REICHWEITE DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEIT BEI KOMMUNEN

Der verantwortlichen Stelle kommt im Normgefüge der Datenschutz-Grundverordnung (DS-GVO) eine ganz besondere Bedeutung zu: Dieser obliegt die Umsetzung der datenschutzrechtlichen Anforderungen, insbesondere der Sicherstellung der datenschutzrechtlichen Grundätze, der Vornahme der weitreichenden Dokumentationspflichten sowie der Implementierung entsprechender Prozesse zur Beantwortung von Betroffenenanfragen und Meldung von Datenschutzverletzungen. Aus diesem Grund stellt sich insbesondere im Zusammenhang mit Kommunen in der Praxis häufig die Frage, wie weit der Begriff der verantwortlichen Stelle zu verstehen ist, beziehungsweise welche Stellen, Einrichtungen und Organe der Kommune als verantwortlichen Stelle zuzurechnen sind.


BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.


KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:


PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.


GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“


ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.


KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.


KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.


UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzmanagement
  • Kindertagesstätte
  • Kommunalverwaltung
  • Stadtrat
  • Verantwortlichkeit
Lesen

EINWILLIGUNG IN TELEFONWERBUNG

Mit Wirkung zum 01. Oktober 2021 nimmt der deutsche Gesetzgeber im Rahmen des Gesetzes für faire Verbraucherverträge vom 10. August 2021 auch eine Änderung des Gesetzes gegen den unlauteren Wettbewerb (UWG) vor. Konkret werden für die Fälle der Telefonwerbung nach § 7 UWG bestimmte Anforderungen an die erforderlichen Einwilligungen gestellt. So dürfen nach der bisherigen Rechtslage Verbraucher gemäß § 7 Abs. 2 Nr. 2 UWG ohne vorherige ausdrückliche Einwilligung nicht zu werblichen zwecken telefonisch kontaktiert werden. Die Gesetzesänderung erweitert nun den Pflichtenkreis des Unternehmers insoweit, als dass an die eingeholten Einwilligungen künftig eine Dokumentationspflicht geknüpft wird.


WAS IST NEU?

Einzug in das Gesetz hält der neue § 7a UWG mit folgendem Wortlaut:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Hinzu kommt eine Änderung des § 20 UWG:

§ 20 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 7 Absatz 1 Satz 1 in Verbindung mit Absatz 2 Nummer 2 oder 3 mit einem Telefonanruf oder unter Verwendung einer automatischen Anrufmaschine gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung wirbt,

2. entgegen § 7a Absatz 1 eine dort genannte Einwilligung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig dokumentiert oder nicht oder nicht mindestens fünf Jahre aufbewahrt […]

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, in den übrigen Fällen das Bundesamt für Justiz.


WAS ÄNDERT SICH NUN KONKRET?

Mit Einführung des § 7a UWG besteht nun künftig wettbewerbsrechtlich eine Pflicht zu Dokumentation für Fälle der Telefonwerbung.  Hinsichtlich des Umfangs der Dokumentation konkretisiert der Gesetzgeber die Anforderungen lediglich insoweit, als dass zum Zeitpunkt der Erteilung der Einwilligung dies in angemessener Form erfolgen soll und diese Dokumentation gemäß § 7a Abs. 1 Satz 1 in Verbindung mit § 7 Abs. 2 Satz 1 UWG ab Erteilung sowie nach jeder Verwendung der Einwilligung für fünf Jahre aufbewahrt wird. Über weitergehende konkrete Anforderungen an die Dokumentation stellt der Gesetzgeber keine Anforderungen.


WAS BEABSICHTIGT DER GESETZGEBER MIT DER GESETZESÄNDERUNG?

Ausweislich des Gesetzesbegründung strebt der Gesetzgeber hier einen verbesserten Schutz vor telefonisch aufgedrängten und untergeschobenen Verträgen und eine effiziente Sanktionierung unerlaubter Telefonwerbung an. Weiter heißt es, dass durch die Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden sollen. Die Pflicht zur Dokumentation wird es werbenden Unternehmen außerdem erleichtern, die Wirksamkeit der Einwilligung zu prüfen.


IST DAMIT ALLES GESAGT?

Nicht so ganz. Die Neuregelung hat zu Recht Kritik erfahren, wobei insbesondere die Vereinbarkeit mit der Datenschutz-Grundverordnung (DS-GVO) in Zweifel gezogen wird. Wie durch den Kollegen Dr. Carlo Piltz bereits anschaulich dargestellt, liegt das Problem im Einwilligungsbegriff verankert, denn das UWG kennt einen solchen nicht. Die Einwilligung im UWG wird durch die Gesetzänderung aber nun Anforderungen unterworfen, welche wiederrum die DS-GVO selbst nicht vorsieht. Es stellt sich daher die Frage, ob zum einen die Dokumentationsverpflichtung und zum anderen die Aufbewahrungspflicht mit der DS-GVO vereinbar sind.

Der Gesetzgeber seinerseits verweist in seiner Begründung darauf, dass die Normen über Art. 94 Abs. 2 DS-GVO sowie Art. 13 in Verbindung mit Art. 2 lit. f) der Richtlinie 2002/58/EG auf die Einwilligung in Telefonwerbung anwendbar sind. Ferner stelle die Regelung eine spezielle Ausfüllung der Beweislastverteilung der in Art. 7 Abs. 1 DS-GVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar.

Im oben genannten Beitrag vom Kollegen Dr. Carlo Piltz wird zurecht darauf abgestellt, dass aufgrund der Tatsache, dass § 7a UWG keine weitere Konkretisierung zur Dokumentation normiert, es durchaus vertretbar erscheint, diese Verpflichtung insoweit mit Art. 5 Abs. 2 in Verbindung mit Art. 7 Abs. 1 DS-GVO als bereits durch die DS-GVO vorgesehene Regelung auszulegen. Bei einem Blick in Art. 7 DS-GVO findet sich jedoch keine Normierung eines näher definierten Aufbewahrungszeitraums.


FAZIT

Durch die Neuregelung des § 7a UWG wird nunmehr ein konkreter Zeitraum vorgegeben, innerhalb dessen die dokumentierte Einwilligung durch den Unternehmer vorgehalten werden muss. Ob hieraus künftig Rechtsunsicherheiten aufgrund der möglichen Unionsrechtswidrigkeit herrühren, muss entsprechend beobachtet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • § 7a UWG
  • Einwilligung
  • Telefonwerbung
  • unlauterer Wettbewerb
  • Werbung
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

OLG DÜSSELDORF: VERÖFFENTLICHUNG VON KINDERFOTOS

Erst vor kurzem beleuchteten wir in unserem Beitrag „Einwilligungen – Wie? Wann? Wofür nicht?“ welche Anforderungen an eine rechtskonforme Einwilligung zu stellen sind und in welchen Situationen sich ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet. Im Rahmen des Beitrages wiesen wir bereits darauf hin, dass bei bestimmten Datenverarbeitungen, welche Kinder betreffen, es der Einwilligung der Träger der elterlichen Verantwortung bedarf. Aus einem aktuellen Beschluss des Oberlandesgerichts Düsseldorf (OLG Düsseldorf, Beschl. v. 20.07.2021 – 1 UF 74/21) geht nun hervor, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist.


SACHVERHALT

Dem streitgegenständlichen Sachverhalt ist zu entnehmen, dass es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die gemeinsamen Kinder leben bei der Mutter, wobei der Vater mit den Kindern einen regelmäßigen Umgang pflegt. Die neue Lebensgefährtin des Vaters wiederum betreibt einen Friseursalon und verbreitete zu Werbezwecken für ihr Friseurgewerbe auf den einschlägigen Profilen bei Facebook und Instagram Aufnahmen der Kinder. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Die Mutter ging hiergegen mit Erfolg gerichtlich vor.


ENTSCHEIDUNG DES OLG DÜSSELDORF

Auch wenn im Rahmen des Beschlusses des OLG Düsseldorf im Kern die Anwendung des § 1628 BGB (Bürgerliches Gesetzbuch) hinsichtlich der gerichtlichen Entscheidung bei Meinungsverschiedenheiten der Eltern thematisiert wird, deren Ausführungen an dieser Stelle nicht weiter ausgeführt werden sollen, sind die weiteren datenschutzrechtlichen Betrachtungen von besonderer Bedeutung:

Zunächst stellt das Gericht klar, dass „das öffentliche Teilen der Bilder bei Facebook und Instagram und ihre Einstellung auf der Webseite […] schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder [hat].“ Dies ergebe sich „aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit.“ Weiterhin wird im Rahmen des Beschlusses deutlich gemacht, dass eine derartige Veröffentlichung von Fotoaufnahmen gegenüber einem unbegrenzten Personenkreis erfolgt und eine Weiterverbreitung dieser kaum kontrollierbar ist. Dies führe zwangsläufig dazu, dass die Kinder (potenziell) für einen unbegrenzten Zeitraum und gegenüber einem unbeschränkten Personenkreis mit Fotoaufnahmen aus der Zeit ihrer Kindheit konfrontiert werden. Nach Auffassung des Gerichtes „tangiert [dies] spürbar die Integrität ihrer Persönlichkeit und ihrer Privatsphäre.“

Darüber hinaus führt das OLG Düsseldorf mit Verweis auf eine frühere Entscheidung des Bundesgerichtshofes (BGH, Urt. v. 28.09.2004 – VI ZR 305/03) aus , dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO (Datenschutz-Grundverordnung) ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dementsprechend komme es grundsätzlich auch nicht darauf an, „ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. […] Denn entscheidend sind nicht die Neigungen, die Bindungen oder der Wille der Kinder. Den Ausschlag gibt [vorliegend] vielmehr die Rechtswidrigkeit der Bildverbreitung mangels der Zustimmung der Mutter.“


AUSWIRKUNGEN FÜR DIE PRAXIS

Für die Praxis ergibt sich aus dem Beschluss des OLG Düsseldorf zwangsläufig die Anforderung, dass im Rahmen einer Veröffentlichung von Fotoaufnahmen von Kindern die Einwilligungen sämtlicher sorgeberechtigter Parteien eingeholt werden. Das bedeutet, dass neben den allgemeinen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung, diese so zu gestalten ist, dass die Notwendigkeit der Einwilligung sämtlicher Sorgeberechtigten deutlich hervortritt. Dies kann beispielsweise durch eine entsprechende Gestaltung der Unterschriftenfelder oder im Rahmen elektronischer Einwilligungserklärungen beispielsweise durch eine Hervorhebung im Text erreicht werden.

Sofern es der verantwortlichen Stelle zuzumuten ist und diese gegebenenfalls bereits Informationen über die sorgeberechtigten Personen vorliegen hat, sollte eine entsprechende Überprüfung der Einwilligungserklärungen erfolgen.


BESONDERER SCHUTZBEDARF PERSONENBEZOGENER DATEN VON KINDERN

Weiterhin ergibt sich aus den Entscheidungsgründen ein weit wesentlicher Aspekt: Die Veröffentlichung von Kinderfotos im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen kann auf die Entwicklung von Kindern enorme negative Auswirkungen haben. In diesem Zusammenhang sollten verantwortliche Stellen – insbesondere solche mit Nähe zu Kindern, z.B. Kindertageseinrichtungen – stets hinterfragen, ob die Veröffentlichung von Kinderfotos im Internet zwingend erforderlich ist. (Zur Erforderlichkeit der Abbildung konkreter Personen unser Beitrag: „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“, DSB 2021, S. 128 ff.). Dies ergibt sich bereits aus Art. 5 Abs. 1 lit. c DS-GVO – dem Grundsatz der Datenminimierung. Eine Veröffentlichung von Fotoaufnahmen verbietet sich erst recht dann, wenn Kinder (teilweise) unbekleidet abgebildet sind. Einen Perspektivenwechsel ermöglicht hierbei auch der Blog von Toyah Diebel.

Darüber hinaus wird in der datenschutzrechtlichen Literatur auch ein weiterer nicht zu vernachlässigender Gesichtspunkt diskutiert: Influencer:innen und Blogger:innen nutzen im Rahmen Ihrer Reichweite Fotoaufnahmen ihrer Kinder zur Platzierung von Werbung. Bei den benannten Personen handelt es sich sodann zugleich sowohl um die datenschutzrechtlich verantwortliche Stelle als auch um die Träger der elterlichen Verantwortung. Ist vor diesem Hintergrund eine solche Datenverarbeitung zulässig oder handelt es sich hierbei womöglich um ein unwirksames Insichgeschäft im Sinne des § 181 BGB?


FAZIT

Aus dem Beschluss des OLG Düsseldorf geht deutlich hervor, dass eine Veröffentlichung von Fotoaufnahmen von Kindern erhebliche Auswirkungen auf die Entwicklung der Kinder haben kann. Die Dimension einer solchen Veröffentlichung bedingt – und dies wurde bereits durch den Gesetzgeber und andere Gerichte erkannt – stets einer Einwilligung sämtlicher sorgeberechtigter Personen. Aufgrund möglicher weitreichender Folgen sollte durch verantwortliche Stellen stets im Vorfeld einer Veröffentlichung geprüft werden, ob eine solche zwingend erforderlich ist und bejahendenfalls für eine konforme Einwilligung der sorgeberechtigten Personen Sorge tragen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Fotoveröffentlichung
  • Internetseite
  • Kinder
  • Soziale Netzwerke
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (11)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Heute erscheint der letzte Teil dieser Reihe, welcher die Lösungen der Fälle 17 und 18 beinhaltet.


