Schlagwort: Datenschutzgrundverordnung

Auskunftsanspruch im Arbeitsverhältis

30. Juni 2020

Gegen einen Anspruch auf Datenkopie des Art. 15 Abs. 3 DSGVO eines Arbeitnehmers kann sich der Arbeitgeber wehren, wenn der dafür erforderliche Aufwand in groben Missverhältnis zum Leistungsinteresse steht. Das hat jedenfalls das AG Düsseldorf entschieden (noch nicht rechtskräftig).

Das Gericht gestand dem Arbeitnehmer einen Auskunftsanspruch im Grundsatz zu. Dazu führt es aus, dass die Auskunft vollständig und so konkret und detailliert sein muss, dass sich der Betroffene ein Bild davon machen kann welche Datenverarbeitungen zu welchen Zwecken erfolgen.

Der Arbeitgeber hat in der erteilten Auskunft pauschal erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, c und f DSGVO erfolge. Diese Auskunft stelle keine konkrete und detaillierte Zwecksetzungen dar, so das Gericht. Verstärkt werde dies dadurch, dass der Arbeitgeber auf einen Anhang verwiesen hatte. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.

Besonders interessant sind die Ausführungen zum weiteren Klagebegehren des Arbeitnehmers – der Herausgabe einer Datenkopie. Das AG Düsseldorf folgert aus dem Grundsatz von Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a DSGVO, der für die gesamte Datenverarbeitung gelte, dass dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden könne. Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse des Arbeitnehmers.

Immer öfter beschäftigen sich Gerichte mit der Frage, wie weit der Auskunftsanspruch des Art. 15 DSGVO geht. Wir berichteten bereits über ein Urteil des LG Heidelberg. Hier wies das Gericht ein Auskunftsbegehren mit der Begründung ab, dass die Wiederherstellung und Aufbereitung der Daten aus einem Backup in dem konkreten Fall einen unverhältnismäßigen Aufwand darstellten. Es bleibt abzuwarten, ob zukünftige Rechtsprechung auf dieser Linie bleibt.

Kein Anspruch auf Auskunft über Backup-Daten bei unverhältnismäßigem Aufwand

24. April 2020

Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.

Präzisierung des Anspruchs auf Auskunft bei umfangreicher Verarbeitung

In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.

Den umfassenden Hauptantrag der betroffenen Person wies das Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:

Zweifel an Erstreckung des Anspruchs auf Backup-Daten

Es könne bereits bezweifelt werden, dass der Verantwortliche die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet. Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der Verantwortliche ein Zugriffsrecht hat.

Unverhältnismäßiger Aufwand gemessen am Informationsinteresse

Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.

Bewertung

Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.

Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.

Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.

Herzlichen Dank

20. Dezember 2018

Liebe Leserinnen und Leser,

wir bedanken uns recht herzlich für Ihr Interesse an unserem Datenschutzblog in diesem Jahr.
Das Jahr 2018 war durch den Eintritt der Datenschutz-Grundverordnung sehr ereignisreich.

Wir hoffen, Sie auch im kommenden Jahr mit vielen interessanten Themen und Beiträgen über datenschutzrechtlichen Nachrichten auf dem Laufenden zu halten.

Hiermit verabschieden wir uns für dieses Jahr und wünschen Ihnen eine schöne Weihnachtszeit sowie einen guten Rutsch in das Jahr 2019.

Ihr Kinast-Team.

Droht Deutschland ein EU-Verfahren aufgrund von Datenschutz-Verstößen?

21. November 2018

Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25.Mai diesen Jahres Wirkung. In diesem Kontext stieg die Anzahl der durch die Datenschutzbehörden zu erfüllenden Aufgaben bekanntermaßen an. Dies resultiert sowohl aus einer steigenden Bereitschaft der Menschen, Verstöße zu melden als auch aus neuen, durch die DSGVO entstandenen Aufgaben.

Dieser Anstieg der Anzahl zu erledigenden Aufgaben scheint die Datenschutzbehörden jedoch trotz der zweijährigen Umsetzung nahezu unvorbereitet getroffen zu haben. Dies geht zumindest aus einem Interview mit Baden-Württembergs Datenschutzbeauftragtem Stefan Brink hervor. Dieser (und andere) konstatierte(n) scheinbar, dass das Personal einiger Bundesländer nicht – oder unzureichend – aufgestockt wurde und hierdurch ein Engpass entstanden sei, der zu langen Wartezeiten bei der Bearbeitung etwaiger Aufgaben führe. Mit anderen Worten seien die Datenschutzbehörden überlastet.

Im Ergebnis führe diese Überlastung zu einer reellen Gefahr, dass Deutschland einem Vertragsverletzungsverfahren ausgesetzt wird. Aus heutiger Perspektive bleibt abzuwarten, ob dies tatsächlich der Fall ist. Insoweit bleiben künftige Veränderungen innerhalb der Behördenstruktur oder aber des Aufgabenausmaßes abzuwarten.

Zu jung für Whatsapp?

24. April 2018

Das könnte zukünftig für alle Whatsapp-Nutzer unter 16 Jahren gelten, denn aus einer Twitter-Meldung des Fan-Blogs WABetaInfo geht hervor, dass der Messaging-Dienst eine Änderung seiner Nutzungsbedingungen zum 25. Mai plant.

Zum jetzigen Zeitpunkt ist ausweislich der Nutzungsbedingungen noch ein Mindestalter von 13 Jahren, bzw. dasjenige Alter erforderlich und ausreichend, welches die Nutzer in ihren Ländern dazu berechtigt, die Dienste von Whatsapp ohne Zustimmung der Eltern zu nutzen. Die bevorstehende Anhebung des Mindestalters ist wohl auf die ab Mai anzuwendende Datenschutzgrundverordnung zurückzuführen. Laut der Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes nämlich erst mit Vollendung seines 16. Lebensjahres rechtens.

Die Gefahren, welche von Chat-Diensten wie Whatsapp für die Persönlichkeitsrechte Minderjähriger ausgehen,  erkannte ein deutsches Gericht bereits 2016 und verurteilte einen Vater zur Löschung des Chat-Dienstes vom Handy seiner Tochter.

Auch wenn die geplante Änderung der Nutzungsbedingungen als wichtiger Schritt in Richtung eines umfassenderen Schutzes der Persönlichkeitsrechte Minderjähriger zu werten ist, könnten sich die tatsächlichen Auswirkungen dieser Regelung in überschaubaren Grenzen halten. Den Mitgliedsstaaten ist es nämlich möglich, durch Rechtsvorschriften eine niedrigere Altersgrenze festzulegen, welche allerdings nicht unter 13 Jahren liegen darf. Zudem ist unklar, ob die Änderung weltweit gelten soll, oder ob hiervon nur bestimmte Länder betroffen sein werden. Weiterhin ist fraglich, wie mit bereits registrierten Nutzern umgegangen werden soll, die unter 16 sind. Da Whatsapp selbst das Alter nicht abfragt, müsste diese Aufgabe vom App-Store übernommen werden. Auch in Anbetracht der Tatsache, dass Whatsapp für viele Kinder und Jugendliche ein unverzichtbares Medium bei der Integration darstellt bleibt abzuwarten, ob und wie sich ein neues Mindestalter praktisch wird umsetzen lassen.

Umzugsadressen einsehbar

5. Juli 2017

Wenn ein Umzug ins Haus steht, kann man über das Internetportal umziehen.de, das von der Deutsche Post Adress GmbH & Co. KG betrieben wird, viele Unternehmen und Institutionen über seine neue Anschrift informieren. Dadurch kann etwa sichergestellt werden, dass auch nach einem Umzug die Zustellbarkeit von Briefen und sonstigen Postsendungen sichergestellt ist.

Vor kurzem hat es bei der Deutsche Post Adress GmbH & Co. KG nun wohl ein Datenleck gegeben. Personen mit entsprechenden Computerfähigkeiten soll es unkompliziert möglich gewesen sein, die von den Nutzern des Portals umziehen.de hinterlegten Daten einzusehen. Konkret sollen Daten zu Namen, Alter und neuer Adresse, Umzugsdatum und E-Mail-Adresse offengelegen haben. Auslöser für diese Panne soll nach Angaben der Post ein Update für das Portal umziehen.de gewesen sein. Kurz nach Bekanntwerden der Sicherheitslücke sei man aber in der Lage gewesen diese zu schließen. Im Anschluss habe man die zuständige Datenschutzaufsichtsbehörde in Nordrhein-Westfalen über den Vorfall informiert und vorsorglich eine Informationsmail an die Nutzer des Portals umziehen.de geschickt.

Diese Datenpanne veranschaulicht, dass es für Unternehmen wichtig ist, bestehende Prozesse für den Umgang mit Datenpannen (Data Breach Management) zu implementieren. Das Bundesdatenschutzgesetz (BDSG) regelt in § 42a gewisse Informationspflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde und den von einer Datenpanne betroffenen Personen. Ein Verstoß gegen diese Verpflichtung stellt nach § 43 Abs. 2 Nr. 7 BDSG eine Ordnungswidrigkeit dar, die mit bis zu 300.000 EUR Geldbuße geahndet werden kann und in den in § 44 Abs. 1 BDSG aufgeführten Fällen sogar eine Straftat darstellt. Die Bedeutung eines funktionierenden Data Breach Managements erhöht sich noch einmal vor dem Hintergrund der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), da diese strengere Maßstäbe als das BDSG stellt und auch höhere Bußgelder vorsieht.

Über die Regelungen der DSGVO zum Umgang mit Datenpannen informieren wir Sie unter anderem auch in unserem nächsten Blogbeitrag der Themenreihe DSGVO.

Videoüberwachung nach BDSG, BDSG-neu und DSGVO

2. Juni 2017

Die praktische Bedeutung der Videoüberwachung, also die Beobachtung mit optisch-elektronischen Einrichtungen, hat in letzter Zeit enorm zugenommen, nicht zuletzt wegen mehr Gewalttaten, erinnert sei an die tragischen Ereignisse in Ansbach und München. Damit rückt das Thema auch vermehrt in den Fokus der Öffentlichkeit. Nun hat auch der Gesetzgeber den Weg frei gemacht für mehr Videoüberwachung. Gemeint ist das im März 2017 verabschiedete Videoüberwachungsverbesserungsgesetz, das den § 6 b BDSG wie folgt erweitert:

„1. Dem Absatz 1 wird folgender Satz 2 angefügt:

„Bei der Videoüberwachung von

  1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Ver-sammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
  2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öf-fentlichen Schienen-, Schiffs- und Busverkehrs,

gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“

  1. Nach Absatz 3 Satz 1 wird folgender Satz eingefügt:

„Absatz 1 Satz 2 gilt entsprechend.“

 

Daraus folgt, dass § 6 b BDSG zwar wie bislang sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt. Indes wird der Anwendungsbereich derart erweitert, als dass unter den Begriff „öffentlich zugänglicher Raum“ nunmehr auch öffentlich zugängliche großflächige Anlagen, also bauliche Anlagen, die nach dem erkennbaren Willen des Betreibers von jedermann betreten oder genutzt werden können und von ihrer Größe her geeignet sind, eine größere Anzahl von Menschen aufzunehmen, verstanden wird. Insbesondere sollen unter § 6 b Abs. 1 S. 2 BDSG Sport-, Versammlungs- und Vergnügungsstätten, Einkaufzentren und Parkräume, die einen entsprechenden Publikumsverkehr aufweisen, fallen. Ob es sich um eine dem öffentlichen Verkehr zugängliche Anlage handelt, ist entweder von der öffentlichen Widmung oder nach dem erkennbaren Willen des Berechtigten von jedermann genutzt oder betreten werden zu können, abhängig. Auf das Eigentum an der Anlage kommt es daher zunächst nicht an.

Vereinfacht gesagt soll durch die Erweiterung die Sicherheit der Bevölkerung erhöht werden. Dementsprechend ist bei der Abwägungsentscheidung nach § 6 b Abs. 1 Nr. 3 BDSG, also beim Einsatz von Videoüberwachung durch Private zwar die gegenläufigen Interessen des Betroffenen zu berücksichtigen, jedoch legt § 6 b Abs. 1 S. 2 BDSG fest, dass der Schutz von Leben, Gesundheit oder Freiheit als besonders wichtiges Interesse zu qualifizieren ist, mit der Konsequenz, dass diese Belange zwar ergebnisoffen, aber schon per se als gewichtiger einzustufen sind.

1 § 4 BDSG-neu

Ab Mai 2018 wird das BDSG-neu (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) gelten. In dessen § 4 gibt es eine Regelung zur Videoüberwachung. Wesentliche Änderungen zum status quo sind jedoch nicht festzustellen. Das bedeutet, dass die Norm wie bisher auch für den öffentlichen- wie nicht-öffentlichen Bereich sowie nur für öffentlich zugängliche Räume Anwendung finden wird. Abs. 2 behandelt die Kenntlichmachung der Videoüberwachung. Mit Abs. 3 der Norm wird die Zulässigkeit des weiteren Datenumgangs beschrieben. Danach muss die Verarbeitung bzw. „Speicherung oder Verwendung“ entweder für die Zweckerreichung oder falls die Daten für einen neuen Zweck verwendet werden sollen, der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich sein. Die Benachrichtigungs- und Löschungspflichten werden sodann in den Abs. 4 und 5 geregelt.

2 DSGVO

Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsvorrang der DSGVO hier nicht. Dafür gibt die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. c und e den Mitgliedstaaten einen Kompetenztitel zur Ausfüllung dieser Lücke (Öffnungsklausel). Diese Lücke wurde vom deutschen Gesetzgeber mit § 4 BDSG-neu bedient.

3 Praxisbedeutung

In der Praxis muss der Rechtsanwender generell nicht nur die DSGVO, sondern eben auch beibehaltenes oder neu geregeltes nationales Datenschutzgesetz überblicken, sofern dies sein Sachverhalt voraussetzt. Neben § 4 BDSG-neu ist beispielsweise auch Art. 35 Abs. 1,3 lit. c DSGVO hier anwendbar, da die DSGVO in diesem Zusammenhang in Fällen systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche eine Datenschutz-Folgenabschätzung zwingend vorschreibt. Gleichwohl soll dies nicht vom eigentlichen Sinn und Zweck der Erweiterung des Anwendungsbereiches ablenken. Mit der Erweiterung kann bestenfalls schon im präventiven Bereich Gefahren in hoch frequentierten Räumen begegnet werden. Insofern ist die Neuregelung insgesamt begrüßenswert.

 

 

 

 

Praktische Fragen zur DS-GVO

14. Juli 2016

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) erstellt derzeit, teilweise gemeinsam mit dem Bayrischen Landesbeauftragten für den Datenschutz, eine Reihe von kurzen Papieren zu konkreten Fragen der EU-Datenschutzgrundverordnung (DS-GVO). Ziel dieser Serie ist es, möglichst praktische Hilfestellungen zur Umsetzung der DS-GVO zu geben, die ab Mai 2018 in Kraft treten wird.

Nach Papieren zur Rolle der IT-Sicherheit sowie zu Fragen der Zertifizierung ist nun ein Papier zur Videoüberwachung nach der DS-GVO erschienen. Die Papiere sollen ein- bis zwei mal im Monat erscheinen und jeweils einzelne Schwerpunkt der DS-GVO beleuchten.

Friedrich fordert eine Meldepflicht bei Datenweitergaben

22. Juli 2013

Bei der Zusammenkunft der europäischen Innen- und Justizminister in Vilnius hat Bundesinnenminister Hans-Peter Friedrich sich dafür ausgesprochen, dass eine Meldepflicht eingeführt werden müsse, wenn Unternehmen Daten von EU-Bürgern an Drittstaaten weitergegeben. Eine Meldepflicht müsse bestehen, da anderenfalls die „Datensouveränität der Bürger“ gefährdet sei.

Anlass der Zusammenkunft war die Beratung der anstehenden europäischen Grundverordnung zum Datenschutz. Zudem wurde über die Lage der syrischen Flüchtlinge gesprochen.

Im Zuge der Zusammenkunft teilte Friedrich seinen europäischen Kollegen mit, dass die USA zugesichert habe, keine Industriespionage betrieben zu haben. Zudem sprach er  sich zur Verbesserung des europäischen Datenschutzniveaus für eine regulierte Selbstregulierung der Wirtschaft aus.

Angela Merkel und der Datenschutz

15. Juli 2013

Die Bundeskanzlerin, Angela Merkel (CDU), hat im ARD-Sommerinterview angekündigt, dass sie die internationalen Regelungen durch ein Zusatzprotokoll zum Datenschutz zum UN-Abkommen über bürgerliche und politische Rechte von 1966 stärken möchte. Sie forderte die anderen europäische Regierungen zur Zusammenarbeit auf, um einheitlich auftreten zu können.

Sie befürwortete es, dass die geplante europäische Datenschutzgrundverordnung europäische Internet-Unternehmen zur Auskunftserteilung verpflichten werde, an wen sie Daten weitergeben. Dies müsse unabhängig davon gelten, wo ein Internet-Unternehmen seinen Sitz habe.

Die Bundeskanzlerin nahm auch Stellung zu der Spionage-Affäre der USA und begrüßte, dass die amerikanische Regierung ankündigte, die Geheimhaltungsstufe von Akten herabzusetzen. Überdies hinaus kündigte sie weitere Gespräche mit den USA und Großbritannien an und zeigte Verständnis mit den Bürgerinnen und Bürger, die sich um die Integrität ihrer Daten sorgen.

1 2