Schlagwort: Informationspflichten

Fotodokumentation betrieblicher Veranstaltungen

6. Februar 2019

Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.

Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.

Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.

Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.

Google geht gegen CNIL Entscheidung vor

28. Januar 2019

Das Unternehmen Google scheint gegen die kürzlich ergangene Entscheidung der Commission Nationale de l’Informatique et des Libertés (CNIL) vorzugehen. So sei Google weiterhin der Meinung, den Informatonspflichten genügt zu haben und beruft sich überdies darauf, diese in Absprache mit den Behörden vorgenommen zu haben.

Die CNIL hatte gegenüber Google eine Strafe in Höhe von 50 Millionen Euro ausgesprochen. Ob diese Bestand hat, wird sich nun zeigen. Es bleibt die Entscheidung des obersten Verwaltungsgerichtes – dem Staatsrat – abzuwarten.  

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

Primera División-App hört Nutzer ab

12. Juni 2018

Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.

Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.

Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.

Facebook kündigt Privacy-Center an

20. Februar 2018

Vor wenigen Tagen hat der Social-Media-Riese Facebook seine Einstellungen für die Privatsphäre überarbeitet. Im Rahmen der Änderungen hat es auch erstmalig seine Datenschutzgrundlagen veröffentlicht und zeigt in diesen auf, welche Informationen der Nutzer zu welchem Zweck gesammelt und geteilt werden. Bislang hatte Facebook diese in langen und intransparenten Nutzungsbedingungen vorgehalten.

Darüber hinaus kündigte das US-amerikanische Unternehmen an, innerhalb seines Netzwerkes mit einem sogenannten Privacy Center online zu gehen. Das Privacy Center soll für die Nutzer alle datenschutzrechtlich relevanten Einstellungen bündeln und damit die Verwaltung und den Schutz der Informationen erleichtern. Mit zukünftigen Erklärvideos in der Timeline will Facebook seine Nutzer auf das neue Feature aufmerksam machen und deren Bewusstsein für sichere Privatsphäreeinstellungen steigern. Ein konkretes Datum, wann das Privacy Center für die Nutzer zur Verfügungen stehen soll, gab Facebook allerdings nicht an.

Mit Einführung des Privacy Centers trägt Facebook insbesondere den künftigen, gesetzlichen Pflichten der DSGVO Rechnung, nach denen Unternehmen ihren Nutzern den Umgang mit personenbezogenen Daten einheitlich und transparent präsentieren müssen und die Nutzer dabei insbesondere detailliert über die Art, den Umfang und die Zwecke der Verarbeitung informieren müssen.

Sind umfassende DSGVO-Informationspflichten auf Videoüberwachung anzuwenden?

1. Februar 2018

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:

  • Name und Kontaktdaten des Datenverarbeiters
  • Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
  • Zweck(e) der Verarbeitung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
  • Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
  • Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
  • Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
  • Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
  • Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
  • Ggf. Informationen zum Bestehen einer „automatisierten Einzelentscheidung“ im Kontext der jew. Verarbeitung

Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte „Datenschutzkonferenz“, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers („Videoüberwachung nach der Datenschutz-Grundverordnung“) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:

  • Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
  • Identität des Überwachenden
  • Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
  • Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern einschlägig
  • Dauer der Speicherung (Löschzeitpunkt)
  • Hinweis auf den Zugang zu den weiteren Pflichtinformationen

Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.

Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.