FALL 17: LÖSUNG

Viele wird der Sachverhalt erinnert haben an die Datenschutzverletzung bei der 1&1 Telecom GmbH und das anschließende Bußgeldverfahren des Bundesdatenschutzbeauftragten. Dort lag der Fall allerdings etwas anders: Eine Anruferin hatte bei der Hotline des Unternehmens Namen und Geburtsdatum ihres Ex-Mannes genannt, im Gegenzug dessen neue Funknummer mitgeteilt bekommen. Der BfDI verhängte für die (eindeutig) unzureichende Authentifizierungs-Vorgabe ein Bußgeld von 9,6 Millionen Euro, das im anschließenden Einspruchsverfahren auf 900.000 Euro reduziert wurde (Urteil des LG Bonn vom – im Ernst! – 11.11.2020, Az. 29 OWi 1/20).

Der Fall 17 mag daraus abgeleitet sein, leider mit Lücken bei den Angaben zum Sachverhalt: Zur Abschätzung, welche Risiken aus der Datenschutzverletzung resultieren könnten, fehlen wichtige Informationen. Vor allem ist unklar, welche Daten die Telefonrechnung dem unbefugten Dritten offenbart hat. Da dieser Dritte für die eigene Legitimation gegenüber dem TK-Unternehmen Steuernummer und Postanschrift der betroffenen Person nutzte, waren ihm solche Daten offenbar schon bekannt.

Falls die versendete Rechnung außer den (bekannten) Adressdaten der betroffenen Person und den (datenschutzrechtlich irrelevanten) Daten des TK-Unternehmens nur den Rechnungsbetrag enthielt, wäre das Missbrauchsrisiko sehr gering. Wenn zusätzlich z.B. (dem Angreifer zuvor nicht bekannte) Telefon- und Vertragsnummern oder sogar Bankverbindungsdaten und Abrechnungsdaten für Einzelgespräche verschickt wurden, ergibt sich eindeutig ein anderes Bild (und ein viel höheres Missbrauchsrisiko).

Vom letztgenannten Szenario scheint der EDSA ausgegangen zu sein (ohne dies im Sachverhalt klarzustellen) und sieht offenbar deshalb in seiner Richtlinie Meldepflichten sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber der betroffenen Person. In der Variante „Übermittlung lediglich eines Monats-Rechnungsbetrages an einen unbefugten Dritten“ wäre die Ablehnung beider Meldepflichten sehr gut vertretbar.

Die Begründung der EDSA-Richtlinie für die Annahme der Meldepflichten (Textziffer 124) ist nur bei Unterstellung „reichhaltiger Rechnungsdaten“ verständlich. Argumentiert wird dort mit hohen Risiken, weil sich aus den Rechnungsdaten Informationen über das Privatleben der betroffenen Person ergeben könnten, z.B. Gewohnheiten und Kontakte (dazu nötig: Verbindungsdaten zu Einzelgesprächen). Der EDSA behauptet sogar Risiken für die körperliche Unversehrtheit („risk to physical integrity“), obwohl laut Sachverhalt der Angreifer bereits vor der Datenschutzverletzung die Adressdaten der betroffenen Person kannte (und im Call-Center verwendete). Bei Neuauflage der EDSA-Richtlinie sollte Fall 17 also „nachgearbeitet“ werden.

Immerhin findet sich jedoch ein wichtiger Hinweis auf einen meist einfachen und zuverlässigen Weg zur Authentifizierung: Bei Änderung von Kontaktdaten (z.B. der E-Mail-Adresse) sollte stets eine Bestätigung über die bisherigen Kommunikationskanäle (durch Rückfrage z.B. auf die alte E-Mail-Adresse) eingeholt werden.


FALL 18: LÖSUNG

Bei der Fall-Analyse beunruhigt vor allem, dass der Verantwortliche auch im Nachhinein den Zugang des Angreifers und dessen Handlungen im IT-System nur unvollständig aufklären konnte. Neben dem Aspekt der „Vertraulichkeit“ kann der Vorfall also auch „Integrität/Richtigkeit“ und „Verfügbarkeit“ der Daten betreffen. Er umfasst jedenfalls auch für die 89 Mitarbeiter, bei denen „nur“ Namen und Monatseinkommen ausgespäht wurden, Daten mit erhöhtem Schutzbedarf und erhöhtem Missbrauchsrisiko. Meldepflichten bestehen deshalb sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber (allen) Betroffenen.

Der EDSA nennt (in Textziffern 130 und 131) eine ganze Reihe möglicher technischer Maßnahmen zur Wiederherstellung und künftigen Sicherung datenschutzgerechter Abläufe (unter anderem die Einschränkung oder Verhinderung von Regeln zur automatisierten Weiterleitung), betont aber, dass letztlich stets die Umstände des Einzelfalles geprüft und angemessen behandelt werden müssen.


FAZIT

Das wäre dann auch ein schöner Schlusssatz: Entscheiden Sie über die notwendigen Maßnahmen immer unter angemessener Berücksichtigung aller relevanten Umstände des vorliegenden Einzelfalles! Immer richtig, nur in der Praxis nicht sehr hilfreich. Dennoch Dank an den Europäischen-Datenschutzausschuss, weil er mit dieser Richtlinie für den Bereich der Meldepflichten jedenfalls etwas mehr Datenschutz-Klarheit gestiftet hat. Und Dank an Sie für´s Mitmachen!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Social Engineering
Lesen

BETRIEBSRAT UND DATENSCHUTZ – DIE REGELUNG DES § 79a BETRVG

Der Betriebsrat erfährt als Beschäftigtenvertretung eine besondere Rolle im Unternehmen. Damit einher gehen ebenfalls in der datenschutzrechtlichen Betrachtung Besonderheiten, die es sowohl zwischen Arbeitgeber und Betriebsrat als auch zwischen Datenschutzbeauftragten und Betriebsrat zu beachten gilt – dies geht insbesondere aus dem neuen § 79a des Betriebsverfassungsgesetzes (BetrVG) hervor. Der Beitrag befasst sich mit den wichtigsten Eckpunkten und gibt zentrale Handlungsempfehlungen an die Hand.


DER BETRIEBSRAT ALS TEIL DER VERANTWORTLICHEN STELLE

Lange Zeit umstritten war die Frage, ob es sich bei dem Betriebsrat um eine eigene verantwortliche Stelle handelt oder ob dieser dem Unternehmen als verantwortliche Stelle zuzurechnen ist. Eine besondere Bedeutung erlangt(e) diese Fragestellung, da sich die datenschutzrechtlichen Verpflichtungen der Datenschutz-Grundverordnung (DS-GVO) stets an die verantwortliche Stelle richten. Hiervon umfasst sind beispielsweise die umfangreichen Dokumentationspflichten, z.B. das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO oder die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO.

