10. Juli 2023
Unternehmen nutzen die Veröffentlichung von Fotos und Videos im Internet aus verschiedenen Gründen. Datenschutzrechtliche Aspekte werden relevant, sobald Personen auf den Aufnahmen erkennbar sind, beispielsweise in Marketingvideos, bei der Mitarbeitergewinnung oder in Erklärungs- und Anleitungsvideos für Produkte. Diese Veröffentlichungen können sowohl auf Websites als auch über soziale Medien oder in Apps erfolgen.
Einwilligung als Rechtsgrundlage unsicher
Ein häufig gewählter Ansatz zur rechtlichen Absicherung ist die Einholung einer Einwilligung von den abgebildeten Personen. Solange diese Einwilligung freiwillig erfolgt und die betreffenden Personen angemessen über die Art und Weise der Veröffentlichung informiert werden, ist dies rechtlich akzeptabel. Allerdings hat die Verwendung von Einwilligungen als Rechtsgrundlage einen entscheidenden Nachteil: Einwilligungen können jederzeit und ohne Angabe von Gründen widerrufen werden.
Im Falle eines solchen Widerrufs muss die Veröffentlichung unverzüglich beendet werden. Die betroffene Person muss aus den Aufnahmen entfernt oder unkenntlich gemacht werden. Für Unternehmen kann dies sehr unangenehm sein, insbesondere wenn hohe Produktionskosten für die Aufnahmen angefallen sind oder die Veröffentlichung der Aufnahmen von großer Bedeutung ist.
Datenschutzrechtliche Einordnung
Die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO dient als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Allerdings ist gemäß Art. 7 Abs. 3 Satz 1 DSGVO eine solche Einwilligung frei widerruflich. Kommentare zur DSGVO stellen klar, dass Einschränkungen des Widerrufsrechts nicht zulässig sind. Folglich entfällt ab dem Zeitpunkt des Widerrufs die rechtliche Grundlage für die Veröffentlichung von Aufnahmen der widerrufenden Person. Bis zum Zeitpunkt des Widerrufs bleibt die Verwendung der Aufnahmen rechtmäßig, danach dürfen sie nicht mehr verwendet werden. Argumente wie hohe Produktionskosten, unverhältnismäßige Rechtsfolgen oder sonstige negative Auswirkungen auf das Unternehmen können nicht als Grund für die Aufrechterhaltung der Veröffentlichung angeführt werden.
Vor Inkrafttreten der DSGVO wurde für die Veröffentlichung von Aufnahmen das Kunsturheberrechtsgesetz herangezogen, insbesondere § 22 KunstUrhG, der die Einwilligung regelt. In der Rechtsprechung wurde anerkannt, dass diese Einwilligung nur bei Vorliegen eines wichtigen Grundes widerrufen werden konnte.
Das Verhältnis zwischen dem Kunsturheberrechtsgesetz und der DSGVO ist nach wie vor umstritten. Jedoch kann mit Gewissheit gesagt werden, dass die DSGVO und ihre Bestimmungen zur Einwilligung und ihrem Widerruf Vorrang haben. Das bedeutet, dass nun kein wichtiger Grund mehr für einen Widerruf erforderlich ist, da die DSGVO eine solche Einschränkung nicht vorsieht.
Alternative zur Einwilligung
Unternehmen können die rechtlich ungünstige Situation bei der Verwendung von Fotos oder Videos vermeiden, indem sie mit den betroffenen Personen, wie Mitarbeitenden oder Testimonials, sogenannte Modelverträge abschließen. In diesem Fall dient der Modelvertrag als rechtliche Grundlage für die Verwendung der Aufnahmen (gemäß Art. 6 Abs. 1 lit. b DSGVO) und nicht eine Einwilligung. Der entscheidende Unterschied besteht darin, dass ein Vertrag nicht einfach widerrufen werden kann, im Gegensatz zu einer Einwilligung. Ein Modelvertrag gibt dem Nutzer der Aufnahmen die Gewissheit, dass es keinen Widerruf geben kann.
Es ist jedoch wichtig zu beachten, dass im Modelvertrag den betroffenen Personen eine Gegenleistung für die Einräumung der Verwendungsrechte an den Aufnahmen gewährt wird. Diese Gegenleistung besteht oft in Form einer Geldzahlung. Die Höhe der Gegenleistung sollte in angemessenem Verhältnis zu den eingeräumten Verwendungsrechten stehen, insbesondere bei umfangreichen und weitreichenden Veröffentlichungen sollte die Gegenleistung entsprechend höher ausfallen.
Fazit
Bei Foto- und Videoaufnahmen, bei denen ein Widerruf einer Einwilligung besonders unerwünscht wäre, beispielsweise im Rahmen einer Werbekampagne, sollten Unternehmen besser auf Modelverträge anstelle von Einwilligungen setzen. Fotos von Weihnachtsfeiern, Betriebsausflügen, Firmenläufen oder ähnlichen Veranstaltungen können natürlich weiterhin mit Einwilligung der Personen veröffentlicht werden, beispielsweise im Intranet, da ein Widerruf in der Regel keine größeren Auswirkungen hätte.
5. Juli 2023
Es ist mittlerweile gängige Praxis für Arbeitgeber, digitale Instrumente einzusetzen, um ihren Mitarbeitern die Nutzung von Self-Service-Funktionen wie Zeiterfassung, Urlaubsanträgen oder Reisekostenabrechnungen schnell und einfach zu ermöglichen.
Normalerweise handelt es sich bei dem Anbieter dieser Software um einen Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Dies bedeutet, dass die Daten der Mitarbeiter im Auftrag und nach den Anweisungen des Arbeitgebers, der als Verantwortlicher agiert, verarbeitet werden. In einigen Fällen kann der Dienstleister beispielsweise für Wartungszwecke auf die Daten zugreifen.
Der Arbeitgeber als Verantwortlicher muss sicherstellen, dass die Datenverarbeitung über die Software rechtmäßig erfolgt. Daher sollte er einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, um dies umzusetzen. Dies kann beispielsweise durch spezifische Sichtbarkeitseinstellungen und Rollenkonzepte geschehen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen des Dienstleisters überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
Datenverarbeitungen zu Zwecken des Dienstleiters
Was ist jedoch der Fall, wenn der Dienstleister die Daten der Beschäftigten auch zu eigenen Zwecken verarbeitet? Eine mögliche Situation ist das Webtracking mittels Cookies und anderen Technologien zu statistischen oder werblichen Zwecken, insbesondere wenn Cloud-Lösungen genutzt werden, die von den Beschäftigten über ein Webportal oder eine App verwendet werden.
In der Regel verfügt der Arbeitgeber, der das betreffende Tool einsetzt, weder über detaillierte Kenntnisse über diese Verarbeitungen durch den Dienstleister, noch zieht er einen Nutzen daraus oder hat tatsächlich Einfluss darauf. Dennoch werden seine Mitarbeiter durch seine Anordnung dem entsprechenden Tracking ausgesetzt. Wie sieht es also mit der datenschutzrechtlichen Verantwortlichkeit in diesem Fall aus?
Gemeinsame Verantwortlichkeit
In den oben beschriebenen Fällen ist ein solches Tracking kein Bestandteil der Auftragsverarbeitung für den Arbeitgeber. Die Datenverarbeitung erfolgt weder zu seinen eigenen Zwecken noch nach seinen Anweisungen. Stattdessen gestaltet der Anbieter der Software selbstständig den Prozess der Datenverarbeitung und führt ihn auch zu seinen eigenen Zwecken durch. Daher ist der Softwareanbieter selbst für die Datenverarbeitung verantwortlich (vgl. auch OH Auftragsverarbeitung des BayLDA, S.12).
Dennoch bedeutet das nicht automatisch, dass der Arbeitgeber “aus dem Schneider” ist. Aufgrund der engen Verknüpfung zwischen der Datenverarbeitung des Dienstleisters und der Datenverarbeitung durch den Verantwortlichen liegt hier zumindest die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO nahe.
Für die Beschäftigten ist oft nicht klar ersichtlich, welche Datenverarbeitung in den Verantwortungsbereich ihres Arbeitgebers fällt und welche in den Verantwortungsbereich des externen Softwareanbieters. Daher wird in solchen Fällen teilweise argumentiert, dass im Hinblick auf die Schutzziele des Artikel 26 DSGVO (Transparenz für Betroffene und Schutz ihrer Rechte) eine einheitliche Betrachtung des gesamten Verarbeitungsvorgangs erfolgen sollte und dieser nicht in separate Schritte mit getrennten Verantwortlichkeiten aufgeteilt werden sollte (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).
Mit dem Facebook Fanpage Urteil des EuGH vergleichbar?
Auch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) im “Facebook Fanpage Urteil” vom 5. Juni 2018 (Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanseiten besteht eine gemeinsame Verantwortlichkeit der jeweiligen Betreiber, da sie Facebook ermöglichen, über die Fanseite Cookies zu setzen. Darüber hinaus beeinflussen die Betreiber durch bestimmte Voreinstellungen beispielsweise die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung von Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zusätzlich, dass Fanseiten-Betreiber ein “eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.
Bei genauerer Betrachtung dieser Argumentation werden jedoch auch die Unterschiede zwischen dem Betrieb einer Fanseite und dem Einsatz eines Tools zur Verarbeitung von Mitarbeiterdaten deutlich: Arbeitgeber haben weder ein Interesse an gezielter werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitern noch setzen sie typischerweise auf werbefinanzierte und daher kostenlose Tools. Ein (Mit-)Interesse an dem entsprechenden Tracking des Dienstleisters kann daher in diesem Fall nicht in gleicher Weise angenommen werden wie bei Social-Media-Präsenzen. Außerdem ist es gerade nicht möglich, die Datenverarbeitung im Tracking durch das Setzen von Filtern oder ähnlichen Maßnahmen zu steuern.
Einflussmöglichkeiten auf Datenverarbeitung des Dienstleiters von Bedeutung
Der Hauptgrund, der gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht, ist die vollständige fehlende Möglichkeit und Beteiligung des jeweiligen Arbeitgebers bei der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.
Der Europäische Datenschutzausschuss stellt für eine gemeinsame Verantwortlichkeit die Bedingung, dass beide Verantwortlichen einen “deutlichen Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung” haben und dass die Verarbeitungsvorgänge beider Parteien untrennbar miteinander verbunden sind (vgl. Leitlinien 07/2020 zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”, S. 22). Jedoch reicht allein die Tatsache, dass eine der beteiligten Parteien keinen Zugang zu den verarbeiteten Daten hat, nach Einschätzung des Europäischen Datenschutzausschusses nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (ebenda, S. 23).
Fazit
Die klare Zuordnung der datenschutzrechtlichen Verantwortlichkeiten im Falle von Webtracking zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal festgelegt werden. Jeder Fall muss individuell geprüft werden. In solchen Situationen handelt es sich häufig um Grenzfälle, bei denen sowohl eine separate als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Um rechtliche Sicherheit zu gewährleisten, empfiehlt es sich, eine Vereinbarung gemäß Artikel 26 DSGVO abzuschließen. Dabei sollte jedoch beachtet werden, dass idealerweise bereits vor der Beauftragung des Dienstleisters die Rechtmäßigkeit seiner Datenverarbeitung im Rahmen des Trackings geprüft wird, da diese dann in den Verantwortungs- und Haftungsbereich des Arbeitgebers fällt. Es ist für Arbeitgeber wichtig, die Mitarbeiter transparent zu informieren und ihnen gegebenenfalls Alternativen zur Nutzung des betreffenden Tools anzubieten, falls sie aufgrund der damit verbundenen umfangreicheren Datenverarbeitung die digitale Lösung nicht nutzen möchten.
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
3. Juli 2023
Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.
Sachverhalt
Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.
Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.
Weiter Umfang des Art. 15 DSGVO
Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.
Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.
Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.
Einschränkungen
Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.
Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.
Fazit
Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.
26. Juni 2023
Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.
Inhalt des Formulares
Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.
Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.
Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.
Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.
Fazit
Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:
„Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”
Im Mai 2023 verabschiedete die Europäische Union die Richtlinie (EU) 2023/970 zur Verbesserung der Lohntransparenz. Diese Richtlinie tritt im Juni in Kraft und legt fest, dass die Mitgliedstaaten bis zum 7. Juni 2026 die Lohntransparenz-Richtlinie umsetzen müssen. Das Hauptziel dieser Richtlinie ist es, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dagegen vorzugehen. Die Richtlinie strebt ausdrücklich danach, den Grundsatz des gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch die Förderung von Entgelttransparenz und Durchsetzungsmechanismen zu stärken.
Der Anwendungsbereich der Richtlinie
Gemäß Artikel 2 Absatz 1 gilt sie für alle Arbeitgeber sowohl im öffentlichen als auch im privaten Sektor. Dies bedeutet, dass sie nicht nur für Privatunternehmen, sondern auch für Behörden, Gerichte und Kirchen gilt. Zusätzlich können auch andere Personengruppen, sofern sie bestimmte Kriterien erfüllen, unter den Geltungsbereich dieser Richtlinie fallen. Zu diesen Gruppen gehören beispielsweise Hausangestellte, Arbeitnehmer in geschützten Beschäftigungsverhältnissen, Auszubildende oder Praktikanten (siehe Erwägungsgrund 18).
Fragen zum bisherigen Gehalt nicht erlaubt
Die Richtlinie erfasst auch “Stellenbewerber” gemäß Erwägungsgrund 19 und Artikel 2 Absatz 3 und legt Arbeitgebern ausdrücklich Beschränkungen bei der Datenverarbeitung auf. Artikel 5 der Richtlinie, der sich mit “Entgelttransparenz vor der Beschäftigung” befasst, verbietet es Arbeitgebern, Informationen über das aktuelle Gehalt oder die bisherige Gehaltsentwicklung eines Stellenbewerbers einzuholen. Zusätzlich ergibt sich aus Erwägungsgrund 33, dass sie nicht proaktiv versuchen dürfen, Informationen aus anderen Quellen zu erhalten.
Dies hat Auswirkungen auf den Bewerbungsprozess. Während es bereits datenschutzrechtlich problematisch war, nach dem bisherigen Gehalt zu fragen, wird nun deutlich, dass der europäische Gesetzgeber davon ausgeht, dass es keine Rechtsgrundlage für eine entsprechende Frage oder einen Anruf beim früheren Arbeitgeber gibt. Da nationale arbeitsrechtliche Vorschriften die Datenschutz-Grundverordnung (DSGVO) nur konkretisieren dürfen, kann der nationale Gesetzgeber bei der Umsetzung davon nicht abweichen.
Das Auskunftsrecht der Beschäftigten
Gemäß Artikel 7 („Auskunftsrecht“) haben Beschäftigte das Recht, Informationen über ihr individuelles Gehalt sowie über die durchschnittlichen Gehälter zu verlangen und schriftlich zu erhalten. Diese Informationen müssen nach Geschlecht und für Gruppen von Arbeitnehmern, die die gleiche oder gleichwertige Arbeit wie die anfragende Person verrichten, aufgeschlüsselt werden. Diese Auskünfte können auch über die Arbeitnehmervertretungen angefordert werden.
Es ist wichtig zu beachten, dass es sich dabei um personenbezogene oder personenbeziehbare Daten handeln kann, die datenschutzrechtlich zu betrachten sind. Obwohl der Name nicht angegeben werden darf, besteht dennoch die Möglichkeit, dass bei einer relativ kleinen Vergleichsgruppe, die zusätzlich nach dem Merkmal “Geschlecht” gekennzeichnet ist, Rückschlüsse auf einzelne Personen und deren Gehalt gezogen werden können.
Datenübermittlung an die nationalen Behörden
Gemäß Artikel 9 der Richtlinie sind Arbeitgeber verpflichtet, auf Anfrage Informationen über das Geschlechtergefälle beim Entgelt an die Beschäftigten und an eine nationale Arbeitsaufsichtsbehörde bereitzustellen. Diese Informationen beziehen sich auf Daten zum geschlechtsspezifischen Entgeltgefälle sowie auf variable Bestandteile der Vergütung wie Boni. Die Berichterstattungsfrequenz hängt von der Anzahl der Beschäftigten ab. Zum Beispiel müssen Arbeitgeber mit 150 bis 249 Mitarbeitenden erstmals bis zum 7. Juni 2027 entsprechende Informationen vorlegen und anschließend alle drei Jahre (siehe Artikel 9 Absatz 3).
Neben der Arbeitsaufsichtsbehörde müssen geschlechtsspezifische Entgeltfälle nach Arbeitnehmergruppen, Grundlohn und variablen Bestandteilen auch an eine noch zu schaffende Überwachungsstelle gemäß Artikel 29 der Richtlinie übermittelt werden. Diese Überwachungsstelle soll die Informationen unverzüglich und in einer einfach zugänglichen und benutzerfreundlichen Form veröffentlichen (siehe Artikel 29 Absatz 3c). Wenn in diesen Informationen auch personenbezogene Daten enthalten sind, bildet dieser Artikel die Rechtsgrundlage für die Übermittlung an die Behörden.
Arbeitnehmervertretungen
Zusätzlich sieht Artikel 10 („Gemeinsame Entgeltbewertung“) vor, dass der Arbeitgeber in Zusammenarbeit mit Arbeitnehmervertretungen wie Betriebs- oder Personalräten eine Bewertung des Entgelts durchführt, wenn konkrete Hinweise auf geschlechterdiskriminierende Bezahlung vorliegen, und entsprechende Gegenmaßnahmen ergreift. Dies bedeutet, dass der Arbeitgeber das Recht und die Pflicht hat, den Arbeitnehmervertretungen relevante Daten zur Verfügung zu stellen.
Beschränktes Auskunftsrecht möglich
Gemäß Artikel 12 („Datenschutz“) der Richtlinie gibt es eine Einschränkung des Auskunftsrechts aufgrund der DSGVO. Gemäß Artikel 12 dürfen die personenbezogenen Daten, einschließlich Pseudonymen, die in den Datensätzen enthalten sind, nicht für andere Zwecke verwendet werden.
Eine wichtige Einschränkung für den Anspruch eines einzelnen Arbeitnehmers gemäß Artikel 7 ergibt sich aus Artikel 12. In der nationalen Umsetzung können die Mitgliedstaaten beschließen, dass “nur die Arbeitnehmervertreter, die Arbeitsaufsichtsbehörde oder die Gleichbehandlungsstelle Zugang zu den betreffenden Informationen haben”, falls die Offenlegung von Informationen zur direkten oder indirekten Offenlegung des Gehalts eines identifizierbaren Arbeitnehmers führen würde. Wenn dies entsprechend in Deutschland umgesetzt wird, kann die entsprechende Auskunft gegenüber dem einzelnen Beschäftigten verweigert werden. Nur Arbeitnehmervertretungen hätten Zugang zu den Daten, um gemeinsam mit dem Arbeitgeber gemäß Artikel 10 eine Bewertung des Entgelts vorzunehmen.
21. Juni 2023
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.
Die Fragen des ULD an OpenAI
Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.
Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.
Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.
OpenAI möchte längere Frist
OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.
Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.
Zusammenarbeit im Bereich der KI-Regulierung nötig
Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.
“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.
Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.
19. Juni 2023
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.
Schwere des Verstoßes bestimmt Bußgeld
Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.
Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.
Fazit
Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.
Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.
Das virtuelle Hausverbot und die dauerhafte Datenspeicherung
Die Datenschutzbehörde Sachsen berichtete in ihrem Tätigkeitsbericht für das Jahr 2022 von einem Fall, in dem es um die datenschutzrechtliche Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.
Ein Betroffener reichte eine Beschwerde bei der Aufsichtsbehörde ein, da seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wurde, dem er früher angehörte. Das betreibende Unternehmen hatte zuvor seinen Zugang zum Club gesperrt. Der Betroffene forderte die Löschung aller seiner Daten. Das Unternehmen informierte die Behörde darüber, dass das Profil des Betroffenen gelöscht wurde, da er mehrfach und schwerwiegend gegen interne Regeln verstoßen hatte. Daher wurde gegen ihn ein virtuelles Hausverbot verhängt. Um dies durchzusetzen, wurden die E-Mail-Adressen der gesperrten (ehemaligen) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugriff zu verhindern.
Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist anhand einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis lautete: “Basierend auf den vorliegenden Informationen konnte meine Behörde – unter Berücksichtigung der verschiedenen Interessen und betroffenen Rechte – keinen Verstoß gegen den Datenschutz feststellen.”
Zulässigkeit des “Hausverbots”
Die Behörde betrachtete das virtuelle Hausverbot grundsätzlich als zulässig. Sie verwies dabei unter anderem auf die Rechtsprechung des Bundesgerichtshofs. Der Betreiber hatte in den Nutzungsbedingungen das Recht festgelegt, den Zugang des Nutzers zeitweise oder dauerhaft zu sperren, insbesondere bei Verstößen gegen diese Bedingungen. Dies spielte eine Rolle im Hinblick auf das Merkmal der “vernünftigen Erwartungen” der Betroffenen gemäß Erwägungsgrund 47 der DSGVO. Um das Hausverbot durchzusetzen, war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des ehemaligen Mitglieds, zum Beispiel in einer Blacklist, gespeichert blieben. Andernfalls wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Darüber hinaus informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Die Behörde führt abschließend an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf der Blacklist dauerhaft zu speichern.
Zusätzlich könnte als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO in Betracht gezogen werden, nämlich die Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vorherigen Vertragsverhältnisses. In diesem Zusammenhang könnte die Frage der Erforderlichkeit aufkommen, die sicherlich vom Einzelfall abhängt (z.B. Inhalt des Vertrages und der Allgemeinen Geschäftsbedingungen, Möglichkeit des Unternehmens, sich auf die Vertragsfreiheit zu berufen).
Fazit
Für die Praxis lassen sich folgende Erkenntnisse ableiten:
- Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig.
- Betroffene sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und welche Konsequenzen es hat.
- Es dürfen nur die Daten gespeichert werden, die tatsächlich zur Durchsetzung erforderlich sind.
16. Juni 2023
Am 26. Mai 2023 wurde das Pflegeuntestützungs- und entlastungsgesetz (PUEG) in dritter Lesung verabschiedet. Es wird ab dem 1. Juli 2023 mit der Veröffentlichung im Bundesgesetzblatt wirksam. Durch dieses Gesetz erfolgt eine umfassende Reform der gesetzlichen Pflegeversicherung.
Was ändert sich gesetzlich?
Ab dem 1. Juli 2023 wird der Regelbeitragssatz der Pflegeversicherung von 3,05 Prozent auf 3,4 Prozent angehoben. Das Urteil des Bundesverfassungsgerichts vom 7. April 2022 (1 BvL 3/18) führt dazu, dass die Anzahl der Kinder bei den Beitragssätzen stärker berücksichtigt wird. Kinderlose Mitglieder zahlen einen Beitragssatz von 4 Prozent, während Eltern in der Regel 0,6 Prozentpunkte weniger zahlen. Für Mitglieder mit mehreren Kindern unter 25 Jahren ermäßigt sich der Beitragssatz zusätzlich um 0,25 Prozentpunkte je Kind.
Ab dem 1. Januar 2024 werden das Pflegegeld und die ambulanten Sachleistungsbeträge um jeweils fünf Prozent erhöht. Der Anspruch auf das Pflegeunterstützungsgeld wird ausgeweitet und kann bis zu zehn Arbeitstage pro Kalenderjahr für die Pflege eines nahen Angehörigen in Anspruch genommen werden.
Was ändert sich für den Datenschutz?
Die Gesetzesänderung hat einige Auswirkungen auf Arbeitgeber. Ab dem 1. Juli 2023 müssen Sie als Arbeitgeber sicherstellen, dass die neuen Regelungen zur gesetzlichen Pflegeversicherung für Ihre aktiven Mitarbeiter umgesetzt werden. Gemäß § 55 Abs. 3 Satz 6 SGB XI-E müssen Sie die Elterneigenschaft und die Anzahl der Kinder unter 25 Jahren gegenüber der beitragsabführenden Stelle nachweisen.
Als Nachweis können beispielsweise Geburtsurkunden, Vaterschaftsanerkennungen, Abstammungsurkunden, steuerliche Lebensbescheinigungen des Einwohnermeldeamtes, Bestätigungen des Pflegekindschaftsverhältnisses durch die zuständige Behörde oder Adoptionsurkunden dienen. Als Arbeitgeber müssen Sie daher zusätzlich zu den bereits vorhandenen personenbezogenen Daten Ihrer Arbeitnehmer weitere personenbezogene Daten von Kindern erheben, speichern und gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verarbeiten.
So kann der Nachweis datenschutzkonform gefasst werden
- Die digitale Meldemöglichkeit
Bis zum 1. Juli 2023 gibt es noch kein effizientes digitales Verfahren zur Erhebung und Überprüfung der Kinderzahl, das als Arbeitgeber unterstützt und auf DSGVO-Konformität geprüft wurde. Die Einführung eines solchen Verfahrens ist jedoch bis zum 31. März 2025 geplant.
- Die analoge Meldemöglichkeit
Der Nachweis der Elterneigenschaft kann dem Arbeitgeber analog, z.B. in Papierform, übermittelt werden. Dabei ist Vorsicht geboten, da ab Juli 2023 mit einer Flut von Unterlagen mit personenbezogenen Daten von Kindern zu rechnen ist. Aus datenschutzrechtlichen Gründen sollte auf das Versenden von bspw. Geburtsurkunden per E-Mail verzichtet werden. Es empfiehlt sich, die Nachweise per Post oder persönlich zu übergeben. Falls eine E-Mail-Übermittlung doch erforderlich ist, sollten die Dokumente verschlüsselt oder in einer verschlüsselten Zip-Datei übertragen werden. Es empfiehlt sich also, einen sicheren Übermittlungsweg im Unternehmen zu etablieren.
- Meldung via Selbsterklärung
Für den Zeitraum vom 1. Juli 2023 bis zum 30. Juli 2025 genügt es, wenn der Arbeitnehmer den Nachweis der Kinder durch eine Selbstauskunft erbringt. Auf Anforderung des Arbeitgebers muss der Arbeitnehmer Informationen über die für die Auskunft relevanten Kinder angeben.
Fazit
Informieren Sie Ihre Mitarbeiter rechtzeitig über die Änderungen zum 1. Juli 2023. Achten Sie darauf, dass Nachweise sicher aufbewahrt werden und nicht durch Ihre Mitarbeiter über unsichere Chatanbieter oder bestenfalls auch nicht per E-Mails übermittelt werden. Wählen Sie eine datenschutzkonforme Meldemöglichkeit, entweder analog oder per Selbstauskunft. Denken Sie daran, dass es sich um sensible Nachweise handelt und entwickeln Sie einen DSGVO-konformen Meldeweg. Gerne unterstützen wir Sie bei diesem Prozess.
Pages: 1 2 ... 14 15 16 17 18 ... 274 275 
