EINSATZ VON DASHCAMS IN FIRMENEIGENEN FAHRZEUGFLOTTEN

Der Einsatz von Dashcams erfreut sich in Deutschland an zunehmender Beliebtheit. Dabei haben nicht nur Privatpersonen das mögliche „Beweismittel“ für sich entdeckt, auch immer mehr Flottenbetreiber deklarieren die Vorteile einer Verkehrsraumüberwachung für sich. Als Rechtfertigungsgründe werden hierzu häufig die Aufklärung von Unfällen bei der Arbeit, Beweissicherung für die Klärung der Schuldfrage in einem Gerichtsverfahren sowie der Schutz vor Vandalismus an den firmeneigenen Fahrzeugen (Eigentumsschutz) angebracht.

Dashcams sind kleine Kameras, die meist im Bereich der Windschutzscheibe angebracht sind und fortwährend das Geschehen im Straßenverkehr als Video aufzeichnen. Durch diese Aufzeichnung werden zwangsläufig Kfz-Kennzeichen anderer Verkehrsteilnehmer sowie unbeteiligte Dritte, die sich auf (Radfahrer) oder in der Nähe (Passanten) einer Straße aufhalten, erfasst. Es werden personenbezogene Daten verarbeitet. Das führt zu der Erforderlichkeit, den Einsatz dieser Minikameras in einem datenschutzrechtlichen Kontext zu betrachten.

Teilnehmer im öffentlichen Straßenverkehr haben ein berechtigtes Interesse daran, nicht ohne rechtlichen Grund aufgezeichnet zu werden. Das gilt schon allein deshalb, weil sie sich der Überwachung durch die Dashcams, von denen sie regelmäßig keine Kenntnis haben, nicht entziehen können. Der rechtmäßige Einsatz von Dashcams im Straßenverkehr bemisst sich nach Art. 6 Abs. 1 lit. f DS-GVO. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, soweit dies zur Wahrung berechtigter Interessen von Verantwortlichen oder Dritten erforderlich ist und sofern nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Daraus ergibt sich eine Interessenabwägung zwischen den Interessen des Verantwortlichen, also demjenigen, der eine Dashcam einsetzt und den Interessen der davon Betroffenen, also der anderen Verkehrsteilnehmer, die aufgezeichnet werden. Eine entscheidende Rolle spielt dabei jeweils der Einsatzzweck.

So sind nach Auffassung der Datenschutzkonferenz, kurz: DSK, permanente und ohne besonderen Anlass vorgenommene Aufzeichnungen im Straßenverkehr unzulässig (vgl. Positionspapier der DSK vom 28.01.2019 zur Unzulässigkeit von Videoüberwachung aus Fahrzeugen). In diesem Fall überwiegen die Interessen der Betroffenen. Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dies umfasst das Recht des Einzelnen, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen, ungewollt und anlasslos zum Objekt einer Videoüberwachung gemacht zu werden. Als anlasslos gilt der Betrieb einer Dashcam insbesondere, wenn die Aufzeichnung bei Fahrtantritt aktiviert wird und der Speicher erst überschrieben wird, sobald er vollläuft. Solche rotierenden Aufzeichnungen stellen einen Verstoß gegen die Datenschutz-Grundverordnung dar.

Auch wenn der Bundesgerichtshof in seiner Entscheidung vom 15. Mai 2018 (AZ. VI ZR 233/17) die Beweisverwertbarkeit von Bildmaterial in einem Zivilrechtsstreit wegen eines Verkehrsunfalles zugelassen hat, betont er doch gleichzeitig, dass die Verwendung von Dashcams einen rechtswidrigen Eingriff nach der DS-GVO darstellen.

Der Einsatz einer Dashcam wird dann als datenschutzkonform bewertet, wenn sichergestellt ist, dass damit gefertigte Videoaufzeichnungen – ohne ein eine längere Speicherung rechtfertigendes Ereignis – nach kurzer Zeit; maximal drei bis fünf Minuten, wieder gelöscht werden. Es kommt bei der Aufzeichnung also maßgeblich auf ein auslösendes Ereignis an. Technisch sollte die eingesetzte Dashcam daher im sogenannten Loop-Modus filmen. Dabei nimmt die Kamera immer nur kurze Sequenzen maximal 1 Minute auf, die anschließend überschrieben werden, sofern sie nicht gesperrt wurden. Die Sperrung geht entweder manuell auf Knopfdruck, oder wird durch einen sogenannten G-Sensor ausgelöst. Dieser nimmt die bei einem Unfall wirkenden G-Kräfte wahr und löst eine Aufzeichnung aus. Wichtig ist aber auch hier zu wissen, dass solche Aufzeichnungen gelöscht werden müssen, sollte sich herausstellen, dass ein starkes Bremsen, Beschleunigen oder die Erschütterung nichts mit einem Schadensereignis zu tun hatte.

Zu alle dem muss der Verantwortlich bei einer Videoüberwachung mittels Dashcam sicherstellen, dass er die Informationspflichten gemäß Art. 12 ff. DS-GVO wahrt, auch wenn dies gerade bei fahrenden Fahrzeugen in praktischer Hinsicht Schwierigkeiten aufwirft. So empfiehlt es sich, am Fahrzeug und von außen gut erkennbar einen Hinweis auf eine im Fahrzeug befindliche Dashcam, z.B. in Form eines Piktogramms sowie den Firmennamen und eine Internetadresse anzubringen. Auf der Internetseite können dann sämtliche nach Art. 13 DS-GVO erforderlichen Informationen aufgelistet werden.

Setzt also ein Unternehmen Dashcams ein, die ohne Anlass Aufzeichnungen im Straßenverkehr vornehmen, oder kommt er bei dem Einsatz einer Kamera, die nur unter bestimmten Vorbedingungen aufzeichnet, seinen Informationspflichten nicht nach, muss das Unternehmen mit einem erheblichen Bußgeld rechnen. Für Unternehmen hat die Datenschutzkonferenz Ende 2019 ein Konzept zur Bußgeldzumessung veröffentlicht. Da für die Zumessung verschiedene Faktoren relevant sind, können keine pauschalen Beträge genannt werden. Es ist jedoch darauf hinzuweisen, dass die Überwachung unbeteiligter Verkehrsteilnehmer keinen nur geringfügigen Verstoß darstellt. Mit einer Geldbuße im Rahmen für „leichte“ Verstöße können Verantwortliche daher in der Regel nicht rechnen.

Nichtsdestotrotz ist der datenschutzkonforme Einsatz von Dashcams in firmeneigenen Fahrzeugflotten unter den oben aufgezeigten Kriterien nicht grundsätzlich ausgeschlossen. Planen Sie eine umfangreiche Aufrüstung ihre Firmenfahrzeuge mit Dashcams, binden Sie frühzeitig Ihren Datenschutzbeauftragten mit ein.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren .

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Bußgeld
  • Dashcam
  • Datenschutzinformation
  • Fahrzeugflotte
  • Videoüberwachung
Lesen

EIN FROHES NEUES JAHR!

Zu Beginn des neuen Jahres möchten wir unseren Blog-Lesern zuallererst ein frohes und gesundes neues Jahr wünschen! Wir freuen uns, Ihnen auch in diesem Jahr in unseren wöchentlichen Beiträgen eine Übersicht über aktuelle und wichtige Themen aus den Bereichen des Datenschutzes und der Informationssicherheit bieten zu können. Möchten Sie zu einzelnen Beiträgen Fragen oder Feedback äußern? Haben Sie Vorschläge für interessante Beiträge? Zögern Sie nicht, die jeweiligen Verfassenden zu anzusprechen. Die Kontaktmöglichkeiten erfahren Sie am Ende eines jeden Beitrages.

Diesen ersten Beitrag im Jahr 2022 möchten wir ebenfalls gern nutzen, um in eigener Sache auf das Thema Datenschutz beziehungsweise Informationssicherheit und Qualitätsmanagement aufmerksam zu machen. Einerseits bieten diese Bereiche in ihrer Gesamtheit einzelne Berührungspunkte zueinander, andererseits bedarf auch die Arbeit von Datenschutz- und Informationssicherheitsbeauftragten bestimmten Leistungs- und Qualitätsstandards, um die jeweils gesetzlich definierten Aufgaben vollumfänglich erfüllen zu können.

Auch wenn beispielsweise die Datenschutz-Grundverordnung (DS-GVO) keine näheren Anforderungen an die Qualität der Arbeit des Datenschutzbeauftragten setzt, wird insbesondere in der Darstellung des Art. 37 Abs. 5 DS-GVO deutlich, dass ein Datenschutzbeauftragter sowohl auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis, aber auch auf Grundlage seiner Fähigkeiten zur Erfüllung der in Art. 39 DS-GVO benannten Aufgaben zu benennen ist. Aus dem Aufgabenkatalog des Art. 39 DS-GVO wird deutlich, dass im besten Falle nicht nur die verantwortliche Stelle ein Datenschutzmanagementsystem vorweisen kann, sondern dass auch der Datenschutzbeauftragte strukturiert und koordiniert die einzelnen Aufgabenbereiche zu managen und durchzuführen hat. Dies gilt umso mehr für externe Datenschutzbeauftragte, die oftmals eine Vielzahl von verantwortlichen Stellen beraten.

Aus diesem Grund haben wir als Dresdner Institut für Datenschutz das vergangene Jahr genutzt, um unsere Beratungs- und Lehrtätigkeit in den Bereichen des Datenschutzes und der Informationssicherheit einmal näher zu betrachten, essenzielle Prozesse zu identifizieren sowie Verbesserungspotenzial zu erkennen und auszuschöpfen. Ein wichtiger Baustein war in diesem Zusammenhang beispielsweise die Befragung unserer Vertragsparteien im Sommer 2021 hinsichtlich der Zufriedenheit mit unseren Dienstleistungen. Unter anderem diese Ergebnisse flossen in ein umfassendes Qualitätsmanagementsystem ein, welches wir im letzten Quartal des vergangenen Jahres einer externen Auditierung unterzogen. Das Ergebnis kann sich sehen lassen: Unser Qualitätsmanagement für die Beratung und Lehrtätigkeit in den Bereichen Datenschutz und Informationssicherheit ist nun zunächst bis 2024 nach ISO 9001:2015 zertifiziert.

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Den ersten Termin  unserer Online-Sprechstunde erfahren Sie bereits in den nächsten Tagen auf unserer Internetseite www.dids.de. Dort erhalten Sie dann auch die Möglichkeit zur Anmeldung sowie weiterführende Hinweise.

Auch darüber hinaus haben wir für Sie einige weitere Überraschungen vorbereitet, welche wir Ihnen nach und nach im Laufe des Jahres vorstellen wollen oder welche Ihnen hier in unserem Blog begegnen werden. Seien Sie gespannt! In diesem Sinne: Starten Sie gut in das neue Jahr und bleiben Sie stets neugierig – insbesondere natürlich in Bezug auf die Themen Datenschutz und Informationssicherheit!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Blog
  • Datenschutz
  • Datenschutzsprechstunde
  • Informationssicherheit
  • Qualitätsmanagement
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL III

In unserem Datenschutz-Jahresrückblick Teil I und Teil II haben wir uns bereits die Monate Januar bis August unter datenschutzrechtlichen Gesichtspunkten betrachtet. In unserem heutigen und letzten Teil des Jahresrückblickes widmen wir uns den Monaten September und Dezember und greifen insbesondere die Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten sowie die jüngst aufgetretene Log4j-Sicherheitslücke auf:


SEPTEMBER 2021

Der September begann sogleich mit der Verhängung eines enormen Bußgeldes der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegenüber WhatsApp. Bemängelt wurde seitens der Aufsichtsbehörde insbesondere die intransparente Datenverarbeitung von WhatsApp, einschließlich der  Übermittlung von personenbezogenen Daten von Nutzenden an Facebook. Das Unternehmen WhatsApp Ireland Ltd. hat bereits angekündigt, gegen den Bußgeldbescheid vorzugehen. Zwar mag die Verhängung eines solchen Bußgeld als ein erster Erfolg gegen die zum Teil datenschutzrechtlich fragwürdigen Verarbeitungspraktiken großer Konzerne gewertet werden. Jedoch stellen die benannten 225 Millionen Euro lediglich einen geringen Bruchteil eines Prozentes des weltweit erzielten Jahresumsatzes des Unternehmens dar. Die Datenschutz-Grundverordnung (DS-GVO) sieht im Rahmen des Art. 82 Abs. 5 lit. a) und b) DS-GVO in Fällen von Verstößen gegen die Rechtmäßigkeit und Transparenz von Datenverarbeitungen ein Bußgeld von bis zu vier Prozent des weltweit erzielten Vorjahresumsatzes vor. Demnach hätte das Bußgeld auch 50-mal höher ausfallen können.

Weiterhin ist auch die Entscheidung des OLG Brandenburg (Beschl. v. 11.08.2021 – Az.: 1 U 69/20) als wesentliches Ereignis zu betrachten. Das Gericht stellte im Rahmen seines Beschlusses klar, dass es für einen Schadensersatzanspruch nach Art. 82 DS-GVO einer konkreten Schädigung der betroffenen Person bedarf. Die Richter verwiesen diesbezüglich auf die Regelung des Art. 82 Abs. 3 DS-GVO in Verbindung mit Erwägungsgrund 146 Satz 2 zur DS-GVO, wonach es des Nachweises eines konkreten Schadens bedarf. Der einfache Verweis auf die Rechtswidrigkeit einer Datenverarbeitung und daraus lediglich potenziell entstehender Nachteile für die betroffene Person reiche demnach nicht aus, um einen Schadenersatzanspruch zu begründen. Der benannte Beschluss steht damit im Einklang mit der Entscheidung des OLG Düsseldorf in einem ähnlich gelagerten Fall (Beschl. v. 16.02.2021 – Az.: 16 U 269/20).


OKTOBER 2021

Im Laufe des Jahres berichteten wir im Rahmen unseres Blogs über verschiedene Betroffenenrechte. So unter anderem über das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung. Im datenschutzrechtlichen Alltag der verantwortlichen Stellen und der Entscheidungspraxis der Gerichte kommt neben dem Recht auf Löschung dem Auskunftsrecht jedoch mit Abstand die wohl größte Bedeutung zu. Dies zeigt auch umso mehr die Entscheidung des OLG München (Urt. v. 04.10.2021 – Az.: 3 U 2906/20). Das Gericht entschied in dem benannten Prozess, dass von einem Auskunftsanspruch nach Art. 15 Abs. 3 DS-GVO grundsätzlich sämtliche personenbezogene Daten, also auch Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe umfasst sind. Es stellte in diesem Zusammenhang klar, dass sich das Auskunftsrecht nicht ausschließlich auf besonders sensible oder private Informationen beschränkt, sondern grundsätzlich alle Informationen betrifft, die aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Das Gericht folgt damit dem Verständnis einer besonders weiten Auslegung des Auskunftsrechts nach Art. 15 DS-GVO.

Auch direkt die Tätigkeit der Datenschutzbeauftragten betreffend bot der Oktober 2021 Interessantes in Bezug auf die Rechtsprechung. Das OLG München befand in seinem Urteil (Urt. v. 27.10.2021 – Az.: 20 U 7051/20), dass ein externer Datenschutzbeauftragter nicht für die datenschutzrechtlichen Verstöße seines Auftraggebers haften kann. Das Gericht begründete diese Entscheidung damit, dass sich die datenschutzrechtlichen Verpflichtungen grundsätzlich gegen den Verantwortlichen im Sinne des Art. 4 Nr. 7 DS-GVO richten, von welchem der Datenschutzbeauftragte klar zu unterscheiden sei. Art. 39 Abs. 1 DS-GVO sieht für den Datenschutzbeauftragten insbesondere die Aufgaben der Unterrichtung und Beratung des Verantwortlichen sowie die Überwachung der Einhaltung der Datenschutzvorschriften vor.


NOVEMBER 2021

Nachdem wir uns bereits im September und Oktober 2021 mit dem datenschutzrechtlichen Hintergrund der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber befasst hatten, traten nun im November 2021 einige wesentliche Änderungen des Infektionsschutzgesetzes (IfSG) in Kraft. Das Hauptaugenmerk war und ist dabei auf die Regelung des § 28b Abs. 3 IfSG zu legen. Demnach sind alle Arbeitgeber sowie die Leitungen der in § 28b Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen dazu verpflichtet, die Einhaltung des Infektionsschutzes durch Nachweiskontrollen des Impf-, Test- und Genesenenstatus täglich zu überwachen und regelmäßig zu kontrollieren. Die hierfür verarbeiteten personenbezogenen Daten sind nach § 28b Abs. 3 IfSG spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen. Mit dieser Regelung schuf der Gesetzgeber eine ausdrückliche rechtliche Grundlage zur Verarbeitung der jeweiligen Gesundheitsdaten. Aus datenschutzrechtlichen Gesichtspunkten wurde die hinsichtlich der konkreten Umsetzung jedoch sehr unspezifische Gestaltung der Norm teilweise auch kritisiert.


DEZEMBER 2021

Mit Beginn des Dezembers trat auch das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel dieses Gesetzes ist die Anpassung der datenschutzrelevanten Bestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung sowie Umsetzung der ePrivacy-Richtlinie. Das TTDSG sieht unter anderem Regelungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation, zum digitalen Erbe, hinsichtlich Cookies sowie zu Diensten zur Einwilligungsverwaltung vor. Im Rahmen unserer Beiträge in diesem Jahr betrachteten wir darüber hinaus die (potenziellen) Auswirkungen des TTDSG auf Videokonferenzdienste sowie hinsichtlich der Privatnutzung betrieblicher Informations- und Kommunikationstechnik.

Zur Monatsmitte und dementsprechend nur noch wenige Tage von Weihnachten entfernt, sorgt(e) die Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Aufsehen und eine Menge Arbeit. Eine kritische sowie zwei weitere Schwachstellen in der Java-Protokollierungsbibliothek „Log4j“ führen auch gegenwärtig nach der Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Aufgrund der Vielzahl vonProdukten, die „Log4j“ verwenden, besteht eine unüberschaubare Vielfalt von verwundbaren Anwendungen. Hierunter können grundsätzlich zum Beispiel Client-Anwendungen, Internetseiten und automatisierte Schnittstellen fallen. Das BSI hat in diesem Zusammenhang das „Arbeitspapier Detektion und Reaktion“ zum Umgang mit der kritischen Schwachstelle veröffentlicht. Weiterhin trägt das BSI sämtliche relevanten Informationen auf einer eigens eingerichteten Unterseite zusammen und aktualisiert fortlaufend die darauf enthaltenen Einträge. Darüber hinaus lassen sich dort ebenfalls weiterführende Informationen für Verbraucherinnen und Verbraucher finden.

Zum Ende des letzten Teils unseres Jahresrückblickes werden wir nun noch etwas regionaler: Zum 31. Dezember 2021 endet die knapp 18-jährige Amtszeit des derzeitigen Sächsischen Datenschutzbeauftragten Andreas Schurig. Am 21. Dezember 2021 wählte der Sächsische Landtag Dr. Juliane Hundert zur neuen Sächsischen Datenschutzbeauftragten. Dr. Juliane Hundert ist Juristin und arbeitete bereits seit über zehn Jahren als Parlamentarische Beraterin bei der Fraktion Bündnis 90/Die Grünen des Sächsischen Landtags. Die Dauer der Amtszeit ihres Vorgängers wird sie voraussichtlich jedoch nicht erreichen können: Das Sächsische Datenschutzdurchführungsgesetz (SächsDSDG) sieht seit Mai 2018 in § 16 Abs. 3 SächsDSDG lediglich eine Amtszeit von sechs Jahren sowie eine einmalige Wiederwahl vor.

Damit beenden wir nun unseren Datenschutz-Jahresrückblick für das Jahr 2021. Insgesamt lässt sich zusammenfassen, dass die vergangenen zwölf Monate auch datenschutzrechtlich einige Herausforderungen boten. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser unseres Datenschutz-Blogs auch in diesem Jahr begleitet haben und sind mit Ihnen gemeinsam gespannt, welche Aufgaben auf uns im neuen Jahr warten. In diesem Sinne wünschen wir Ihnen einen guten und vor allem gesunden Start in das Jahr 2022!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffenenrechte
  • Infektionsschutzgesetz
  • Jahresrückblick
  • Log4j
  • TTDSG
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL II

In unserem letzten Beitrag haben wir unseren Jahresrückblick mit einem Review über die ersten vier Monate des Jahres begonnen. In unserem heutigen Beitrag wollen wir uns nunmehr den Monaten Mai bis August 2021 und einigen datenschutzrechtlich relevanten Themen in dieser Zeit widmen:


MAI 2021

Am 25. Mai 2021 jährte sich der Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren der daran anschließende Zeitraum hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Die Einzelheiten können in unserem Beitrag nachgelesen werden.

Im Mai 2021 erfolgte zudem die Verabschiedung des Betriebsrätemodernisierungsgesetztes. Aus datenschutzrechtlicher Sicht lohnt hier insbesondere ein Blick auf die Neuregelung in § 79a Betriebsverfassungsgesetz (BetrVG). Der Gesetzgeber beabsichtigte zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret normiert wird, dass bei der Verarbeitung personenbezogener Daten der Betriebsrat die Vorschriften über den Datenschutz einzuhalten hat. So weit, so gut. In Satz 2 heißt es weiter: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ In Satz 3 wird schließlich noch hinzugefügt: „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Letztlich lässt sich festhalten, dass der Gesetzgeber für eine klarstellende Regelung gesorgt hat. Nicht mehr und nicht weniger. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Darüber hinaus ergeben sich jedoch zahlreiche praxisrelevante Fragestellungen. Dies betrifft insbesondere die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, Verarbeitungen von personenbezogenen Daten betreffende Tätigkeiten des Betriebsrates, die Bearbeitung von Betroffenenanfragen im Sinne des Kapitel III der DS-GVO sowie die Behandlung von und den Umgang mit Datenschutzverletzungen. In allen vorgenannten Punkten ist auch vor dem Hintergrund der Rechenschaftspflicht des Arbeitgebers als verantwortlicher Stelle im Sinne des Art. 4 Nr. 7 DS-GVO in der Praxis eine enge Zusammenarbeit zwischen Mitarbeitervertretung und Arbeitgeber erforderlich.


JUNI 2021

Im Juni 2021 überschlugen sich die Ereignisse aus datenschutzrechtlicher Sicht beinahe. Den Anfang machte die Europäische Kommission am 4. Juni 2021 mit der Veröffentlichung der neuen Standardvertragsklauseln (SCC) zur Absicherung für die Übermittlung personenbezogener Daten an Drittländer. Seit dem 27. Juni 2021 können die SDK nun auch angewendet werden. Ziel der SCC ist die Erreichung von mehr Sicherheit bei der Übermittlung personenbezogener Daten an Drittländer – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Bis Dezember 2022 sind in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen. Weitere Informationen gibt es in unserem Beitrag.

Es folgt der Bundesgerichtshof (BGH) mit seinem Urteil vom 15. Juni 2021 (Az.: VI ZR 576/19) zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DS-GVO. Der BGH geht im Einklang mit der Rechtsprechung des EuGH von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches dergestalt zu, dass nur „signifikante biografische Informationen“ betroffen sind. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt seien.


JULI 2021

Mit einem Beschluss vom 20. Juli 2021 (Az.: 1 UF 74/21) hat das OLG Düsseldorf entschieden, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist. Der Entscheidung lag der Sachverhalt zu Grunde, es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die Kinder leben bei der Mutter und haben mit dem Vater regelmäßig Umgang. Die Lebensgefährtin des Vaters betreibt einen Friseursalon und nahm zu Werbezwecken Fotos der Kinder auf uns veröffentlichte diese in ihrem Facebook-Account und bei Instagram. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Vielmehr stellte die Lebensgefährtin weitere Fotos der Kinder in ihre Social-Media-Accounts ein. Die Mutter ging hiergegen mit Erfolg gerichtlich vor. Das OLG Düsseldorf führt daraufhin u.a. aus, dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“ Dementsprechend komme es grundsätzlich auch nicht darauf an, ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. Weitere Details können unserem Beitrag zum Thema entnommen werden.


AUGUST 2021

Je weiter der Sommer voranschritt desto häufiger trat in der Rechtswelt wieder die Corona-Pandemie auf den Plan. Umstände, die man in der warmen Jahreszweit versuchte auszublenden, hielten langsam wieder Einzug in betriebliche und behördliche Praxis. Den Anfang machten Fragen um die Verarbeitung personenbezogener Daten im Rahmen von Testnachweisen, die Verarbeitung von Gesundheitsdaten der Beschäftigten sowie Datenverarbeitung bei der Kontaktnachverfolgung. Die einzelnen Themen haben wir bereits in einem unserer Beiträge näher beleuchtet. Wie sich an späterer Stelle noch zeigen wird, waren dies zunächst die ersten leichten Diskussionen rund um Datenverarbeitungen den Immunisierungs- und Teststaus betreffend.

Darüber hinaus wurde durch eine Pressemitteilung vom 16. August 2021 bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt hat, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden: „Dies verstößt gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten. Die Senatskanzlei – als die für Digitalisierungsfragen in der FHH federführend zuständige Behörde –hat den HmbBfDI zwar frühzeitig über entsprechende Pläne informiert, war in der Folge aber nicht bereit, auf dessen wiederholt vorgetragene Bedenken einzugehen. Auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 führte nicht zu einem Umdenken. Es wurden dem HmbBfDI weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen. Die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO ist daher ein folgerichtiger Schritt.“

In der nächsten Woche folgt nun der Rückblick auf die Monate September bis Dezember 2021. In dem letzten Beitrag unseres Jahresrückblickreihe widmen wir uns dann den Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten und der im Dezember 2021 aufgetretenen Log4j-Sicherheitslücke sowie einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betriebsrätemodernisierungsgesetz
  • Einwilligung
  • Jahresrückblick
  • Standardvertragsklauseln
  • Videokonferenzen
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL I

Das Jahr 2021 war – selbstredend nicht für uns Datenschützer – erneut im starken Rahmen durch die Einwirkungen der Coronavirus-Krankheit-2019 (COVID-2019) geprägt. Insbesondere mit Blick auf die in diesem Zusammenhang anfallenden Verarbeitungen von Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO stellen sich einige rechtliche und praktische Fragen. Hinzu treten Dauerbrenner wie der Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern, die Nutzung von Microsoft 365, der datenschutzkonforme Einsatz von Cookies und vergleichbaren Diensten sowie rechtliche und praktische Handhabung von Betroffenenrechten. Darüber hinaus hat die ein oder andere Aufsichtsbehörde einen Wechsel an der Position der/des Landesdatenschutzbeauftragten vollzogen oder zumindest ist die Stelle derzeit vakant. Im nachfolgenden Beitrag werfen wir einen Blick zurück und beginnen mit den Monaten Januar bis April 2021:


JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.


FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.


MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.


APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Datenschutzkonferenz
  • Datenschutzverletzung
  • Drittlandübermittlung
  • Jahresrückblick
Lesen

DAS NEUE TTDSG UND VIDEOKONFERENZDIENSTE

Das TTDSG heißt eigentlich „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) und soll am 01.12.2021 in Kraft treten. Bereits in unseren Beiträgen aus Dezember 2020 sowie Mai 2021 haben wir über die wesentlichen Inhalte des damaligen Gesetzesentwurfes berichtet. Dieser Blogbeitrag soll nun zur Information über das verabschiedete Gesetz dienen und zentrale Aspekte, insbesondere im Hinblick auf Videokonferenzdienste, kurz darstellen.


BRAUCHEN WIR NOCH EIN DATENSCHUTZGESETZ?

Der Gesetzgeber hat sich mit der Novellierung des bereits bestehenden Telekommunikations- (TKG) sowie Telemediengesetzes (TMG) dafür entschieden, für diesen Bereich ein eigenes Gesetz zur Konkretisierung der allgemeinen Datenschutzanforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) sowie Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetzen, zu schaffen. Übrigens etwas, worum Datenschützer und Unternehmen in Bezug auf den Beschäftigtendatenschutz seit Jahr(zehnt)en bitten. Eine Novellierung der bisherigen Regelungen war aufgrund der seit 2018 geltenden DS-GVO sowie der ePrivacy-Richtline von 2002 (geänderte Fassung von 2009) dringend geboten und soll nach dem Wunsch des Gesetzgebers die bestehenden Rechtsunsicherheiten – zumindest in diesem Bereich – beseitigen. Zentral ist sicherlich die explizite Regelung des Einwilligungserfordernisses bei Cookies, Browser Fingerprinting, Smarthome etc. und deren Ausnahmen (§ 25 TTDSG) sowie die Möglichkeit von Diensten zur entsprechenden zentralen Einwilligungsverwaltung (§ 26 TTDSG). Darüber hinaus wurden Regelungen z.B. zum lang umstrittenen „Digitalen Erbe“ aufgenommen. Sowohl das TMG als auch das TKG bleiben grundsätzlich bestehen, das TKG wurde jedoch im gleichen Zuge modernisiert.


FÜR WEN GILT DAS GESETZ?

Zunächst einmal gilt das Gesetz nur für Anbieter von Telemedien- bzw. Telekommunikationsdiensten. Zu den Telemediendiensten nach § 1 Abs. 1 S. 1 TMG zählen zum Beispiel Internetauftritte, Onlineshops sowie Werbe-E-Mails (siehe hierzu auch Praxishilfe der GDD zum TTDSG).

Wer ein Telekommunikationsanbieter ist, beantwortet sich nach dem neuen § 3 TKG. Hierzu gehören sogenannte nummerngebundene sowie – neu – nummernunabhängige interpersonelle Kommunikationsdienste. Letztere werden auch „Over-the-top-Dienste“ (OTT) genannt. Die Internetanbieter, deren Infrastruktur zur Erbringung genutzt werden, haben auf diese keinen Einfluss. Gemeint sind z.B. webbasierte E-Mail-Dienste oder Messenger- Dienste wie WhatsApp oder Threema. Diese wurden bisher nicht von den telekommunikationsrechtlichen Vorgaben (siehe hierzu auch EuGH-Urteil vom 13.06.2019 – C-193/18) erfasst, sodass allein die allgemeinen Datenschutzregeln, insbesondere der DS-GVO, galten. Dienste, welche allein die Weitergabe von Inhalten (z.B. Nachrichtenportale) zum Ziel haben, sind auch weiterhin keine Telekommunikationsanbieter.


HANDELT ES SICH BEI VIDEOKONFERENZDIENSTEN DANN NOCH UM AUFTRAGSVERARBEITER?

Ob es sich bei Videokonferenzdiensten um Telekommunikationsdienste handelt und welche Auswirkungen dies auf die datenschutzrechtliche Beurteilung hat, ist derzeit noch nicht abschließend geklärt. Hierbei muss sicherlich zwischen den verschiedenen Arten des Einsatzes (insbesondere SaaS/Online-Dienst bzw. on-Premise) unterschieden werden. Eine gute Darstellung hierzu findet sich in der DSK-Orientierungshilfe Videokonferenzsysteme. Derzeit wird von den Aufsichtsbehörden davon ausgegangen, dass es sich bei der Nutzung von Videokonferenzen und Messengern in Form von SaaS/Online-Diensten in der Regel um eine Auftragsverarbeitung handelt. Allerdings verweist die Berliner Aufsichtsbehörde im Rahmen der – zugegebenermaßen viel diskutierten – Prüfung der Verträge verschiedener Anbieter darauf, dass der deutsche Gesetzgeber diese eigentlich aufgrund der EU-Vorgaben bereits bis zum 21. Dezember 2020 im Rahmen neuer Regelungen für „Over-the-top-Dienste“ (OTT) hätte regeln müssen und es nur mangels einer deutschen Regelung bei der alten Rechtslage bleibt.

Anders sieht dies jedoch bisher bei Telekommunikationsanbietern aus, insofern diese keine hierüber hinausgehenden Zusatzdienste anbieten. Der Anbieter der Telekommunikationsleistungen (z.B. Telefon, Internet) wird insoweit nach dem Verständnis der Artikel-29-Gruppe als Verantwortlicher für die – technisch bzw. zur Sicherheitsabwehr notwendigen – Verkehrsdaten sowie für die Verarbeitung der Rechnungsdaten verantwortlich. Für die inhaltliche Komponente und diesbezügliche Datenverarbeitungen im Rahmen der Angebotsnutzung sind die Anwender allein verantwortlich. Entsprechend ist beispielsweise kein Auftragsverarbeitungsvertrag in Bezug auf die Nutzung eines E-Mail-Anbieters erforderlich.  Es gilt also zu hinterfragen, inwieweit diese Ausführungen noch – die Aussagen der Artikel-29-Gruppe entstammen aus der Zeit vor der DS-GVO und auch vor dem Urteil des EUGH – gelten können und beispielsweise auch auf Messenger- und Videokonferenzdienste anwendbar sind.


WAS UNTERSCHEIDET VIDEOKONFERENZDIENSTE VON KLASSISCHEN TELEKOMMUNIKATIONSANBIETERN?

Unstrittig ist sicherlich, dass ein Videokonferenzsystem in der Regel neben der reinen Videotelefonie noch weitere Funktionen beinhaltet. Denn neben der Möglichkeit der Aufzeichnung existieren häufig auch parallele Chatmöglichkeiten sowie die Möglichkeit des Austauschs von Daten. Insofern könnte man davon ausgehen, dass die Dienste über die „reine Telekommunikation“ hinausgehen. Zusammengefasst dienen diese Funktionen aber alle dem Ziel der Kommunikation zwischen den beteiligten Parteien. Aus einem Brief wurde eine E-Mail und aus dieser ein Messenger-Dienst. Und aus dem Telefon wurde die Videotelefonie und schließlich in Verbindung mit Messengern-Diensten – und der damit verbundenen Möglichkeit, neben Texten auch Dokumente zu teilen – das Videokonferenzsystem als Basis weiterer kollaborativer Systeme.