Wie wir bereits in unserem Beitrag zum Betriebsrätemodernisierungsgesetz umfangreich darlegten, hat der Gesetzgeber über die neugeschaffene Regelung des § 79a BetrVG für eine Klarstellung gesorgt. § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche für die Verarbeitung der Beschäftigtendaten im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen, soweit dieser zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben Beschäftigtendaten verarbeitet.

Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft. 


ZUSAMMENARBEIT VON BETRIEBSRAT UND VERANTWORTLICHER STELLE

Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet.

Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten. Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.

Gemäß § 79a Satz 1 BetrVG hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Insoweit ist dieser innerhalb seines Zuständigkeitsbereichs verpflichtet, die ausreichende Umsetzung technischer und organisatorischer Maßnahmen nach Art. 24 und Art. 32 DS-GVO sicherzustellen sowie gegebenenfalls Nachbesserungen durch die verantwortliche Stelle einzufordern. Dieser muss den Betriebsrat zwingend mit den erforderlichen Mitteln, wie beispielsweise geeigneter Sicherungseinrichtungen für Dokumente mit personenbezogenen Daten, bereitstellen. Bei Beratungsbedarf zu datenschutzrechtlichen Sachverhalten darf der Betriebsrat ebenso die Beratungsleistungen des Datenschutzbeauftragten der verantwortlichen Stelle in Anspruch nehmen.


ZUSAMMENARBEIT VON BETRIEBSRAT UND DATENSCHUTZBEAUFTRAGTEN

Insofern bietet sich ebenfalls eine Zusammenarbeit zwischen dem Betriebsrat und dem Datenschutzbeauftragten an. Beispielsweise kann dieser die Beschäftigtenvertretung regelmäßig zu spezifischen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der Betriebsratstätigkeit schulen oder datenschutzrechtliche Beratungen zu (geplanten) Tätigkeiten des Betriebsrates vornehmen.

In den Fokus rückt hierbei das notwendige Vertrauensverhältnis zwischen Betriebsrat und Datenschutzbeauftragten, welches auch durch den Gesetzgeber gesehen wurde. § 79a Satz 4 BetrVG regelt hierzu, dass der oder die Datenschutzbeauftragte gegenüber dem Arbeitgeber zu sämtlichen Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen, zur Verschwiegenheit verpflichtet ist. Weiterhin regelt § 79a Satz 5 BetrVG ebenfalls die Verschwiegenheitsverpflichtung hinsichtlich der Identitäten betroffener Personen gegenüber dem Arbeitgeber. Der vertrauensvollen Zusammenarbeit steht insoweit auch nicht die Stellung des Datenschutzbeauftragten durch den Arbeitgeber als Verantwortlichen entgegen.


FAZIT

Um den Anforderungen des § 79a BetrVG sowie den allgemeinen datenschutzrechtlichen Anforderungen nachkommen zu können, empfiehlt sich der Abschluss einer Vereinbarung oder die Anwendung einer Richtlinie zwischen dem Arbeitsgeber als Verantwortlichen sowie dem Betriebsrat hinsichtlich der datenschutzrechtlichen Zusammenarbeit. Hierbei sollten insbesondere die Unterstützung bei der Geltendmachung von Betroffenenrechten, die unverzüglichen Meldeverpflichtungen im Fall von Datenschutzverletzungen sowie etwaige Zuarbeiten hinsichtlich des Verzeichnisses der Verarbeitungstätigkeiten geregelt werden. Weiterhin sollten Regelungen aufgenommen werden, welche ein Mindestmaß an technischen und organisatorischen Maßnahmen festlegen, um die Sicherheit der Verarbeitung durch den Betriebsrat zu gewährleisten. Der Datenschutzbeauftragte ist auf seine besondere Stellung und die sich in diesem Zusammenhang aus § 79a Satz 4 und 5 BetrVG ergebenden besonderen Verschwiegenheitsverpflichtungen zu sensibilisieren.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.

    Tags:
  • Arbeitgeber
  • Betriebsrat
  • Betriebsrätemodernisierungsgesetz
  • Betriebsverfassungsgesetz
  • Verschwiegenheitsverpflichtung
Lesen

RECHT AUF EINSCHRÄNKUNG DER VERARBEITUNG – ARTIKEL 18 DS-GVO

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO (Datenschutz-Grundverordnung) bietet der betroffenen Person in bestimmten Fällen die Möglichkeit auf Antrag die Verarbeitung der sie betreffenden personenbezogenen Daten auf eine (gesonderte) Speicherung zu begrenzen. Die Möglichkeit zur Geltendmachung dieses besonderen Betroffenenrechts ist jedoch nicht nur an bestimmte und abschließend geregelte Voraussetzungen geknüpft, das Betroffenenrecht gilt zudem nur zeitlich begrenzt. Der Beitrag stellt die Voraussetzungen, Anforderungen und Rechtsfolgen des Rechts auf Einschränkungen dar.


EINSCHRÄNKUNG DER VERARBEITUNG

Unter der Begrifflichkeit der Einschränkung der Verarbeitung ist gemäß Art. 4 Nr. 3 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Der zugehörige Erwägungsgrund 67 zur DS-GVO führt hierzu ergänzend aus, dass zur Beschränkung der Verarbeitung personenbezogene Daten auf ein anderes Verarbeitungssystem übertragen, für Nutzer gesperrt oder auch von Internetseiten entfernt werden können. Insbesondere ist jedoch sicherzustellen, dass eine weitere Verarbeitung der personenbezogenen Daten bereits technisch unterbunden und innerhalb von Systemen unmissverständlich auf die Einschränkung der Verarbeitung hingewiesen wird („Sperrvermerk“). Hieraus wird deutlich, dass das Recht auf Einschränkung der Verarbeitung insbesondere auf eine temporäre Beschränkung zur ausschließlichen Speicherung der personenbezogenen Daten abzielt.

Auch wenn in Art. 18 DS-GVO von Einschränkung und in Erwägungsgrund 67 von Beschränkung die Rede ist, meinen beide Begriffe das Identische. Dies geht insbesondere aus der englischsprachigen Originalfassung der DS-GVO hervor, innerhalb derer in beiden Fällen der Begriff restriction verwendet wird.


VORAUSSETZUNGEN DES RECHTS AUF EINSCHRÄNKUNG DER VERARBEITUNG

Mit Blick auf Art. 18 DS-GVO wird deutlich, dass die Geltendmachung des Rechts auf Einschränkung der Verarbeitung stets von bestimmten Erklärungen der betroffenen Person abhängig ist. Das Vorliegen der einzelnen Voraussetzungen ist dabei von der betroffenen Person qualifiziert nachzuweisen. Im Einzelnen:

Bestreiten der Richtigkeit personenbezogener Daten (lit. a):  Bestreitet die betroffene Person die Richtigkeit der sie betreffenden personenbezogenen Daten muss sie gegenüber der verantwortlichen Stelle hinreichend darlegen, inwiefern eine Unrichtigkeit der Daten vorliegt. Ein allgemeines Bestreiten der Richtigkeit der personenbezogenen Daten, ohne hierfür stichhaltige Anhaltspunkte vorzulegen, ist für die Geltendmachung des Betroffenenrechts nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung kann in diesem Fall als ein zu Art. 16 DS-GVO (Recht auf Berichtigung) vorgelagertes Betroffenenrecht verstanden werden. Zeitlich gilt die Einschränkung ab dem Antrag der betroffenen Person und bis zur abschließenden Prüfung der verantwortlichen Stelle hinsichtlich der (Un-)Richtigkeit der personenbezogenen Daten. Gemäß Art. 12 Abs. 3 Satz 1 DS-GVO hat dies auch bei allen Fällen des Art. 18 DS-GVO unverzüglich, spätestens jedoch innerhalb eines Monats zu erfolgen.

Unrechtmäßigkeit der Verarbeitung (lit. b): Bestreitet die betroffene Person begründet die Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten, steht ihr nach dem Wortlaut des Art. 18 Abs. 1 lit. b DS-GVO grundsätzlich ein Wahlrecht zwischen der Löschung ihrer personenbezogenen Daten nach Art. 17 DS-GVO oder der Einschränkung der Verarbeitung zu. Voraussetzung des Art. 18 Abs. 1 lit. b DS-GVO ist demnach zwingend, dass die betroffene Person einerseits die objektive Unrechtmäßigkeit der Verarbeitung darlegen kann und andererseits explizit die Einschränkung der Verarbeitung verlangt. Eine Einschränkung aufgrund der Unrechtmäßigkeit der Verarbeitung umfasst den gesamten Zeitraum vom Antrag der betroffenen Person bis diese gegebenenfalls zu einem späteren Zeitpunkt die Löschung ihrer personenbezogenen Daten verlangt.

Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen (lit. c): Die Einschränkung der Verarbeitung zu Zwecken der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen durch die betroffene Person stellt einen Sonderfall dar. Im Gegensatz zu den übrigen Voraussetzungen setzt diese ausschließlich ein Interesse der betroffenen Person an der weiteren Verarbeitung – in Form einer Speicherung – voraus. Zwingend ist jedoch, dass die einzuschränkenden personenbezogenen Daten für die Verfolgung von Rechtansprüchen erforderlich sind. Die alleinige Möglichkeit zur Erforderlichkeit für künftige gerichtliche Verfahren ist nicht ausreichend. Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. c DS-GVO gilt für den Zeitraum, in dem die personenbezogenen Daten für die Rechtsverfolgung zwingend benötigt werden.

Widerspruch (lit. d): Die Einschränkung der Verarbeitung im Falle eines Widerspruchs umfasst ausschließlich das allgemeine Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO und demnach nicht Widersprüche gegen eine Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung (Art. 21 Abs. 2 DS-GVO) und wissenschaftlichen oder historischen Forschungszwecken (Art. 21 Abs. 6 DS-GVO). Zeitlich umfasst das Recht auf Einschränkung der Verarbeitung hierbei den Zeitraum von der Geltendmachung des Widerspruchsrechts bis zum Vorliegen des Ergebnisses, ob die berechtigten Interessen der verantwortlichen Stelle die Interessen und Rechte der betroffenen Person überwiegen.


ANFORDERUNGEN AN DIE GELTENDMACHUNG UND BEANTWORTUNG

Art. 18 DS-GVO enthält keine spezifischen Regelungen hinsichtlich (formaler) Anforderungen an die Geltendmachung oder Beantwortung des Rechts auf Einschränkung der Verarbeitung. Insofern kann auf die allgemeinen Anforderungen des Art. 12 DS-GVO verwiesen werden: Die verantwortliche Stelle erleichtert der betroffenen Person die Ausübung des Betroffenenrechts (Art. 12 Abs. 2 DS-GVO), stellt der betroffenen Person alle Informationen hinsichtlich der getroffenen Maßnahmen unverzüglich, spätestens jedoch innerhalb eines Monats (Art. 12 Abs. 3 DS-GVO) und grundsätzlich entgeltfrei (Art. 12 Abs. 5 DS-GVO) zur Verfügung. Weiterhin besteht für die verantwortliche Stelle die Möglichkeit zur Identitätsfeststellung in Zweifelsfällen (Art. 12 Abs. 6 DS-GVO).

Ebenso wie bei der Löschung und Berichtigung personenbezogener Daten ist die verantwortliche Stelle auch in Fällen der Einschränkung der Verarbeitung nach Art. 19 DS-GVO dazu verpflichtet, allen Empfängern, denen personenbezogene Daten der betroffenen Person offengelegt wurden, über die Geltendmachung des Betroffenenrechts zu informieren. Eine Ausnahme hiervon besteht nur dann, soweit sich die Mitteilung gegenüber den Empfängern als unmöglich erweist oder mit einem unverhältnismäßig hohen Aufwand einhergeht.


RECHTSFOLGEN UND AUSNAHMEN

Ist mindestens eine der in Art. 18 Abs. 1 lit. a – d DS-GVO aufgeführten Voraussetzungen erfüllt, besteht für die betroffene Person ein Anspruch auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Für die verantwortliche Stelle entsteht nach dem Wortlaut des Art. 18 Abs. 2 DS-GVO – abgesehen von der reinen Speicherung – ein weitreichendes Verarbeitungsverbot.

Ausnahmen von dem Verarbeitungsverbot bestehen allein im Rahmen der ebenfalls in Art. 18 Abs. 2 DS-GVO abschließend aufgeführten Ausnahmetatbestände: Demnach ist im Falle einer Einschränkung der Verarbeitung personenbezogener Daten eine Verarbeitung über die alleinige Speicherung möglich, sofern (1) die betroffene Person in die Verarbeitung eingewilligt hat, (2) diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, (3) dem Schutz der Rechte einer anderen natürlichen oder juristischen Person dient oder (4) aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates erforderlich ist.


AUFHEBUNG DER EINSCHRÄNKUNG

Wie bereits zuvor dargestellt, handelt es sich bei dem Recht auf Einschränkung der Verarbeitung um ein zeitlich beschränktes Betroffenenrecht. Wurde beispielsweise durch die verantwortliche Stelle die Richtigkeit der verarbeiteten personenbezogenen Daten festgestellt, endet zu diesem Zeitpunkt die Einschränkung der Verarbeitung. Gemäß Art. 18 Abs. 3 DS-GVO hat die verantwortliche Stelle die betroffene Person über die Aufhebung der Einschränkung der Verarbeitung zu unterrichten.


FAZIT

Das Recht auf Einschränkung der Verarbeitung umfasst einige Besonderheiten, die es im Falle einer Geltendmachung des Betroffenenrechts zu beachten und überprüfen gilt. Die formalen Umstände entsprechen jedoch denen der weiteren Betroffenenrechte des Kapitels III der DS-GVO, sodass auch hierbei ein standardisierter Prozess bei der datenschutzkonformen Umsetzung innerhalb der verantwortlichen Stelle helfen kann. Der Datenschutzbeauftragte kann unterstützend bei der rechtlichen Überprüfung der Voraussetzungen, der gegebenenfalls einschlägigen Ausnahmeregelungen sowie der abschließenden Beantwortung der Betroffenenanfrage tätig werden und sollte hierzu zu einem frühestmöglichen Zeitpunkt eingebunden werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Art. 18 DS-GVO
  • Betroffenenrechte
  • Einschränkung der Verarbeitung
  • Richtigkeit
  • Unrechtmäßigkeit
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (10)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Vorletzter Teil der Serie und ein letztes Mal Hausaufgaben: Die EDSA-Richtlinien 01/2021 zu Meldepflichten bei Datenschutz- Verletzungen ist fast „durchgearbeitet“!


FALL 13: LÖSUNG

Die beiden betroffenen Kunden haben jeweils Name und Anschrift des Anderen (wegen der beigefügten Packzettel) erfahren, können außerdem detektivisch auf Schuh- und Fußgrößen sowie modische Vorlieben des anderen Kunden (anhand des fehlgelieferten Schuhmodells) rückschließen. In Fällen dieser Art hätte es im „Datenschutz-Panik-Jahr“ 2018 wahrscheinlich hitzige Diskussionen gegeben, ob (wegen der Schuh- und Fußgröße) biometrische Daten vorliegen. Der EDSA verliert in seiner aktuellen Richtlinie dazu kein Wort, notiert vielmehr allgemein: „Im konkret beschriebenen Fall ist das Risiko gering, weil keine besonderen Kategorien personenbezogener Daten oder Daten mit hohen Missbrauchsrisiken betroffen sind …“ (Rn. 107).

Mit dieser Begründung, dem Fehlen konkreter Nachteile für die Betroffenen und deren geringer Zahl (zwei Personen) wird begründet, dass Meldepflichten weder gegenüber der Aufsichtsbehörde, noch gegenüber den Betroffenen bestehen. Der Verantwortliche solle „für kostenlose Rücksendung der Lieferung und der beigefügten Rechnungen“ sorgen, außerdem die Empfänger auffordern, alle eventuellen Kopien der fehlgeleiteten Rechnungen/Packzettel zu vernichten (Rn. 108). Diese Kommunikation mit den Betroffenen dient der Schadensbeseitigung (ergibt sich also nicht aus Art. 34 DS-GVO).


FALL 14: LÖSUNG

Die (erhebliche) Datenschutz-Verletzung betrifft allein den Aspekt der Vertraulichkeit (Offenlegung von Datensätzen zu mehr als 60.000 Personen an mehr als 60.000 unbefugte Empfänger). Datenintegrität und -verfügbarkeit sind nicht beeinträchtigt.

Der Verantwortliche kann zehntausende Fehl-Empfänger zwar um Löschung der Nachricht bitten, diese aber nicht effektiv kontrollieren. Nach der Lebenserfahrung ist davon auszugehen, dass nicht alle Empfänger der Lösch-Bitte nachkommen. Deshalb verbleibt – mit Blick auf die Inhalte der Datensätze einschließlich Sozialversicherungsnummer – ein erhebliches Missbrauchsrisiko.

Neben der internen Dokumentation sind Aufsichtsbehörde und betroffene Personen über den Vorfall zu informieren.


FALL 15: LÖSUNG

Auch hier betrifft die Datenschutz-Verletzung (wie typischerweise bei Fehl-Adressierungs-Fällen) die Dimension der Vertraulichkeit, nicht die Aspekte der Datenverfügbarkeit und -integrität.

Der EDSA befasst sich (Rn. 115) eingehender mit der Frage, ob die Antworten zu Essensvorlieben (Laktose-Intoleranz) als besondere Kategorie personenbezogener Daten dazu führen können, dass aus der Datenschutz-Verletzung hohe Risiken für betroffene Personen entstehen. Er verneint dies im Ergebnis, weil konkrete Missbrauchs-Szenarien bei Kenntnis der Laktose-Intoleranz nicht erkennbar seien. Betont wird, dass Laktose-Intoleranz „im Gegensatz zu anderen Essensvorlieben … nicht mit religiösen … Anschauungen“ verbunden ist.

Im Ergebnis sieht der EDSA – für mich überraschend – weder Meldepflichten an die Aufsichtsbehörde, noch gegenüber den betroffenen Personen. Bei Offenlegung von Namen, E-Mail-Adressen und Essens-Unverträglichkeiten gegenüber 15 unberechtigten Dritten (Teilnehmern früherer Sprachkurse) glaube ich nicht, dass per se von zuverlässiger Löschung der Nachricht durch sämtliche Fehl-Adressaten ausgegangen werden kann. Außerdem ist (gerade mit Blick auf das branchenspezifische Kursthema) recht wahrscheinlich, einer der Fehl-Adressaten unter Umständen Kontakt mit betroffenen Personen aufnimmt, die dann überrascht wird, weil sie keine Information erhielt. Mir scheint deshalb – abweichend vom EDSA-Vorschlag – eine Meldung des Vorfalls an die Aufsichtsbehörde plausibel und eine Nachricht an die Betroffenen (nicht nach Art. 34 DSGVO geboten, aber) fair und empfehlenswert.


FALL 16: LÖSUNG

Datenverfügbarkeit -und -integrität sind wiederum nicht betroffen. Das Versicherungsschreiben für (lediglich) einen Versicherungsnehmer wird von (lediglich) einem unbefugten Versicherungsnehmer gesehen.

Der Vorfall kann nur zur Kenntnis des Verantwortlichen gelangen, wenn der unbefugte Dritte die Fehlsendung mitteilt. Ansonsten würde sich allenfalls der betroffene Versicherungsnehmer melden, weil seine Vertragsinformation ausbleibt. Für die Versicherung wäre dann aber eher ein Briefverlust anzunehmen, als die versehentliche Mitversendung. Erst recht wäre für die Versicherung nicht aufklärbar, mit welchem anderen Brief das Schreiben fehlversendet war. Eine solche Rückmeldung des unbefugten Empfängers deutet bereits für sich genommen auf dessen Vertrauenswürdigkeit und spricht gegen ein nennenswertes Risiko aus der Datenschutz-Verletzung.

Der EDSA erwähnt diesen Umstand bei seiner Fallbetrachtung nicht und lässt völlig offen, wie der Vorfall zur Kenntnis des Verantwortlichen gelangt ist. Die Ausführungen zum Risiko sind dann sehr theoretisch (Rn. 119) und befassen sich – ohne Eingehen auf den konkreten Fall – mit der Möglichkeit, dass entsprechende Schreiben vielleicht aus sehr hohen Versicherungsprämien einen Rückschluss auf frühere Unfälle zulassen.

Im Ergebnis wird vom EDSA eine Meldepflicht nach Art. 33 DS-GVO (nicht jedoch nach Art. 34 DS-GVO) angenommen. Dies scheint mir – gerade auch im Vergleich mit dem EDSA-Vorschlag zu Fall Nr. 15 – unstimmig. Dass Kfz-Kennzeichen, Jahreslaufleistung und Versicherungsprämie im Vergleich zu Laktose-Intoleranz ein höheres Missbrauchsrisiko aufweisen, ist nicht erkennbar. Wenn bei versehentlicher Offenlegung an 15 unbefugte Personen (Fall 15) keine Meldepflicht gegenüber der Aufsichtsbehörde angenommen wird, ist die Offenlegung gegenüber einer, offenbar selbst vertrauenswürdig agierenden (die Datenpanne mitteilenden) Person (Fall 16) doch wohl deutlich risikoärmer.

Abschließend wird vom EDSA für E-Mail-Sendungen (Rn. 123) u.a. empfohlen:
– bei Massenversendung die Adressaten im Blind-Copy-Feld zu führen,
– voreingestellte Adressgruppen regelmäßig zu prüfen und zu aktualisieren,
– gegebenenfalls die verzögerte Nachrichtenaussendung zu aktivieren, um Korrekturen bei sofortiger Fehler-Entdeckung zu ermöglichen,
– die Funktion „Auto-Vervollständigung“ beim Ausfüllen der E-Mail-Adressfelder zu deaktivieren.

Im letzten Abschnitt befasst sich der EDSA unter „Sonstiges“ mit Social Engineering, also aus Sicht der Informationssicherheit mit dem „Menschen als Schwachstelle“. Dazu werden zwei Fälle behandelt:


FALL 17: IDENTITÄTSDIEBSTAHL

Das Callcenter eines Telekommunikationsunternehmens erhält einen Telefonanruf von jemandem, der sich als Kunde ausgibt und darum bittet, die E-Mail-Adresse für Rechnungsinformationen zu ändern. Der Mitarbeiter des Kontaktcenters überprüft die Identität des Kunden nach den Vorgaben des Unternehmens, indem er persönliche Daten abfragt. Der Anrufer gibt korrekt die Steuernummer und die Postanschrift des Kunden an. Danach erfolgen im Callcenter die gewünschten Änderungen. Rechnungen werden nun an die neue E-Mail-Adresse gesendet. Das Verfahren sieht keine Benachrichtigung des früheren E-Mail-Kontakts vor. Im Folgemonat kontaktiert der „echte“ Kunde das Unternehmen und erkundigt sich, warum er keine Rechnungen an seine E-Mail-Adresse erhält. Das Unternehmen bemerkt den Fehler und macht die Änderung rückgängig.


FALL 18: E-MAIL-EXPORT

Ein Handelsunternehmen entdeckt 3 Monate nach der Konfiguration, dass einige E-Mail-Konten verändert und Regeln erstellt wurden, so dass jede E-Mail, die bestimmte Ausdrücke enthält (z.B. „Rechnung“, „Zahlung“, „Banküberweisung“, „Kreditkartenauthentifizierung“, „Bankverbindung“) in einen unbenutzten Ordner verschoben und an eine externe E-Mail-Adresse weitergeleitet wird. Außerdem hat der Angreifer die Bankdaten eines Lieferanten in seine eigenen geändert und bereits mehrere gefälschte Rechnungen verschickt, die die neue Bankverbindung enthielten. Das Unternehmen kann nicht feststellen, wie sich der Angreifer Zugang zu den E-Mail-Konten verschaffte, vermutet aber eine infizierte E-Mail. Durch die schlagwortbasierte Weiterleitung von E-Mails erhielt der Angreifer die Namen von 99 Mitarbeitern; Namen und Monatsvergütung von 89 Mitarbeitern; Name, Familienstand, Anzahl der Kinder, Lohn, Arbeitszeiten und weitere Abrechnungsinformationen von 10 ausgeschiedenen Mitarbeitern. Der für die Verarbeitung Verantwortliche benachrichtigt nur die zuletzt genannten 10 früheren Mitarbeiter.

Bis zur „Auflösung“ im Schlussteil der Serie Ihnen allen einen schönen Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Fehlversendung
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen

DATENSCHUTZ IN DER CORONA-PANDEMIE

Seit Beginn der Corona-Pandemie ergeben sich in zahlreichen Lebenslagen neue rechtlichen Problemstellungen. Neben sicherheitsrechtlichen Aspekten wie beispielsweise gezielten Phishing-Angriffen, die einen Bezug zur Covid-19-Pandiemie aufwiesen, kommt es auch im Datenschutzrecht immer wieder zu Fragen rund um das Arbeiten im „Homeoffice“, den Einsatz von Videokonferenzsystemen, die Durchführung von Kontaktdatenerfassung, die Durch- und Nachweisführung von Corona-Test und dergleichen. Der Sächsische Datenschutzbeauftragte widmete sich in seinem aktuellen Tätigkeitsbericht sowie Veröffentlichungen auf der Webseite ebenfalls an einigen Stellen dem Datenschutz in Zeiten der Coronavirus-Pandemie. Mit dem nachfolgenden Beitrag greifen wir – auch mit Blick auf die derzeit erneut steigenden Corona-Infektionszahlen – einige im Zusammenhang mit der in Sachsen aktuell geltenden Corona-Schutz-Verordnung (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO) stehende datenschutzrechtliche Fragestellungen auf.


WELCHE DATEN WERDE BEI EINEM CORONA-TEST VERARBEITET?

Bei Covid-19 handelt es sich um eine meldepflichtige Krankheit im Sinne des § 6 Infektionsschutzgesetz (IfSG), vgl. § 6 Abs. 1 Nr. 1 lit. t) IfSG. Sollte ein Arzt feststellen, dass der Patient daran erkrankt ist, hat er dies nach § 8 Abs. 1 Nr. 1 IfSG an das zuständige Gesundheitsamt zu melden. Gleiches gilt für ein beauftragtes Labor gemäß § 8 Abs. 1 Nr. 2 IfSG. Bei den entnommenen Proben handelt es sich nach Auffassung des Sächsischen Datenschutzbeauftragten erst dann um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO, wenn die Proben analysiert und den Patienten betreffende Informationen verarbeitet werden. Welche Daten bei der Feststellung einer Covid-19-Infektion zu melden sind folgen aus § 9 IfSG. Hierunter fallen u.a. Name und Vorname, Adresse sowie Kontaktdaten. Die Datenverarbeitung erfolgt in diesen Fällen gemäß Art. 6 Abs. 1 Satz 1 lit. c) und e), Abs. 3 DS-GVO in Verbindung mit den einschlägigen Normen des IfSG. Soweit Gesundheitsdaten verarbeitet werden, so ist dies nach Art. 9 Abs. 2 lit. g) und i), Abs. 3 DS-GVO zulässig.


DÜRFEN GESUNDHEITSDATEN VON BESCHÄFTIGTEN VERARBEITET WERDEN?

Der konkrete Sachverhalt im Tätigkeitsbericht bezog sich auf die Abfrage von Gesundheitsdaten in Bezug auf chronische Vorerkrankungen von Beschäftigten und auch von Angehörigen, die mit ihnen im Haushalt zusammenleben, die auf ein Risiko einer Covid-19-Erkrankung hindeuten.

Personenbezogene Daten von Beschäftigten dürfen gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 1 BDSG bzw. § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSG) verarbeitet werden, soweit dies zur Durchführung des Beschäftigten- bzw. Dienst- oder Arbeitsverhältnisses (oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist). Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Es sind dabei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem Ausgleich zu bringen, so dass möglichst beide Interessen so weit wie möglich berücksichtigt werden. Erhebliche Zweifel bestehen daher bereits an pauschalen Abfragen seitens der Arbeitgeber beziehungsweise Dienstherren zu chronischen Vorerkrankungen der Beschäftigten.

Weiter führt die Aufsichtsbehörde aus, dass die Verarbeitung von Gesundheitsdaten mittels Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nur dann wirksam erteilt werden kann, wenn die betroffene Person in die Verarbeitung der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat und die Voraussetzungen von Art. 4 Nr. 11 und Art. 7 DS-GVO erfüllt, sind. Außerdem wird im Rahmen von Beschäftigtenverhältnissen häufig das Tatbestandmerkmal der Freiwilligkeit der Einwilligungserklärung in Frage zu stellen sein. Aufgrund der bestehenden Abhängigkeiten im Beschäftigungsverhältnis sind besondere Anforderungen im Hinblick auf die Beurteilung der Freiwilligkeit zu stellen. Dies gilt laut Sächsischer Aufsichtsbehörde insbesondere im Hinblick auf die Umstände, unter denen die Einwilligung erteilt worden ist und dass es sich um besonders sensible Daten (Gesundheitsdaten) handelt.


WELCHE DATEN DÜRFEN IM RAHMEN DER KONTAKTNACHVERFOLGUNG VERARBEITET WERDEN?

Mit den Allgemeinverfügungen zum Vollzug des Infektionsschutzgesetzes des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt wurden als Schutzmaßnahmen unter anderem Kontaktnachverfolgungen normiert. Ziel soll die Rückverfolgung von Infektionsketten sein. Mit dieser Maßnahme sollen dann die Infektionsketten unterbrochen und damit auch weitere Infektionen vermieden werden.  Ziel dieser Kontaktdatenerhebung ist der Gesundheitsschutz der Bevölkerung sowie der Beschäftigten. Diese Form der Datenverarbeitung ist gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 DS-GVO i.V.m. § 32 i.V.m. § 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. SächsCoronaSchVO und Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt.

In der aktuellen Fassung der Sächsischen Corona-Schutz-Verordnung bildet § 6a SächsCoronaSchVO die zentrale Regelung zur Art und Weise der Kontakteerfassung. Umfasst wird die Erfassung mittels digitaler Systeme (insbesondere die Corona-Warn-App). Zusätzlich ist eine analoge Form der Kontakterfassung (Name, Telefonnummer oder E-Mail-Adresse und Anschrift) vorzusehen. Bei der Kontakteerfassung ist sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nur zum Zweck der Aushändigung an die für die Kontaktnachverfolgung zuständigen Behörden verarbeitet werden und sind vier Wochen nach der Erhebung zu löschen.

In welchen konkreten Fällen die Kontakteerfassung erforderlich ist, regelt die Verordnung an verschiedenen Stellen: vgl. § 10 Abs. 2, § 11 Abs. 2, § 12 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 SächsCoronaSchVO uvm.


WELCHE DOKUMENTATIONEN VERLANGT § 9 ABS. 1a SÄCHSCORONASCHVO?

Gemäß § 9 Abs. 1a SächsCoronaSchVO müssen Beschäftigte, die mindestens fünf Werktage hintereinander aufgrund von Urlaub und vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen tagesaktuellen Test vorlegen oder im Verlauf des ersten Arbeitstages einen dokumentierten beaufsichtigten Test durchführen. Erfolgt die Arbeitsaufnahme im Homeoffice, gilt die Verpflichtung für den ersten Tag, an dem die Arbeit im Betrieb oder an sonstigen Einsatzorten außerhalb der eigenen Häuslichkeit stattfindet.

Für Arbeitgeber stellt sich hier die Frage in welchem Umfang sie zur Kontrolle und gegebenenfalls Dokumentation der Testpflicht angehalten sind. Der Sächsische Datenschutzbeauftragte geht in einer diesbezüglich veröffentlichten Mitteilung davon aus, dass die Ergebnisse der Tests oder Kontrollen ohne Personenbezug zu dokumentieren sind. „Stattdessen können Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben.“ Dies sei deshalb ausreichend, da in § 9 Abs. 1a SächsCoronaSchVO eine Vorlagepflicht der Beschäftigten, jedoch keine weitergehende Dokumentation des Arbeitgebers geregelt wird.


FAZIT

Einigen zentralen datenschutzrechtlichen Themen, welche im Zuge der Corona-Pandemie an Bedeutung erlangt haben, wird aufgrund der steigenden Fallzahlen demnächst wieder mehr Bedeutung zuzumessen sein. Dies betrifft mit Sicherheit die Nachweispflichten zu Impf-, Genesenen- und Teststatus (§§ 8, 9 SächsCoronaSchVO), insbesondere in Verbindung mit der Covid-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) zum Nachweis von Impfungen und Genesungen, welche gleichwohl digital als auch in verkörperter Form möglich sein sollen, §§ 2 Nr. 3, 5, 7 SchAusnahmV. Auch die Kontaktdatenerfassung sowie die Verarbeitung von Gesundheitsdaten der Beschäftigten wird wieder in den Vordergrund rutschen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Kontaktnachverfolgung
  • Sächsischer Datenschutzbeauftragter
  • Testpflicht
Lesen
1 2 3 7