Selbst für Amnesty sind Facebook, Google & Co. mittlerweile ein großes Thema.
In einem entsprechenden Bericht kritisiert Amnesty, dass sich diese Unternehmen mit ihren Plattformen und Diensten in fast jeden Winkel des digitalen Lebens von Menschen eingeschlichen haben.
Mehr als 4 Milliarden Menschen kommunizieren fast tagtäglich über das Internet, beruflich oder privat, sie verabreden und „versammeln“ sich dort. Die dabei notwendigen Dienste und Werkzeuge (Web-Browser, Suchmaschinen, Messenger-Dienste, Social-Media- und Video-Plattformen, Cloud-Speicher, Smart Speaker etc.), erhalten sie von den sog. Internet-Giganten. Im Gegenzug erlauben die Nutzer, dass ihre Daten und damit ihre Kommunikation stetig überwacht wird.
Sogar Personen, die ihre Dienste gar nicht nutzen, sind vor der Erfassung ihrer Daten nicht sicher, bspw. weil sie in den Kontaktverzeichnissen der Nutzer auftauchen oder auf Websites surfen, wo Tracking-Software implementiert ist.
Dabei werden nicht nur Daten über den einzelnen Menschen gesammelt, sondern auch von allen Seiten zusammengeführt, angereichert und algorithmisch ausgewertet. Dadurch sichern sich die Unternehmen gegenüber dem einzelnen Menschen eine informationsasymmetrische Machtposition, an der auch andere gerne teilhaben möchten und auch tatsächlich teilhaben - Stichwort Cambridge Analytica.
Der Bericht fordert daher die Unternehmen auf, die von ihnen verursachten Menschrechtsverletzungen endlich zu beheben. Die Regierungen werden aufgefordert, strengere Gesetze zu schaffen und deren Geltung auch durchzusetzen - denn die Selbstregulierung der Unternehmen hat bisher nur mäßig funktioniert.
Fazit: Die Datenschutzgrundverordnung ist da ein erster Schritt. Denn sie gilt auch für Facebook, Google und Co., wenn sie auf dem Markt der EU tätig werden. Allerdings mangelt es oftmals an der Durchsetzung. Entweder geht dies zu Lasten der Unternehmen in der EU, denen es an wirtschaftlichen Alternativen zu den Produkten der Anbieter mangelt, oder zu Lasten der für sie zuständigen Aufsichtsbehörden, die sich teils wohl in Sisyphusarbeit um Lösungsabsprachen im Interesse aller mit den Anbietern bemühen. Dies kann nur verbessert werden, wenn weltweit Regelungen wie in der Datenschutzgrundverordnung gelten würden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Ab 2021 soll es den „gelben Schein“ nicht mehr geben. Die Arbeitsunfähigkeitsbescheinigung soll dann elektronisch von der Krankenkasse an den Arbeitgeber übermittelt werden. Der entsprechende Entwurf zum Bürokratieentlastungsgesetz wurde nun vom Kabinett beschlossen.
Jährlich werden bundesweit ca. 75 Millionen Arbeitsunfähigkeitsbescheinigungen erstellt. Die Arbeitnehmer bekommen diese dann in dreifacher Ausführung: zur Vorlage bei der Krankenkasse und dem Arbeitgeber und für die eigenen Unterlagen. Das verursacht nicht nur viel Papiermüll, sondern ist auch nicht mehr ganz zeitgemäß. Durch die digitale Arbeitsunfähigkeitsbescheinigung sollen die Unternehmen und Mitarbeiter entlastet werden.
In § 109 Abs. 1 SGB IV soll künftig geregelt werden, dass nur noch die folgenden Daten in der Arbeitsunfähigkeitsbescheinigung erfasst werden:
- Daten über den Namen des Beschäftigten,
- den Beginn und das Ende der Arbeitsunfähigkeit,
- das Ausstelldatum
- die Kennzeichnung als Erst- oder Folgemeldung
Nicht mehr in der Arbeitsunfähigkeitsbescheinigung enthalten sind daher u.a. Adresse, Geburtsdatum und Versicherten-Nr. des Arbeitnehmers, attestierender Arzt und Angaben darüber, ob es sich um einen Arbeitsunfall, Arbeitsunfallfolgen oder eine Berufskrankheit handelt. Wegen der fehlenden Angabe des (Fach-)Arztes können nun beispielsweise auch keine Rückschlüsse mehr auf den Grund der Erkrankung geschlossen werden.
Aus datenschutzrechtlicher Sicht, insbesondere im Hinblick auf den Grundsatz der Datenminimierung, ist es eine erfreuliche Entwicklung, dass in Zukunft auf die Angabe dieser Daten verzichtet wird, auf die es für den Arbeitgeber auch nicht ankommt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.
Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.
Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.
Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.
Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.
Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Ein EU-Bürger hatte einen Flug für November 2019 von Brüssel nach Berlin gebucht. Gegen die damit verbundene Verarbeitung seiner Fluggastdaten durch das Bundeskriminalamt (BKA) hatte er einen Eilantrag beim Verwaltungsgericht gestellt.
Das Verwaltungsgericht Wiesbaden lehnte diesen Antrag als unzulässig ab:
- Die Verarbeitung dieser Daten ist gesetzlich zulässig: Das Fluggastdatengesetz (FlugDaG) erlaube die Verarbeitung von Fluggastdaten zur Abwehr terroristischer Straftaten und schwerer Kriminalität. Demnach sind Luftfahrtunternehmen verpflichtet, Daten ihrer Fluggäste, deren Flüge in Deutschland starten oder landen, an die sog. Fluggastdatenzentralstelle zu übermitteln. In Deutschland ist diese Stelle das Bundeskriminalamt, welches u.a. Namensangaben, Geburtsdatum, Anschrift, Kontaktdaten, Angaben zum Flug (Flugnummer, Datum, Uhrzeit), Zahlungsinformationen etc. der Fluggäste bei den Luftfahrtunternehmen erhebt und nach Maßgabe des FlugDaG verarbeitet.
- Zudem wurde mit dem FlugDaG eine EU-Richtlinie umgesetzt, deren Vorgaben für alle Mitgliedstaaten gleichermaßen gelten. Insoweit fehle es dem Antragsteller bereits an einem Rechtsschutzinteresse, da seine Daten in dieser Art und Weise auch bereits bei früheren Flügen innerhalb der EU durch die jeweiligen PNR-Zentralstellen der anderen EU-Mitgliedstaaten verarbeitet wurden.
Die Aufsichtsbehörden für den Datenschutz haben das Instrument der Fluggastdatenverwendung als solches auch immer wieder kritisiert, insbesondere hinsichtlich der langen Speicherdauer. Zudem wurde ebenso beanstandet, dass der deutsche Gesetzgeber in seinem FlugDaG auch innereuropäische Flüge mit einbezieht. Die EU-Richtlinie verbietet das zwar nicht, sieht es aber auch nicht verpflichtend vor.
Fazit: Es wäre daher wünschenswert gewesen, das Gericht hätte beurteilt, ob die Erfassung sämtlicher Daten sowie die lange Speicherdauer den Betroffenen in seinen Rechten und Freiheiten ggf. verletzt, unabhängig davon, ob dies andere EU-Staaten ebenso machen.
S. Kieselmann
Beraterin für Datenschutz
Die Mitglieder des Betriebsrats haben Zugriff auf äußerst sensible Unternehmens- und Mitarbeiterdaten. Wir wollen im Folgenden ein paar Maßnahmen aufzeigen, die die Vertraulichkeit hinsichtlich dieser Daten unterstützen.
Wer ist für die technischen und organisatorischen Maßnahmen des Betriebsrats verantwortlich?
Obwohl es umstritten ist, wer als datenschutzrechtlich „Verantwortlicher“ im Sinne des BDSG für die personenbezogenen Daten im Herrschaftsbereich des Betriebsrats anzusehen ist, dürfte klar sein, dass der Betriebsrat zumindest dafür selbst verantwortlich ist, wie seine Mitglieder mit den Vertraulichkeitserfordernissen umgehen. Das Unternehmen weiß naturgemäß nicht, welche Betriebsratsmitglieder mit welchen Sachverhalten betraut sind, denn diese Maßnahmen unterliegen der Selbstorganisation des Betriebsrats. Daher muss sich der Betriebsrat auch zwingend selbst mit den Maßnahmen, die erforderlich sind um die Vertraulichkeit der Informationen zu gewährleisten, auseinandersetzen. So kommt auch das zitierte Urteil zu dem Schluss, dass der Betriebsrat unter Beachtung der Datenschutzbestimmungen und des technisch Möglichen die Ausgestaltung der Art und Weise der Einsichtsmöglichkeit zu gestalten hat.
Konkrete Maßnahmen
Bezüglich der konkreten Maßnahmen sollte sich der Betriebsrat an den Vorgaben für die Personalabteilung orientieren. Insbesondere gilt:
- Betriebsratsunterlagen müssen gegen unbefugte Einsichtnahme geschützt werden. Dies gilt sowohl für Unterlagen in Papierform wie für Dateien bzw. deren Anzeige z.B. auf Bildschirmen.
- Betriebsratsunterlagen, die nicht unmittelbar benötigt werden, sind daher in abgeschlossenen Schränken aufbewahren, in der Regel im Betriebsratsbüro.
- Datenschutzbehälter oder angemessene Shredder müssen zur Entsorgung bereitgestellt und durch die Betriebsratsmitglieder verwendet werden.
- In Großraumbüros (von nicht freigestellten Betriebsratsmitgliedern) sollten die Betriebsratsmitglieder außerdem folgendes beachten:
- Bildschirme und Unterlagen so stellen und ablegen, dass nicht jeder und vor allem keine Besucher (Kollegen) Einblick haben
- Bildschirmschutz bei Verlassen des Arbeitsplatzes aktivieren
- Sichtschutzfolie verwenden, falls der Arbeitsplatz/Bildschirm nicht anders geschützt werden kann.
Die entsprechenden finanziellen Mittel müssen durch den Arbeitgeber gem. § 40 Abs. 2 BetrVG bereitgestellt werden.
Kommen Sie gerne auf uns zu, wenn wir Ihnen bei Fragen zum Thema technische und organisatorische Maßnahmen weiterhelfen können.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:
- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.
- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.
- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.
Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:
Cookies überprüfen
Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.
HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.
Einwilligung einholen
Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.
Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.
Widerruf beachten
Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.
Vorgaben der Aufsichtsbehörden umsetzen
Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.
HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.
S. Kieselmann
Beraterin für Datenschutz
Die Aufsicht über die Einhaltung der Datenschutzgesetze obliegt in Deutschland den Aufsichtsbehörden der Bundesländer. Zu diesem Zweck sind die Aufsichtsbehörden mit entsprechenden Befugnissen ausgestattet, die es ihnen ermöglicht, die Einhaltung der Datenschutzgesetze u.a. durch Unternehmen zu überprüfen. Dazu gehört auch die Befugnis Unternehmen zur Bereitstellung der erforderlichen Informationen anzuweisen. Bei mangelnder Kooperation darf die Aufsichtsbehörde dieses Auskunftsverlangen mit einem Zwangsgeld durchsetzen. Dies entschied das VG Mainz am 09.05.2019 (Az. 1 K 760/18.MZ).
Hintergrund war der Folgende: Der Betreiber eines erotischen Tanzlokals hatte im Innen- und Außenbereich des Lokals Videokameras installiert. Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verlangte Auskunft über die Videoüberwachung, insbesondere deren Umfang, und legte dem Betreiber dafür einen Fragekatalog mit 16 Fragen vor. Diesem Auskunftsverlangen kam der Betreiber trotz wiederholter Aufforderung nicht oder nur unzureichend nach. Deshalb verhängte die Aufsichtsbehörde ein Zwangsgeld in Höhe von 5.000 Euro, gegen das der Betreiber Klage erhob.
Das VG Mainz wies die Klage als unbegründet ab. Das Zwangsgeld wurde rechtmäßig verhängt und war auch der Höhe nach angemessen. Die Aufsichtsbehörde hat einen Auskunftsanspruch gegenüber dem Verantwortlichen, dem dieser grundsätzlich nachkommen muss.
Mit diesem Urteil zeigt sich wieder einmal, dass sich eine Kooperation mit den Aufsichtsbehörden auszahlt. Dies vermeidet nicht nur etwaige Zwangsgelder, sondern wird bei Verhängung eines Bußgeldes sicher auch strafmildernd berücksichtigt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz