Beschäftigtendatenschutz – Wegfall des § 26 BDSG?

Am 30. März hat der EuGH (Az. C 34/21) entschieden, dass einschlägige landesrechtliche Bestimmungen aus Hessen nicht europarechtskonform sind und daher für die Verarbeitung personenbezogener Daten von Beschäftigten zukünftig nicht mehr angewendet werden können.

Der Beschäftigtendatenschutz für deutsche Unternehmen ist zentral in § 26 BDSG geregelt. Da diese Vorschrift allerdings weitgehend wortgleich mit derjenigen aus Hessen ist, könnte das Urteil weitreichende Folgen für den Beschäftigungsdatenschutz in Deutschland haben.

Die Hessische Aufsichtsbehörde für den Datenschutz hat hierzu eine Handreichung veröffentlicht. Verantwortlichen wird darin empfohlen zu prüfen, welche alternativen Rechtsgrundlagen anstelle von § 26 BDSG für die Verarbeitung von Beschäftigtendaten zur Anwendung kommen könnten. Ein Rückgriff auf die allgemeinen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO ist sowohl notwendig als auch möglich.

Da bislang nicht abschließend über § 26 BDSG entschieden wurde, besteht kein akuter Handlungsbedarf. Gleichwohl sollten Unternehmen sich auf eine Änderung der Rechtsgrundlage vorbereiten und ggf. Datenschutzhinweise für Beschäftigte, Verarbeitungsverzeichnisse u.a. entsprechend umschreiben.

Immer wieder wichtig: Webseiten-Check!

Die durch die Datenverarbeitung auf Websites resultierenden Verstöße gegen die DSGVO sind keineswegs harmlos und können bei Eingreifen der zuständigen Aufsichtsbehörde zu erheblichen Geldstrafen führen. Es ist von entscheidender Bedeutung, dass Unternehmen und Organisationen ihre Verantwortung in Bezug auf den Schutz personenbezogener Daten ernst nehmen und angemessene Maßnahmen ergreifen, um die Privatsphäre ihrer Nutzer zu gewährleisten.

Mögliche Datenverstöße erkennen

Es empfiehlt sich für jedes Unternehmen, regelmäßig einen Check der eigenen Website durchzuführen. Datenverstöße können auf unterschiedliche Weise auftreten, von unzulässigen Serveraufrufen über Cookies oder Trackingdienste. Durch einen regelmäßigen Webseiten Check können mögliche Schwachstellen der Website identifiziert werden. Anschließend lassen sich geeignete Maßnahmen ergreifen, um diese zu beheben. Ein regelmäßiger Webseiten Check kann nicht nur dazu beitragen, rechtliche Konsequenzen zu vermeiden, sondern auch die Sicherheit der Webseite zu erhöhen.

Unterstützung durch einen Datenschutz Website Scan

Der Markt bietet vielseitige Tools, um einen Website-Check effizient durchzuführen. Ein solcher Scan durchleuchtet eine Website umfassend und ermittelt datenschutzrechtliche Stolpersteine.

Die Einhaltung der DSGVO-konformen Datenschutzbestimmungen stellt Webseitenbetreiber vor eine Vielzahl von Herausforderungen. Insbesondere die Pflicht zum Schutz von Besucherdaten sowie die Vorgaben hinsichtlich des Umgangs mit Cookies, Plugins und Tracking erfordern ein umfassendes Know-how und genaue Kenntnisse über die Funktionsweise der eigenen Website.

Neben dem Einsatz eines Tools ist die Aufmerksamkeit jedes Mitarbeiters eines Unternehmens gefordert. Sollten Schwachstellen identifiziert werden, ist der Datenschutzbeauftragte darüber zu informieren.

Schadensersatzanspruch nach verspäteter Auskunft?

Der datenschutzrechtliche Auskunftsanspruch gemäß Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) ist ein kontrovers diskutiertes Thema unter Arbeitgebern und Gerichten. Bereits der praktische Umgang mit Auskunftsanfragen von Beschäftigten stellt Unternehmen vor große Herausforderungen. Diese ergeben sich mitunter aus komplexen rechtlichen Fragestellungen, wie beispielsweise dem Umfang des Auskunftsanspruchs und des Rechts auf Kopie gemäß Art. 15 Abs. 3 DSGVO.

Pflicht der Verantwortlichen

Verantwortliche haben die Pflicht, Betroffenen unverzüglich und spätestens innerhalb eines Monats nach Eingang des Antrags gemäß den Art. 15 bis 22 der DSGVO Informationen über ergriffene Maßnahmen zur Verfügung zu stellen. Gemeint sind alle Formen von Verarbeitungsvorgängen personenbezogener Daten des Anfragenden. Sollten Verantwortliche dieser Verpflichtung nicht nachkommen, begehen sie einen Datenschutzverstoß, der mit empfindlichen Geldbußen geahndet werden kann. Zusätzlich hat der Betroffene ein Recht auf Schadensersatz. Insbesondere die Arbeitsgerichte entscheiden häufig zugunsten der die Auskunft begehrenden Arbeitnehmer.

Entscheidung Arbeitsgericht Oldenburg

Das Arbeitsgericht Oldenburg hat am 09. Februar 2023 (Az. 3 Ca 150/21) einen Arbeitgeber zu einer Schadensersatzzahlung in Höhe von 10.000 Euro verurteilt, da dieser den Auskunftsanspruch eines ehemaligen Arbeitnehmers nicht fristgerecht erfüllt hatte. Nach Art. 15 Abs. 1 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Der Verantwortliche muss auf Verlangen eine Kopie der Daten zur Verfügung stellen. In diesem Fall hatte ein ehemaliger Angestellter Auskunft und eine Kopie seiner Daten verlangt, die ihm jedoch zunächst verweigert wurden. Erst nach 20 Monaten im Rahmen eines Verfahrens vor dem Arbeitsgericht wurde ihm teilweise Auskunft erteilt. Der Kläger erhielt Schadensersatz in Höhe von monatlich 500 Euro für den Zeitraum der Nichterfüllung der Auskunftspflicht.

BfDI verbietet den Betrieb der Facebook-Fanpage – was bedeutet das für Unternehmen?

Professor Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, hat das Bundespresseamt (BPA) aufgefordert, die Facebook Fanpage der Bundesregierung stillzulegen. Der BfDI hat das entsprechende Schreiben Ende Februar 2023 an das BPA gesendet. Das BPA hat ab Zustellung des Bescheides ein Monat Zeit, um eine Klage dagegen zu prüfen.

Betrieb von Facebook-Fanpages nicht datenschutzkonform nutzbar

Von Datenschützern wird bereits seit längerer Zeit die fehlende Vereinbarkeit von Facebook-Fanpages mit dem Datenschutz kritisiert. Das grundlegende Problem besteht darin, dass beim Besuch einer Webseite mit einem Like- oder Share-Button von Facebook oder einer eingebetteten Facebook-Fanpage ein Cookie auf dem Computer des Nutzers abgelegt wird. Dieses Cookie verfolgt das Surfverhalten des Nutzers im gesamten Internet, unabhängig davon, ob er einen Facebook-Account hat oder nicht. Die Verarbeitung personenbezogener Daten erfolgt somit ohne Kenntnis oder Einwilligung der Nutzer und ohne eine rechtliche Grundlage, was gegen die DSGVO verstößt.

Der Europäische Gerichtshof bekräftigte im Jahr 2018, dass die Anforderungen für eine datenschutzkonforme Nutzung von Facebook hoch sind, da der Inhaber der Fan-Page gemeinsam mit Meta (Facebook) als Verantwortlicher anzusehen ist. Problematisch ist dabei, dass der Fan-Page-Inhaber gar nicht weiß, was Facebook mit den Daten eigentlich macht. Die Datenschutzkonferenz äußerte sich zu diesem Urteil und betonte, dass die Zeit der Unwissenheit vorüber ist und dass es für die Betreiber von Fanpages dringenden Handlungsbedarf gibt. Gleichzeitig legte sie dar, dass Probleme nur gelöst werden können, wenn Meta an der Lösung teilnimmt und ein Produkt nach DSGVO-Richtlinien anbietet.

Folge für Unternehmen

Obwohl es bei diesem Bescheid nur bei einer Verwarnung geblieben ist, müssen Unternehmen nun auch mit Bußgeldern rechnen, wenn sie ihre Fanpage weiter betreiben. Es muss im Rahmen des Risikomanagements entschieden werden, ob gegen ein mögliches Vorgehen der Behörden entsprechende Rechtsmittel eingelegt werden und die Fan-Page jedenfalls bis zur Rechtskraft eines möglichen Urteils weiter betrieben werden soll.

EuGH: Empfänger müssen in Auskunft konkret benannt werden

Betroffene können gemäß Art. 15 DSGVO eine Auskunft über den Inhalt und Umfang der sie betreffenden Datenverarbeitungen verlangen. Der Europäische Gerichtshof (EuGH) hat nun entschieden, dass eine Konkretisierung der Empfänger der Daten zwingend erforderlich ist. Diese Entscheidung des EuGH zum Auskunftsanspruch sorgt für Klarheit und Rechtssicherheit. Für Unternehmen bedeutet dies allerdings einen nicht unerheblichen Mehraufwand im Rahmen der Beantwortung von datenschutzrechtlichen Anfragen. Die Rechte von betroffenen Personen werden hingegen weiter gestärkt.

Die klar definierten Regelungen dürften Unternehmen in der Praxis vor neue Herausforderungen stellen. Daher sollte die Beantwortung von Auskunftsersuchen und anderen datenschutzrechtlichen Begehren mit den Datenschutzbeauftragten abgestimmt werden.

Pflichtinhalt einer DSGVO-Datenauskunft

Der Art. 15 DSGVO sieht für Betroffene ein Auskunftsrecht vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist.

Ordnungsgemäße Auskunftserteilung

Der EuGH hat am 12.01.2023 (Az. C-154/21) eine Entscheidung auf Vorlage des österreichischen Obersten Gerichtshofs getroffen. Das Urteil schreibt vor, dass Verantwortliche, die im Rahmen der DSGVO-Auskunft aufgefordert werden, die Identität der Empfänger angeben müssen. Eine Ausnahme bilden Fälle, in denen der Auskunftspflichtige nachweist, dass der Auskunftsantrag offensichtlich unbegründet oder unverhältnismäßig ist. Daher reicht es nicht mehr aus, lediglich die Kategorien der Empfänger zu nennen. Diese Entscheidung des EuGH ist EU-weit verbindlich und hat entsprechende Auswirkungen auf die Auslegung der ordnungsgemäßen Auskunftserteilung. Zukünftig müssen die einzelnen Empfänger identifizierbar bezeichnet werden. Um dies zu gewährleisten, hat der Verantwortliche Angaben zur Firma und mindestens Anschrift jedes einzelnen Empfängers zu machen.

Arbeitszeiterfassung datenschutzkonform umsetzen

Die Arbeitszeit von Mitarbeitern wurde schon immer auf verschiedenen Wegen erfasst und festgehalten. Für mehr Transparenz, Genauigkeit und Zeitersparnis hat die Digitalisierung gesorgt. Diese bietet jedoch einige Gefahren für den Datenschutz sowie die Privatsphäre der Mitarbeiter.

Was ist bei der digitalen Zeiterfassung zu beachten?

Die digitale Zeiterfassung ist für die Durchführung des Beschäftigungsverhältnisses grundsätzlich notwendig und damit nach § 26 Satz 1 BDSG zulässig. Das Bundesarbeitsgericht hat in seiner Entscheidung vom 13.09.2022 (Az.: 1 ABR 22/21) die Arbeitszeiterfassung sogar als gesetzliche Pflicht aus dem Arbeitsschutzgesetz angenommen. Zudem haben Arbeitnehmer sowie Arbeitgeber ein berechtigtes Interesse an der Erfassung der Arbeitszeit (§ 26 Abs. 1 BDSG, Art. 88 ABS. 1 DSGVO; Art. 6 Abs. 1 lit. f DSGVO). Um die Arbeitszeiterfassung datenschutzkonform umzusetzen, kommt es auf die erforderliche Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO an. Demnach dürfen Daten, welche zu einem bestimmten Zweck erhoben wurden, auch nur für diesen verwendet werden. Für andere betriebliche oder außerbetriebliche Zwecke dürfen die personenbezogenen Daten daher nicht verwendet werden.

Was Arbeitgeber nun beachten müssen

Für Arbeitgeber ist die derzeitige Rechtslage eher schwierig. Es besteht nach Auffassung des BAG grundsätzlich eine Zeiterfassungspflicht, welche jedoch erst in der Zukunft durch gesetzliche Ausgestaltung weiter konkretisiert werden wird. Etwaige Umstellungen können daher noch nicht mit absoluter Sicherheit datenschutzkonform erfolgen und müssen gegebenenfalls nachträglich adaptiert werden. Es empfiehlt sich daher, zunächst die internen Prozesse zu evaluieren und mit den derzeitigen Vorgaben des BAG abzugleichen. Hierzu zählt insbesondere eine Bestandsaufnahme der Prozesse, um Beginn, Ende und Dauer der täglichen Arbeitszeit zu dokumentieren.

Ist der Einsatz von Microsoft 365 rechtskonform – oder doch nicht?

Viele Unternehmen nutzen täglich Microsoft 365. In der Vergangenheit wurden immer wieder die Datenschutzkonformität und damit die Rechtskonformität angezweifelt. Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 auch weiterhin datenschutzwidrig und eignet sich dadurch nicht für rechtskonforme Verwendung in beispielsweise Behörden. Die DSK ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Bei den bemängelten Sachverhalten geht es insbesondere um die Verarbeitung personenbezogener Daten. Ab sofort müssen Unternehmen den Datenschutzbehörden von Bund und Ländern nachweisen können, dass der jeweilige Einsatz von Microsoft datenschutzkonform und damit rechtmäßig ist.

Mangelnde Transparenz bei Microsoft 365

Trotz diverser Nachbesserungen ist es Microsoft bisher nicht gelungen, die DSGVO-Konformität von Microsoft 365 sicherzustellen. Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber fehlt es noch immer an der nötigen Transparenz. Es sei nicht vollständig ersichtlich, welche Daten tatsächlich von Microsoft erhoben und verarbeitet werden. Dadurch kann auch kein ordnungsgemäßer und datenschutzkonformer Umgang mit personenbezogenen Daten sichergestellt werden. Für Schulen und Behörden bleibt die Nutzung damit weiterhin untersagt. Zudem wird auch Unternehmen und Privatpersonen von einer Nutzung von Microsoft 365 abgeraten. Nach der Entscheidung der DSK wird Microsoft weitere Maßnahmen ergreifen, um für mehr Transparenz zu sorgen.

Die DSK verfasste eine Zusammenfassung der erreichten Nachbesserungen und bewertete jede einzelne Maßnahme. Dabei stellte die Arbeitsgruppe fest, dass es von Microsoft keine signifikanten Nachbesserungen in der Vertragsgestaltung im Hinblick auf die Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten gab. Diese Nachbesserungen bleiben auch weiterhin erforderlich.

Pflicht einer Datenschutz-Folgenabschätzung

In der Datenschutz-Grundverordnung ist gemäß Art. 35 Abs. 1 geregelt, dass eine Datenschutz-Folgenabschätzung immer dann gemacht werden muss, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Nach Auffassung der Aufsichtsbehörden dürfte ein hohes Risiko in diesem Fall vorliegen.

Abmahnung wegen Google Fonts

Unter Google Fonts versteht sich ein kosten- und lizenzfreies Schriftartenverzeichnis, welches für jeden frei zugänglich ist. Die zur Verfügung gestellten Schriftarten können als Code-Snipped in eine Website eingebunden oder lokal geladen werden. In der jüngsten Vergangenheit wurden viele Abmahnungen versendet, welche den Vorwurf eines Datenschutzverstoßes durch die dynamische Einbindung von Google Fonts beinhalten.

Anwendbarkeit der DSGVO

Bei der dynamischen Einbindung der Schriftarten werden diese nicht lokal gespeichert. Vielmehr wird beim Besuch einer Website eine Verbindung zu den Google-Servern in den USA aufgebaut und die Schriftart wird dynamisch eingebunden. Dabei wird die IP-Adresse des Besuchers übermittelt. Da diese unter die Definition von personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO fällt, ist die Verarbeitung grundsätzlich nur mit einer geeigneten Rechtfertigungsgrundlage zulässig.

Das Landgericht München hat mit Urteil vom 20.1.2022 (Az. 3 O 17493/20) entschieden, dass für den Verarbeitungsvorgang bei der dynamischen Einbindung von Google Fonts die Einwilligung der betroffenen Personen benötigt wird. Zudem stellte das Gericht fest, dass jede fehlerhafte oder fehlende Einwilligung eine Verletzung der allgemeinen Persönlichkeitsrechte der Website-Besucher darstellt.

Was können Website-Betreiber tun?

Infolge des Urteils haben Abmahnungen durch Privatpersonen oder Anwälten deutlich zugenommen, wodurch die Unsicherheit bei Website-Betreibern zunimmt. Sie können die Schriftarten aber herunterladen und lokal ablegen, sodass keine Verbindung zu Google-Servern hergestellt wird. Dann werden auch keine personenbezogenen Daten übermittelt. Mit dieser Form der Einbindung sind Betreiber einer Website rechtlich auf der sicheren Seite und müssen keine Abmahnungen fürchten. Die Website ist daher darauf zu prüfen, ob Google Fonts remote genutzt wird und einzelne Schriftarten von Google-Servern geladen werden.

