Kategorie: Allgemein
9. Juni 2023
Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.
Der Fall
Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.
Die Vorlagefragen an den EuGH:
Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.
Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.
Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.
Entscheidung des EuGH
Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.
Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.
Fazit
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.
31. Mai 2023
Am 17. März 2023 wurde eine überarbeitete Version des Hinweisgeberschutzgesetzes (HinSchG) erneut im Bundestag behandelt. Da eine Zustimmung des Bundesrates immer noch fraglich war, wurde der Entwurf nicht weiterverfolgt und der Vermittlungsausschuss eingeschaltet. Am 9. Mai 2023 haben sich Vertreter des Bundestages und Bundesrates im Vermittlungsausschuss auf Änderungen am HinSchG geeinigt. Das Gesetzgebungsverfahren wurde dann schnell abgeschlossen. Der Bundestag verabschiedete das Gesetz am 11. Mai 2023 mit den Änderungsvorschlägen des Vermittlungsausschusses und der Bundesrat stimmte dem Gesetzesentwurf am 12. Mai 2023 zu. Mit der Zustimmung des Bundesrates ist das parlamentarische Verfahren abgeschlossen. Das Gesetz kann nun dem Bundespräsidenten zur Unterzeichnung vorgelegt und im Bundesgesetzblatt verkündet werden. Es wird voraussichtlich Mitte Juni 2023 in Kraft treten.
Kompromiss im Vermittlungsausschuss
Der Vermittlungsausschuss hat Änderungen vorgenommen, darunter eine Beschränkung auf den beruflichen Kontext, einen Kompromiss bezüglich anonymer Meldungen und niedrigere Bußgelder mit einer Übergangsfrist von sechs Monaten. Falsche Meldungen können jedoch Konsequenzen haben, und in Fällen vorsätzlicher oder grob fahrlässiger Weitergabe unrichtiger Informationen ist die hinweisgebende Person zum Schadensersatz verpflichtet.
Wesentliche Inhalte des Hinweisgeberschutzgesetzes
Das HinSchG zielt darauf ab, den Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen. Es enthält Regelungen zum Schutz von Hinweisgebern, zur Beweislastumkehr für Arbeitgeber und zur Verhinderung von Benachteiligungen oder Repressalien gegenüber Hinweisgebern. Das Gesetz gilt sowohl für Hinweisgeber als auch für Personen, die sie unterstützen, sowie für Personen, die Gegenstand einer Meldung sind oder von einer Meldung betroffen werden.
Das Hinweisgeberschutzgesetz umfasst verschiedene Rechtsgebiete, in denen Hinweisgeber Verstöße melden können. Dazu gehören Strafvorschriften nach deutschem Recht, bußgeldbewehrte Verstöße, die dem Schutz von Leben, Leib, Gesundheit oder den Rechten von Beschäftigten dienen, sowie Verstöße gegen Rechtsnormen zur Umsetzung europäischer Regelungen. Letztere umfassen eine Vielzahl von Bereichen wie Geldwäschebekämpfung, Produktsicherheit, Umweltschutz, Datenschutz und Rechnungslegung bei Kapitalgesellschaften.
Wahl zwischen “interner” und “externer” Meldestelle
Hinweisgeber haben die Wahl, sich entweder an eine interne Meldestelle im Unternehmen oder an eine externe Meldestelle bei den Behörden zu wenden. In Fällen, in denen intern effektiv gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind, wird empfohlen, die Meldung an eine interne Meldestelle vorzuziehen.
Schutzbereich des HinSchG
Das HinSchG umfasst eine breite Palette von Unternehmen und Organisationen. Dazu gehören juristische Personen des Privatrechts wie eingetragene Vereine, eingetragene Genossenschaften, Aktiengesellschaften, Kommanditgesellschaften auf Aktien, Gesellschaften mit beschränkter Haftung und Stiftungen des Privatrechts. Auch juristische Personen des öffentlichen Rechts, wie Gebietskörperschaften, Personalkörperschaften und Verbandskörperschaften auf Bundes- und Landesebene, sowie rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen werden erfasst.
Darüber hinaus werden Anstalten wie die Landesrundfunkanstalten, öffentlich-rechtliche Stiftungen, die evangelische und katholische Kirche mit ihren Kirchengemeinden sowie sonstige religiöse Gemeinschaften und Religionsgemeinschaften ebenfalls vom HinSchG erfasst.
Die Verpflichtung zur Einrichtung einer internen Meldestelle gilt für Beschäftigungsgeber mit mehr als 250 Mitarbeitenden ab Mitte Juni 2023. Für kleinere Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden gilt die Verpflichtung ab dem 17. Dezember 2023. Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.
Die internen Meldestellen müssen bestimmte Anforderungen erfüllen. Die Meldekanäle müssen so gestaltet sein, dass nur befugte Personen Zugriff auf die Meldungen haben. Es müssen sowohl mündliche als auch schriftliche Meldungen möglich sein, und auf Wunsch der hinweisgebenden Person muss eine persönliche Zusammenkunft mit der Meldestelle ermöglicht werden.
Der Schutz der Vertraulichkeit der Identität der hinweisgebenden Person ist von großer Bedeutung. Die Identität sollte grundsätzlich nur den zuständigen Personen der Meldestelle bekannt sein und nur in Ausnahmefällen, z.B. in Strafverfahren auf Anforderung der Strafverfolgungsbehörden, offengelegt werden.
Die mit den Aufgaben der internen Meldestelle betrauten Personen müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Die genaue Bedeutung des Begriffs “Fachkunde” wird vom Gesetzgeber nicht näher erläutert.
Für kleinere oder mittlere Unternehmen kann es effizienter sein, eine erfahrene externe Ombudsperson mit der Entgegennahme und ersten Bearbeitung von Hinweisen zu beauftragen. Der Gesetzgeber nennt externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter als mögliche Dritte, die eine interne Meldestelle betreiben können.
Umgang mit anonymen Hinweisen
Der umstrittenste Bereich des Hinweisgeberschutzgesetzes bezieht sich auf den Umgang mit anonymen Hinweisen. Gemäß § 16 HinSchG besteht keine Verpflichtung zur Entgegennahme anonymer Meldungen, sondern lediglich eine “soll”-Regelung. Unternehmen, die eine Zertifizierung nach den ISO-Normen 37301 und 37001 anstreben, müssen jedoch die Möglichkeit zur Bearbeitung anonymer Hinweise in ihrem Hinweisgeberverfahren ermöglichen.
Das Verfahren bei internen Meldungen
Für interne Meldungen gelten gemäß § 17 HinSchG bestimmte Verfahrensregeln. Diese umfassen die Bestätigung des Eingangs an die hinweisgebende Person innerhalb von sieben Tagen, die Prüfung des gemeldeten Verstoßes, die Kontaktaufnahme mit der hinweisgebenden Person für weitere Informationen, die Prüfung der Stichhaltigkeit der Meldung, die Ergreifung angemessener Folgemaßnahmen und die Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten. Die Rückmeldung sollte geplante und bereits ergriffene Folgemaßnahmen sowie die entsprechenden Gründe enthalten. Dabei ist darauf zu achten, dass die Rechte der betroffenen Personen nicht beeinträchtigt und interne Nachforschungen oder Ermittlungen nicht gefährdet werden. Die Hinweise müssen vertraulich behandelt und für eine angemessene Zeit dokumentiert werden.
Die Einrichtung interner und kostengünstiger Meldekanäle kann gegen das Vertraulichkeitsgebot des HinSchG verstoßen. Eine interne E-Mail-Adresse oder Telefonnummer ermöglicht möglicherweise unbefugtem Personal Zugriff auf die Meldungen, was dem Gesetz widerspricht. Daher bleiben als Optionen die Einrichtung eines IT-gestützten Systems oder die Entgegennahme telefonischer Hinweise über eine externe Nummer mit unterdrückter Rufnummer des Anrufers.
Schadensersatz, Sanktionen und Bußgelder bei Verstoß gegen das HinSchG
Um den Schaden einer absichtlichen oder grob fahrlässigen Falschmeldung zu begrenzen, ist die Person, die den Hinweis gibt, verpflichtet, den entstandenen Schaden zu erstatten. Verstöße gegen die wesentlichen Bestimmungen des HinSchG können mit Geldbußen geahndet werden. Dies betrifft insbesondere Unternehmen, die keine interne Meldestelle einrichten, Meldungen behindern oder Repressalien gegen den Hinweisgeber ergreifen. Die Bußgelder für Verstöße gegen die Pflicht zur Einrichtung einer internen Meldestelle treten jedoch erst sechs Monate nach Veröffentlichung des HinSchG in Kraft. Das bewusste Offenlegen falscher Informationen wird ebenfalls mit Bußgeldern belegt.
Hinweisgeber- und Datenschutz
Die deutschen Datenschutzbehörden sind der Ansicht, dass die Einrichtung und Nutzung interner Meldewege durch Unternehmen “datenschutzgerecht” erfolgen kann, wobei besondere Rücksicht auf den Zweck des Unternehmens und die Modalitäten der Einrichtung genommen werden sollte. Da die Meldung von Missständen nach Ansicht der Datenschutzbehörden ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich. Weitere Informationen dazu finden sich in der “Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz”.
Die Kosten für die Entwicklung einer internen Lösung, die allen gesetzlichen Anforderungen gerecht wird, sind erheblich, daher liegt es nahe, einen externen Anbieter zu nutzen. Bei der Auswahl eines externen Anbieters sollten jedoch insbesondere die Anforderungen an die getrennte Datenverarbeitung für größere Tochtergesellschaften und die Anforderungen der Datenschutzbehörden beachtet werden. Das KINAST Whistleblowing Hinweisgebersystem ist unsere Lösung für Unternehmen, die ein rechtskonformes Meldesystem bereitstellen und zum eigenen Vorteil nutzen möchten.
Fazit
Unternehmen und Organisationen, die zur Einrichtung einer internen Meldestelle verpflichtet sind, sollten sich rechtzeitig auf die Umsetzung vorbereiten. Es ist zu bedenken, dass viele Unternehmen und Behörden betroffen sein werden und die Nachfrage nach IT-gestützten Hinweisgebersystemen mit der Einführung des Gesetzes deutlich steigen wird.
Wir liefern Ihnen die komplette technische und rechtliche Umsetzung, d.h. Einrichtung und Betrieb des Meldesystems. Und wir unterstützen sie bei der Kommunikation des Hinweisgebersystems in Ihrer Organisation. Wir handhaben alles, Sie haben nur minimalen Aufwand im Fall einer begründeten Meldung.
22. Mai 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) tagte am 10. und 11. Mai 2023 unter der Leitung von Dr. h. c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Im Zentrum der intensiven Diskussionen standen aktuelle datenschutzpolitische Themen.
Schwerpunkte der Tagung
Urteil des EuGH zum Beschäftigtendatenschutz
Ein neues Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) erfordert Anpassungen in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz. Die Datenschutzkonferenz betont die Notwendigkeit einer Überarbeitung und erneuert ihre Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz.
Die BVerfG-Entscheidung zur polizeilichen Datenanalyse
Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz festgelegt (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, den gesetzgeberischen Handlungsbedarf aufgrund der Entscheidungen des Bundesverfassungsgerichts zu prüfen. Falls der Einsatz komplexer Datenanalysemethoden als notwendig erachtet wird, müssen klare rechtliche Grundlagen und angemessene Rahmenbedingungen geschaffen werden, um den Grundrechtsschutz der betroffenen Personen zu gewährleisten. Die bestehenden gesetzlichen Bestimmungen sind in der Praxis verfassungskonform anzuwenden.
Smart Meter
Während der flächendeckende Einsatz von Smart Metern zur Erfassung von Strom- und Wärmeverbrauch gesetzlich geregelt ist, fehlt eine vergleichbare Regelung für funkbasierte Kaltwasserzähler bisher. Die von diesen Zählern aus der Ferne abrufbaren Verbrauchsdaten ermöglichen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner. Die Datenschutzkonferenz betrachtet die Einführung einheitlicher Regelungen als dringend erforderlich, in denen konkrete Zwecke, Datenumfang, Abrufhäufigkeit und Löschfristen festgelegt werden. Darüber hinaus müssen technische und organisatorische Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik für den Einsatz von Kaltwasserzählern getroffen werden.
Positionspapier zum Cloud-Einsatz
Die Datenschutzkonferenz bringt mit ihrem Positionspapier “Kriterien für Souveräne Clouds” ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen darauf ab, die digitale Souveränität sowohl der Cloud-Anbieter als auch der Cloud-Nutzer zu gewährleisten, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Souveräne Clouds müssen den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen Aspekte wie “Transparenz zur Nachvollziehbarkeit”, “Datenhoheit und Kontrollierbarkeit”, “Offenheit”, “Vorhersehbarkeit und Verlässlichkeit” sowie “Regelmäßige Überprüfung der aufgestellten Kriterien”.
Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/ veröffentlicht.
15. Mai 2023
Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.
Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.
Erhebliche Bedenken
Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.
Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.
Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.
Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.
Fazit
Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.
12. Mai 2023
Am 11. Mai 2023 hat der Bundestag das Hinweisgeberschutzgesetz (HinSchG) verabschiedet, das die EU-Richtlinie zum Schutz von Hinweisgebern in Unternehmen und Behörden umsetzt. Der Bundesrat hat das Gesetz einstimmig angenommen und es kann nun in Kraft treten. Das Gesetz bietet einen besseren Schutz für Hinweisgeber, die Missstände und Gesetzesverstöße melden, indem es Meldestellen einführt und Maßnahmen gegen Repressalien vorsieht.
Vorgeschichte
Die EU-Richtlinie (EU 2019/1937) zur Stärkung des Schutzes von Hinweisgebern hätte in Deutschland eigentlich bis zum 17. Dezember 2021 umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 Deutschland zur Umsetzung der Richtlinie aufgefordert hatte, reichte sie im Februar 2023 Klage beim Europäischen Gerichtshof gegen Deutschland und sieben weitere Mitgliedsstaaten ein.
Der Bundestag hatte den Entwurf der Bundesregierung am 16. Dezember in einer vom Rechtsausschuss geänderten Fassung beschlossen. Jedoch konnte der zustimmungspflichtige Gesetzentwurf im Bundesrat am 10. Februar 2023 keine Mehrheit erzielen. Als Lösung rief die Bundesregierung schließlich den Vermittlungsausschuss im April an, der eine Einigung erzielen konnte.
Inhalt und Anwendungsbereich
Die Whistleblowing-Richtlinie der EU und das Hinweisgeberschutzgesetz verpflichten alle öffentlichen und privaten Unternehmen ab einer Größe von 50 Mitarbeitern, rechtskonforme Hinweisgebersysteme für Whistleblower einzurichten:
- Spätestens bis zum 17. Dezember 2023, sind auch Unternehmen mit einer Beschäftigtenzahl zwischen 50 und 249 verpflichtet, ein Hinweisgebersystem bereitzustellen.
- Unabhängig von der Beschäftigtenzahl werden Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger und Kredit- und Finanzdienstleistungsinstitute nach den Vorgaben des HinSchG verpflichtet, eine interne Meldestelle für Whistleblower einzurichten.
- Das Gesetz sieht vor, dass Whistleblower die Möglichkeit haben, Hinweise mündlich, schriftlich oder persönlich abzugeben.
- Die Meldestelle muss den Hinweis innerhalb von sieben Tagen bestätigen und den Whistleblower innerhalb von drei Monaten über die ergriffenen Maßnahmen informieren.
Die wichtigsten Änderungen des Vermittlungsausschusses:
- Die Pflicht zur Einrichtung anonymer Meldekanäle wird gestrichen.
- Das Gesetz nennt keine Pflicht zur Abgabe anonymer Meldungen. Stattdessen wird nur festgelegt, dass die Meldestellen auch anonyme Meldungen bearbeiten „sollten“.
- Der immaterielle Schadensersatz wird gestrichen.
- Die Beweislastumkehr bleibt erhalten, jedoch gilt die Vermutung einer Repressalie nur, wenn sie von der hinweisgebenden Person selbst geltend gemacht wird.
- Die Höhe der Bußgelder für Verstöße gegen das Gesetz wird auf 50.000 Euro reduziert.
Wir beraten Sie gerne
Ein solches Hinweisgebersystem können wir Ihnen als vollständig extern betreute Lösung anbieten. Unser KINAST Hinweisgebersystem ist auf die vollumfängliche Erfüllung der gesetzlichen Pflichten und Anforderungen zum Hinweisgeberschutz zugeschnitten, die sich aus der EU-Whistleblower-Richtlinie und dem Hinweisgeberschutzgesetz (Deutschland und Österreich) ergeben. Wir garantieren dabei höchste Vertraulichkeit.
Die genauen Vorteile der Nutzung unseres Services haben wir hier für Sie zusammengefasst:
https://www.kinast.eu/whistleblowing-hinweisgebersystem/
Gerne stehen wir Ihnen für Rückfragen zur Verfügung und unterbreiten Ihnen ein individuelles Angebot.
8. Mai 2023
Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).
Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).
Die Hintergründe
Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.
Keine unrechtmäßige Verarbeitung
Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.
Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.
Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.
Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.
Fazit
Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.
Wenn man sich mit dem Thema Datenschutz auseinandersetzt, kommt man irgendwann auf die Frage, wann bestimmte Daten gelöscht werden müssen. Es ist allgemein bekannt, dass die langfristige Aufbewahrung von personenbezogenen Daten Konsequenzen haben kann. Aber ist es auch möglich, dass eine vorzeitige Löschung die Rechte der betroffenen Person verletzt?
Alte Dokumenten vor Nachfrage gelöscht
Ein Bankkunde wandte sich an die Aufsichtsbehörde, nachdem er von der Bank keinen Nachweis über eine vorübergehende Kontovollmacht erhalten hatte. Die Bank hatte die entsprechenden Unterlagen aufgrund von Aufbewahrungsfristen gelöscht. Der Kunde beschwerte sich darüber, dass die Bank ihre Aufbewahrungspflichten verletzt hatte, indem sie den Vollmachtsnachweis gelöscht hatte. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigte sich mit diesem Fall und berichtet darüber in seinem Tätigkeitsbericht aus dem Jahr 2022 (S. 95).
Rechtsgrundlagen für vorzeitiges Löschen?
Gemäß Artikel 17 der Datenschutz-Grundverordnung (DSGVO) kann auch eine Bank dazu verpflichtet sein, personenbezogene Daten zu löschen, wenn dies von der betroffenen Person verlangt wird. Das Recht auf Löschung muss jedoch auch unter Berücksichtigung von Art. 17 Abs. 3 DSGVO betrachtet werden, der besagt, dass das Recht auf Löschung nicht besteht, wenn die Verarbeitung der Daten aus anderen, wichtigeren Gründen erforderlich ist, wie z. B.
• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Banken sind gesetzlich verpflichtet, bestimmte Daten für einen bestimmten Zeitraum gemäß § 257 des Handelsgesetzbuchs und § 147 der Abgabenordnung aufzubewahren. Solange diese Aufbewahrungsfristen noch nicht abgelaufen sind, darf die Bank die Daten nicht freiwillig löschen.
Berechtigtes Interesse des Verantwortlichen
Falls die Bank nicht gemäß Art. 17 DSGVO verpflichtet ist, personenbezogene Daten zu löschen, kann sie möglicherweise gemäß Artikel 6 Abs. 1 lit. f DSGVO eine (freiwillige) Löschung in Betracht ziehen. Gemäß dieser Bestimmung ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn sie erforderlich ist, um die berechtigten Interessen des Verantwortlichen oder eines Dritten zu wahren und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Um die Daten vorzeitig löschen zu können, müsste die Bank ein berechtigtes Interesse an der Löschung haben. Allerdings besteht ein solches Interesse nicht, wenn die Unterlagen aufbewahrungspflichtig sind und die Aufbewahrungsfristen noch nicht abgelaufen sind.
Im konkreten Fall kam der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu dem Schluss, dass sowohl die Über- als auch die Unterschreitung der gesetzlichen Aufbewahrungsfristen gegen die DSGVO verstoßen hat. Er überlegte daraufhin, ob dieser Verstoß im Rahmen einer Betroffenenbeschwerde gemäß Art. 77 Abs. 1 DSGVO angegriffen werden kann. Denn der Anwendungsbereich dieser Bestimmung wird durch EG 141 Satz 1 Var. 1 dahingehend eingeschränkt, dass der Betroffene in seinen Rechten aus der DSGVO verletzt sein muss.
Kann zu frühes Löschen eine Rechtsverletzung sein?
Um beurteilen zu können, ob eine vorzeitige Löschung von Daten eine Verletzung der Rechte des Betroffenen darstellt, muss man zunächst den Schutzzweck der gesetzlichen Aufbewahrungsfristen betrachten. Diese Bestimmungen dienen in erster Linie dem Schutz der ordnungsgemäßen Buchführung, die als grundlegende Voraussetzung für eine ordnungsgemäße Wirtschaftsführung gilt. Die Buchführungspflicht gemäß § 238 Abs. 1 S. 1 HGB verpflichtet die Bank als Kaufmann im handelsrechtlichen Sinn dazu, Bücher zu führen und ihre Handelsgeschäfte sowie die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung darzustellen. Ziel ist dabei der Schutz des Wirtschaftsverkehrs. Darüber hinaus soll die Aufbewahrung von Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Die Aufbewahrungspflichten dienen jedoch nicht den möglichen Beweisführungsinteressen der Bankkunden. Daher ist eine vorzeitige Löschung von Daten in diesem Zusammenhang keine Verletzung der Datenschutzrechte der betroffenen Person.
Nach Ablauf der Aufbewahrungspflichten
Der Datenschutz-Beauftragte von Baden-Württemberg stellt fest, dass eine betroffene Person nur bei einer Überschreitung von handels- und steuerrechtlichen Aufbewahrungspflichten eine Beschwerdebefugnis hat, nicht jedoch bei deren Unterschreitung. Obwohl dies für die betroffene Person unzufriedenstellend ist, zeigt der Fall, dass Verantwortliche für die Datenverarbeitung sich über den Sinn und Zweck von geltenden Pflichten und Fristen Gedanken machen sollten. Es stellt sich die Frage, wie im Unternehmen verfahren werden soll, wenn Aufbewahrungsfristen abgelaufen sind oder eine betroffene Person die Löschung ihrer Unterlagen verlangt. Dazu müssen Fragen wie der Löschprozess, die Art der Datenlöschung (Vernichtung oder Anonymisierung), und die Überwachung und Verantwortung geklärt werden. Eine mögliche Lösung ist die Dokumentation in einem Löschkonzept, das als Leitfaden für die Umsetzung im Unternehmen dient.
4. Mai 2023
Der Europäische Gerichtshof (EuGH) urteilte am 04.05.2023 über eine wichtige Grundsatzfrage zum Schadensersatzanspruch (Rechtssache C-300/21). Dabei ging es insbesondere um die Frage, unter welchen Umständen es bei Verstößen gegen den Datenschutz zu Schadensersatzforderungen kommen kann.
Vorgeschichte
Im Jahr 2017 hatte die Österreichische Post begonnen, Informationen über die politischen Präferenzen der österreichischen Bevölkerung zu sammeln. Mithilfe eines Algorithmus wurden aus verschiedenen sozialen und demografischen Merkmalen “Zielgruppenadressen” definiert, die dann an verschiedene Organisationen verkauft wurden, um ihnen gezielte Werbung zu ermöglichen. Dabei wurden Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, welcher politischen Partei ihre Kunden nahestanden. Mehr als zwei Millionen Österreicher waren von diesem Vorfall betroffen.
Der Kläger, der nicht der Verarbeitung seiner personenbezogenen Daten zugestimmt hatte, fühlte sich beleidigt, als die Österreichische Post aufgrund ihrer Datenverarbeitung eine hohe Affinität zu einer bestimmten politischen Partei bei ihm feststellte. Er reichte Klage gegen die Österreichische Post ein, um die Verarbeitung seiner Daten zu stoppen und eine Entschädigung für den immateriellen Schaden zu erhalten, den er erlitten hatte. Das Landesgericht für Zivilrechtssachen Wien gab ihm in Bezug auf die Verarbeitung seiner Daten Recht, lehnte jedoch sein Schadenersatzbegehren ab.
Das Oberlandesgericht Wien bestätigte das erstinstanzliche Urteil und verwies auf die Vorschriften der DSGVO in Bezug auf die zivilrechtliche Haftung. Es stellte fest, dass ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden führe und nur dann einen Schadenersatzanspruch begründete, wenn ein solcher Schaden eine “Erheblichkeitsschwelle” erreiche. In diesem Fall sah das Gericht keine Erheblichkeitsschwelle überschritten.
Vorlage an den EuGH
Der Oberste Gerichtshof Österreichs bestätigte die Entscheidung des Landesgerichts in Bezug auf die Unterlassungsverpflichtung der Österreichischen Post, gab jedoch dem Schadenersatzbegehren des Klägers vorerst nicht statt. Das Verfahren wurde ausgesetzt und der Gerichtshof bat nun den EuGH um Klärung der folgenden Fragen:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Schadenersatzanspruch setzt Verstoß, Schaden und Kausalzusammenhang voraus
Der EuGH stellte klar, dass die Begriffe der DSGVO für die Anwendung der Verordnung als autonome Begriffe des Unionsrechts anzusehen seien, die in allen Mitgliedstaaten einheitlich auszulegen sind. Der Wortlaut von Art. 82 Abs. 1 DSGVO zeige, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Schadenersatzanspruch sei, zusammen mit einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Eine Auslegung, dass jeder Verstoß gegen die DSGVO automatisch den Schadenersatzanspruch eröffnet, würde dem Wortlaut von Art. 82 Abs. 1 DSGVO widersprechen. Dies werde auch durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfüge, sowie durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO.
Modalitäten müssen Äquivalenz- und Effektivitätsgrundsatz entsprechen
Das Urteil kommt zu dem Ergebnis, dass es mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats sei, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen. Dies setze allerdings voraus, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Darüber hinaus dürften sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Es sei somit Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet werde, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Im Übrigen sei eine auf Artikel DSGVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermögliche, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen.
Keine Erheblichkeitsschwelle für immaterielle Schäden
Das Gericht bejaht die Frage, ob nationale Regelungen oder Praktiken, die den Ersatz eines immateriellen Schadens von einer bestimmten Erheblichkeit abhängig machen, mit Art. 82 Abs. 1 DSGVO unvereinbar sind. Die DSGVO definiere den Begriff “Schaden” nicht und lege keine Erheblichkeitsschwelle fest. Die Definition des Begriffs “Schaden” sollte den Zielen der DSGVO in vollem Umfang entsprechen. Eine Erheblichkeitsschwelle würde die Kohärenz der DSGVO beeinträchtigen, da sie je nach Beurteilung durch die Gerichte unterschiedlich hoch ausfallen könnte. Allerdings sei eine betroffene Person weiterhin verpflichtet, nachzuweisen, dass sie einen immateriellen Schaden erlitten habe.
Fazit
Das Urteil aus Luxemburg hat mehrere wichtige Aspekte der Datenschutz-Grundverordnung (DSGVO) beleuchtet. Zunächst betont das Gericht, dass das Recht auf Entschädigung gemäß der DSGVO drei kumulative Bedingungen unterliegt: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden infolge dieses Verstoßes und ein kausaler Zusammenhang zwischen dem Schaden und dem Verstoß. Daher führt ein bloßer Verstoß gegen die DSGVO nicht automatisch zu einem Entschädigungsanspruch. Diese Interpretation entspricht der Formulierung und den Erwägungsgründen der DSGVO.
Zweitens hat das Gericht klargestellt, dass keine Anforderung besteht, dass der erlittene immaterielle Schaden einen bestimmten Schweregrad erreichen muss, um ein Recht auf Entschädigung zu begründen. Dies bedeutet, dass jeder Art von immateriellem Schaden, unabhängig von seiner Schwere, potenziell zu einer Entschädigung führen kann, wenn die anderen beiden Bedingungen erfüllt sind.
Die Entscheidung des Gerichts ist bedeutend, da sie bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt. Es erkennt auch die breite Auffassung zum “Schaden” an, die von der EU-Gesetzgebung übernommen wurde, zu der jegliche Art von Schaden gehört, den eine Person erleidet. Das Gericht betonte jedoch auch, dass die DSGVO keine spezifischen Regeln zur Bewertung von Schäden enthält und es den Rechtsordnungen der einzelnen Mitgliedstaaten überlassen bleibt, den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen. Solange die Grundsätze der Gleichwertigkeit und Wirksamkeit eingehalten werden, sind die Mitgliedstaaten frei, die detaillierten Regeln für Maßnahmen zur Sicherung der Rechte festzulegen, die Einzelpersonen aus der DSGVO ableiten, und insbesondere die Kriterien zur Bestimmung des Umfangs der in diesem Zusammenhang zu zahlenden Entschädigung.
Insgesamt unterstreicht dieser Gerichtsbeschluss die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen und der Gewährleistung wirksamer Abhilfemaßnahmen für jeglichen Schaden, der als Folge rechtswidriger Verarbeitung personenbezogener Daten erlitten wurde. Er hebt auch die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge von DSGVO-Verstößen schaffen.
3. Mai 2023
Der European Data Protection Board (EDPB) veröffentlichte einen neuen Leitfaden, dessen Inhalt die Umsetzung datenschutzrechtlicher Vorgaben in kleinen und mittleren Unternehmen ist. Neben allgemeinen Grundlagen zum Datenschutz, geht es u.a. auch um Themen wie der Umgang mit Betroffenenrechten und einem Datenschutzvorfall.
Videos, praktische Beispiele und Infographiken
Nach der Empfehlung 2003/361/EG ist ein kleines oder mittleres Unternehmen nach der Mitarbeiteranzahl und dem Jahresumsatz zu bestimmen. Demnach handelt es sich um kleines Unternehmen, dass eine Beschäftigtenanzahl von bis zu 49 Mitarbeitern hat und einem Jahresumsatz von bis zu 10 Millionen Euro erwirtschaftet. Für ein mittleres Unternehmen bedarf es einer Mitarbeiteranzahl von bis zu 249 Personen und einem Jahresumsatz bis zu 50 Millionen Euro.
Aus Sicht des EBPB sei es erforderlich kleine und mittlere Unternehmen über die Funktion der Datenschutz-Grundverordnung (DSGVO) zu informieren. Die EDPB vermittelt ihren Leitfaden nicht einem bloßen Informationstext, sondern verwendet ebenso Videos, praktische Beispiele und Infographiken. Der Leitfaden ist eingeteilt in unterschiedliche Themenkomplexen, die mit einfach zu verstehenden Informationen beginnen und darüber hinaus komplexere Anwendungsbereiche der DSGVO aufgreifen.
Um die praktische Umsetzung zu garantieren, sind in dem Leitfaden auch Checklisten und Fragebögen enthalten. Demnach kann jedes Unternehmen mit Hilfe mehrerer Fragen herausfinden, ob es Datenschutz-Folgeabschätzung (DSFA) durchführen muss. Außerdem kann das betreffende Unternehmen über eine Checkliste prüfen, ob es ausreichende Sicherheitsstandards zum Schutz personenbezogener Daten getroffen hat.
Fazit
Der neue Leitfaden des EDPB behandelt grundsätzlich keine neuen Themen rund um die DSGVO. Allerdings ist er optisch sehr ansprechend gestaltet und kann seinem Publikum, unabhängig von dessen Kenntnisstand komplexe Inhalte vereinfacht erklären.
28. April 2023
Die US-Bundesstaaten Montana und Tennessee haben am 21. April umfassende Gesetzentwürfe zum Datenschutz verabschiedet. Damit sind sie neben Indiana und Iowa die jüngsten Bundestaaten, die in diesem Jahr umfassende Datenschutzgesetze verabschiedet haben.
Iowa Data Privacy Act (IDPA)
Nach Connecticut, Utah, Virginia, Colorado und Kalifornien war Iowa am 29. März der sechste Staat, der ein umfassendes Datenschutzgesetz verabschiedete. Das Gesetz wird am 1. Januar 2025 in Kraft treten, so dass Organisationen 21 Monate Zeit haben, die neuen Anforderungen zu erfüllen. Obwohl das Gesetz einige Ähnlichkeiten mit anderen staatlichen Datenschutzgesetzen aufweist, sollten Unternehmen auf die Unterschiede achten, wenn sie ihre Compliance-Bemühungen in den Vereinigten Staaten ausweiten.
Der Iowa Data Privacy Act (IDPA) gilt für Unternehmen, die in Iowa tätig sind oder sich mit ihren Produkten oder Dienstleistungen an Verbraucher in Iowa wenden und personenbezogene Daten von 100.000 oder mehr Verbrauchern in Iowa oder 25.000 oder mehr Verbrauchern in Iowa kontrollieren oder verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erzielen.Die IDPA-Definition des Begriffs “Verbraucher” umfasst natürliche Personen mit Wohnsitz in Iowa, die in einem persönlichen (nichtkommerziellen und nichtbeschäftigten) Kontext handeln, und schließt Mitarbeiter und B2B-Kontakte aus.
Der IDPA erlegt den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf. Dazu gehören beispielsweise die Beschränkung des Zwecks der Verarbeitung personenbezogener Daten, die Einführung angemessener Schutzmaßnahmen, den Verzicht auf Diskriminierung, transparente Datenschutzhinweise und die Sicherstellung, dass die Beziehungen zu den Auftragsverarbeitern vertraglich geregelt sind. Darüber hinaus erteilt es den Verbrauchern in Iowa das Recht auf Ablehnung, Löschung, Zugang, Widerspruch und Datenübertragbarkeit.
Zu den sensiblen personenbezogenen Daten gehören u. a. die rassische/ethnische Herkunft, religiöse Überzeugungen und Geolokalisierungsdaten. Die für die Verarbeitung Verantwortlichen müssen deutlich auf die Verarbeitung dieser Daten hinweisen und die Möglichkeit bieten, sich gegen eine Verarbeitung entscheiden zu können. Der Generalstaatsanwalt von Iowa hat die ausschließliche Durchsetzungsbefugnis und das Gesetz sieht kein privates Klagerecht vor.
Indiana Bill on Consumer data protection
Mit der Unterzeichnung der Senate Bill No. 5 durch Gouverneur Eric Holcomb wird Indiana der siebte Staat sein, der ein umfassendes Datenschutzgesetz verabschiedet. Das Gesetz tritt am 1. Januar 2026 in Kraft. Es ähnelt anderen staatlichen Datenschutzgesetzen wie dem Virginia Consumer Data Protection Act.
Das Datenschutzgesetz von Indiana gilt für Organisationen, die personenbezogene Daten von mindestens 100.000 Einwohnern Indianas oder 25.000 Einwohnern Indianas verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf personenbezogener Daten erzielen. Bestimmte Einrichtungen und Daten sind von dem Gesetz ausgenommen.
Das Gesetz verpflichtet die Unternehmen, den Verbrauchern klare und aussagekräftige Datenschutzhinweise zur Verfügung zu stellen und räumt den Verbrauchern das Recht ein, ihre personenbezogenen Daten zu bestätigen, auf sie zuzugreifen, sie zu korrigieren, zu löschen und zu übertragen. Darüber hinaus können Verbraucher auch der Verarbeitung ihrer personenbezogenen Daten für gezielte Werbung, den Verkauf personenbezogener Daten oder die Profilerstellung, die erhebliche Auswirkungen hat, widersprechen.
Es gibt kein privates Klagerecht und Unternehmen haben eine 30-tägige Frist zur Behebung angeblicher Verstöße.
Montana Consumer Data Privacy Act (MCDPA)
Nachdem der Montana Consumer Data Privacy Act (MCDPA) beide Häuser der Legislative von Montana bereits passierte, fehlt nun lediglich noch die Unterschrift von Gouverneur Greg Gianforte. Der MCDPA ähnelt den Gesetzen in Connecticut und Virginia, was darauf hindeutet, dass diese Modelle zunehmend die Grundlage für andere staatliche Datenschutzgesetze darstellen.
Das Gesetz gilt für Unternehmen, die in Montana geschäftlich tätig sind, personenbezogene Daten von 50.000 oder mehr Verbrauchern in Montana oder von 25.000 oder mehr Verbrauchern in Montana kontrollieren oder verarbeiten und gleichzeitig mehr als 25 % ihrer Bruttoeinnahmen aus dem Verkauf dieser Daten erwirtschaften.
“Verbraucher” ist definiert als eine natürliche Person mit Wohnsitz in Montana, die in einem persönlichen Kontext handelt. Personenbezogene Daten werden als Informationen definiert, die mit einer identifizierten oder identifizierbaren Person verknüpft sind oder vernünftigerweise verknüpft werden können. Zu den sensiblen Daten gehören Informationen über die Rasse/ethnische Herkunft, die Religion, die Gesundheitsdiagnose, das Sexualleben, die sexuelle Orientierung, die Staatsbürgerschaft, den Einwanderungsstatus und genetische oder biometrische Informationen einer Person. Betroffene Unternehmen müssen den Verbrauchern eine Reihe von Standardrechten zugestehen, darunter das Recht auf Ablehnung des Verkaufs personenbezogener Daten, das Recht auf Löschung, Zugang, Berichtigung und Widerspruch, das Recht auf Einwilligung in Werbung und gezieltes Marketing für Personen zwischen 13 und 16 Jahren sowie das Recht auf Datenübertragbarkeit.
Sensible Daten dürfen nicht verarbeitet werden, ohne dass die Zustimmung des Verbrauchers eingeholt wurde oder, im Falle von Kindern, die COPPA-Bestimmungen eingehalten wurden.
Des Weiteren verpflichtet der MCDPA die für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung personenbezogener Daten auf das vernünftigerweise notwendige und verhältnismäßige Maß zu beschränken, Maßnahmen zu ergreifen, um angemessene Sicherheitsvorkehrungen für die ihrer Kontrolle unterliegenden personenbezogenen Daten zu treffen, Verbraucher nicht zu diskriminieren, wenn sie ihre Rechte wahrnehmen, und in ihren Datenschutzhinweisen transparent zu sein. Der Generalstaatsanwalt von Montana hat die ausschließliche Durchsetzungsbefugnis und es gibt kein privates Klagerecht.
Das MCDPA wird am 1. Oktober 2024 in Kraft treten.
Tennessee Information Privacy Act (TIPA)
Sobald Gouverneur Bill Lee zustimmt, wird sich Tennessee mit der Einführung des Tennessee Information Privacy Act (TIPA) bald den Staaten mit umfassenden Datenschutzgesetzen anschließen. Das TIPA folgt weitgehend dem Modell des kalifornischen CCPA, allerdings mit einer Ausnahme.
Er gilt für Unternehmen, die in Tennessee tätig sind oder Produkte oder Dienstleistungen für Einwohner von Tennessee anbieten und personenbezogene Daten von mindestens 100.000 Verbrauchern oder 25.000 Verbrauchern verarbeiten und gleichzeitig mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.
Die Einhaltung der CCPA-Verpflichtungen wird wahrscheinlich zur Einhaltung des TIPA führen, vorbehaltlich der Verpflichtungen in Bezug auf das NIST Privacy Framework. Dieses verlangt von Unternehmen, dass sie Datenschutzrisiken identifizieren, kontrollieren, kommunizieren und Schutzmaßnahmen ergreifen. Die Nichteinhaltung des TIPA kann zu Strafen von bis zu 15.000 US-Dollar pro Verstoß führen, die vom Generalstaatsanwalt von Tennessee durchgesetzt werden.
Ausblick
So entscheiden sich zunehmend mehr Bundesstaaten für eigene Datenschutzgesetze, weitere Staaten werden mit Sicherheit folgen. Darüber hinaus gibt auch Pläne für speziellere Datenschutzgesetze. So gibt es beispielsweise Gesetzesvorschläge, die sich auf Kinder, soziale Medien (wie Utahs Social Media Regulation Act) und Gesundheitsinformationen, die nicht unter den HIPAA fallen (wie Washingtons My Health My Data Act), konzentrieren. Darüber hinaus gibt es auch weiterhin einen Gesetzesentwurf für ein umfassendes Datenschutzgesetz auf Bundesebene, dessen Verabschiedung zum jetzigen Zeitpunkt aber noch ungewiss ist.
Pages: 1 2 3 4 5 6 7 ... 198 199 
