Kategorie: Allgemein

EuGH entscheidet über Auskunftsanspruch

3. Juli 2023

Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.

Sachverhalt

Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.

Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.

Weiter Umfang des Art. 15 DSGVO

Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.

Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.

Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.

Einschränkungen

Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.

Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.

Fazit

Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.

EDSA veröffentlicht Musterformular für Beschwerden

26. Juni 2023

Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.

Inhalt des Formulares

Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.

Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.

Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.

Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.

 Fazit

Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:

 „Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”

Neue Leitlinien zur Bußgeld-Berechnung

19. Juni 2023

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.

Schwere des Verstoßes bestimmt Bußgeld

Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.

Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.

Fazit

Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.

Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.

Neues Pflegeunterstützungs- und entlastungsgesetz: Das ändert sich für Arbeitgeber

16. Juni 2023

Am 26. Mai 2023 wurde das Pflegeuntestützungs- und entlastungsgesetz (PUEG) in dritter Lesung verabschiedet. Es wird ab dem 1. Juli 2023 mit der Veröffentlichung im Bundesgesetzblatt wirksam. Durch dieses Gesetz erfolgt eine umfassende Reform der gesetzlichen Pflegeversicherung.

Was ändert sich gesetzlich? 

Ab dem 1. Juli 2023 wird der Regelbeitragssatz der Pflegeversicherung von 3,05 Prozent auf 3,4 Prozent angehoben. Das Urteil des Bundesverfassungsgerichts vom 7. April 2022 (1 BvL 3/18) führt dazu, dass die Anzahl der Kinder bei den Beitragssätzen stärker berücksichtigt wird. Kinderlose Mitglieder zahlen einen Beitragssatz von 4 Prozent, während Eltern in der Regel 0,6 Prozentpunkte weniger zahlen. Für Mitglieder mit mehreren Kindern unter 25 Jahren ermäßigt sich der Beitragssatz zusätzlich um 0,25 Prozentpunkte je Kind.

Ab dem 1. Januar 2024 werden das Pflegegeld und die ambulanten Sachleistungsbeträge um jeweils fünf Prozent erhöht. Der Anspruch auf das Pflegeunterstützungsgeld wird ausgeweitet und kann bis zu zehn Arbeitstage pro Kalenderjahr für die Pflege eines nahen Angehörigen in Anspruch genommen werden.

Was ändert sich für den Datenschutz? 

Die Gesetzesänderung hat einige Auswirkungen auf Arbeitgeber. Ab dem 1. Juli 2023 müssen Sie als Arbeitgeber sicherstellen, dass die neuen Regelungen zur gesetzlichen Pflegeversicherung für Ihre aktiven Mitarbeiter umgesetzt werden. Gemäß § 55 Abs. 3 Satz 6 SGB XI-E müssen Sie die Elterneigenschaft und die Anzahl der Kinder unter 25 Jahren gegenüber der beitragsabführenden Stelle nachweisen.

Als Nachweis können beispielsweise Geburtsurkunden, Vaterschaftsanerkennungen, Abstammungsurkunden, steuerliche Lebensbescheinigungen des Einwohnermeldeamtes, Bestätigungen des Pflegekindschaftsverhältnisses durch die zuständige Behörde oder Adoptionsurkunden dienen. Als Arbeitgeber müssen Sie daher zusätzlich zu den bereits vorhandenen personenbezogenen Daten Ihrer Arbeitnehmer weitere personenbezogene Daten von Kindern erheben, speichern und gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verarbeiten.

So kann der Nachweis datenschutzkonform gefasst werden

  • Die digitale Meldemöglichkeit

Bis zum 1. Juli 2023 gibt es noch kein effizientes digitales Verfahren zur Erhebung und Überprüfung der Kinderzahl, das als Arbeitgeber unterstützt und auf DSGVO-Konformität geprüft wurde. Die Einführung eines solchen Verfahrens ist jedoch bis zum 31. März 2025 geplant.

  • Die analoge Meldemöglichkeit

Der Nachweis der Elterneigenschaft kann dem Arbeitgeber analog, z.B. in Papierform, übermittelt werden. Dabei ist Vorsicht geboten, da ab Juli 2023 mit einer Flut von Unterlagen mit personenbezogenen Daten von Kindern zu rechnen ist. Aus datenschutzrechtlichen Gründen sollte auf das Versenden von bspw. Geburtsurkunden per E-Mail verzichtet werden. Es empfiehlt sich, die Nachweise per Post oder persönlich zu übergeben. Falls eine E-Mail-Übermittlung doch erforderlich ist, sollten die Dokumente verschlüsselt oder in einer verschlüsselten Zip-Datei übertragen werden. Es empfiehlt sich also, einen sicheren Übermittlungsweg im Unternehmen zu etablieren.

  • Meldung via Selbsterklärung

Für den Zeitraum vom 1. Juli 2023 bis zum 30. Juli 2025 genügt es, wenn der Arbeitnehmer den Nachweis der Kinder durch eine Selbstauskunft erbringt. Auf Anforderung des Arbeitgebers muss der Arbeitnehmer Informationen über die für die Auskunft relevanten Kinder angeben.

Fazit

Informieren  Sie Ihre Mitarbeiter rechtzeitig über die Änderungen zum 1. Juli 2023. Achten Sie darauf, dass Nachweise sicher aufbewahrt werden und nicht durch Ihre Mitarbeiter über unsichere Chatanbieter oder bestenfalls auch nicht per E-Mails übermittelt werden. Wählen Sie eine datenschutzkonforme Meldemöglichkeit, entweder analog oder per Selbstauskunft. Denken Sie daran, dass es sich um sensible Nachweise handelt und entwickeln Sie einen DSGVO-konformen Meldeweg. Gerne unterstützen wir Sie bei diesem Prozess.

EuGH: Vereinbarkeit von Datenschutzbeauftragterrolle und Betriebsratsvorsitz

9. Juni 2023

Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.

Der Fall

Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.

X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.

Die Vorlagefragen an den EuGH:

Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.

Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.

Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.

Entscheidung des EuGH

Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.

Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.

Fazit

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.

Hinweisgeberschutzgesetz tritt noch im Juni in Kraft

31. Mai 2023

Am 17. März 2023 wurde eine überarbeitete Version des Hinweisgeberschutzgesetzes (HinSchG) erneut im Bundestag behandelt. Da eine Zustimmung des Bundesrates immer noch fraglich war, wurde der Entwurf nicht weiterverfolgt und der Vermittlungsausschuss eingeschaltet. Am 9. Mai 2023 haben sich Vertreter des Bundestages und Bundesrates im Vermittlungsausschuss auf Änderungen am HinSchG geeinigt. Das Gesetzgebungsverfahren wurde dann schnell abgeschlossen. Der Bundestag verabschiedete das Gesetz am 11. Mai 2023 mit den Änderungsvorschlägen des Vermittlungsausschusses und der Bundesrat stimmte dem Gesetzesentwurf am 12. Mai 2023 zu. Mit der Zustimmung des Bundesrates ist das parlamentarische Verfahren abgeschlossen. Das Gesetz kann nun dem Bundespräsidenten zur Unterzeichnung vorgelegt und im Bundesgesetzblatt verkündet werden. Es wird voraussichtlich Mitte Juni 2023 in Kraft treten.

Kompromiss im Vermittlungsausschuss

Der Vermittlungsausschuss hat Änderungen vorgenommen, darunter eine Beschränkung auf den beruflichen Kontext, einen Kompromiss bezüglich anonymer Meldungen und niedrigere Bußgelder mit einer Übergangsfrist von sechs Monaten. Falsche Meldungen können jedoch Konsequenzen haben, und in Fällen vorsätzlicher oder grob fahrlässiger Weitergabe unrichtiger Informationen ist die hinweisgebende Person zum Schadensersatz verpflichtet.

Wesentliche Inhalte des Hinweisgeberschutzgesetzes

Das HinSchG zielt darauf ab, den Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen. Es enthält Regelungen zum Schutz von Hinweisgebern, zur Beweislastumkehr für Arbeitgeber und zur Verhinderung von Benachteiligungen oder Repressalien gegenüber Hinweisgebern. Das Gesetz gilt sowohl für Hinweisgeber als auch für Personen, die sie unterstützen, sowie für Personen, die Gegenstand einer Meldung sind oder von einer Meldung betroffen werden.

Das Hinweisgeberschutzgesetz umfasst verschiedene Rechtsgebiete, in denen Hinweisgeber Verstöße melden können. Dazu gehören Strafvorschriften nach deutschem Recht, bußgeldbewehrte Verstöße, die dem Schutz von Leben, Leib, Gesundheit oder den Rechten von Beschäftigten dienen, sowie Verstöße gegen Rechtsnormen zur Umsetzung europäischer Regelungen. Letztere umfassen eine Vielzahl von Bereichen wie Geldwäschebekämpfung, Produktsicherheit, Umweltschutz, Datenschutz und Rechnungslegung bei Kapitalgesellschaften.

Wahl zwischen “interner” und “externer” Meldestelle

Hinweisgeber haben die Wahl, sich entweder an eine interne Meldestelle im Unternehmen oder an eine externe Meldestelle bei den Behörden zu wenden. In Fällen, in denen intern effektiv gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind, wird empfohlen, die Meldung an eine interne Meldestelle vorzuziehen.

Schutzbereich des HinSchG

Das HinSchG umfasst eine breite Palette von Unternehmen und Organisationen. Dazu gehören juristische Personen des Privatrechts wie eingetragene Vereine, eingetragene Genossenschaften, Aktiengesellschaften, Kommanditgesellschaften auf Aktien, Gesellschaften mit beschränkter Haftung und Stiftungen des Privatrechts. Auch juristische Personen des öffentlichen Rechts, wie Gebietskörperschaften, Personalkörperschaften und Verbandskörperschaften auf Bundes- und Landesebene, sowie rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen werden erfasst.

Darüber hinaus werden Anstalten wie die Landesrundfunkanstalten, öffentlich-rechtliche Stiftungen, die evangelische und katholische Kirche mit ihren Kirchengemeinden sowie sonstige religiöse Gemeinschaften und Religionsgemeinschaften ebenfalls vom HinSchG erfasst.

Die Verpflichtung zur Einrichtung einer internen Meldestelle gilt für Beschäftigungsgeber mit mehr als 250 Mitarbeitenden ab Mitte Juni 2023. Für kleinere Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden gilt die Verpflichtung ab dem 17. Dezember 2023. Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.

Die internen Meldestellen müssen bestimmte Anforderungen erfüllen. Die Meldekanäle müssen so gestaltet sein, dass nur befugte Personen Zugriff auf die Meldungen haben. Es müssen sowohl mündliche als auch schriftliche Meldungen möglich sein, und auf Wunsch der hinweisgebenden Person muss eine persönliche Zusammenkunft mit der Meldestelle ermöglicht werden.

Der Schutz der Vertraulichkeit der Identität der hinweisgebenden Person ist von großer Bedeutung. Die Identität sollte grundsätzlich nur den zuständigen Personen der Meldestelle bekannt sein und nur in Ausnahmefällen, z.B. in Strafverfahren auf Anforderung der Strafverfolgungsbehörden, offengelegt werden.

Die mit den Aufgaben der internen Meldestelle betrauten Personen müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Die genaue Bedeutung des Begriffs “Fachkunde” wird vom Gesetzgeber nicht näher erläutert.

Für kleinere oder mittlere Unternehmen kann es effizienter sein, eine erfahrene externe Ombudsperson mit der Entgegennahme und ersten Bearbeitung von Hinweisen zu beauftragen. Der Gesetzgeber nennt externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter als mögliche Dritte, die eine interne Meldestelle betreiben können.

Umgang mit anonymen Hinweisen

Der umstrittenste Bereich des Hinweisgeberschutzgesetzes bezieht sich auf den Umgang mit anonymen Hinweisen. Gemäß § 16 HinSchG besteht keine Verpflichtung zur Entgegennahme anonymer Meldungen, sondern lediglich eine “soll”-Regelung. Unternehmen, die eine Zertifizierung nach den ISO-Normen 37301 und 37001 anstreben, müssen jedoch die Möglichkeit zur Bearbeitung anonymer Hinweise in ihrem Hinweisgeberverfahren ermöglichen.

Das Verfahren bei internen Meldungen

Für interne Meldungen gelten gemäß § 17 HinSchG bestimmte Verfahrensregeln. Diese umfassen die Bestätigung des Eingangs an die hinweisgebende Person innerhalb von sieben Tagen, die Prüfung des gemeldeten Verstoßes, die Kontaktaufnahme mit der hinweisgebenden Person für weitere Informationen, die Prüfung der Stichhaltigkeit der Meldung, die Ergreifung angemessener Folgemaßnahmen und die Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten. Die Rückmeldung sollte geplante und bereits ergriffene Folgemaßnahmen sowie die entsprechenden Gründe enthalten. Dabei ist darauf zu achten, dass die Rechte der betroffenen Personen nicht beeinträchtigt und interne Nachforschungen oder Ermittlungen nicht gefährdet werden. Die Hinweise müssen vertraulich behandelt und für eine angemessene Zeit dokumentiert werden.

Die Einrichtung interner und kostengünstiger Meldekanäle kann gegen das Vertraulichkeitsgebot des HinSchG verstoßen. Eine interne E-Mail-Adresse oder Telefonnummer ermöglicht möglicherweise unbefugtem Personal Zugriff auf die Meldungen, was dem Gesetz widerspricht. Daher bleiben als Optionen die Einrichtung eines IT-gestützten Systems oder die Entgegennahme telefonischer Hinweise über eine externe Nummer mit unterdrückter Rufnummer des Anrufers.

Schadensersatz, Sanktionen und Bußgelder bei Verstoß gegen das HinSchG

Um den Schaden einer absichtlichen oder grob fahrlässigen Falschmeldung zu begrenzen, ist die Person, die den Hinweis gibt, verpflichtet, den entstandenen Schaden zu erstatten. Verstöße gegen die wesentlichen Bestimmungen des HinSchG können mit Geldbußen geahndet werden. Dies betrifft insbesondere Unternehmen, die keine interne Meldestelle einrichten, Meldungen behindern oder Repressalien gegen den Hinweisgeber ergreifen. Die Bußgelder für Verstöße gegen die Pflicht zur Einrichtung einer internen Meldestelle treten jedoch erst sechs Monate nach Veröffentlichung des HinSchG in Kraft. Das bewusste Offenlegen falscher Informationen wird ebenfalls mit Bußgeldern belegt.

Hinweisgeber- und Datenschutz

Die deutschen Datenschutzbehörden sind der Ansicht, dass die Einrichtung und Nutzung interner Meldewege durch Unternehmen “datenschutzgerecht” erfolgen kann, wobei besondere Rücksicht auf den Zweck des Unternehmens und die Modalitäten der Einrichtung genommen werden sollte. Da die Meldung von Missständen nach Ansicht der Datenschutzbehörden ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich. Weitere Informationen dazu finden sich in der “Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz”.

Die Kosten für die Entwicklung einer internen Lösung, die allen gesetzlichen Anforderungen gerecht wird, sind erheblich, daher liegt es nahe, einen externen Anbieter zu nutzen. Bei der Auswahl eines externen Anbieters sollten jedoch insbesondere die Anforderungen an die getrennte Datenverarbeitung für größere Tochtergesellschaften und die Anforderungen der Datenschutzbehörden beachtet werden. Das KINAST Whistleblowing Hinweisgebersystem ist unsere Lösung für Unternehmen, die ein rechtskonformes Meldesystem bereitstellen und zum eigenen Vorteil nutzen möchten.

Fazit

Unternehmen und Organisationen, die zur Einrichtung einer internen Meldestelle verpflichtet sind, sollten sich rechtzeitig auf die Umsetzung vorbereiten. Es ist zu bedenken, dass viele Unternehmen und Behörden betroffen sein werden und die Nachfrage nach IT-gestützten Hinweisgebersystemen mit der Einführung des Gesetzes deutlich steigen wird.

Wir liefern Ihnen die komplette technische und rechtliche Umsetzung, d.h. Einrichtung und Betrieb des Meldesystems. Und wir unterstützen sie bei der Kommunikation des Hinweisgebersystems in Ihrer Organisation. Wir handhaben alles, Sie haben nur minimalen Aufwand im Fall einer begründeten Meldung.

Die Inhalte der Datenschutzkonferenz-Tagung

22. Mai 2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) tagte am 10. und 11. Mai 2023 unter der Leitung von Dr. h. c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Im Zentrum der intensiven Diskussionen standen aktuelle datenschutzpolitische Themen.

Schwerpunkte der Tagung

Urteil des EuGH zum Beschäftigtendatenschutz

Ein neues Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) erfordert Anpassungen in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz. Die Datenschutzkonferenz betont die Notwendigkeit einer Überarbeitung und erneuert ihre Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz.

Die BVerfG-Entscheidung zur polizeilichen Datenanalyse

Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz festgelegt (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, den gesetzgeberischen Handlungsbedarf aufgrund der Entscheidungen des Bundesverfassungsgerichts zu prüfen. Falls der Einsatz komplexer Datenanalysemethoden als notwendig erachtet wird, müssen klare rechtliche Grundlagen und angemessene Rahmenbedingungen geschaffen werden, um den Grundrechtsschutz der betroffenen Personen zu gewährleisten. Die bestehenden gesetzlichen Bestimmungen sind in der Praxis verfassungskonform anzuwenden.

Smart Meter

Während der flächendeckende Einsatz von Smart Metern zur Erfassung von Strom- und Wärmeverbrauch gesetzlich geregelt ist, fehlt eine vergleichbare Regelung für funkbasierte Kaltwasserzähler bisher. Die von diesen Zählern aus der Ferne abrufbaren Verbrauchsdaten ermöglichen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner. Die Datenschutzkonferenz betrachtet die Einführung einheitlicher Regelungen als dringend erforderlich, in denen konkrete Zwecke, Datenumfang, Abrufhäufigkeit und Löschfristen festgelegt werden. Darüber hinaus müssen technische und organisatorische Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik für den Einsatz von Kaltwasserzählern getroffen werden.

Positionspapier zum Cloud-Einsatz

Die Datenschutzkonferenz bringt mit ihrem Positionspapier “Kriterien für Souveräne Clouds” ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen darauf ab, die digitale Souveränität sowohl der Cloud-Anbieter als auch der Cloud-Nutzer zu gewährleisten, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Souveräne Clouds müssen den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen Aspekte wie “Transparenz zur Nachvollziehbarkeit”, “Datenhoheit und Kontrollierbarkeit”, “Offenheit”, “Vorhersehbarkeit und Verlässlichkeit” sowie “Regelmäßige Überprüfung der aufgestellten Kriterien”.

Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/ veröffentlicht.

Kategorien: Allgemein
Schlagwörter: ,

Europäisches Parlament: Resolution zum US-EU Framework

15. Mai 2023

Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.

Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.

Erhebliche Bedenken

Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.

Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.

Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.

Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.

Fazit

Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.

Hinweisgeberschutzgesetz verabschiedet

12. Mai 2023

Am 11. Mai 2023 hat der Bundestag das Hinweisgeberschutzgesetz (HinSchG) verabschiedet, das die EU-Richtlinie zum Schutz von Hinweisgebern in Unternehmen und Behörden umsetzt. Der Bundesrat hat das Gesetz einstimmig angenommen und es kann nun in Kraft treten. Das Gesetz bietet einen besseren Schutz für Hinweisgeber, die Missstände und Gesetzesverstöße melden, indem es Meldestellen einführt und Maßnahmen gegen Repressalien vorsieht.

Vorgeschichte

Die EU-Richtlinie (EU 2019/1937) zur Stärkung des Schutzes von Hinweisgebern hätte in Deutschland eigentlich bis zum 17. Dezember 2021 umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 Deutschland zur Umsetzung der Richtlinie aufgefordert hatte, reichte sie im Februar 2023 Klage beim Europäischen Gerichtshof gegen Deutschland und sieben weitere Mitgliedsstaaten ein.

Der Bundestag hatte den Entwurf der Bundesregierung am 16. Dezember in einer vom Rechtsausschuss geänderten Fassung beschlossen. Jedoch konnte der zustimmungspflichtige Gesetzentwurf im Bundesrat am 10. Februar 2023 keine Mehrheit erzielen. Als Lösung rief die Bundesregierung schließlich den Vermittlungsausschuss im April an, der eine Einigung erzielen konnte.

Inhalt und Anwendungsbereich

Die Whistleblowing-Richtlinie der EU und das Hinweisgeberschutzgesetz verpflichten alle öffentlichen und privaten Unternehmen ab einer Größe von 50 Mitarbeitern, rechtskonforme Hinweisgebersysteme für Whistleblower einzurichten:

  • Spätestens bis zum 17. Dezember 2023, sind auch Unternehmen mit einer Beschäftigtenzahl zwischen 50 und 249 verpflichtet, ein Hinweisgebersystem bereitzustellen.
  • Unabhängig von der Beschäftigtenzahl werden Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger und Kredit- und Finanzdienstleistungsinstitute nach den Vorgaben des HinSchG verpflichtet, eine interne Meldestelle für Whistleblower einzurichten.
  • Das Gesetz sieht vor, dass Whistleblower die Möglichkeit haben, Hinweise mündlich, schriftlich oder persönlich abzugeben.
  • Die Meldestelle muss den Hinweis innerhalb von sieben Tagen bestätigen und den Whistleblower innerhalb von drei Monaten über die ergriffenen Maßnahmen informieren.

Die wichtigsten Änderungen des Vermittlungsausschusses:

  • Die Pflicht zur Einrichtung anonymer Meldekanäle wird gestrichen.
  • Das Gesetz nennt keine Pflicht zur Abgabe anonymer Meldungen. Stattdessen wird nur festgelegt, dass die Meldestellen auch anonyme Meldungen bearbeiten „sollten“.
  • Der immaterielle Schadensersatz wird gestrichen.
  • Die Beweislastumkehr bleibt erhalten, jedoch gilt die Vermutung einer Repressalie nur, wenn sie von der hinweisgebenden Person selbst geltend gemacht wird.
  • Die Höhe der Bußgelder für Verstöße gegen das Gesetz wird auf 50.000 Euro reduziert.

Wir beraten Sie gerne

Ein solches Hinweisgebersystem können wir Ihnen als vollständig extern betreute Lösung anbieten. Unser KINAST Hinweisgebersystem ist auf die vollumfängliche Erfüllung der gesetzlichen Pflichten und Anforderungen zum Hinweisgeberschutz zugeschnitten, die sich aus der EU-Whistleblower-Richtlinie und dem Hinweisgeberschutzgesetz (Deutschland und Österreich) ergeben. Wir garantieren dabei höchste Vertraulichkeit.

Die genauen Vorteile der Nutzung unseres Services haben wir hier für Sie zusammengefasst:

https://www.kinast.eu/whistleblowing-hinweisgebersystem/

Gerne stehen wir Ihnen für Rückfragen zur Verfügung und unterbreiten Ihnen ein individuelles Angebot.

EuGH: Verstoß gegen Art. 26 und 30 DSGVO unrechtmäßige Verarbeitung?

8. Mai 2023

Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).

Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).

Die Hintergründe

Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.

Keine unrechtmäßige Verarbeitung

Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.

Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.

Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.

Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.

Fazit

Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.

1 5 6 7 8 9 206