Endspurt bis Jahresende – die Standardvertragsklauseln

Was sind die Standardvertragsklauseln

Eine Übermittlung von personenbezogenen Daten in Drittländer, also NON-EU-Staaten, erfolgt in der Regel auf der Grundlage von Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c der Datenschutzgrundverordnung (DSGVO). Die neuen Standardvertragsklauseln wurden am 4. Juni 2021 von der EU-Kommission veröffentlicht (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Diese sind grundsätzlich modular aufgebaut und müssen im Einzelfall überprüft und in die Prozesse eines Unternehmens implementiert werden. Weiterhin ist individuell zu prüfen, ob für die geplante Übermittlung von personenbezogenen Daten zusätzliche Schutzmaßnahmen getroffen werden müssen. Der Datenexporteur muss bei Verwendung der neuen Standardvertragsklauseln weiterhin die Rechtslage des Drittlands prüfen und gegebenenfalls Schutzmaßnahmen ergreifen.

Wozu dienen die Standardvertragsklauseln?

Grundsätzlich werden mit den SCCs zwischen Datenexporteuren und Datenimporteuren europäische Datenschutzstandards vertraglich vereinbart. Durch die Nutzung der Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne eine zusätzliche Genehmigung der Datenschutzaufsichtsbehörden erfolgen. Die modular aufgebauten Standardvertragsklauseln können in verschiedenen Konstellationen eingesetzt werden. Hierzu zählen insbesondere Verantwortliche untereinander sowie Verantwortliche an Auftragsverarbeiter eines Unternehmens, Auftragsverarbeiter an Sub-Auftragsverarbeiter und Rückübermittlung des europäischen Auftragsverarbeiters an einen Verantwortlichen im Drittland.

Was ist noch zu beachten?

Datenexportierende Unternehmen müssen auch weiterhin sämtliche auf dieser Grundlage gestützte Übermittlungen von Daten in Drittländer im Einzelfall prüfen. Hierbei ist eine fundierte Risikoeinschätzung von wesentlicher Bedeutung. Bei dieser hat mitunter eine Prüfung des Datenschutzniveaus im Drittland, eine Bestandsaufnahme sowie eine Prüfung möglicher technischer Schutzmaßnahmen zu erfolgen.

Schmerzensgeld bei Datenschutzverstößen

Die Aufsichtsbehörden können bei Verstößen gegen die Datenschutz-Grundverordnung hohe Bußgelder verhängen. Daneben gibt es immer wieder Klagen auf immateriellen Schadensersatz für die Folgen dieser Verstöße. Derartige Klagen kommen von einzelnen Betroffenen, Datenschutzaktivisten sowie Verbraucherverbänden. Für Unternehmen bestehen insbesondere aufgrund der hohen Forderungen besondere Risiken. Die aktuelle Rechtsprechung sowie die Nutzung von Legal Tech fördern zusätzlich das Risiko, einer Vielzahl von Schadensersatzforderungen ausgesetzt zu sein.

Rechtliche Grundlage

Nach Art. 82 DSGVO hat jede Person, welche aufgrund eines DSGVO-Verstoßes einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Schmerzensgeld. Als „Schmerzensgeld“ wird der Schadensersatz wegen immaterieller Schäden bezeichnet. Wie bei einem materiellen Schadensersatzanspruch muss der Verstoß gegen Pflichten aus der DSGVO kausal, also ursächlich, für einen eingetretenen Schaden sein. Die Pflichtverletzung muss von dem Schädiger auch zu verantworten sein, wobei das Verschulden gesetzlich vermutet wird. Der Anspruchssteller muss einen tatsächlich erlittenen Schaden darlegen, allerdings wird den Begriff des Schadens weit ausgelegt. Ob eine bestimmte Schadenshöhe erreicht sein muss, ist derzeit noch umstritten (Bagatellschäden). Bei der Höhe des Schmerzensgeldes ist der konkrete Einzelfall maßgeblich. Grundsätzlich kann festgestellt werden, dass je tiefer der Eingriff in das Persönlichkeitsrecht des Betroffenen eingreift, desto höher fällt der immaterielle Schaden aus.

Compliance-Maßnahmen

Unternehmen sollten sich auf regulierte Prozesse und Kontrollen konzentrieren, um Verstöße bestmöglich zu vermeiden.