Kategorie: EU-Datenschutzgrundverordnung

B2B-Datenschutz: DSGVO auf juristische Personen in Sonderfällen anwendbar?

6. September 2022

Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.

Beteiligte

Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.

Streitgegenstand

Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.

Entscheidungsgründe des LG Hamburg

Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.

Ausnahme

Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.

Fazit

Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

Einführung des elektronischen Rezeptes in Schleswig-Holstein gestoppt

Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt. 

Was ist das elektronische Rezept? 

Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet). 

Warum wurde es in Schleswig-Holstein gestoppt? 

In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.  

Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.  

Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.  

Können hypothetische Zugriffsmöglichkeiten bereits einen Datentransfer in ein Drittland i.S.v. Art. 44 DSGVO darstellen?

17. August 2022

Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.

1. Sachverhalt

In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag.  Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:

“(…)

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind

(…)”

2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung

Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.

3. Ausblick

Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.

Die LDI NRW veröffentlicht Handreichung zu Online-Prüfungen an Hochschulen

2. August 2022

Seit der Covid-19 Pandemie legen Studierende ihre Prüfungsleistungen vermehrt online ab. Dabei werden personenbezogene Daten der Prüflinge verarbeitet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) veröffentlichte am 28. Juli 2022 eine Handreichung für eine DSGVO-konforme Durchführung solcher Prüfungen unter videobasierter Aufsicht.

Eine geeignete Rechtsgrundlage

Das Erfassen der Ausweisdaten und die Videoüberwachung der Prüflinge während einer Online-Klausur erfordert eine adäquate Rechtsgrundlage. Laut der LDI könne diese in Art. 6 Absatz 1 lit. c) oder e) DSGVO gefunden werden. Demnach müssten Maßnahmen erforderlich sein, um einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse nachzukommen. Voraussetzung sei eine solche Rechtsgrundlage im materiellen Recht (Art. 6 Absatz 3 DSGVO). Diese sei mit § 64 Abs. 2 Satz 2 Hochschulgesetz NRW (HG NRW) gegeben. Hier ist festgelegt, dass Hochschulen in ihren Prüfungsordnungen entscheiden können, dass Prüfungen im elektronischen Format abgelegt werden. Dafür müssten ausreichende datenschutzrechtliche Regelungen hinsichtlich der Durchführung der Prüfung erlassen worden und die Durchführung auch im Einzelfall angemessen und erforderlich sein.

Bewertung einzelner Aufsichtsmaßnahmen der Hochschulen

Obwohl es immer einer Einzelfall-Überprüfung bedürfe, hat die LDI einige, von Hochschulen häufig zur videobasierten Aufsicht verwendeten Maßnahmen, bewertet. Maßnahmen seien immer mit der Eingriffsintensität ähnlicher Regelungen in Präsenzklausuren zu vergleichen. So sollten Prüflinge, wenn möglich, entscheiden dürfen, ob sie die Online-Prüfung in den Räumlichkeiten der Hochschule oder zu Hause absolvieren. Zudem seien Prüfungsformate ohne Aufsicht zu bevorzugen. Sofern notwendig, sei es jedoch zulässig, Prüflinge durch einen Abgleich von Lichtbildausweis und Gesicht zu authentifizieren. Die Aufzeichnung des Ausweises oder das Einsetzen von automatischen Gesichtserkennungssoftware sei jedoch unzulässig. Prüflingen dürfe die Nutzung von spezifischen Funktionen, die Betrugsversuche begünstigen, untersagt werden. Auch die ständige visuelle und akustische Sichtbarkeit des Gesichts, Oberkörpers und des Arbeitsplatzes könne gefordert werden. Die dauerhafte Aufzeichnung und Speicherung von Bild- und Tondateien sei jedoch unzulässig und könne nur ausnahmsweise durch einen konkreten Verdacht auf einen Täuschungsversuch gerechtfertigt werden. In jedem Fall unzulässig sei der Einsatz von mehreren Kameras in verschiedenen Winkeln oder die Sichtbarkeit der Aufnahmen für die Prüflinge untereinander.

Hinweise zur Verwendung von Videokonferenzanbietern

Die LDI weist darauf hin, dass sie seit den neuen Regelungen des Telekommunikationsgesetztes (TKG) und des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) Videokonferenzdienste als Telekommunikationsdienste einordne und diese somit unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen. Die Anbieter seien selbst für die Datenverarbeitung im Rahmen ihrer Dienste verantwortlich. Die Hochschulen seien jedoch verpflichtet, solche Anbieter auszuwählen, die ein ausreichendes Datenschutzniveau gewährleisten können. Sofern die Anbieter weitere Dienste anbieten, z.B. zur Dokumenten-Bearbeitung, seien die Hochschulen für die Verarbeitung der Inhaltsdaten verantwortlich. Hier müssten dann geeignete Auftragsverarbeitungsverträge mit den Anbietern abgeschlossen werden.

Die Handreichung der LDI fügt sich in die generelle Diskussion zur Datenschutzkonformität vieler Videokonferenzanbieter ein. Auch der BfDi wies darauf hin, dass die Nutzung solcher Systeme mit Risiken für personenbezogene Daten einhergehe und dass angemessene Schutzmaßnahmen benötigt seien. In einer Untersuchung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einige datenschutzrechtliche Mängel bei gängigen Anbietern festgestellt.

LG Ravensburg legt Frage zum Schadensbegriff in Art. 82 DSGVO dem EuGH vor

29. Juli 2022

Das Landgericht Ravensburg hat mit Beschluss vom 30.06.2022 dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob für einen Schadensersatzanspruch aus Art. 82 DSGVO ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung erforderlich ist. 

Der Sachverhalt 

Die Beklagte hatte auf ihrer Website ohne das Einverständnis der Kläger eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden. Ebenfalls auf ihrer Webseite veröffentlichte sie ein verwaltungsgerichtliches Urteil, in dem die Kläger ungeschwärzt mit Vor- und Nachnamen sowie Anschrift aufgeführt waren. Die Kläger sehen darin ihre Rechte aus der DSGVO verletzt und begehren Schadensersatz von der Beklagten. 

Die Frage 

Das LG Ravensburg hatte bereits zuvor die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Insbesondere bei Bagatellverstößen ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten käme ein Schadensersatzanspruch nicht in Betracht. Für das Zusprechen von Schadensersatz nach Art. 82 DSGVO setzt das LG Ravensburg einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange bei den betroffenen Personen voraus. 

Dies sieht das Gericht im vorliegenden Sachverhalt als nicht gegeben an, es läge nur ein Verlust der Datenhoheit vor. Danach wäre die Klage abzuweisen. Die Auslegung des Schadensbegriffes steht aber letztlich nur dem EuGH zu. Diesem liegt nun folgende Frage vor: „Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“ 

Das Verfahren wird erst nach einer Entscheidung des EuGH fortgesetzt. 

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 2

22. Juli 2022

Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.

Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Was ist Datenhandel und wie weit ist er verbreitet?  

Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.   

In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden. 

  

Was hat Datenhandel mit dieser Debatte zu tun?  

Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.  

Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.    

  

Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?  

Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.   

Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.  

  

Verbraucherzentrale Bundesverband verklagt Tesla wegen Verstoß gegen die DSGVO

20. Juli 2022

Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.

Der Wächter-Modus

Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.

Videoüberwachung unter der DSGVO

Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.

Der Wächter-Modus unter der DSGVO

In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

14. Juli 2022

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Die Urlaubsverwaltung im Unternehmen datenschutzkonform gestalten

Gerade in den Sommermonaten greifen viele Unternehmen auf (digitale) Urlaubskalender zurück, um Mitarbeiterurlaube zu planen. Doch was sollte beachtet werden, damit die Urlaubsverwaltung und entsprechende Kalender datenschutzkonform verwendet werden?

Der Europäische Datenschutzbeauftragte zu der Urlaubsverwaltung

Der Europäische Datenschutzbeauftragte (EDSB) weist darauf hin, auch bzgl. der Urlaubsverwaltung innerhalb der eigenen Organe und Einrichtungen, dass die Verwaltung von Mitarbeiterurlauben häufig die Verarbeitung gesundheitsbezogener Daten erfordert. Ärztliche Bescheinigungen und andere Belege, die für die Genehmigung von Sonderurlauben benötigt werden, gehören der Kategorie sensibler Daten gem. der DSGVO an und unterliegen daher einem erhöhten Schutzniveau. Folglich sei es besonders wichtig, die Qualität und Sicherheit der Daten sowie die Betroffenenrechte und andere Pflichten unter der DSGVO zu gewährleisten.

Die Anforderungen der DSGVO an Urlaubskalender

Für die rechtskonforme Verarbeitung personenbezogener Daten wird zunächst eine der Rechtsgrundlagen aus Art. 6 DSGVO benötigt. Das Anlegen eines Urlaubskalenders ermöglicht es dem Arbeitgeber, seiner Pflicht zur Erfüllung von Urlaubsansprüchen gegenüber seinen Arbeitnehmern gemäß § 1 BUrlG nachzukommen. Damit ist die Verarbeitung erforderlich für die Erfüllung einer rechtlichen Verpflichtung und somit nach Art. 6 Abs. 1 lit. c DSGVO rechtmäßig.  Zudem darf die Verarbeitung nur zweckgebunden stattfinden. Die betriebliche Urlaubsplanung stellt hier einen hinreichend bestimmten Zweck dar. Darüber hinaus fordert der Grundsatz der Datenminimierung, dass nur Daten verarbeitet werden, die für die Urlaubsplanung absolut erforderlich sind. Dem Prinzip der Vertraulichkeit zu Folge, muss ebenfalls eine angemessene Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Hier empfiehlt der EDSB, ärztliche Bescheinigungen und andere medizinische Daten, wenn möglich, vom ärztlichen Dienst oder Betriebsarzt bearbeiten zu lassen und nicht von der Personalabteilung. Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, sollten zudem diesbezüglich zur Vertraulichkeit verpflichtet werden. Zudem müssen Mitarbeiter ausreichend über die Verarbeitung und Ihre Betroffenenrechte informiert werden. Daten sollten nicht länger als erforderlich gespeichert werden.

Urlaubskalender, zugänglich für alle?

Problematisch wird es, wenn die Urlaubskalender für alle Mitarbeiter einsehbar sind. Die Urlaubsverwaltung erfordert normalerweise nicht, dass Mitarbeiter die Urlaubstage ihrer Kollegen einsehen können. Ein solcher Zugriff, sofern nicht zwingend erforderlich, verstößt gegen den Grundsatz der Vertraulichkeit der Daten und ist somit nicht mehr auf die ursprüngliche Rechtsgrundlage der Verarbeitung zu stützen. Denkbar wäre es, einzelne Einwilligungen der Mitarbeiter in die Veröffentlichung ihrer Urlaubstage einzuholen. Jedoch muss eine solche Einwilligung die Ansprüche an die Freiwilligkeit gemäß Art. 4 Abs. 11 DSGVO i.V.m. § 26 Abs. 2 S. 2 BDSG erfüllen. Demnach ist eine Einwilligung eines Mitarbeiters insbesondere dann freiwillig, wenn dadurch für ihn ein Vorteil erreicht wird oder Arbeitnehmer und Arbeitgeber gleichgelagerte Interessen verfolgen. Hier merkt der ESDA an, dass aufgrund des Ungleichgewichts der Macht zwischen Arbeitnehmer und Arbeitgeber eine solche Freiwilligkeit im Arbeitsverhältnis zumeist nicht erfüllt ist. Folglich sollte, wenn möglich, davon abgesehen werden, Urlaubskalender allen Mitarbeitern zugänglich zu machen.

1 2 3 4 5 33