Entsprechend einem klassischen Telekommunikationsdienst werden die übertragenen Inhalte bei all diesen Systemen allein durch die Nutzer gesteuert. Demgegenüber hat der Nutzer keinen Einfluss auf die technische Datenübertragung, da diese häufig aus Gründen der Diensterbringung, Systemsicherheit oder Abrechnung durch den Systemanbieter gesteuert wird.


WAS SPRICHT NOCH FÜR EINE AUFTRAGSVERARBEITUNG ODER EINE GEMEINSAME DATENVERARBEITUNG?

Unter diesem Gesichtspunkt kann die Annahme einer Auftragsverarbeitung als Versuch gesehen werden, die möglicherweise höheren Risiken dieser Systeme zu minimieren. Gleichzeitig bietet ein Vertrag zur Auftragsverarbeitung vermeintliche Rechtssicherheit, da dieser gleichzeitig eine Rechtsgrundlage für die Verarbeitung der Daten durch den Dienstleister beinhaltet. Durch die Notwendigkeit einen geeigneten Dienstleister auszuwählen, soll sichergestellt werden, dass nur möglichst datenschutzfreundliche Dienste eingesetzt werden, wodurch wiederum seitens der Kunden Druck auf die Anbieter ausgeübt werden. Mit mäßigem Erfolg, wie man sieht…

Demgegenüber besteht bei Annahme einer gemeinsamen oder auch parallelen alleinigen Verantwortung von Anbieter und Anwender keine Privilegierung mehr, das heißt der Diensteanbieter würde gegenüber den Betroffenen mehr in die Pflicht genommen werden. Er muss insbesondere eine eigene Rechtsgrundlage für die systemimmanenten Datenverarbeitungen vorweisen können und ist für die Einhaltung der diesbezüglichen Betroffenenrechte allein verantwortlich. Eine ausführliche Darstellung der Datenverarbeitung durch beide Parteien wird auch unabhängig von einer Auftragsverarbeitung aus Gründen der Informiertheit zu fordern sein.

Daneben wird es auch hier Wettbewerbsdruck auf die Anbieter geben. Denn die Systeme müssen Funktionen vorweisen können, welche es dem Anwender als inhaltlich Verantwortlichen gestatten, selbst datenschutzfreundlich agieren zu können. Hierbei ist grundsätzlich auch zu prüfen, ob es mildere Mittel gibt oder die Datenverarbeitung eingeschränkt werden kann. Dabei muss auch berücksichtigt werden, dass die Systeme nicht nur ein höheres Risikopotenzial haben, sondern in weiten Teilen auch mehr technische Schutzmöglichkeiten (z.B. Moderationsrechte, Passwortschutz, Verschlüsselung) bieten, als dies beispielsweise bei Telefon, Fax und E-Mail möglich ist. Ob ein entsprechender Dienst durch den Nutzer im Rahmen eines beruflichen Kontextes (z.B. Webmeeting mit Geschäftspartnern, Studienberatung, digitale Lehre) nutzbar ist, wird sich daher auch weiterhin im Wesentlichen nach der Erforderlichkeit, der bestehenden Rechtsgrundlage und den spezifisch getroffenen technischen und organisatorischen Maßnahmen bestimmen. Hierbei ist stets auch zu berücksichtigen, inwieweit andere Kommunikationsteilnehmer verpflichtet sind, das entsprechende System zu nutzen und der Datenverarbeitung durch den Diensteanbieter zuzustimmen.


HAT DIES EINFLUSS AUF DIE ZULÄSSIGKEIT DER NUTZUNG US-AMERIKANISCHER DIENSTE?

Spannend dürfte auch der Einfluss auf die Problematik der Datenübermittlung in die USA oder andere datenschutzrechtliche Drittländer durch Nutzung entsprechender Dienste sein. Hier müsste konkret beleuchtet werden, inwieweit überhaupt Daten gemäß Art. 44 DS-GVO vom Verantwortlichen bzw. in dessen Einflussbereich übermittelt werden und inwieweit die Verarbeitung der Daten in den USA durch andere Rechtsgrundlagen und im Verantwortungsbereich des Dienstleisters gedeckt sein kann. Im Falle eines einfachen Telefonats unter Nutzung eines amerikanischen Telefonanbieters sowie der Nutzung eines amerikanischen E-Mail-Anbieters kann der Zugriff durch amerikanische Ermittlungsbehörden faktisch ebenfalls nicht ausgeschlossen werden. Insoweit – bei Abkehr von der bisherigen Annahme einer Auftragsverarbeitung – die Verantwortung bei dem jeweiligen Anbieter und nicht durch den Nutzer initialisiert wurde, liegt keine Übermittlung nach Art. 44 DS-GVO, sondern eine eigene Datenerhebung durch den Anbieter vor. Dem Anbieter obliegt jedoch unabhängig davon die Einhaltung der Anforderungen nach DS-GVO, da in der Regel der räumliche Anwendungsbereich nach Art. 3 DS-GVO eröffnet sein wird. Der Anwender wird seinerseits im Rahmen der oben genannten Punkte prüfen müssen, ob sich der Einsatz des Dienstes mit seinen rechtlichen Anforderungen in Einklang bringen lässt.


FAZIT

Es bleibt abzuwarten, ob und in welchem Umfang sich die Aufsichtsbehörden zum datenschutzrechtlichen Einfluss des TTDSG allgemein sowie in Bezug auf Videokonferenzdienste positionieren. Wir können nur hoffen, dass dies zeitnah und in Abstimmung aller deutschen Aufsichtsbehörden erfolgt. Alles andere würde dazu führen, dass verantwortliche Stellen neben den sonstigen bestehenden Corona-Unsicherheiten auch in Hinblick auf die Anwendung von Systemen, welche in weiten Bereichen ein Homeoffice erst möglich macht, allein gelassen werden.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auftragsverarbeitung
  • Drittlandübermittlung
  • Telemedien
  • TTDSG
  • Videokonferenzen
Lesen

DATENSCHUTZ IN DER KINDERTAGESSTÄTTE

Personenbezogene Daten von Kindern sind nach den Regelungen der Datenschutz-Grundverordnung (DS-GVO) besonders schutzwürdig. Dies geht insbesondere aus Art. 8 DS-GVO sowie dem entsprechenden Erwägungsgrund 38 hervor: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ Ein besonderes Augenmerk ist dementsprechend auf die Datenverarbeitung in Kindertagesstätten zu legen, wo die Verarbeitung von Kinderdaten wie bei kaum einer anderen Stelle zum Alltag gehört. Der Beitrag soll Praxisfragen klären und mit Missverständnissen aufräumen.


WER IST FÜR DIE DATENVERARBEITUNG IN DER KINDERTAGESSTÄTTE VERANTWORTLICH?

Wie bereits in unserem Blog-Beitrag „Reichweite der datenschutzrechtlichen Verantwortlichkeit bei Kommunen“ dargestellt, ist für die Beantwortung der Frage der datenschutzrechtlichen Verantwortlichkeit die jeweilige Trägerschaft entscheidend: Sofern sich eine Kindertagesstätte in der Trägerschaft einer Kommune befindet, ist diese für die Zwecke und Mittel der Datenverarbeitungen verantwortlich. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet: Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch in der Regel die Kommune als verantwortliche Stelle.


WELCHE DATEN DÜRFEN IM RAHMEN DES BETREUUNGSVERTRAGES VERARBEITET WERDEN?

Für die Anbahnung und den Abschluss des Betreuungsvertrages sowie zur Sicherstellung der Betreuung dürfen grundsätzlich diejenigen personenbezogenen Daten von Kindern, Sorgeberechtigten und Dritten (z.B. Abholberechtigten) verarbeitet werden, die zur Durchführung der Betreuung zwingend erforderlich sind. Die Rechtsgrundlage hierfür bildet das Vertragsverhältnis gemäß Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO. Dementsprechend können auch Angaben zu Krankheiten oder Allergien verarbeitet werden, um den Erzieher:innen im Notfall eine angemessene Reaktion ermöglichen zu können. Weiterhin können auch Angaben bezüglich notwendiger Schutzimpfungen (z.B. Masernschutzimpfung) verarbeitet werden, da für die Einrichtungen eine entsprechende Verpflichtung zur Kontrolle besteht.


DÜRFEN KINDERNAMEN AN GARDEROBEN, BILDERN ODER BASTELEIEN ANGEBRACHT WERDEN?

Diese Frage wurde insbesondere um Mai 2018 herum kontrovers diskutiert. Abhilfe schaffte hierbei jedoch recht zeitnah das Bayerische Landesamt für Datenschutzaufsicht mit einer praxisnahen Stellungnahme im Rahmen des 8. Tätigkeitsberichtes 2017/2018: Grundsätzlich dürfen Namensschilder an Garderoben angebracht sowie Bilder und Basteleien mit den Namen der Kinder versehen werden. Das Bayerische Landesamt für Datenschutzaufsicht sieht hierbei den Betreuungsvertrag (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) beziehungsweise das berechtige Interesse der Einrichtung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Organisation des Kita-Alltags als einschlägige Rechtsgrundlage an.


DÜRFEN ANWESENHEITS-, ALLERGIE- UND NOTFALLKONTAKTLISTEN ANGEFERTIGT WERDEN?

Grundsätzlich dient die Anfertigung solcher Listen der Durchführung des Betreuungsvertrages und kann dementsprechend vorgenommen werden. Derartige Listen sollten jedoch ausschließlich an geeigneten Orten ausgehangen werden, die nicht für jedermann zugänglich sind. In der Bestimmung eines geeigneten Ortes sind die jeweiligen Verwendungszwecke zu berücksichtigen und die zugriffsberechtigten Personen zu erörtern: Wer muss wissen, welche Kinder anwesend sind? Wer muss die Allergien eines Kindes einsehen können? Wer muss auf die Notfallkontakte zugreifen können?


DARF MIT ELTERN PER E-MAIL ODER ÜBER GÄNGIGE MESSENGER-DIENSTE KOMMUNIZIERT WERDEN?

Auf die datenschutzrechtliche Problematik im Zusammenhang mit gängigen Messenger-Diensten wie zum Beispiel WhatsApp oder Telegram haben wir bereits in unserem Blog-Beitrag „Messenger-Dienste und Datenschutz – „Würde ich selbst wollen, dass …?“ hingewiesen. Derartige Messenger-Dienste sind oftmals nicht datenschutzkonform einsetzbar, sodass auch die datenschutzrechtlichen Aufsichtsbehörden beispielsweise einen Einsatz von WhatsApp als nicht zulässig erachten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt in den FAQ zu „Datenschutz in der Kita“ aus: „Sofern es als notwendig erachtet wird, über Messenger mit Eltern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht.“ Als Beispiel ist in diesem Zusammenhang der Messenger-Dienst Threema zu nennen.

Auch der Versand von E-Mails bietet meist ein nur geringes Schutzniveau. Dieses wird oftmals in Vergleich mit dem Schutzniveau einer Postkarte gesetzt. Dementsprechend können allgemein gehaltene Hinweise oder Einladungen zu Veranstaltungen per E-Mail versendet werden. Der Versand von personenbezogenen Daten von Kindern sollte jedoch grundsätzlich nicht per E-Mail erfolgen.


DÜRFEN DURCH KINDERTAGESSTÄTTEN FOTOGRAFIEN VON KINDERN ANGEFERTIGT UND VERÖFFENTLICHT WERDEN?

Werden Fotografien von Kindern oder anderen Personen angefertigt und sind diese auf den Aufnahmen zu identifizieren, so bedarf es grundsätzlich der Einwilligung der betroffenen Personen beziehungsweise der Sorgeberechtigten. Die Anzahl der aufgenommenen Personen (z.B. bei Gruppenaufnahmen) ist hierbei unerheblich (OVG Lüneburg, Beschl. v. 19.1.2021 – 11 LA 16/20). Bei Einwilligungen hinsichtlich der Verarbeitung von personenbezogenen Daten von Kindern ist dabei zwingend zu berücksichtigen, dass es in der Regel der Einwilligung aller Sorgeberechtigten bedarf (OLG Düsseldorf, Beschl. v. 20.7.2021 – 1 UF 74/21). Weiterhin ist im Zusammenhang mit der Einwilligungserklärung zu berücksichtigen, dass sich diese zwingend auf die jeweiligen Verarbeitungszwecke und Veröffentlichungsmedien beziehen muss.

Zur Anfertigung von Fotografien durch die Kindertagesstätte dürfen keine privaten Endgeräte oder Speichermedien der Erzieher:innen verwendet werden.


DÜRFEN ELTERN INNERHALB DER KINDERTAGESSTÄTTE FOTOGRAFIEN VON IHREN EIGENEN KINDERN ANFERTIGEN?

Werden innerhalb der Kindertagesstätte durch die Eltern Fotografien von Kindern angefertigt, ist die jeweilige Kindertagesstätte für diese Datenverarbeitung nicht verantwortlich. Solange die Eltern die Aufnahmen ausschließlich für ihre privaten und familiären Zwecke anfertigen und nicht auf einschlägigen sozialen Netzwerken oder Cloud-Diensten hochladen, finden die Regelungen der DS-GVO zudem keine Anwendung (Art. 2 Abs. 2 lit. c DS-GVO). Im Zweifel lässt sich für die Erzieher:innen jedoch nicht erkennen, ob gegebenenfalls auch weitere Kinder aufgenommen werden und zu welchen Zwecken eine solche Aufnahme erfolgt. Daher steht es den Einrichtungen im Rahmen ihres Hausrechts grundsätzlich frei, ein Verbot von Fotoaufnahmen durch Eltern auszusprechen.


DÜRFEN DIE DIENSTPLÄNE DER ERZIEHER:INNEN AUSGEHANGEN WERDEN?

Auch wenn diese in der Praxis häufig gestellten Frage nicht den Schutz personenbezogener Daten von Kindern betrifft, soll sich abschließend dem Datenschutz der Erzieher:innen gewidmet werden. Die aufgeworfene Frage kann insoweit bejaht werden, dass soweit es aus organisatorischen Gründen erforderlich ist, der Aushang des Dienstplans vorgenommen werden kann. Dabei ist jedoch zu berücksichtigen, dass Dienstpläne ausschließlich dort ausgehangen werden, wo ausschließlich die Erzieher:innen und keine Dritte Einsicht nehmen können. Weiterhin ist aus organisatorischen Gründen im Abwesenheitsfall der Vermerk „Abwesend“ oder „A“ ausreichend. Eine Kennzeichnung und Unterscheidung von „Krank“, „Kind-Krank“, „Urlaub“ oder „Kur“ ist für die Organisation des Kita-Alltags nicht erforderlich und die Offenlegung gegenüber sämtlichen Erzieher:innen mithin datenschutzrechtlich unzulässig.


FAZIT

Im Alltag einer Kindertagesstätte ergeben sich viele datenschutzrechtliche Fragestellungen, für die (mittlerweile) jedoch auch praxistaugliche Antworten vorliegen. Insofern Unsicherheiten im Umgang mit personenbezogenen Daten mit Kindern bestehen, sind Erzieher:innen gut beraten den Datenschutzbeauftragten der verantwortlichen Stelle zu Rate zu ziehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • E-Mail
  • Fotoveröffentlichung
  • Kindertagesstätte
  • Messenger
Lesen

DATENSCHUTZRECHTLICHE GRUNDLAGEN DER VIDEOÜBERWACHUNG


ALLGEMEINES

Unter dem Begriff der „Videoüberwachung“ ist in datenschutzrechtlicher Hinsicht jegliche Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen zu verstehen. Ein „Raum“ ist bereits dann als öffentlich zugänglich zu definieren, wenn nicht hinreichend ausgeschlossen werden kann, dass unbeteiligte Dritte diesen passieren. Dementsprechend kann auch ein abgesicherter Baustellenbereich im Rahmen einer Videoüberwachung bereits als öffentlich zugänglicher Raum angesehen werden.


RECHTSGRUNDLAGEN

In der Datenschutz-Grundverordnung (DS-GVO) finden sich zum Thema Videoüberwachung keine expliziten Rechtsgrundlagen. Lediglich im Bundesdatenschutzgesetz (BDSG), genauer im § 4 BDSG, ist die Zulässigkeit einer Videoüberwachung öffentlich zugänglicher Räume normiert. Nach dem Urteil des Bundesverwaltungsgerichts vom 27. März 2019 ist diese Norm jedoch teilweise europarechtswidrig und somit für nicht-öffentliche verantwortliche Stellen nicht anwendbar. Aus diesem Grund ist bei einer Videoüberwachung in der Regel allein auf die allgemeine Norm des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO (Interessenabwägung) abzustellen.

Darüber hinaus ergeben sich für öffentliche Stellen der Länder oftmals aus dem jeweiligen Landesrecht spezifische Rechtsgrundlagen, zum Beispiel in Sachsen aus § 13 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) oder in Brandenburg aus § 28 Brandenburgisches Datenschutzgesetz (BbgDSG).

Sollten im Rahmen einer Videoüberwachung, beispielsweise mithilfe einer Gesichtserkennungssoftware, biometrische Daten verarbeitet werden, ist ebenfalls der Anwendungsbereich des Art. 9 DS-GVO (Verarbeitung besonderer Kategorien personenbezogener Daten) eröffnet. Findet eine Videoüberwachung hingegen ausschließlich zur Ausübung persönlicher oder familiären Tätigkeiten statt, das heißt eine Videoüberwachung un-beteiligter Dritter ist ausgeschlossen, finden die Regelungen der DS-GVO keine Anwendung. Hierbei ist dennoch stets das allgemeine Persönlichkeitsrecht zu achten. Die Anzahl der Anwendungsfälle für die Ausnahmeregelung hinsichtlich des persönlich-familiären Bereichs gemäß Art. 2 Abs. 2 lit. c DS-GVO dürfte im Zusammenhang mit einer Videoüberwachung jedoch entsprechend gering sein.


INTERESSENABWÄGUNG

Entsprechend des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn diese zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist. Zusätzlich ist jedoch zu prüfen, ob möglicherweise die Interessen oder Grundrechte und Grundfreiheiten betroffener Personen überwiegen. Zusammenfassend bedarf es somit drei wesentlicher Elemente: Die Wahrung berechtigter Interessen, die Erforderlichkeit einer Videoüberwachung sowie einer Interessenabwägung zwischen den Interessen des Verantwortlichen und denen des Betroffenen.

Hinsichtlich eines berechtigten Interesses bei einer Videoüberwachung kann sowohl auf das des Verantwortlichen als auch auf das eines Dritten, beispielsweise eines Ladenmieters in einem Einkaufszentrum verwiesen werden. In diesem Zusammenhang können unter anderem die Beweissicherung durch Aufzeichnung und die hieraus ermöglichte Geltendmachung zivilrechtlicher Schadensersatzansprüche ein berechtigtes Interesse darstellen.

Weiterhin muss eine Videoüberwachung auch erforderlich sein. Das bedeutet, es ist zu hinterfragen, ob das festgelegte Ziel durch eine Videoüberwachung erreicht werden kann und ob unter Umständen nicht sogar ein anderes, weniger in die Rechte der betroffenen Personen eingreifendes Mittel, die gleiche Wirkung erzielen könnte. In Betracht kommen hier beispielsweise der Einsatz von Sicherheitspersonal oder ein Echtzeit-Monitoring anstatt einer Videoaufzeichnung.

Bei der anschließenden Interessenabwägung sind die gegebenenfalls entgegenstehenden Interessen beziehungsweise Grundrechte und Grundfreiheiten der betroffenen Personen zu berücksichtigen. Sofern diese die Interessen der verantwortlichen Stelle überwiegen, kann eine Videoüberwachung in der geplanten Form nicht durchgeführt werden.

Im Rahmen der Interessenabwägung sind insbesondere die vernünftigen Erwartungen betroffener Personen im konkreten Einzelfall zu berücksichtigen. Entscheidend ist auch, inwiefern eine Videoüberwachung typischerweise akzeptiert oder abgelehnt wird. Ein strengerer Maßstab gilt bei einer Videoüberwachung von Beschäftigten. Gänzlich abgelehnt wird eine Videoüberwachung hingegen im Nachbarschaftskontext, in Behandlungs- und Wartezimmern, in Ruhe- und Pausenräumen sowie in Toiletten- und Umkleidebereichen. Eine Videoüberwachung in diesen Umgebungen wird stets als unzulässig einzustufen sein. Aber auch die Videoüberwachung öffentlicher Verkehrsräume darf in der Regel nicht vorgenommen werden.


WEITERE ANFORDERUNGEN

Insbesondere nach Art. 25 und Art. 32 DS-GVO ist auch bei der Einführung einer Videoüberwachung auf eine sichere und datenschutzfreundliche Gestaltung zu achten. Dies beinhaltet neben einer möglichen zeitlichen Einschränkung auch die räumliche Einschränkung der Videoüberwachung. Wird mit der Videoüberwachung die Beobachtung eines Betriebsgeländes beabsichtigt, müssen Bereiche, die nicht zu dem Betriebsgelände gehören ausgeblendet oder verpixelt werden. Nicht benötigte Funktionalitäten, wie zum Beispiel die Schwenkbarkeit, Zoomfähigkeit sowie Audioaufnahme sollte durch die Überwachungstechnik nicht unterstützt oder zumindest vor Inbetriebnahme deaktiviert werden.

Zusätzlich ist vor der Inbetriebnahme der Videoüberwachung die/der Datenschutzbeauftragte zu kontaktieren. Diese/r berät nicht nur hinsichtlich der technischen Ausgestaltung, sondern überprüft auch, inwiefern im Einzelfall eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO notwendig ist. Weiterhin wird die/der Datenschutzbeauftragte auch bei der Erstellung und Anpassung der entsprechenden Einträge in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO unterstützend tätig.


LÖSCHFRISTEN

Wie bei allen personenbezogenen Daten, sind auch die Daten der Videoüberwachung gemäß Art. 17 Abs. 1 lit. a DS-GVO umgehend zu löschen, wenn diese zur Erreichung der Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Durch die Aufsichtsbehörden wird die Meinung vertreten, dass regelmäßig innerhalb von zwei Tagen entschieden werden kann, ob eine Sicherung des Videomaterials zur weiteren Verfolgung der Zwecke notwendig ist. Dementsprechend gilt vor allem unter der Berücksichtigung des Grundsatzes der Datenminimierung und der Speicherbegrenzung eine Löschfrist von höchstens 48 Stunden, sofern besondere Umstände nicht eine längere Speicherdauer begründen können.


HINWEISBESCHILDERUNG

Zudem fordert die DS-GVO eine transparente Datenverarbeitung. Daraus folgt, dass auch bei einer Videoüberwachung die Informationspflichten nach Art. 13 DS-GVO einzuhalten sind. Hierbei sind mindestens Angaben zur Identität des Verantwortlichen, die Kontaktdaten der/des Datenschutzbeauftragten, die Verarbeitungszwecke und Rechtsgrundlage, die Dauer der Speicherung sowie der Hinweis auf die Betroffenenrechte vorzunehmen. Diese Informationen müssen der betroffenen Person in gut lesbarer und verständlicher Weise bereitgestellt werden, möglichst noch bevor diese den videoüberwachten Bereich betritt.


SANKTIONEN

Grundsätzlich können Sich betroffene Personen nach Art. 77 DS-GVO bei einer Aufsichtsbehörde beschweren, wenn diese der Ansicht sind, dass eine Verarbeitung personenbezogener Daten rechtswidrig erfolgt. Die Aufsichtsbehörde kann im Rahmen einer Sanktionierung insbesondere Bußgelder erlassen oder eine weitere V-deoüberwachung versagen beziehungsweise mit Auflagen belegen.


WEITERFÜHRENDE INFORMATIONEN

Weiterführende Informationen zum Thema Videoüberwachung erhalten Sie auf den Internetseiten der jeweiligen Aufsichtsbehörden sowie im Kurzpapier Nr. 15 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). Darüber hinaus erhalten Sie die Informationen dieses Beitrages auch in unserem Leitfaden „Videoüberwachung – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen, die eine Videoüberwachung bereits durchführen oder die Einführung einer Videoüberwachung beabsichtigen“. Darin enthalten sind ebenfalls zwei Beispiele einer möglichen Hinweisbeschilderung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Hinweisbeschilderung
  • Interessenabwägung
  • Monitoring
  • Technische-organisatorische Maßnahmen
  • Videoüberwachung
Lesen

REICHWEITE DER DATENSCHUTZRECHTLICHEN VERANTWORTLICHKEIT BEI KOMMUNEN

Der verantwortlichen Stelle kommt im Normgefüge der Datenschutz-Grundverordnung (DS-GVO) eine ganz besondere Bedeutung zu: Dieser obliegt die Umsetzung der datenschutzrechtlichen Anforderungen, insbesondere der Sicherstellung der datenschutzrechtlichen Grundätze, der Vornahme der weitreichenden Dokumentationspflichten sowie der Implementierung entsprechender Prozesse zur Beantwortung von Betroffenenanfragen und Meldung von Datenschutzverletzungen. Aus diesem Grund stellt sich insbesondere im Zusammenhang mit Kommunen in der Praxis häufig die Frage, wie weit der Begriff der verantwortlichen Stelle zu verstehen ist, beziehungsweise welche Stellen, Einrichtungen und Organe der Kommune als verantwortlichen Stelle zuzurechnen sind.


BEGRIFF DES VERANTWORTLICHEN

Der Begriff des Verantwortlichen (auch „verantwortliche Stelle“) ist in Art. 4 Nr. 7 DS-GVO legaldefiniert. Verantwortlicher ist demnach „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, […].“ Entscheidend für die Feststellung und Abgrenzung einer verantwortlichen Stelle ist demnach, dass die entsprechende Stelle tatsächlich über die Entscheidungsbefugnis hinsichtlich Zwecke und Mittel, das heißt über das „ob“, „warum“ und „wie“, einer Datenverarbeitung verfügt. Sie unterscheidet sich damit beispielsweise grundsätzlich von einem Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DS-GVO, welcher Datenverarbeitungen stets strikt nach Weisung und im Auftrag einer verantwortlichen Stelle durchführt.

Aus der Legaldefinition des Begriffs der verantwortlichen Stelle folgt demnach auch, dass Datenverarbeitungen von Einzelpersonen oder Personengruppen, die einen Bezug  zu einem Beschäftigtenverhältnis oder einer ähnlich gearteten Tätigkeit aufweisen, grundsätzlich der übergeordneten Stelle, zum Beispiel dem Arbeitgeber, zuzurechnen sind. Führt eine einzelne Person in dieser Konstellation jedoch Datenverarbeitungen zu eigenen Zwecken durch und handelt in diesem Zusammenhang etwa gegen Anweisungen oder Richtlinien der übergeordneten Stelle, ist unter Umständen auch diese als verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Hierbei ist jedoch nicht auszuschließen, dass die übergeordnete Stelle aufgrund unzureichender technischer und organisatorischer Maßnahmen zumindest eine Mitverantwortung trifft.


KOMMUNE ALS VERANTWORTLICHER

Aus der obigen Darstellung ergibt sich somit ohne Zweifel, dass die einzelnen Fachbereiche und Ämter einer Kommune der Kommune selbst als verantwortlicher Stelle zuzurechnen sind. Unter Umständen weniger eindeutig ist dies jedoch bei einzelnen Gremien oder weiteren Stellen und Einrichtungen:


PERSONALRAT

Parallel zu der Frage, ob der Betriebsrat als Teil der verantwortlichen Stelle anzusehen ist, stellte sich diese Frage ebenso lange Zeit hinsichtlich des Personalrates. Auch wenn es in den landesspezifischen Personalvertretungsgesetzen überwiegend keine zu § 79a Betriebsverfassungsgesetz vergleichbare Regelungen gibt, sprechen die zum Teil hervorgebrachten Argumente für eine Zuordnung zur Kommune als verantwortliche Stelle. Im Ergebnis ergibt sich für den Personalrat eine Mitwirkungsverpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze sowie zur Umsetzung der datenschutzrechtlichen Dokumentationspflichten, jedoch keine ausschließliche Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DS-GVO.


GEMEINDE-/STADTRAT

Der Gemeinde-/Stadtrat ist grundsätzlich als Verwaltungsorgan und mithin als Organ der jeweiligen Gemeinde beziehungsweise Stadt anzusehen. Als Organ ist der Gemeinde-/Stadtrat demzufolge als integrierter Bestandteil der jeweiligen Gebietskörperschaft als juristischer Person und mithin nicht als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO zu verstehen. Dies geht beispielsweise auch aus der Informationsbroschüre „Datenschutz für bayerische Gemeinderatsmitglieder“ hervor: „Als ehrenamtliches Gemeinderatsmitglied entscheiden Sie nicht im eigenen Namen und meist auch nicht allein über Datenverarbeitungen Ihrer Gemeinde. Sie wirken vielmehr  an den Entscheidungen des Gemeinderats mit, der seinerseits als Organ für die Gemeinde handelt. Das Handeln dieses Organs wird dann der Gemeinde zugerechnet, mit der Folge, dass sie im Datenschutzrecht die Rolle des Verantwortlichen spielt.“


ORTSCHAFTSRAT

Gleiches gilt im Ergebnis für Ortschaften als nicht rechtsfähige Körperschaften des öffentlichen Rechts sowie die zugehörigen Ortschaftsräte, einschließlich der Ortsvorsteher. Diese sind als unselbständiger Teil der jeweiligen Gemeinde beziehungsweise Stadt anzusehen, sodass die Tätigkeiten des Ortschaftsrates nach datenschutzrechtlichen Gesichtspunkten stets der verantwortlichen Stelle der Kommune zuzurechnen sind.


KINDERTAGESSTÄTTEN

Hinsichtlich der Kindertagesstätten ist für die Beurteilung der datenschutzrechtlichen Verantwortlichkeit zunächst die Frage nach der jeweiligen Trägerschaft entscheidend. Sofern sich eine Kindertagesstätte in der Trägerschaft der jeweiligen Kommune befindet, ist davon auszugehen, dass die Kommune grundsätzlich über die Zwecke und Mittel der Datenverarbeitungen entscheidet. Dies beschränkt sich dann nicht ausschließlich auf die Vergabe der Kindertagesstättenplätze sondern erstreckt sich auch auf die Datenverarbeitungen innerhalb der Kindertagesstätte, wie zum Beispiel das Führen von Anwesenheitslisten, die Vornahme der Entwicklungsdokumentation sowie die Anfertigung von Foto- und Videoaufnahmen. Etwas anderes gilt dann, sofern sich eine Kindertagesstätte in freier Trägerschaft befindet. Die datenschutzrechtliche Verantwortlichkeit für Datenverarbeitungen im Alltag der Kinder liegt dann beim jeweiligen Träger. Für die Vergabe der Kindertagesstättenplätze verbleibt jedoch die Kommune verantwortliche Stelle.


KULTUR- UND FREIZEITEINRICHTUNGEN

Bei Kultur- und Freizeiteinrichtungen entscheidet sich die datenschutzrechtliche Verantwortlichkeit anhand des konkreten Betreibers: Oftmals werden für den Betrieb derartiger Einrichtungen (gemeinnützige) Gesellschaften gegründet. Hieraus folgt dann, dass diese Gesellschaft als eigenständige juristische Person und nicht die Kommune als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO einzustufen ist.


UMSETZUNG IN DER PRAXIS

Aufgrund der Strukturen der Kommunalverwaltung und der Vielzahl der Kommune als verantwortliche Stelle zuzurechnender Stellen, Einrichtungen und Organe, ist die Einführung eines umfassenden Datenschutzmanagementsystems zu empfehlen. Aus diesem sollten sich zunächst die Reichweite der datenschutzrechtlichen Verantwortlichkeit der Kommune sowie die hieraus resultierenden Mitwirkungspflichten der einzelnen Personen und Personengruppen (z.B. Gemeinde-/Stadträte, Ortsvorsteher, Beschäftigte der Kindertagesstätten) ergeben. Weiterhin bedarf es der Implementierung von Prozessketten, sodass im Falle von Datenschutzverletzungen oder bei Geltendmachung von Betroffenenrechten sowohl der behördliche Datenschutzbeauftragte als auch die Leitung der verantwortlichen Stelle hiervon unmittelbar Kenntnis erlangen.

Darüber hinaus ist eine weitere Zuweisung von Zuständigkeiten sinnvoll, zum Beispiel: In welchem Rahmen und durch welche Personenkreise erfolgt eine Zuarbeit hinsichtlich der Erstellung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DS-GVO sowie der Datenschutzinformationen nach Art. 13 und Art. 14 DS-GVO? Durch welche fachbereichs- oder prozessverantwortliche Stelle erfolgt eine Überprüfung und Aufbewahrung der Verträge zur Auftragsverarbeitung nach Art. 28 DS-GVO beziehungsweise zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO?

Der Kommune obliegt zudem die Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO für alle Ämter, Fachbereiche, Gremien, Organe und Einrichtungen. Dies umfasst beispielsweise regelmäßig die Bereitstellung der notwendigen technischen Infrastruktur (z.B. von Laptops und E-Mail-Postfächern) sowie die entsprechende Absicherung (z.B. Verschlüsselung von Festplatten, Einrichtung von Firewalls und Antiviren-Softwares) dieser. Die Nutzung privater Endgeräte und Postfächer wird datenschutzrechtlich regelmäßig als problematisch bis unzulässig einzustufen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzmanagement
  • Kindertagesstätte
  • Kommunalverwaltung
  • Stadtrat
  • Verantwortlichkeit
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen