Mit der fortschreitenden Digitalisierung gehört das Faxgerät mittlerweile eher zu den überholten Kommunikationsmitteln, ist aber in manchen Bereichen, wie beispielsweise bei Behörden oder Gerichten, immer noch ein weitverbreitetes und gern genutztes Kommunikationsmittel. Allerdings handelt es sich hierbei um kein sicheres Kommunikationsmittel, sodass personenbezogene Daten nicht mehr per Fax versendet werden sollten. Auf dieses Problem hat auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) aufmerksam gemacht und aus diesem Grund die Faxnummer von Homepage, Briefkopf, Visitenkarten und E-Mails entfernt.
Begründet liegt dies in technischen Veränderungen, durch die der Faxversand vergleichbare Risiken wie der Versand von unverschlüsselten E-Mails aufweist. Früher basierte die Kommunikation zwischen Faxgeräten auf einem Verbindungsaufbau mittels sog. Kanal- bzw. Leitungsvermittlung, d.h. es gab eine direkte Verbindung zwischen dem Absender und dem Empfänger. Mittlerweile erfolgt dies aber über eine Paketvermittlung, d. h. die zu übertragenden Daten werden mittels des TCP/IP-Standards auf sog. Pakete aufgeteilt und über mehrere vermittelnde Punkte zwischen den Endstellen übertragen. Dabei ist es grundsätzlich möglich, dass diese Zwischenpunkte auf die Pakete zugreifen können. Ein weiterer Grund liegt darin, dass der Absender nicht sicherstellen kann, dass das Fax nur dem richtigen Empfänger zugeht.
Als Alternativen stehen Verantwortlichen beispielsweise der Versand von inhaltsverschlüsselten E-Mails (PGP oder S/MIME) oder DE-Mail sowie Portallösungen zur Verfügung.
Der Faxversand von personenbezogenen Daten stellt in der Regel einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO dar. Es empfiehlt sich daher, die Kommunikation (vollständig) auf datenschutzkonforme digitale Lösungen umzustellen oder sich zumindest Gedanken zur entsprechenden Absicherung der Daten zu machen.
Julia Bernard
Volljuristin
Consultant für Datenschutz
Bei einer kürzlichen länderübergreifenden Prüfung von Webseiten haben die Datenschutzaufsichtsbehörden festgestellt, dass die Einwilligungen auf Webseiten von Medienunternehmen meist unwirksam sind. Die Prüfung wurde vor dem Hintergrund durchgeführt, dass die Beschwerden gegen Cookies auf Webseiten mittlerweile bei vielen Aufsichtsbehörden die Spitzenplätze der Fallstatistiken einnehmen. Zum anderen steht das Inkrafttreten des TTDSG am 01.12.2021 bevor, dass nun die grundsätzliche Einwilligungsbedürftigkeit von Cookies klarstellend regelt.
Auf der Grundlage eines gemeinsamen Prüfkatalogs wurden 49 Webangebote in 11 Ländern hinsichtlich des Einsatzes von Cookies und der Einbindung von Drittdiensten auf Webseiten von Medienunternehmen mit einem Schwerpunkt beim Nutzertracking zu Werbezwecken untersucht.
Die Datenschutzaufsichtsbehörden stellten fest, dass die Webseiten eine sehr hohe Anzahl von Cookies und Drittdiensten benutzten, die überwiegend dem Nutzertracking und der Werbefinanzierung dienen. Die Webseiten entsprachen jedoch meistens nicht den rechtlichen Anforderungen, sodass die Einwilligungen unwirksam waren.
Anhand der folgenden Checkliste können Sie prüfen, ob auch bei Ihnen einer oder mehrere, der im Rahmen der Prüfung am häufigsten festgestellten Mängel vorhanden ist:
- Vor der Erteilung der Einwilligung durch die Nutzer dürfen keine einwilligungsbedürftigen Drittdienste eingesetzt oder Cookies gesetzt werden.
- Die Nutzer müssen schon auf der ersten Ebene des Einwilligungsbanners hinreichend über die jeweiligen Cookies bzw. Cookie-Kategorien informiert werden, um entscheiden zu können, ob sie diese aktivieren möchten oder nicht. Das BayLDA hat in seiner Pressemitteilung nicht konkretisiert, welche Informationen unbedingt im Cookie Banner erforderlich sind. Die situationsbedingte abgestufte Informationspflicht spricht jedoch dafür, dass Informationen zur Identität des Verantwortlichen und zu den verarbeiteten Daten in der Datenschutzerklärung ausreichend sind. Es bleibt abzuwarten, ob das BayLDA noch eine entsprechende Konkretisierung vornimmt.
- Sollten die Nutzer im Cookie-Banner alles ablehnen, dürfen auch keine Cookies oder Drittdienste aktiv bleiben, die eine Einwilligung erfordern.
- Ist im Cookie-Banner auf der ersten Ebene eine Schaltfläche vorhanden, mit der die Nutzer der Verwendung von sämtlichen Cookies und Drittdiensten zustimmen können, muss eine ebenso einfache Möglichkeit vorhanden sein, das einwilligungsbedürftige Nutzertracking komplett abzulehnen oder den Banner ohne Entscheidung schließen zu können.
- Eine Manipulation der Nutzer in Form des Nudgings ist nicht zulässig. D.h., die Nutzer dürfen nicht zur Abgabe der Einwilligung gedrängt werden, indem die Verweigerung der Einwilligung unnötig verkompliziert wird oder die Schaltfläche für die Zustimmung deutlich auffälliger gestaltet ist (z. B. farblich hervorgehoben oder größer).
Spätestens mit dem Inkrafttreten des TTDSG am 01.12.2021 ist damit zu rechnen, dass die Aufsichtsbehörden einen Fokus auf die Einwilligungen auf Webseiten liegen und die Einhaltung vermehrt prüfen. Prüfen daher auch Sie die Nutzungs- und Verarbeitungsprozesse auf Ihrer Webseite und nehmen Sie ggf. erforderliche Anpassungen schnellstmöglich vor.
Julia Bernard
Volljuristin
Consultant für Datenschutz
Das Gesetz über den Schutz personenbezogener Daten (PDP-Gesetz) wurde bereits am 7. Mai 2021 vom Präsidenten unterzeichnet und ist nun am 15. November 2021 in Kraft getreten. Es legt insbesondere Grundprinzipien für den Schutz personenbezogener Daten fest, die mit der Europäischen Datenschutzgrundverordnung über weite Strecken vergleichbar sind, wie beispielsweise die Einführung von Rechten für die betroffenen Personen und Pflichten für die jeweiligen Verantwortlichen.
Vom belarussischen Datenschutzgesetz werden beispielsweise folgende Begriffe definiert:
- „personenbezogene Daten“: Jedwede Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;
- „besondere personenbezogene Daten“: Personenbezogene Daten, aus denen die rassische und nationale Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder andere Überzeugungen hervorgehen, Daten über Gesundheit oder Sexualität, Informationen über Heranziehung zur verwaltungsrechtlichen oder strafrechtlichen Verantwortung sowie biometrische und genetische personenbezogene Daten.
Das belarussische Datenschutzgesetz sieht zudem vor, welche Angaben in einem Vertrag über die Verarbeitung personenbezogener Daten durch befugte Personen enthalten sein müssen:
- Zweck der Verarbeitung der personenbezogenen Daten;
- Handlungen mit personenbezogenen Daten, welche vom Auftragsverarbeiter durchgeführt werden;
- Vertraulichkeitspflicht;
- Maßnahmen zum Schutz personenbezogener Daten.
Dies ähnelt teilweise dem uns sehr gut bekannten Art. 28 DSGVO.
Ob hieraus insgesamt in naher Zukunft ein Angemessenheitsbeschluss der EU für eine Datenübermittlung nach Belarus resultiert bleibt abzuwarten.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Bereits vor der Corona-Pandemie gab es immer wieder Verstöße seitens der Arbeitgeber, da Mitarbeiter in unzulässiger Weise überwacht wurden (Bsp. heimliche Videoüberwachung des Pausenraums).
Auch während der Corona-Pandemie bleibt das Thema Mitarbeiterüberwachung bestehen, wenn auch nicht immer bewusst.
Hilfsmittel können zur Mitarbeiterüberwachung dienen
Während der Pandemie haben Anbieter von Softwarelösungen und entsprechender Tools einen erneuten Aufschwung erfahren durch den gesteigerten Bedarf an Hilfsmitteln für den Arbeitsalltag.
Ein bekanntes Beispiel für ein Tool, was Unternehmen bzw. den Mitarbeitern helfen soll, die Effizienz zu steigern, ist Microsoft Workplace Analytics. Die Mitarbeiter können durch das Tool verfolgen, wo die Effizienz der eigenen Leistung noch ausbaufähig ist. Durch das Tool ist es jedoch möglich, eine Leistungs- und Verhaltenskontrolle durchzuführen, da der ganze Arbeitstag minutiös verfolgt werden kann (wann wurden E-Mails geschrieben, wann wurde per Teams kommuniziert etc.).
Auch Hilfsmittel, die dazu dienen, ein sicheres Arbeiten während der Pandemie zur Einhaltung der Abstandsregelungen zu gewährleisten, können jedoch auch für eine Leistungs- und Verhaltenskontrolle genutzt werden. So gibt es Anbieter, die durch ein RFID Tracking das Einhalten der Abstandsregelungen gewährleisten wollen. Durch das Tracking kann jedoch auch ein Bewegungsprofil der Mitarbeiter erstellt und nachvollzogen werden, wer, wann, wem über den Weg gelaufen ist und wie lange miteinander gesprochen wurde.
Ergreifen Verantwortliche keine geeigneten Gegenmaßnahmen (Bsp. nur Mitarbeiter hat zu seinen Analytics Ergebnissen Zugriff) um diese Art der Mitarbeiterüberwachung zu unterbinden, muss mit einem Bußgeld aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gerechnet werden.
Grundsätzlich ist beim Einsatz diverser Tools auch immer zu beachten, dass der Aussagegehalt verfälscht sein kann, da es Situationen und Tätigkeiten gibt, die nicht erfasst werden können. Beispielsweise kann Microsoft Workplace Analytics einen unproduktiven Tag anzeigen aufgrund von Störungen, sodass es schlicht nicht möglich war, E-Mails zu schreiben oder auf das System zuzugreifen. Wird für eine Recherche Fachliteratur in Papierform herangezogen, wird das ebenfalls nicht erfasst, obwohl gearbeitet wurde. Auch den Tools sind daher Grenzen gesetzt.
Home Office
Durch die Corona-Pandemie hat vor allem das Home Office einen Boom erfahren und wird auch nach Ende der Pandemiesituation nicht mehr aus dem Arbeitsalltag wegzudenken sein.
Damit gewinnt jedoch auch die Frage der Arbeitszeiterfassung und des immer wieder vorkommenden Arbeitszeitbetrugs an Bedeutung.
Zum einen sind Arbeitgeber gemäß § 16 Abs. 2 Arbeitszeitgesetz (ArbZG) dazu verpflichtet, Arbeitszeit, welche über die werktägliche Arbeitszeit hinausgeht, aufzuzeichnen. Nach dem Urteil des EuGH (Europäischer Gerichtshof) vom 14.05.2019 (Rs. C-55/18) ist jedoch mit einer Anpassung des ArbZG zu rechnen, wonach Arbeitgeber verpflichtet werden, die Arbeitszeit grundsätzlich zu erfassen. Zum anderen haben Arbeitgeber natürlich ein Interesse daran, dass die vertraglich vereinbarte Arbeitszeit auch wirklich durch den Arbeitnehmer erbracht wird. Arbeitnehmer hingegen möchten ihr allgemeines Persönlichkeitsrecht gewahrt wissen, sodass hier grundsätzlich ein Konflikt der gegenüberstehenden Interessen besteht und einer sorgfältigen Abwägung bedarf.
Zur Verdeutlichung dieses Konflikts zwei Beispiele:
Um zu gewährleisten, dass Arbeitnehmer auch tatsächlich im Home Office arbeiten, werden beispielsweise Keylogger eingesetzt, die aufzeichnen, was die jeweilige Person eingegeben hat und wie viele Tastenanschläge es gab. Damit können natürlich auch Passwörter oder andere persönliche Informationen erfasst werden, welche beispielsweise im Rahmen eines Chats unter Kollegen gemacht wurden. Keylogger sind in der Regel datenschutzrechtlich unzulässig.
Auf der anderen Seite haben auch so genannte Totmann-Tools einen Boom erfahren. Dabei handelt es sich um Tools, die dazu dienen, Mausklicks und Tastenanschläge zu simulieren, um den Anwesenheitsstaus in den jeweiligen Tools (Bsp. Microsoft Teams) aufrecht zu erhalten und damit den Anschein zu erwecken, vor dem PC zu sitzen und am Arbeiten zu sein.
Die Beispiele verdeutlichen, dass der Wunsch nach einer Überprüfung der Arbeitnehmer nicht von der Hand zu weisen ist. Jedoch muss dies durch verhältnismäßige Maßnahmen erfolgen und im Einzelfall abgewogen werden.
Fazit
Während Arbeitnehmer mit arbeitsrechtlichen Konsequenzen rechnen müssen, besteht für Verantwortliche die Gefahr der unzulässigen Leistungs- und Verhaltenskontrolle und der damit einhergehenden Mitarbeiterüberwachung. Findet eine unzulässige Mitarbeiterüberwachung statt, liegt ein Verstoß gegen die DSGVO vor und kann mit hohen Bußgeldern geahndet werden. Verantwortliche sind daher gut beraten, sich vorab entsprechenden Rat über den Einsatz neuer Tools bzw. die Einschätzung zu gewünschten Maßnahmen zu holen.
Laura Piater
Consultant für Datenschutz
Volljuristin
Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat das Bundesdatenschutzgesetz (BDSG) evaluiert und am 29.10.2021 den zugehörigen Bericht veröffentlicht. Aufsichtsbehörden, private und öffentliche Stellen haben an der Evaluation teilgenommen.
Für Unternehmen besonders relevant sind die Punkte zur Verhängung von Bußgeldern.
Anwendbarkeit von §§ 30, 130 OWiG
Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung (DSGVO), soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Diese Verweisung ist umstritten.
Aus § 30 Abs. 1 OWiG ergibt sich die Anforderung, dass eine natürliche Person eine schuldhafte Handlung vorgenommen haben muss. Die Person muss zudem aus dem in § 30 Abs. 1 Nr. 1-5 OWiG genannten Personenkreis stammen – eine sogenannte Leitungsperson sein. In vielen Praxisfällen erfolgen Datenschutzverstöße im Kundenkontakt. Diese können gemäß OWiG nur unter sehr engen Voraussetzungen eine unmittelbare bußgeldrechtliche Haftung des Unternehmens auslösen.
Viele Stimmen, darunter auch der Europäische Gerichtshof (EuGH), vertreten die Ansicht, dass es für die Haftung des Unternehmens genüge, wenn eine berechtigte natürliche Person für das Unternehmen handele. Alle Beschäftigten wären davon erfasst und es müsste auch keine Aufsichtspflichtverletzung einer Leitungsperson nachgewiesen werden. Hierbei wird auf den funktionalen Unternehmensbegriff aus Art. 102 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zurückgegriffen.
Das BMI sieht hier eine bewusste Entscheidung des deutschen Gesetzgebers zugunsten des deutschen OWiG, da das Rechtsstaatsprinzip eine Anknüpfung an das Schuldprinzip und somit Handlungen natürlicher Personen erfordere. Artikel 83 DSGVO schreibe demnach nur die Höhe des Bußgeldes zwingend vor, überlasse die Einzelheiten aber ausdrücklich den nationalen Gesetzgebern.
Ob hier nun eine zulässige nationale Ausgestaltung oder ein Verstoß gegen europarechtliche Regelungen vorliegt, ist auch unter deutschen Gerichten umstritten. Das BMI sieht derzeit jedenfalls keinen Änderungsbedarf und verteidigt den bestehenden Normtext.
Weitere Befugnisse für Aufsichtsbehörden entsprechende dem Wettbewerbsrecht
Im Verwaltungsverfahren stehen den Aufsichtsbehörden die Maßnahmen nach Artikel 58 Abs. 1 DSGVO, im Bußgeldverfahren die Befugnisse aus Art. 41 BDSG zur Verfügung. In der Praxis haben Aufsichtsbehörden festgestellt, dass oftmals Umsätze nicht offengelegt werden und auch anderweitig nicht ermittelt werden können.
Da die Umsätze aber Referenzgröße für den Bußgeldrahmen sind, regte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Aufnahme eines Verweises auf Normen des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) an, wodurch z.B. Auskunftspflichten bezüglich wirtschaftlicher Verhältnisse und/oder eine Befugnis zur Schätzung von Umsätzen die Befugnisse der Datenschutzaufsicht ergänzen könnten.
Hierzu sagt das BMI eine weitere Prüfung zu und will die Belange der von Ordnungswidrigkeitenverfahren Betroffenen einbeziehen.
Fazit
Die Evaluation dient der Weiterentwicklung des Datenschutzrechts. Erkannte Anpassungsbedarfe werden früher oder später in ein weiteres Datenschutz Anpassungs- und Umsetzungsgesetz münden. Diese Gelegenheit sollten Betroffene und Verantwortliche nutzen, um durch die Mittel der politischen Teilhabe Einfluss zu nehmen. Damit steigt die Wahrscheinlichkeit, mit den überarbeiteten Regelungen zufrieden zu sein.
Stefan Effmert
Berater für Datenschutz
Volljurist
Seit Bürger die Möglichkeit haben, sich gegen das Coronavirus impfen zu lassen, stellt sich häufig die Frage, ob der Arbeitgeber den Impfstatus der Beschäftigten erfragen darf.
In der Vergangenheit wurde hier gerne mit dem Arbeitsschutz und der allgemeinen Fürsorgepflicht der Arbeitgeber gegenüber den Arbeitnehmern argumentiert. Die Diskussion ist auch den Aufsichtsbehörden nicht entgangen, sodass nun Informationen hierzu veröffentlicht wurden.
Abfrage des Impfstatus nur unter strengen Voraussetzungen
Arbeitgeber haben grundsätzlich kein Fragerecht bzgl. des Impfstatus zu Coronaimpfungen, wenn die Arbeitgeber nicht unter die speziellen Voraussetzungen der §23a Infektionsschutzgesetz (IfSG) oder § 36 Abs. 3 IfSG fallen (Beispiel: Arztpraxen, Pflegeeinrichtungen).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat zudem klargestellt, dass weder das Arbeitsschutzgesetz noch die Fürsorgepflicht gegenüber den Arbeitnehmern eine Rechtsgrundlage für das Fragerecht bieten, da in den einschlägigen Gesetzen gerade keine Pflicht der Arbeitnehmer festgelegt wurde, über Impfungen oder Genesungen Auskunft geben zu müssen.
Auch eine Einwilligung scheidet laut BayLDA in der Regeln mangels Freiwilligkeit aus.
Prüfpflichten von Arbeitgebern
Unterliegen Arbeitgeber gemäß landesspezifischer Regelungen zum Infektionsgeschehen speziellen Prüfpflichten, dürfen diese natürlich weiterhin wahrgenommen werden, sodass die Kenntnisnahme des Impfstatus grundsätzlich möglich ist. Die Prüfpflichten des Arbeitgebers stellen jedoch keine Rechtsgrundlage für die Speicherung des Impfstatus dar.
Abfrage Impfstatus bzgl. Entschädigungszahlung
Bisher konnten Arbeitgeber die Lohnfortzahlung, die während einer behördlich angeordneten Quarantäne angefallen sind, im Rahmen einer Entschädigung nach dem IfSG zurückfordern. Arbeitgeber sind daher bisher in Vorleistung gegangen.
Ab dem 01.11.2021 sollen Ungeimpfte diese Entschädigung jedoch nicht mehr erhalten. Für Arbeitgeber stellt sich daher die Frage, inwiefern diese vorab prüfen müssen oder dürfen, ob eine Impfung vorliegt.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDi) Baden-Württemberg hat sich in seinem Positionspapier nun wie folgt geäußert:
„Der Arbeitgeber darf den Impfstatus der Beschäftigten erfragen, wenn er die Entschädigung nach § 56 IfSG für die Behörde auszahlt.
Grundsätzlich ist dem Arbeitgeber bereits die Frage nach privaten oder besonders geschützten Daten nach Art. 9 DS-GVO (Gesundheitsdaten, Gewerkschaftszugehörigkeit etc.) verboten. Im Zusammenhang mit der Auszahlung einer Entschädigung nach § 56 IfSG liegen jedoch genügend gesetzliche Hinweise vor, dass dem Arbeitgeber hierbei eine Rolle zugewiesen wird, die eine solche Frage rechtfertigen kann.“
Eine Auskunftspflicht für Arbeitnehmer ist dem Infektionsschutzgesetz jedoch nicht zu entnehmen. Das bedeutet Arbeitnehmer können sich weigern, die Auskunft zu erteilen.
Fazit
Verantwortliche sind gut damit beraten, genau zu prüfen, ob der Impfstatus der Mitarbeiter verarbeitet werden darf. Ansonsten drohen vor dem Hintergrund, dass es sich um so genannte Gesundheitsdaten (=besondere Kategorie personenbezogener Daten) handelt entsprechend hohe Geldbußen.
Laura Piater
Consultant für Datenschutz
Volljuristin
Nachdem die Datenschutzgrundverordnung im Jahr 2018 in Kraft getreten ist, konnten immer wieder neue Rekorde bei der Höhe der Bußgelder verzeichnet werden.
Dass auch im Jahr 2021, drei Jahre nach in Kraft treten der DSGVO, immer wieder gravierende Datenschutzverstöße auftreten und von den Aufsichtsbehörden näher beleuchtet werden zeigen nicht zuletzt die Rekordbußgelder gegen Amazon Europa in Luxemburg (Bußgeld: 746 Mio. EURO) und WhatsApp (Bußgeld: 225 Mio. Euro), über die wir in unserem Blog bereits berichtet haben.
Das Unternehmen Finbold Ltd hat nun die Bußgelder aus dem Jahr 2021 ausgewertet und einen Bericht hierzu veröffentlicht.
Auswertung der Bußgelder für das Jahr 2021 (Quartal 1-3)
Für die Auswertung der Bußgelder hat Finbold den so genannten Enforcement Tracker von CMS genutzt.
Die Auswertung ergibt, dass in den Quartalen 1-3 diesen Jahres Bußgelder in Höhe von insgesamt 1.035,11 Mio. Euro verhängt wurden. Dabei fallen 984,47 Mio. Euro allein auf das Quartal 3 2021 zurück.
Weiterhin zeigt sich, dass ein Großteil der Bußgelder aus dem IT-Sektor stammen, was wenig verwunderlich ist, angesichts der teilweise sprunghaften Entwicklung der Digitalisierung seit Beginn der Corona-Pandemie.
Im Ranking der verschiedenen Länder bezüglich der Summe der Bußgelder steht Deutschland mit ca. 50 Mio. Euro auf dem fünften Platz. Luxembourg belegt mit ca. 746 Mio. Euro den ersten Platz.
Fazit
Auch wenn noch gegen einige Bußgelder Rechtsmittel eingelegt werden können, so zeigt diese Auswertung, dass Verantwortliche den Datenschutz im eigenen Unternehmen kontinuierlich verfolgen und prüfen sollten. Datenschutz ist ein lebendiges Thema, wie die Entwicklung der letzten Jahre zeigt (Bsp. Urteil zum Privacy Shield oder neue Standardvertragsklauseln), so dass es hier regelmäßig Nachholbedarf gibt.
Laura Piater
Consultant für Datenschutz
Volljuristin