diese nur für eigene ähnliche Produkte oder Dienstleistungen verwendet werden und nur dann, wenn dem Kunden ein Widerspruchsrecht eingeräumt wird.
Cookies
Derzeit lassen die meisten Browser Cookies zu, wenn der Nutzer nicht erweiterte Sicherheitseinstellungen aktiviert hat. In Deutschland verlangen die Aufsichtsbehörden aber schon jetzt, dass die Nutzer für das Setzen von Cookies mit einer Opt-In-Lösung ihre ausdrückliche Zustimmung erteilen. Die Aufsichtsbehörden im EU-Ausland sehen dies jedoch anders und verlangen datenschutzrechtlich momentan keine Zustimmung der Nutzer für den Einsatz von Cookies, sondern der Nutzer kann dem mithilfe der auf den meisten Webseiten genutzten Opt-Out-Lösung widersprechen. Diese Opt-Out-Lösung für den Einsatz von Cookies wird aber nach Inkrafttreten der ePVO nicht mehr ausreichend sein. Dadurch entfällt mit Inkrafttreten der ePVO die diesbezüglich herrschende Rechtsunsicherheit, da alle Webseiten in allen Mitgliedsstaaten dann einheitlich auf Grundlage der ePVO behandelt werden und eine solche Opt-In-Lösung implementieren müssen. Auch in Browsern sollen sich die Regel-Einstellungen dahingehend ändern, dass Cookies grundsätzlich gesperrt sind und die Aktivierung explizit durch die Nutzer vorgenommen werden muss.
Bußgelder
Art. 83 DSGVO soll auf die Verhängung von Bußgeldern nach der ePVO entsprechende Anwendung finden. Der Bußgeldrahmen liegt also auch bei Verstößen gegen die ePVO bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist.
Bußgelder kommen nach Art. 23 des Entwurfs insbesondere in Betracht bei
- Verstößen gegen den Grundsatz der Vertraulichkeit und Kommunikation
- unerlaubter Verarbeitung elektronischer Kommunikationsdaten
- Verstößen gegen die Löschfristen der ePVO
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die konsolidierte Entwurfsfassung der ePVO vom 12. Juli 2019 sieht eine Übergangsfrist von zwei Jahren vor. Trotzdem sollte man nicht bis zum letzten Tag warten, sondern sollte sich schon rechtzeitig auf die ePVO vorbereiten und an einer entsprechenden Umsetzung arbeiten. Dabei unterstützen wir Sie gerne, kommen Sie bei Fragen einfach auf uns zu.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz