Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").
Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.
Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.
Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.
Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!
Dabei ist zwingend folgendes zu beachten:
- Die Tools müssen lokal installiert sein.
- Daten dürfen nicht an Dritte weitergeben werden.
- In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.
Wenden Sie sich bei Fragen gerne an uns.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Europäischer Gerichtshof für Menschenrechte (EGMR) zur privaten Nutzung von Firmen-PCs
In seinem Urteil vom 22.02.2018 - 588/13 beschäftigte sich der EGMR mit der Frage, ob die Durchsuchung des dienstlichen Computers ein Eingriff in das Recht auf Privatleben nach Art. 8 EMRK des Arbeitnehmers ist. Ein Arbeitnehmer wurde in diesem Fall entlassen, weil bei einer Durchsuchung seines Computers in einem Laufwerk, das mit „Persönliche Daten“ gekennzeichnet war im Ordner „Zum Lachen“ pornografische Dateien gefunden hatte. Eine interne Unternehmensrichtlinie gestattete in begrenztem Umfang die private Nutzung, die privaten Dateien sollten dann als „privat“ gekennzeichnet werden.
Der EGMR stellte fest, dass der Arbeitgeber grundsätzlich Dateien verwenden darf, die nicht eindeutig als „private Dateien“ gekennzeichnet sind. Entscheidend ist also eine unmissverständliche Kennzeichnung als solche. Der Ordnername „Persönliche Daten“ dürfte hierfür nicht ausreichen, da dies auch Dokumente sein können, die der Mitarbeiter als persönlich behandelt, die jedoch nicht eindeutig auch privat sind. Außerdem dürfe der Arbeitnehmer nicht ein gesamtes (berufliches) Laufwerk für private Zwecke verwenden.
Als Arbeitgeber sollten Sie unbedingt die Nutzung der betrieblichen Arbeitsmittel und elektronischen Kommunikationsmedien durch Ihre Mitarbeiter genau regeln. Wir empfehlen in der Regel, die Privatnutzung von betrieblichen Arbeitsmitteln und elektronischen Kommunikationsmedien zu verbieten. Die Mitarbeiter müssen dann über das Privatnutzungsverbot einschließlich der Folgen bei Zuwiderhandlung informiert (z.B. als Passus im Arbeitsvertrag) und über die Aufrechterhaltung des Privatnutzungsverbots regelmäßig belehrt werden.
OLG München zum berechtigten Interesse
Das OLG München (Teilurteil vom 24.10.2018 – 3 U 1551/17) hat zum berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO entschieden, dass bei der Abwägung der Interessen der betroffenen Person und des Verantwortlichen/Dritten eine weite Auslegung des berechtigten Interesses (unions-)grundrechtlich geboten ist. Dabei sind nicht nur rechtliche, sondern auch wirtschaftliche und ideelle Interessen zu berücksichtigen.
AG Diez zu Schadensersatz für unzulässigen Newsletter
Das AG Diez (Urteil vom 07.11.2018 – 8 C 130/18) hat sich mit der Frage beschäftigt, ob für einen unzulässigen Newsletterversand Schadensersatz an die betroffene Person zu zahlen ist.
In diesem Fall hatte der Beklagte am Tag des Inkrafttretens der DSGVO eine E-Mail versandt, mit der er die Einwilligung des Klägers für den Versand des Newsletters einholen wollte. Für den Kläger war dies ein Verstoß gegen die DSGVO und er forderte 500 Euro Schmerzensgeld. Das AG Diez lehnte dies mit der Begründung ab, dass der Verstoß gegen die DSGVO ohne Eintritt eines Schadens nicht zum Schadensersatz führt. Es müsse ein „spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen“.
Die Entscheidung lässt die Möglichkeit einer Bußgelderteilung durch die Aufsichtsbehörde unberührt. Auch wenn der betroffenen Person kein Schaden entstanden ist, liegt ein Verstoß gegen die DSGVO vor und die Aufsichtsbehörde kann ein entsprechendes Bußgeld erteilen. Denn auch die Einholung der Einwilligung ist schon als Werbemaßnahme zu sehen, selbst wenn in der E-Mail selbst noch keine Werbezusätze enthalten sind.
LAG Baden-Württemberg: Auskunftsrecht des Arbeitnehmers
Das LAG Baden-Württemberg hat im Urteil vom 20.12.2018 – 17 Sa 11/18 über den Umfang des Auskunftsrechts des Arbeitnehmers entschieden und das Auskunftsrecht der Arbeitnehmer gestärkt. Der Arbeitgeber muss demnach einem Arbeitnehmer umfassend Auskunft zu über ihn gesammelten Informationen geben. Dazu gehören Einsicht in die Personalakte, Informationen über interne Ermittlungen und nicht in der Personalakte gespeicherte Leistungs- und Verhaltensdaten (samt einer Kopie dieser Leistungs- und Verhaltensdaten gemäß Art. 15 Abs. 3 S. 1 DSGVO).
Der Arbeitgeber kann dies verweigern, wenn er ein Geheimhaltungsinteresse geltend macht. Er muss dieses konkret darlegen und darf sich nicht lediglich pauschal drauf berufen. Es ist eine Einzelabwägung zwischen dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung und dem betrieblichen Interesse des Arbeitgebers an der Auskunftsverweigerung bzw. an den berechtigten Interessen der Dritten erforderlich. Der Schutz von Informanten (sog. Whisteblowern) kann ein solches Geheimhaltungsinteresse darstellen.
Julia Eisenacher
Consultant für Datenschutz
Juristin (Univ.)
Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.
Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?
Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.
Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.
Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).
Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.
Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Das Landgericht Berlin verurteilte einen Pharmalobbyisten sowie einen Systemadministrator zu einer hohen Geldstrafe wegen Ausspähens von Daten (vgl. Redaktion beck-aktuell, Verlag C.H.BECK, 11. April 2019: LG Berlin: Geldstrafen wegen Ausspähens von Daten aus dem Bundesgesundheitsministerium; ebenso: rbb 24 online, 10.04.2019, Tagesspiegel online, 10.04.2019, Urteil vom 10.04.2019 - 501 – 39/13).
Der für das Bundesgesundheitsministerium zuständige Systemadministrator ermöglichte dem Pharmalobbyisten zwischen 2009 und 2012 immer wieder unbefugt Zugang zur E-Mail-Korrespondenz des Ministeriums; darunter E-Mails der damaligen Gesundheitsminister, Staatssekretäre und weiterer wichtiger Mitarbeiter. Der Pharmalobbyist wollte sich auf diese Weise noch vor etwaigen Konkurrenten und der Öffentlichkeit einen Informationsvorsprung verschaffen, um frühzeitig Einfluss auf Entscheidungen des Gesundheitsministeriums nehmen zu können.
Im Rahmen des Prozesses kam aber ebenso heraus, dass das Ministerium zum damaligen Zeitpunkt wohl nicht alle notwendigen technischen sowie organisatorischen Maßnahmen umgesetzt hatte, um einen solch unbefugten Zugang und Zugriff des IT-Administrators zu verhindern oder zumindest frühzeitig zu erkennen (Redaktion beck-aktuell). Dass dies jedoch kein Einzelfall ist, zeigen die verschiedenen Datenpannen, die immer wieder publik werden.
Das Thema Datensicherheit sollte jedoch bei allen öffentlichen Stellen und Unternehmen einen hohen Stellenwert haben, um Unbefugten sowohl von außen und als auch von innen den Zugriff zu verwehren. Denn Fälle wie dieser oder auch der von Cambridge Analytica zeigen sehr deutlich, wie schwerwiegend sich Datenschutzverstöße und die damit einhergehende ungleiche Verteilung von Informationsmacht auf Politik und Gesellschaft auswirken (können).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Steuerberater mit Mandat unterliegen dem Berufsgeheimnis, sind in Ausübung ihrer Tätigkeit weisungsunabhängig und agieren eigenverantwortlich. Die Verarbeitung personenbezogener Daten, die ihnen von ihren Mandanten übermittelt werden, ist dabei lediglich ein unvermeidliches Beiwerk ihrer Tätigkeit. Daher wurde in der Vergangenheit mehrheitlich die Ansicht vertreten, dass ein Steuerberater kein Auftragsverarbeiter sei.
Die Aufsichtsbehörden in Hessen, Baden-Württemberg und NRW (u.a. LfDI BW: 34. Tätigkeitsbericht 2018, S. 57 f) sehen dies nun aber anders, zumindest wenn es um die Verarbeitung von Beschäftigtendaten für die Lohn- und Gehaltsabrechnung geht: Soweit ein Steuerberater für ein Unternehmen die Gehaltsabrechnung vornimmt, ist für diese Dienstleistung ein Vertrag zur Auftragsverarbeitung abzuschließen. Unabhängig davon ob ein entsprechendes Mandat besteht.
Sie als Unternehmen sollten folglich dahingehend agieren, dass Sie für die oben genannten Fälle zeitnah einen Vertrag zur Auftragsverarbeitung mit Ihrem Steuerberater abschließen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.
Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.
Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.
Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
In seinem beachtenswerten Urteil vom 20.12.2018, 17 Sa 11/18 hat sich das Landesarbeitsgericht von Baden-Württemberg mit der Frage auseinandergesetzt, ob ein Arbeitnehmer das Recht hat, datenschutzrechtliche Auskunftsansprüche nach Art. 15 Abs. 1 DSGVO auch auf personenbezogene Leistungs- und Verhaltensdaten geltend zu machen. Insbesondere ging es dabei um die Frage, ob er von diesen Unterlagen eine Kopie gem. Art. 15 Abs. 3 DSGVO erhalten darf.
Während die Beklagtenseite im konkreten Fall darauf verwies, dass hier die Rechte und Freiheiten anderer Personen betroffen seien und eine Herausgabe aus diesen Gründen nicht zulässig sei, wies das Gericht in seiner Entscheidung darauf hin, dass ein derart pauschaler Hinweis nicht geeignet ist, das Auskunftsrecht einzuschränken.
Generell geht das Gericht davon aus, dass der Auskunftsanspruch nach Art. 15 DSGVO selbstverständlich auch für das Arbeitsverhältnis, also zwischen Arbeitnehmer und Arbeitgeber gilt. Jedoch bedarf es jeweils einer Einzelfallabwägung, ob ein Recht auf Erhalt einer Kopie bzw. auf das Verweigern dieses Anspruchs besteht. Entscheidend ist dabei die jeweilige Abwägung von dem konkreten Interesse des Arbeitnehmers an der Auskunftserteilung gegen das betriebliche Interesse des Arbeitgebers an der Auskunftsversagung bzw. an den berechtigten Interessen der Dritten.
Wichtig ist diese Einschätzung für die immer häufiger eingesetzten Meldesysteme im Rahmen des Whistleblowings. Zwar weist auch das Landesarbeitsgericht darauf hin, dass die Etablierung eines funktionierenden und anonymen Meldesystems durchaus das Interesse des Arbeitgebers an Geheimhaltung begründen kann, andererseits ist es jedoch möglich, dass gerade im Falle von vorsätzlichen Falschangaben oder leichtfertig unrichtigen oder unvollständigen Informationen das Interesse des (beschuldigten) Arbeitnehmers an den Informationen überwiegt. In diesem Fall müssten ggfs. auch personenbezogene Informationen über die Person des Whistleblowers im Rahmen des Auskunftsanspruchs nach Art. 15 Abs. 3 DSGVO an den betroffenen und um Auskunft verlangenden Arbeitnehmer weitergeleitet werden.
Wie also kann man dem Auskunftsanspruch entsprechen, ohne auf ein funktionierendes Whistleblowing-System zu verzichten? Dieses Problem lässt sich am einfachsten lösen, indem das sogenannte Whistleblowing tatsächlich vollständig anonym angeboten wird. Liegen dem Arbeitgeber keine personenbezogenen Daten über den Whistleblower vor, kann er diese folglich auch nicht offenlegen.
Soweit die Hinweisgeber ihren Namen nennen wollen, sollten diese bereits bei der ersten Kontaktaufnahme darauf hingewiesen werden, dass die Identität im Rahmen der gesetzlichen Vorgaben vertraulich behandelt werden. Zugleich sollte er allerdings auch darüber informiert werden, dass die beschuldigte Person innerhalb eines Monats nach der Meldung gem. Art. 14 Abs. 3 lit a DSGVO über die Identität des Hinweisgebers informiert werden muss. Dann ist es empfehlenswert, eine Einwilligung des Hinweisgebers zur Offenlegung seiner Identität einzuholen, die dieser jedoch innerhalb des einmonatigen Zeitraums bis zur Information des Beschuldigten widerrufen kann. Auf diese Weise werden keine Informationen vorenthalten und die Datenverarbeitung bleibt vollständig transparent.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz