28. August 2023
Mit der Inkraftsetzung des Hinweisgeberschutzgesetzes am 2. Juli 2023 wurde eine neue rechtliche Landschaft für betroffene Unternehmen, öffentliche und kirchliche Stellen geschaffen. Im Zentrum dieser Entwicklung steht die Verpflichtung zur Etablierung interner Meldestellen. Dieser Beitrag beleuchtet die datenschutzrechtlichen Implikationen dieser Verpflichtung und erörtert die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß DSGVO.
Datenschutzrechtliche Herausforderungen
Die Einrichtung einer internen Meldestelle, durch die potenziell personenbezogene Daten von Hinweisgebern über vermeintlich strafbares Verhalten von Beschuldigten gemeldet werden können, wirft datenschutzrechtliche Fragen auf. Besonders dann, wenn die Meldungen nicht anonym erfolgen, kann dies zur Verarbeitung sensibler personenbezogener Daten führen. Hierdurch wird der Anwendungsbereich der DSGVO eröffnet, was die Verantwortlichen dazu verpflichtet, die Datenschutzrechte und -pflichten entsprechend zu beachten.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Die zentrale Frage, die sich hier stellt, ist, ob vor Einführung einer internen Meldestelle eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung entsteht, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Schwellenwertanalyse und Anwendungsfälle
Um diese Frage zu beantworten, wird eine Schwellenwertanalyse durchgeführt, um festzustellen, ob die genannten Voraussetzungen erfüllt sind. Zunächst sind die Regelbeispiele in der von Aufsichtsbehörden festgelegten “Muss-Liste” nicht relevant. Weiterhin sind die Anwendungsfälle des Art. 35 Abs. 3 DSGVO nicht einschlägig. Insbesondere der Abs. 3 lit. b DSGVO, der eine Datenschutz-Folgenabschätzung bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorschreibt, trifft hier nicht zu.
In Bezug auf den vorliegenden Fall wird deutlich, dass keine “umfangreiche” Verarbeitung sensibler Daten vorliegt. Die Meldungen betreffen Einzelpersonen oder kleine Personengruppen, was gemäß Erwägungsgrund 75 der DSGVO keine umfangreiche Verarbeitung darstellt.
Europäischer Datenschutzausschuss und hohe Risiken
Die Durchführungspflicht einer Datenschutz-Folgenabschätzung kann jedoch auf das Vorliegen der Kriterien des Arbeitspapiers 248 des Europäischen Datenschutzausschusses gestützt werden. Diese Kriterien sind in nahezu allen internen Meldesystemen erfüllt und deuten insgesamt auf ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 Abs. 1 DSGVO hin. Dabei wird betont, dass aufgrund des erhöhten Risikos für die Betroffenen bei der Meldung von Missständen eine Datenschutz-Folgenabschätzung erforderlich ist.
Fazit
Angesichts der potenziell sensiblen Natur der gemeldeten Verstöße und der möglichen schwerwiegenden Konsequenzen für die Beschuldigten, inklusive strafrechtlicher Relevanz, erscheint die Durchführung einer Datenschutz-Folgenabschätzung unausweichlich. Die Notwendigkeit ergibt sich aus den anwendbaren Vorschriften der DSGVO und den Empfehlungen des Europäischen Datenschutzausschusses, insbesondere unter Berücksichtigung der Orientierungshilfe der DSK. Unternehmen und Organisationen sollten daher bei der Einführung einer internen Meldestelle sorgfältig die datenschutzrechtlichen Aspekte prüfen und eine Datenschutz-Folgenabschätzung durchführen, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen.
23. August 2023
Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?
Der Fall und die Fragestellung
Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.
Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.
Die Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:
- Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
- Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.
Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.
Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.
Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.
Fazit: Verantwortliche tragen Verantwortung
Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.
21. August 2023
Vergangene Woche erschienen vermehrt Berichte, derer zufolge eine Cyberattacke auf die Online-Plattform LinkedIn verübt wurde. Demnach konnten die Nutzer des Portals nicht mehr auf ihre Accounts zugreifen.
Hintergründe
Es seien zwei verschiedene Angriffsmethoden auf LinkedIn erkennbar gewesen. Teilweise habe LinkedIn selbst die Konten seiner Nutzer gesperrt. Grund hierfür seien verdächtige Handlungen auf den Konten der betroffenen Nutzer gewesen. Dabei hätten die Hacker versuch die Zwei-Faktor-Authentifizierung, mit der die Konten der Nutzer gesichert werde, zu entschlüsseln. Alle betroffenen Personen seien im Anschluss durch LinkedIn über die vorübergehende Sperrung des Kontos informiert worden.
Hinzu käme eine zweite Form des Hackerangriffs. Bei diesem drängen die Angreifer in die Konten der betroffenen Nutzer ein und änderten dort die zur Verfügung gestellte E-Mail-Adresse. Die Folge dieses Vorgehens sei, dass die betroffenen Personen keine Möglichkeit hätten auf ihr Konto zuzugreifen. Teilweise hätten die Angreifer Lösegeld zur Widerherstellung der Konten verlangt.
Die Folgen für die Konten
Derzeit bleibt eine Stellungnahme von LinkedIn selbst noch aus. Die Motivation der Hacker kann sich demnach auch lediglich erahnen lassen. Teilweise könnte es dazu kommen, dass die betroffenen Konten genutzt werden würde, um über diese Kontakt zu anderen Nutzern aufzunehmen und so schädliche Handlungen vorzunehmen. Zusätzlich biete der Zugang zu einem LinkedIn Konto immer auch Zugang zu sensiblen Unterhaltungen im LinkedIn Profil der betroffenen Personen.
Fazit
Sofern man selbst von einem Angriff betroffen sein sollte, sollte man sich zunächst an den Support von LinkedIn wenden. Insbesondere E-Mails von LinkedIn, in denen die Nutzer darüber informiert werden, dass dem bestehenden Konto eine neue E-Mail-Adresse hinzugefügt worden sei, können ein ersten Anzeichens eines Cyberangriffs sein.
Grundsätzlich gilt es ein langes, aufwändiges und somit sicheres Passwort zu wählen. Außerdem empfiehlt es sich die Zwei-Faktor-Authentifizierung für das Benutzerkonto. Aus Sicht der Verantwortlichen ist zu empfehlen ausreichende Technischen und Organisatorischen Maßnahmen zu wählen, um gegen Cyberattacken präventiv vorzugehen und ihnen adäquat zu begegnen.
Das Recht auf Auskunft über die Verarbeitung personenbezogener Daten zählt zu den grundlegenden Betroffenenrechten, die in der DSGVO verankert sind. Es bildet oft den Ausgangspunkt für die wirksame Wahrnehmung anderer Datenschutzrechte. In diesem Artikel beleuchten wir genauer, wie sich dieses Recht im Kontext des Sozialdatenschutzes gemäß Art. 15 DSGVO und § 83 Zehntes Buch Sozialgesetzbuch (SGB X) manifestiert.
Der Ursprung des Auskunftsrechts
Das Auskunftsrecht ist das erste der Betroffenenrechte in Kapitel 3 der DSGVO. Es ermöglicht betroffenen Personen, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erlangen. Insbesondere dann, wenn vorausgegangene Datenschutzerklärungen unzureichend über Verarbeitungsvorgänge aufklären, erweist sich das Auskunftsrecht als entscheidendes Instrument. Dieses Recht spielt daher eine zentrale Rolle in der Interaktion zwischen Einzelpersonen und Datenverarbeitungsstellen.
Auskunftsrecht in der DSGVO: Die zwei Stufen
Das Auskunftsrecht nach Art. 15 DSGVO folgt einem zweistufigen Prozess. In der ersten Stufe besteht das Recht darauf zu erfahren, ob personenbezogene Daten bei einer bestimmten Stelle verarbeitet werden. Die zweite Stufe ermöglicht es, spezifische Informationen anzufordern. Dies umfasst Details zu Verarbeitungszwecken, Kategorien verarbeiteter Daten, Speicherdauer, Empfänger von Daten und deren Quellen. Falls Daten in Drittstaaten übertragen werden, muss die betroffene Person darüber und über die angemessenen Datenschutzgarantien informiert werden.
Ein wichtiger Aspekt des Auskunftsrechts ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 12.01.2023 (Rs. C-154/21). Hier wurde festgestellt, dass, wenn möglich, konkrete Datenempfänger genannt werden sollten, anstatt nur die Kategorien von Empfängern anzugeben.
Einschränkungen im Sozialgesetzbuch
Im Bereich des Sozialdatenschutzes findet das Auskunftsrecht gemäß Art. 15 DSGVO Anwendung, jedoch unter Einbindung von § 83 SGB X. Dies ermöglicht dem deutschen Gesetzgeber, das Recht unter bestimmten Bedingungen zu begrenzen. Die Beschränkungen sind in § 83 SGB X definiert und können in fünf Fallgruppen zusammengefasst werden:
- Gefährdung gesetzlicher Aufgaben oder öffentlicher Ordnung: Das Auskunftsrecht kann beschränkt werden, wenn die ordnungsgemäße Erfüllung einer gesetzlichen Aufgabe gefährdet ist oder die öffentliche Ordnung beeinträchtigt wird.
- Geheimhaltungspflicht: Informationen können zurückgehalten werden, wenn Daten oder deren Speicherung geheim gehalten werden müssen, etwa aufgrund von gesetzlichen Vorschriften oder berechtigten Interessen Dritter.
- Erwartung der Übermittlung: Das Offenlegen von Empfängern kann eingeschränkt werden, wenn die betroffene Person damit rechnen muss, dass Daten an bestimmte Empfänger übermittelt werden.
- Zusammenarbeit zwischen Stellen: Auskünfte über Empfänger können begrenzt werden, wenn die Verarbeitung innerhalb einer verantwortlichen Stelle oder aufgrund gesetzlicher Zusammenarbeit zwischen verschiedenen Stellen erfolgt.
- Strafverfolgung und Sicherheit: Informationen an bestimmte Stellen wie Strafverfolgungsbehörden können nur mit Zustimmung erteilt werden.
Fazit: Datenschutz und öffentliche Interessen im Gleichgewicht
Die Kombination von Art. 15 DSGVO und § 83 SGB X im Sozialdatenschutz verdeutlicht das komplexe Wechselspiel zwischen individuellen Datenschutzrechten und öffentlichen Interessen. Während das Auskunftsrecht eine mächtige Waffe zur Gewährleistung von Transparenz und Kontrolle über persönliche Daten darstellt, müssen diese Rechte sorgfältig abgewogen werden, um die ordnungsgemäße Erfüllung öffentlicher Aufgaben und den Schutz der Gemeinschaft sicherzustellen.
Die vorgestellten Regelungen verdeutlichen, dass das Auskunftsrecht im Sozialdatenschutz eine wichtige Rolle spielt. Es ist jedoch in seinen Anwendungsbereichen beschränkt, um ein ausgewogenes Verhältnis zwischen individuellem Datenschutz und öffentlichen Belangen zu gewährleisten. So wird das Ziel verfolgt, sowohl die Rechte und Freiheiten betroffener Personen zu schützen als auch die Erfüllung wichtiger gesellschaftlicher Aufgaben zu ermöglichen. In dieser Balance liegt die Herausforderung und Verantwortung des modernen Datenschutzes.
17. August 2023
Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung. Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.
Klarstellung von Zeitungsberichten
Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.
Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.
Wichtige Orientierungshilfen
Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.
Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.
Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.
9. August 2023
Entscheidung der österreichischen Datenschutzbehörde zur Anwendung von Art. 57 Abs. 4 DSGVO
In einer Entscheidung Anfang 2023 hat die österreichische Datenschutzbehörde (DSB) klare Kriterien für die Anwendung von Art. 57 Abs. 4 DSGVO hinsichtlich offensichtlich unbegründeter oder exzessiver Anfragen festgelegt. Die Angelegenheit dreht sich um einen Beschwerdeführer, der dem Verantwortlichen eine Zahlung von 2.900 EUR für den Verzicht auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung angeboten hatte. In diesem Kontext befasst sich der vorliegende Artikel mit den Hintergründen der Entscheidung, ihrer Bedeutung und möglichen Implikationen für die Anwendung von Betroffenenrechten gemäß Art. 15 DSGVO.
Sachverhalt und DSB-Entscheidung
Der Beschwerdeführer bot an, gegen eine Zahlung von 2.900 EUR auf eine Beschwerde bei der DSB sowie auf eine gerichtliche Verfolgung zu verzichten. In der weiteren Entwicklung des Streitfalls reichte der Betroffene dennoch eine Beschwerde bei der Datenschutzbehörde ein. Die DSB lehnte die Beschwerde unter Berufung auf Art. 57 Abs. 4 DSGVO ab und qualifizierte das Verhalten des Beschwerdeführers als rechtsmissbräuchlich. Die Behörde argumentierte, dass kein tatsächliches Rechtsschutzbedürfnis beim Beschwerdeführer bestehe und die Beschwerde somit als unredlich einzustufen sei.
Die Entscheidung der DSB betont die Parallele zwischen Art. 12 Abs. 5 und Art. 57 Abs. 4 DSGVO, in denen beide Regelungen die Möglichkeit vorsehen, bei offenkundig unbegründeten oder exzessiven Anfragen Maßnahmen zu ergreifen. Hierbei wird insbesondere auf den EDSA verwiesen, der in seinen Leitlinien zu Art. 15 DSGVO eine ähnliche Situation als exzessiven Antrag beschreibt. Die DSB stellte jedoch klar, dass sie den Fall nicht als exzessiv, sondern als offensichtlich unbegründet einstufte.
Übertragung auf Betroffenenrechte
Die Entscheidung wirft eine interessante Frage auf: Können Verantwortliche bei Angeboten zur Unterlassung von Beschwerden gegen Geldzahlungen auf Art. 12 Abs. 5 DSGVO zurückgreifen? Beide Artikel setzen die gleichen Voraussetzungen voraus: ein offenkundig unbegründeter oder exzessiver Antrag. Während es unwahrscheinlich ist, dass Betroffene direkt Zahlungen für den Verzicht auf Rechtsverfolgung anbieten, könnte dies in Situationen auftreten, in denen der Verantwortliche die Fristen zur Erfüllung der Auskunftsansprüche nicht einhält.
In der Praxis können Verantwortliche nun auf die österreichische Entscheidung verweisen, um das Fehlen eines echten Rechtsschutzbedürfnisses bei einer Zahlung für den Verzicht auf Beschwerden oder Klagen zu betonen. Es ist jedoch ratsam, vorsichtig zu sein, insbesondere wenn die Erfüllung der Betroffenenrechte nach Ansicht des Betroffenen nicht korrekt erfolgt ist, bevor solch ein “Angebot” überhaupt gemacht wird.
Fazit
Die Entscheidung der österreichischen Datenschutzbehörde bietet wertvolle Klarstellungen zur Anwendung von Art. 57 Abs. 4 DSGVO im Zusammenhang mit offensichtlich unbegründeten Anfragen und rechtsmissbräuchlichem Verhalten von Beschwerdeführern. Dieser Fall verdeutlicht, dass es in der Praxis wichtig ist, das Rechtsschutzbedürfnis bei der Geltendmachung von Betroffenenrechten zu berücksichtigen. Verantwortliche könnten auf diese Entscheidung verweisen, um den Missbrauch von Betroffenenrechten zu bekämpfen, insbesondere in Fällen, in denen finanzielle Anreize für den Verzicht auf Beschwerden angeboten werden. Die Anwendung von Art. 57 Abs. 4 DSGVO könnte somit als zusätzliches Instrument dienen, um die Integrität und den ernsthaften Charakter von Datenschutzbeschwerden zu wahren. Es bleibt abzuwarten, wie andere Datenschutzbehörden auf internationaler Ebene auf solche Angebote reagieren werden und ob ähnliche Entscheidungen ergehen werden.
7. August 2023
Berliner Datenschutzbeauftragte verhängt Sanktionen
Ein Unternehmen steht in der Kritik, da es heimlich sensible Informationen über ihre Angestellten gesammelt hat. Die Berliner Datenschutzbeauftragte, Meike Kamp, hat dieses Vorgehen als rechtswidrig erachtet und Sanktionen verhängt.
Wie bereits im Mai 2021 bekannt wurde, sammelte das Unternehmen während der Probezeit sensible Daten über seine Angestellten, darunter Informationen darüber, ob sich Mitarbeiterinnen und Mitarbeiter einer Psychotherapie unterzogen oder Interesse an der Gründung eines Betriebsrats zeigten. Diese Informationen wurden auf einer sogenannten Negativliste erfasst, die dazu diente, die Angestellten zu bewerten und darüber zu entscheiden, wem nach Ablauf der Probezeit gekündigt wird.
Verstöße gegen die DSGVO
Die Berliner Datenschutzbeauftragte hat in ihrer Untersuchung massive Verstöße gegen den Datenschutz festgestellt. Eine Vorgesetzte hatte die sensiblen Daten ohne Wissen der betroffenen Angestellten gesammelt, um diese bei der Entscheidung über eine Weiterbeschäftigung zu berücksichtigen. Insbesondere Angestellte, die eine gewerkschaftliche Organisation unterstützen oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden als “kritisch” oder sogar “sehr kritisch” eingestuft.
Aufgrund dieser schwerwiegenden Verstöße hat die Berliner Datenschutzbeauftragte Bußgelder in Höhe von insgesamt 215.000 Euro gegen das Unternehmen verhängt. Die Negativliste wurde offenbar im März 2021 auf Anweisung der Geschäftsführung erstellt. Als eine betroffene Angestellte die Presse und die Datenschutzbeauftragte informierte, reagierte das Unternehmen und meldete sich noch am gleichen Tag bei der Behörde. Die Zusammenarbeit des Unternehmens mit den Behörden wurde als mildernder Umstand bei der Festsetzung der Bußgelder berücksichtigt.
Sensible Daten besonders schützenswert
Die Datenschutzbeauftragte betont, dass die Verarbeitung solch sensibler Daten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen muss. Insbesondere Gesundheitsdaten zählen zu den besonders sensiblen Informationen und dürfen nur in engen Grenzen verarbeitet werden. Die DSGVO enthält in Art. 9 eine Liste mit “besonderen Kategorien personenbezogener Daten”, zu denen auch Gesundheitsdaten und Informationen über die Gewerkschaftszugehörigkeit zählen. Diese Daten dürfen nur in Ausnahmefällen und unter strengen Voraussetzungen gesammelt und verarbeitet werden, um die Rechte und die Privatsphäre der betroffenen Personen zu schützen.
Fazit
Die Verhängung dieser Bußgelder sendet ein wichtiges Signal an Unternehmen und Arbeitgeber, dass der Datenschutz eine hohe Priorität haben muss und Verstöße gegen die Datenschutzvorschriften konsequent geahndet werden. Angestellte haben ein Recht auf den Schutz ihrer persönlichen Daten, insbesondere wenn es um sensible Informationen wie den Gesundheitszustand geht.
2. August 2023
Am 4. Juli 2023 fällte der Europäische Gerichtshof (EuGH) sein Urteil bezüglich der Meta-Entscheidung des Bundeskartellamts. Der EuGH scheint eine bislang offene juristische Frage geklärt zu haben: Kann eine alternative rechtliche Grundlage für die Datenverarbeitung herangezogen werden, wenn die ursprünglich angegebene Grundlage unwirksam ist, etwa wenn eine Einwilligung rechtswidrig erfolgt ist?
Das Verfahren
Der Hintergrund des Verfahrens liegt in der Praxis von Meta Platforms Ireland und Facebook Deutschland (Meta), Daten seiner Nutzer nicht nur auf Facebook selbst, sondern auch über seine Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und diese zu detaillierten Nutzerprofilen zu verknüpfen. Das Bundeskartellamt (BKartA) sah darin einen Missbrauch der marktbeherrschenden Stellung von Meta. Deswegen erließ das Bundeskartellamt erließ 2019 einen Beschluss gegen Meta, der Gegenstand des vorliegenden Gerichtsverfahrens war. In diesem Beschluss untersagte das Bundeskartellamt Meta, sich durch Zustimmung zu den Allgemeinen Nutzungsbedingungen zur Nutzung von Facebook auch die Erhebung und Verarbeitung von sogenannten “Off-Facebook-Daten” genehmigen zu lassen.
Off-Facebook-Daten
Bei den Off-Facebook-Daten handelt es sich um Informationen, die Meta außerhalb von Facebook, Instagram oder WhatsApp sammelt. Diese Daten werden durch das Werbenetzwerk von Meta auf zahlreichen Webseiten und Apps sowie den zum Meta-Konzern gehörenden Online-Diensten erfasst. Mithilfe dieser Off-Facebook-Daten kann Meta das Konsumverhalten, die Interessen, die Kaufkraft und die Lebenssituation der Nutzer in Profilen erfassen. Auf dieser Grundlage können gezielte und personalisierte Werbenachrichten an die Facebook-Nutzer gesendet werden.
BKartA rügt Metas Nutzungsbedingungen
Die Nutzungsbedingungen müssten vielmehr klarstellen, dass diese Daten nur mit ausdrücklicher Einwilligung verarbeitet und mit dem Facebook-Nutzerkonto verknüpft werden. Darüber hinaus dürfe die Einwilligung nicht zur Voraussetzung für die Nutzung des sozialen Netzwerkes gemacht werden. Das Bundeskartellamt war der Ansicht, dass durch diese Gestaltung der Nutzungsbedingungen, die nicht den Marktverhaltensregeln und Werten der DSGVO entspricht, Meta seine marktbeherrschende Stellung missbrauche. Kurz darauf, noch im Jahr 2019, änderte Meta seine eigenen Nutzungsbedingungen dahingehend, dass die Nutzer bei der Nutzung von Facebook-Produkten in die Verarbeitung von Off-Facebook-Daten einwilligen müssen, da ansonsten für die Services keine Kosten entstehen würden.
Gegen diesen Beschluss des Bundeskartellamts legte Meta gerichtlichen Widerspruch ein. Im Laufe dieses Verfahrens wandte sich das Oberlandesgericht (OLG) Düsseldorf in einem sogenannten Vorlageverfahren an den EuGH. Bei einem Vorlageverfahren entscheidet der EuGH nicht als höhere Instanz über den jeweiligen Rechtsstreit, sondern beantwortet spezifische Fragen zur Auslegung des Europäischen Rechts, wie beispielsweise der DSGVO.
Die Vorlage an den EuGH
Der EuGH hat ausschließlich zu den spezifischen Fragen des vorlegenden Gerichts Stellung genommen, und die Antworten des EuGH sind für das OLG Düsseldorf bindend, wenn es seine eigene Entscheidung in der Sache trifft. Letztendlich liegt die endgültige Entscheidung in der Zuständigkeit des OLG Düsseldorf.
Das Urteil hat auch erhebliche Auswirkungen auf zukünftige Bewertungen im Bereich des Datenschutzes. Die Tatsache, dass ein soziales Netzwerk kostenlos ist, bedeutet nicht automatisch, dass die Daten des Nutzers ohne dessen Einwilligung zur Personalisierung von Werbung verarbeitet werden können. Daher kann das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO keine rechtliche Grundlage dafür sein. Jedoch hat der EuGH wiederholt betont, dass Marketing weiterhin auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, sofern die Nutzungsbedingungen von Meta transparent und für den Nutzer verständlich geändert werden. Somit wird auch in Zukunft Werbung ohne Einwilligung möglich sein.
Das Urteil scheint auch eine bisher ungeklärte Frage zu beantworten, nämlich ob alternative Rechtsgrundlagen aus Art. 6 Abs. 1 lit. b-f DSGVO überhaupt herangezogen werden können, wenn eine zuvor erteilte Einwilligung als rechtswidrig erachtet wird. Der EuGH betont jedoch, dass solche alternativen Rechtsgrundlagen in solchen Fällen eng auszulegen sind.
BfDI Professor Ulrich Kelber äußerte sich dazu wie folgt: “Ich bin erfreut darüber, dass der EuGH anerkennt, wie wichtig die Einhaltung von Datenschutzanforderungen für den Wettbewerb ist und dass Kartellbehörden befugt sind, die Vereinbarkeit des Verhaltens von Unternehmen mit dem Datenschutzrecht zu überprüfen. Mein Glückwunsch geht an das Bundeskartellamt für diesen Erfolg.”
Zusammenarbeit zwischen Datenschutz- und Kartellbehörden
Der EuGH klärte auch, dass Verstöße gegen die DSGVO vorrangig von Datenschutzaufsichtsbehörden festgestellt werden sollten. Das bedeutet, dass das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden in datenschutzrechtliche Fragen einbeziehen muss, bevor es eigene Entscheidungen trifft.
Hierzu kommentierte der BfDI: “Kartell- und Datenschutzaufsichtsbehörden können datengetriebene Geschäftsmodelle nur erfolgreich regulieren, wenn sie eng zusammenarbeiten. Das bestätigt die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren. Gemeinsam mit unseren europäischen Kolleginnen und Kollegen werde ich die Entscheidung in der Task Force des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und Best Practices für eine effiziente Zusammenarbeit festlegen, damit Bürgerinnen und Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen geschützt werden. Die Erfahrungen der Zusammenarbeit in Deutschland sind dafür eine gute Grundlage.”
Fazit
Zusammenfassend lässt sich festhalten, dass Onlinemarketing auch in Zukunft weiterhin möglich sein wird. Obwohl diese Entscheidung sich speziell auf den Einzelfall Meta konzentriert hat, enthält sie dennoch neue und wertvolle Erkenntnisse, die auch für die Bewertung anderer Social Media Dienste relevant sein könnten, die keine marktbeherrschende Position innehaben und weniger Daten sammeln oder andere Techniken verwenden.
31. Juli 2023
Die Datenschutzkonferenz (DSK) veröffentlichte Anfang dieses Monats eine Stellungnahme zum Referentenentwurf zur Verordnung über Dienste zur Einwilligungsverwaltung des Bundesministeriums für Digitales und Verkehr (BMDV). Der Entwurf behandelt die konkrete Umsetzung des § 26 Abs. 2 TTDSG. Dieser sieht vor, dass der Bund eine Rechtsverordnung erlassen darf, in der die Funktionen von Diensten zur Einwilligungsverwaltung und ihre Anerkennung durch eine zuständige unabhängige Stelle geregelt wird.
Künftig keine Cookie-Banner mehr?
Für Telekommunikationsanbieter sieht § 25 Abs. 1 TTDSG vor, eine Einwilligung von den Nutzern einzuholen, sie sie ihre Informationen im Endgerät speichern oder auslesen. Ausnahme dazu bildet § 25 Abs. 2 TTDSG, nach dem bei erforderlichen Technologien keine Einwilligung für das Speichern oder Auslesen notwendig ist. Dies ist Grund, weshalb beim Besuch einer Webseite der Nutzer jedes Mal seine Einwilligung für die Verwendung von Cookies abgeben muss (zu den Regelungen des TTDSG berichteten wir – hier -). Um die Anwendung von Cookies und insbesondere die Abgabe der Einwilligung zu vereinfachen, sieht das TTDSG die Einrichtung sog. Dienste zur Einwilligungsverwaltung vor. Mit Hilfe der Dienste können Nutzer ihre Einwilligungspräferenzen einmal festlegen. Diese übermitteln die Einwilligung dann weiter an Webseitenbetreiber, sodass nach dem Entwurf das erklärte Ziel ist, dass kein Cookie-Banner mehr verwendet werden, müssen. Dies kann dazu beitragen, dass Nutzer Cookie-Banner nicht ungelesen „wegklicken“ und damit eine uninformierte Einwilligung abgeben.
Reaktion der DSK
Aus Sicht der DSK sei es allerdings nicht möglich keine Cookie-Banner einzusetzen. Aus Sicht der DSK seien Cookie-Banner regelmäßig so gestaltet, dass nicht nur eine Einwilligung nach § 26 TTDSG eingeholt werden. Der Banner diene auch dazu eine Einwilligung nach art. 6 Abs. 1 lit. A Datenschutz-Grundverordnung (DSGVO) und nach § 9 Abs. 1 lit. a) DSGVO einzuholen. Für diese beiden von § 25 TTDSG zu unterscheidenden Rechtsgrundlagen bietet § 26 TTDSG gerade keine Rechtsgrundlage. Die Einwilligungen nach der DSGVO dienten anderen Zwecken.
Unabhängig von der Frage nach weiterhin erforderlichen Einwilligungen, enthalte der Entwurf, so die DSK, nicht die Möglichkeit, dass Nutzer einmal gegenüber dem Dienst eine Einwilligung abgeben und anschließend jede Webseite ohne Aufzeigen eines Cookie-Banners frei zugänglich sei. Stattdessen müsse der Nutzer bei jedem erstmaligen Besuch einer jeden Webseite eine Einwilligung abgeben. Diese könne anschließend über den Dienst gespeichert werden, sodass der Nutzer die Einwilligung nur einmal abgeben müsse.
Fazit
Nach dem jetzigen Stand ist mit dem neuen Entwurf ein Abrücken von Cookie-Bannern nicht denkbar. Für die Nutzer wie auch für Unternehmen bleiben Cookies ein wichtiges Thema, dessen Umsetzung in der Praxis künftig eine Erleichterung finden kann. Derzeit bieten viele Webseiten bereits verschiedene Möglichkeiten zur individuellen Cookie-Verwaltung.
Wenn wir ein Unternehmen, zum Beispiel einen Dienstleister, anrufen möchten, landen wir oft in der Warteschleife, bevor wir mit der gewünschten Abteilung verbunden werden. Während dieser Wartezeit hören wir oft den Hinweis, dass das Gespräch automatisch aufgezeichnet wird, sobald es von einem Mitarbeiter des Unternehmens angenommen wird. Diese Aufzeichnungen dienen möglicherweise internen Schulungszwecken oder dem Qualitätsmanagement. Ist es überhaupt erlaubt, dem Anrufer lediglich die Information zu geben, dass sein Gespräch zu Schulungs- und Qualitätszwecken aufgezeichnet wird?
Diese Fragestellung wurde im Tätigkeitsbericht für das Jahr 2022 (S. 99 ff) von der Sächsischen Datenschutz- und Transparenzbeauftragten behandelt.
Berechtigtes Interesse nicht ausreichend
Die Datenschutz- und Transparenzbeauftragte in Sachsen betont, dass das berechtigte Interesse grundsätzlich nicht als angemessene Rechtsgrundlage für das Aufzeichnen von Telefonanrufen dienen kann. Dies liegt vor allem daran, dass mildere Methoden ersichtlich sind, um beispielsweise Qualitäts- oder Schulungszwecke zu erreichen, wodurch die Notwendigkeit dieser Datenverarbeitung entfällt. Zudem stehen auch die überwiegenden Interessen der Betroffenen dem entgegen, insbesondere ihr Interesse an der Vertraulichkeit des nicht-öffentlichen gesprochenen Wortes.
Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung
Als Rechtsgrundlage für die Aufzeichnung von Telefongesprächen kommt ausschließlich die Einwilligung der Anrufer gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Die Anforderungen für eine datenschutzrechtlich zulässige Einwilligung bemessen sich nach den Kriterien des Art. 7 DSGVO.
Damit muss die Einwilligung der betroffenen Person vor der Gesprächsaufzeichnung in informierter Weise erfolgen, sodass sie genau weiß, worin sie einwilligt. Die Einwilligung muss außerdem aktiv von der jeweiligen anrufenden Person, dem Anrufer, erteilt werden. Der Anrufer muss eine eindeutige, bestätigende Handlung vornehmen, beispielsweise ein mündliches “Ja” oder das Drücken einer speziellen Telefontaste, um der Aufzeichnung zuzustimmen. Die verantwortliche Stelle, die das Gespräch aufzeichnen möchte, muss die Einwilligung der betroffenen Person nachweisen können. Darüber hinaus ist zu beachten, dass eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.
Sonderfall: Konkludente Einwilligung
Eine konkludente „Einwilligung“ würde in diesem Fall das eingangs beschriebene Szenario darstellen: Sprich der Anrufer erhält die Information, dass das Gespräch aufgezeichnet wird – ohne Zustimmungs- oder Ablehnungsmöglichkeit. Vielmehr wird dann seitens der verantwortlichen Stelle davon ausgegangen oder sogar ggf. in der Ansage thematisiert, dass mit dem Halten bzw. Fortsetzen des Anrufs „konkludent“ in die Aufzeichnung eingewilligt wird. Hier wird dann seitens der verantwortlichen Stelle sinngemäß die Ansicht vertreten, dass der Anrufer über die Aufzeichnung informiert wird und wenn er das nicht möchte, sich anderweitig mit dem Unternehmen in Verbindung setzen kann – jedoch nicht telefonisch ohne Aufzeichnung. Bzgl. konkludenter Einwilligungen problematisiert die Sächsische Datenschutz- und Transparenzbeauftragte insbesondere die Freiwilligkeit der „Einwilligung“.
Die Freiwilligkeit einer Einwilligung ist eine der Grundvoraussetzungen für ihre Zulässigkeit. Die Sächsische Datenschutz- und Transparenzbeauftragte führt hierzu aus, dass von der Freiwilligkeit der konkludenten „Einwilligung“ im Anruf-Szenario nur dann ausgegangen werden könnte, wenn den Anrufern angemessene Alternativen zur telefonischen Kontaktaufnahme mit Aufzeichnung angeboten würden. Ein Verweis auf eine alternative Kontaktaufnahme beispielsweise per E-Mail kann der Freiwilligkeit jedoch entgegenstehen. Dies resultiere daraus, dass die Kontaktaufnahme per E-Mail nicht grundsätzlich als angemessene Alternative zur telefonischen Kontaktaufnahme gewertet werden könne. Eine „konkludente Einwilligung“ sollte vorliegend also nicht als Rechtsgrundlage herangezogen werden.
Opt-Out ist keine Einwilligungsmöglichkeit
Es reicht nicht aus, wenn den Anrufern lediglich mitgeteilt wird, dass Anrufe grundsätzlich aufgezeichnet werden, aber eine Aufzeichnung abgelehnt werden kann. Eine solche Vorgehensweise entspricht nicht einer rechtsgültigen Einwilligung gemäß der DSGVO. Konkret bedeutet dies, dass die bloße Information über die Aufzeichnung und das Anbieten einer Widerspruchsmöglichkeit – zum Beispiel durch das gesprochene “Nein” als Ablehnung der Aufzeichnung – nicht ausreichend ist. Die Sächsische Datenschutz- und Transparenzbeauftragte betont auch nochmals, dass die Einwilligung aktiv erklärt werden muss und nicht durch einen Widerspruch in Form einer Ablehnung erfolgen kann.
Fazit
Zusammenfassend kann festgestellt werden, dass für die rechtskonforme Aufzeichnung von Telefongesprächen eine aktive Einwilligung der betroffenen Personen erforderlich ist. Konkludente Einwilligungen oder das berechtigte Interesse können hier grundsätzlich nicht als angemessene Rechtsgrundlagen betrachtet werden.
Pages: 1 2 3 4 5 6 7 ... 262 263 
