DATENSCHUTZ IN DER CORONA-PANDEMIE

Seit Beginn der Corona-Pandemie ergeben sich in zahlreichen Lebenslagen neue rechtlichen Problemstellungen. Neben sicherheitsrechtlichen Aspekten wie beispielsweise gezielten Phishing-Angriffen, die einen Bezug zur Covid-19-Pandiemie aufwiesen, kommt es auch im Datenschutzrecht immer wieder zu Fragen rund um das Arbeiten im „Homeoffice“, den Einsatz von Videokonferenzsystemen, die Durchführung von Kontaktdatenerfassung, die Durch- und Nachweisführung von Corona-Test und dergleichen. Der Sächsische Datenschutzbeauftragte widmete sich in seinem aktuellen Tätigkeitsbericht sowie Veröffentlichungen auf der Webseite ebenfalls an einigen Stellen dem Datenschutz in Zeiten der Coronavirus-Pandemie. Mit dem nachfolgenden Beitrag greifen wir – auch mit Blick auf die derzeit erneut steigenden Corona-Infektionszahlen – einige im Zusammenhang mit der in Sachsen aktuell geltenden Corona-Schutz-Verordnung (Sächsische Corona-Schutz-Verordnung – SächsCoronaSchVO) stehende datenschutzrechtliche Fragestellungen auf.


WELCHE DATEN WERDE BEI EINEM CORONA-TEST VERARBEITET?

Bei Covid-19 handelt es sich um eine meldepflichtige Krankheit im Sinne des § 6 Infektionsschutzgesetz (IfSG), vgl. § 6 Abs. 1 Nr. 1 lit. t) IfSG. Sollte ein Arzt feststellen, dass der Patient daran erkrankt ist, hat er dies nach § 8 Abs. 1 Nr. 1 IfSG an das zuständige Gesundheitsamt zu melden. Gleiches gilt für ein beauftragtes Labor gemäß § 8 Abs. 1 Nr. 2 IfSG. Bei den entnommenen Proben handelt es sich nach Auffassung des Sächsischen Datenschutzbeauftragten erst dann um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO, wenn die Proben analysiert und den Patienten betreffende Informationen verarbeitet werden. Welche Daten bei der Feststellung einer Covid-19-Infektion zu melden sind folgen aus § 9 IfSG. Hierunter fallen u.a. Name und Vorname, Adresse sowie Kontaktdaten. Die Datenverarbeitung erfolgt in diesen Fällen gemäß Art. 6 Abs. 1 Satz 1 lit. c) und e), Abs. 3 DS-GVO in Verbindung mit den einschlägigen Normen des IfSG. Soweit Gesundheitsdaten verarbeitet werden, so ist dies nach Art. 9 Abs. 2 lit. g) und i), Abs. 3 DS-GVO zulässig.


DÜRFEN GESUNDHEITSDATEN VON BESCHÄFTIGTEN VERARBEITET WERDEN?

Der konkrete Sachverhalt im Tätigkeitsbericht bezog sich auf die Abfrage von Gesundheitsdaten in Bezug auf chronische Vorerkrankungen von Beschäftigten und auch von Angehörigen, die mit ihnen im Haushalt zusammenleben, die auf ein Risiko einer Covid-19-Erkrankung hindeuten.

Personenbezogene Daten von Beschäftigten dürfen gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 1 BDSG bzw. § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSG) verarbeitet werden, soweit dies zur Durchführung des Beschäftigten- bzw. Dienst- oder Arbeitsverhältnisses (oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes erforderlich ist). Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Es sind dabei die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem Ausgleich zu bringen, so dass möglichst beide Interessen so weit wie möglich berücksichtigt werden. Erhebliche Zweifel bestehen daher bereits an pauschalen Abfragen seitens der Arbeitgeber beziehungsweise Dienstherren zu chronischen Vorerkrankungen der Beschäftigten.

Weiter führt die Aufsichtsbehörde aus, dass die Verarbeitung von Gesundheitsdaten mittels Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nur dann wirksam erteilt werden kann, wenn die betroffene Person in die Verarbeitung der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat und die Voraussetzungen von Art. 4 Nr. 11 und Art. 7 DS-GVO erfüllt, sind. Außerdem wird im Rahmen von Beschäftigtenverhältnissen häufig das Tatbestandmerkmal der Freiwilligkeit der Einwilligungserklärung in Frage zu stellen sein. Aufgrund der bestehenden Abhängigkeiten im Beschäftigungsverhältnis sind besondere Anforderungen im Hinblick auf die Beurteilung der Freiwilligkeit zu stellen. Dies gilt laut Sächsischer Aufsichtsbehörde insbesondere im Hinblick auf die Umstände, unter denen die Einwilligung erteilt worden ist und dass es sich um besonders sensible Daten (Gesundheitsdaten) handelt.


WELCHE DATEN DÜRFEN IM RAHMEN DER KONTAKTNACHVERFOLGUNG VERARBEITET WERDEN?

Mit den Allgemeinverfügungen zum Vollzug des Infektionsschutzgesetzes des Sächsischen Staatsministeriums für Soziales und Gesellschaftlichen Zusammenhalt wurden als Schutzmaßnahmen unter anderem Kontaktnachverfolgungen normiert. Ziel soll die Rückverfolgung von Infektionsketten sein. Mit dieser Maßnahme sollen dann die Infektionsketten unterbrochen und damit auch weitere Infektionen vermieden werden.  Ziel dieser Kontaktdatenerhebung ist der Gesundheitsschutz der Bevölkerung sowie der Beschäftigten. Diese Form der Datenverarbeitung ist gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 DS-GVO i.V.m. § 32 i.V.m. § 28 Abs. 1 Satz 1 und 2 IfSG i.V.m. SächsCoronaSchVO und Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gerechtfertigt.

In der aktuellen Fassung der Sächsischen Corona-Schutz-Verordnung bildet § 6a SächsCoronaSchVO die zentrale Regelung zur Art und Weise der Kontakteerfassung. Umfasst wird die Erfassung mittels digitaler Systeme (insbesondere die Corona-Warn-App). Zusätzlich ist eine analoge Form der Kontakterfassung (Name, Telefonnummer oder E-Mail-Adresse und Anschrift) vorzusehen. Bei der Kontakteerfassung ist sicherzustellen, dass eine Kenntnisnahme der erfassten Daten durch Unbefugte ausgeschlossen ist. Die Daten dürfen nur zum Zweck der Aushändigung an die für die Kontaktnachverfolgung zuständigen Behörden verarbeitet werden und sind vier Wochen nach der Erhebung zu löschen.

In welchen konkreten Fällen die Kontakteerfassung erforderlich ist, regelt die Verordnung an verschiedenen Stellen: vgl. § 10 Abs. 2, § 11 Abs. 2, § 12 Abs. 2, § 13 Abs. 2, § 14 Abs. 2 SächsCoronaSchVO uvm.


WELCHE DOKUMENTATIONEN VERLANGT § 9 ABS. 1a SÄCHSCORONASCHVO?

Gemäß § 9 Abs. 1a SächsCoronaSchVO müssen Beschäftigte, die mindestens fünf Werktage hintereinander aufgrund von Urlaub und vergleichbaren Dienst- oder Arbeitsbefreiungen nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen tagesaktuellen Test vorlegen oder im Verlauf des ersten Arbeitstages einen dokumentierten beaufsichtigten Test durchführen. Erfolgt die Arbeitsaufnahme im Homeoffice, gilt die Verpflichtung für den ersten Tag, an dem die Arbeit im Betrieb oder an sonstigen Einsatzorten außerhalb der eigenen Häuslichkeit stattfindet.

Für Arbeitgeber stellt sich hier die Frage in welchem Umfang sie zur Kontrolle und gegebenenfalls Dokumentation der Testpflicht angehalten sind. Der Sächsische Datenschutzbeauftragte geht in einer diesbezüglich veröffentlichten Mitteilung davon aus, dass die Ergebnisse der Tests oder Kontrollen ohne Personenbezug zu dokumentieren sind. „Stattdessen können Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben.“ Dies sei deshalb ausreichend, da in § 9 Abs. 1a SächsCoronaSchVO eine Vorlagepflicht der Beschäftigten, jedoch keine weitergehende Dokumentation des Arbeitgebers geregelt wird.


FAZIT

Einigen zentralen datenschutzrechtlichen Themen, welche im Zuge der Corona-Pandemie an Bedeutung erlangt haben, wird aufgrund der steigenden Fallzahlen demnächst wieder mehr Bedeutung zuzumessen sein. Dies betrifft mit Sicherheit die Nachweispflichten zu Impf-, Genesenen- und Teststatus (§§ 8, 9 SächsCoronaSchVO), insbesondere in Verbindung mit der Covid-19-Schutzmaßnahmen-Ausnahmenverordnung (SchAusnahmV) zum Nachweis von Impfungen und Genesungen, welche gleichwohl digital als auch in verkörperter Form möglich sein sollen, §§ 2 Nr. 3, 5, 7 SchAusnahmV. Auch die Kontaktdatenerfassung sowie die Verarbeitung von Gesundheitsdaten der Beschäftigten wird wieder in den Vordergrund rutschen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Kontaktnachverfolgung
  • Sächsischer Datenschutzbeauftragter
  • Testpflicht
Lesen

ICH MÖCHTE EINE UMFRAGE MACHEN – UND NUN?

„Wie zufrieden sind Sie mit unserer Leistung?“ „Welche Partei würden Sie wählen, wenn heute Bundestagswahl wäre?“ „Wie hat sich Corona auch Ihre Psyche, Arbeit oder Ihr Privatleben ausgewirkt?“ Derartige Umfragen sind auch aus datenschutzrechtlicher Perspektive äußerst interessant. Der folgende Beitrag umreißt die datenschutzrechtlichen Anforderungen an derartigen Umfragen.


ICH WOLLTE DOCH NUR MAL FRAGEN…

Es gibt die verschiedensten Arten von Umfragen. Im Rahmen meiner Tätigkeit für Forschungseinrichtungen und Hochschulen ist die erste Aussage eigentlich immer: „Da haben wir kein Problem, alles anonym.“ Sieht man sich das Ganze dann genauer an, wird schnell das Gegenteil deutlich. Darüber hinaus gibt es viele Umfragen/Studien, die nur mit der Rückverfolgbarkeit zu einer konkreten Person ihr Ziel erreichen können.

Daher müssen Sie sich bei Planung einer Umfrage/Studie immer zuerst fragen, ob der Anwendungsbereich des Datenschutzes eröffnet ist und welche Anforderungen bestehen. Sehen Sie sich zunächst einmal Ziel und die Fragestellungen genau an. Geht es Ihnen darum, die Person – z.B. zur weiteren Klärung von Aussagen oder Problemen – zu kontaktieren? Gibt es weitere Datenverarbeitungen (z.B. klinische Studien, Gerätemessungen, Zusammenführung von Teilumfragen) mit denen die Antworten z.B. über eine Studien-ID in Verbindung gebracht werden müssen, ohne dass die Möglichkeit besteht, hierfür einen Code zu nutzen, der nur dem Befragten selbst bekannt ist? Werden möglicherweise durch die technische Umsetzung oder das eingesetzte Umfragetool personenbezogene Daten verarbeitet (z.B. Kontaktdaten zur Zusendung der Umfrage, IP-Adressen, Zuordnungsnummern zu Messtechniken)?

Häufig werden „Anonymität“ und „Pseudonymität“ fatalerweise gleichgesetzt. Aber nur, wenn tatsächlich kein Personenbezug gegeben ist, besteht auch kein Risiko für die befragten Personen und es bedarf nicht der Schutzmaßnahmen des Datenschutzes. „Anonym“ ist eine Umfrage dann, wenn durch die beteiligten Forscher, aber auch die beteiligten Einrichtungen insgesamt sowie gegebenenfalls Dritte keine Möglichkeit besteht, die Antworten zu einer Person zurückzuverfolgen. Auch die Rückverfolgbarkeit zu einer kleinen Gruppe (in der Regel drei bis fünf Personen) kann problematisch sein, da häufig nicht ausgeschlossen werden kann, dass Dritte über entsprechendes Zusatzwissen verfügen. Bei der Beurteilung der Anonymität einer Umfrage dürfen Sie daher die folgenden Blickrichtungen nicht aus den Augen verlieren:

(1) Direkte Erhebung personenbezogener Daten bzw. sonstiges Identifikationsmerkmal (z.B. Name, Personal- oder Matrikelnummer, Studien-ID etc.) im Rahmen der Einladung/Zusendung der Umfrage oder des Umfrageformulars sowie im Zusammenhang mit Anreizen (z.B. Bezahlung, Geschenk, Verlosung – grundsätzlich auf freiwilliger Basis),
(2) Rückverfolgbarkeit auf eine einzelne Person oder kleine Gruppe von Personen durch Zusammenführung verschiedener Fragen/Antworten (z.B. Geschlecht, Altersgruppe, Betriebszugehörigkeit, Einrichtung – Achtung auch bei Freitextfeldern!),
(3) Neben dem Umfrageteilnehmer gegebenenfalls personenbezogenes Befragungsthema, also z.B. Zufriedenheit mit dem Vorgesetzten bzw. der Geschäftsleitung, Meinung zu einer Veranstaltung/Vortrag und damit zum Dozierenden, Fragen zu Familienangehörigen,
(4) Erhebung technischer Daten, welche eine Rückverfolgbarkeit zulassen (z.B. IP-Adresse, Sensor-ID).

Auch wenn im Ergebnis keine Umsetzung datenschutzrechtlicher Anforderungen wie z.B. Informationspflichten erfolgen muss: Seien Sie gegenüber den Befragten transparent in dem, was Sie tun! Denken Sie immer daran, dass die erfolgreiche Durchführung einer Umfrage/Studie immer auch auf dem Vertrauen der Befragten beruht.


WELCHES UMFRAGETOOL IST FÜR MICH DAS RICHTIGE?

Auf dem Markt existieren diverse Umfragetools wie z.B. LamaPoll, SosciSurvey, QuestionStar, Easy Feedback, LimeSurvey, Blubbsoft, Zoho Survey sowie Google Forms. Natürlich gibt es noch viele andere Anbieter und der Auswahl und Reihenfolge ist keine Bewertung zu Leistung oder Datenschutzkonformität zu entnehmen. Welches Tool im konkreten Fall geeignet ist, ist von verschiedenen Faktoren abhängig. Was ist der Zweck der Umfrage (z.B. Kundenzufriedenheit, Mitarbeiterbefragung z.B. zur Arbeitssicherheit oder Mobilität, Evaluation der Lehre, klinische oder wissenschaftliche Studie, sozialwissenschaftliche Umfrage) und wen will ich ansprechen (z.B. Kunden, Beschäftigte, anonyme Probanden, zufälliger Personenkreis)? Bestehen besondere Ansprüche hinsichtlich der Gestaltung, Durchführung oder Auswertung? Besteht über das Tool auch technisch die Möglichkeit der anonymen Befragung? Handelt es sich um eine einzelne Umfrage oder wird ein dauerhaftes Tool für verschiedene Umfragen benötigt? Verfüge ich über eine eigene, geeignete IT-Struktur oder wo soll die Datenspeicherung erfolgen (Empfehlung: Deutschland/Europa)? Wie hoch ist mein Budget? Auch wenn der Datenschutz bei der Auswahl oft nicht an erster Stelle steht: Stellen Sie vor Auswahl sicher, dass die Software geeignet ist, um die zu Ihrer Umfrage/Studie passenden Anforderungen, insbesondere Anonymität sowie technische und organisatorische Maßnahmen, zu erfüllen.


MEINE UMFRAGE IST DOCH NICHT ANONYM. WAS SOLL ICH TUN?

Zunächst einmal benötigen Sie eine Rechtsgrundlage. In den meisten Fällen werden Sie für die Datenerhebung im Zuge der Umfrage eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a i.V.m. Art. 7 Datenschutz-Grundverordnung (DS-GVO) benötigen, da Sie nur selten für die Durchführung eines Vertrags oder ein besonderes Interesse erforderlich sein dürfte. Unabhängig davon dürfte sich eine verpflichtende Umfrage i.d.R. auch auf die Qualität der Antworten niederschlagen. Werden die Umfragebögen bereits personenbezogen verteilt und beispielsweise nicht über einen Link an eine Funktions-E-Mail-Adresse beziehungsweise durch Auslage/Intranet, benötigen Sie darüber hinaus eine Rechtsgrundlage, um mit den gewünschten Umfrageteilnehmern in Kontakt treten zu dürfen. Hierfür kann neben einer Einwilligung auch ein bereits bestehender Vertrag gemäß Art. 6 Abs. 1 Satz 1 lit. b DS-GVO in Frage kommen. Aber Achtung: Der BGH hat in seinem Urteil vom 10. Juli 2018 (VI ZR 225/17) entschieden, dass es sich bei Kundenzufriedenheitsumfragen um Werbung handelt und die Anforderungen des § 7 UWG zu beachten sind. Es sind also unter Umständen auch angrenzende Rechtsgebiete zu berücksichtigen.

Vor Durchführung der Umfrage muss der gewünschte Teilnehmer über die Datenverarbeitung nach Art. 13, 14 DS-GVO informiert werden. Dies kann mit der gegebenenfalls erforderlichen Einwilligung verbunden werden und sollte bereits bei der ersten Ansprache z.B. per E-Mail oder Brief, im Rahmen des Umfrageformulars sowie gegebenenfalls im Zusammenspiel mit einer separaten Internetseite zur Datenschutzinformation erfolgen. Wichtig ist nur, dass die Information verständlich, möglichst transparent und vor der Datenerhebung erfolgt. Achten Sie dabei im Interesse der Teilnehmer bitte auch darauf, die Informationen nicht ganz unten auf das Formular bzw. auf die letzte Seite des Fragebogens vor dem „Abschicken“-Button zu packen.

Vor Erhebung und Verarbeitung der Daten muss sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen getroffen wurden. Die Möglichkeiten der technischen Maßnahmen bestimmen sich in weiten Teilen danach, für welches Umfrage-Tool Sie sich entscheiden. Insoweit die Möglichkeit besteht, dass der Anbieter des Umfragetools auf die (personenbezogenen) Daten zugreifen kann, bedarf es des Abschlusses eines Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO. Hierbei ist frühzeitig der Datenschutzbeauftragte Ihrer Einrichtung einzubeziehen.

In Hinblick auf die organisatorischen Maßnahmen ist insbesondere sicherzustellen, dass der Kreis der zugriffsberechtigten Personen möglichst klein bleibt und mit den datenschutzrechtlichen Anforderungen – insbesondere der Vertraulichkeit im Umgang mit personenbezogenen Daten – vertraut ist. Kontaktdaten für die Umfrageverteilung beziehungsweise im Rahmen versprochener Anreize sind möglichst frühzeitig von den Umfragedaten zu trennen. Auch darüber hinaus ist die frühestmögliche Anonymisierung beziehungsweise Pseudonymisierung der Daten zu berücksichtigen. Alle Umfragedaten sind zu löschen, sobald diese nicht mehr für die Durchführung der Umfrage inklusive Auswertung benötigt werden und keine Aufbewahrungspflichten o.ä. bestehen. Eine Veröffentlichung ist in der Regel nur in Bezug auf aggregierte Daten ohne Personenbezug zulässig.

Zumindest wenn Umfragetools dauerhaft eingesetzt werden oder es sich nicht nur um eine einmalige/kurzzeitige Umfrage handelt, sollte eine Prozessbeschreibung in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO aufgenommen werden. Und ganz wichtig: Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein! Von diesem können Sie wertvolle Tipps zur Gestaltung Ihrer Umfrage und der erforderlichen Dokumente erhalten.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Anonymisierung
  • Einwilligung
  • Pseudonymisieung
  • Studie
  • Umfrage
Lesen

BETRIEBSRÄTEMODERNISIERUNGSGESETZ

Der Blick soll im heutigen Beitrag auf das – zumindest – sprachlich etwas holprig daherkommende Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in der digitalen Arbeitswelt, kurz: das Betriebsrätemodernisierungsgesetz, drehen. Der Gesetzesentwurf des Bundesministeriums für Arbeit und Soziales ist auf der Seite des Bundestages abrufbar. Das Gesetz wurde nunmehr am 21.05.2021 vom Bundestag verabschiedet, der Bundesrat erteilte am 28.05.2021 seine Zustimmung.


WELCHES ZIEL VERFOLGT DAS GESETZ?

Das Gesetz verfolgt vorrangig die Stärkung der Arbeit der Betriebsräte und soll eine Vereinfachung von Betriebsratswahlen herbeiführen. Ausweislich der Entwurfsbegründung sollen u.a. für die Teilnahme an Betriebsratssitzungen mittels Video- oder Telefonkonferenz für die Betriebsratsarbeit sachgerechte und dauerhafte Regelung geschaffen werden, die zugleich einen wesentlichen Beitrag zur Digitalisierung der Betriebsratsarbeit leisten. Auf Grund der Vergleichbarkeit der Regelungsmaterie soll die dauerhafte Möglichkeit der Nutzung virtueller Sitzungsformate auch für die Personalvertretungen auf Bundesebene geschaffen werden.

Daneben soll auch die datenschutzrechtliche Verantwortlichkeit nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden. Hierauf soll im Folgenden näher eingegangen werden:


WELCHE DATENSCHUTZRECHTLICHE REGELUNG WIRD GETROFFEN?

Der Gesetzgeber beabsichtigt zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret wird der folgende § 79a Betriebsverfassungsgesetz (BetrVG) eingeführt:

§ 79a
(Datenschutz)

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.


WIRD FÜR RECHTSKLARHEIT GESORGT?

Zunächst erfolgt mit § 79a Satz 1 BetrVG eine eher klarstellende Regelung. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Aus der Entwurfsbegründung lässt sich entnehmen, dass die Verarbeitung personenbezogener, mitunter sensibler Beschäftigtendaten zum Kernbereich der Aufgabenerfüllung der Betriebsräte zählt. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu. Aufgrund der sich aus der DS-GVO ergebenden Verpflichtung zur Einhaltung der Grundsätze zur Datenverarbeitung, insbesondere aus Art. 5 DS-GVO, dient der Satz 1 zur Klarstellung der Verpflichtungen seitens des Betriebsrates.

Ferner macht der Gesetzgeber mit der Regelung des § 79a Satz 2 BetrVG von der Öffnungsklausel des Art. 4 Nr. 7 Halbsatz 2 DS-GVO Gebrauch. Diesbezüglich führt die Entwurfsbegründung an, dass die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sachgerecht ist, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigter Institution ist. Bei der Verarbeitung personenbezogener Daten agieren die Betriebsräte als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Ferner soll die Regelung die bislang bestehende, seit dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) jedoch umstrittene Rechtslage fortführen und der Schaffung von Rechtsklarheit dienen. Durch die Regelung wird also der Versuch unternommen, die Verantwortlichkeit für Datenverarbeitungen, welche im Rahmen der Betriebsratsarbeit durchgeführt werden, dem Arbeitgeber zu unterstellen. Die Schaffung von Rechtsklarheit zielt hier im Wesentlichen auf den anhalten Streit um die Frage, ob Mitarbeitervertretungen wie beispielsweise der Betriebsrat als eigenständige Verantwortliche anzusehen oder eben als Teil des verantwortlichen Arbeitgebers einzustufen sind.

Kritisch über den Gesetzesentwurf äußerte sich bereits die Gesellschaft für Datenschutz und Datensicherheit e.V. in ihrer Stellungnahme vom 11. Februar 2021.

Ausweislich der Begründung des Gesetzesentwurfs zu § 79a BetrVG besteht keine Pflicht seitens des Betriebsrates ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Gleichzeitig ergeht der Hinweis, dass das Verarbeitungsverzeichnis des Arbeitgebers gleichermaßen die Verarbeitungstätigkeiten des Betriebsrates enthalten muss. Dies wirft mit Sicherheit in der Praxis Fragen dergestalt auf, wie der Verantwortliche in Fällen des mangelnden Informationsflusses zwischen Betriebsrat und Arbeitgeber beispielsweise aufgrund angespannter Verhältnisse, die gemäß Art. 30 DS-GVO erforderlichen Informationen beibringen kann.

Ähnliches dürfte bei der Erfüllung der Betroffenenrechte aus dem Kapitel III der DS-GVO – hier hebt die Entwurfsbegründung explizit das Auskunftsrecht (Art. 15 DS-GVO) hervor – sowie, ohne dass in der Entwurfsbegründung näher darauf eingegangen wird, die Behandlung von Datenschutzverletzungen und damit einhergehenden Melde- und Informationspflichten der Art. 33 und Art. 34 DS-GVO gelten. In diesen Fällen ist der Arbeitgeber unbestreitbar auf Mit- bzw. Zuarbeit des Betriebsrates angewiesen, wenn sich die geltend gemachten Rechte bzw. die eingetretenen Datenschutzverletzungen auf durch den Betriebsrat verarbeitete personenbezogene Daten beziehen. Dies gilt nicht zuletzt vor den gesetzlich normierten Fristen zur Bearbeitung.  

Im Gegensatz zu den oben genannten Konstellationen führt die Entwurfsbegründung anschließend jedoch aus, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DS-GVO sicherzustellen hat. Im Gegensatz stehen diese Ausführungen deshalb, da Art. 24 und Art. 32 DS-GVO – ebenso wie Art. 30 und Art. 15 DS-GVO – den Verantwortlichen, also gemäß den eingangs geschilderten Regelungen den Arbeitgeber und gerade nicht den Betriebsrat, verpflichten. Diese unterschiedliche Begründungshaltung verwundert doch zunächst.

Fraglich bleibt bei diesem nicht stringenten Begründungsverhalten weiterhin, wie beispielsweise im Rahmen von Schadenersatzansprüchen durch Betroffene gemäß Art. 82 DS-GVO oder Bußgeldsanktionierungen durch die Aufsichtsbehörde gemäß Art. 83 DS-GVO zu verfahren ist.

In der Vergangenheit wurde bereits in Thüringen für die Personalvertretung in § 80 Thüringer Personalvertretungsgesetz (ThürPersVG) eine „vergleichbare“ Regelung erlassen. Diese sieht vor, dass der Personalrat einen Datenschutzbeauftragten zu bestellen habe. Insofern man die entsprechenden europäischen Grundlagen der Art. 37 Abs. 1 DS-GVO bzw. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 BDSG heranzieht, wird deutlich, dass grundsätzlich der Verantwortliche bzw. der Auftragsverarbeiter zur Benennung verpflichtet sind.


FAZIT

Der neueinzuführende § 79a BetrVG kann definitiv als Möglichkeit zur Regelung der datenschutzrechtlichen Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat einzustufen sein. Offenbleiben muss jedoch, ob hiermit auch die vom Gesetzgeber angestrebte Rechtssicherheit bzw. -klarheit herbeigeführt werden kann.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betriebsrat
  • Betriebsrätemodernisierungsgesetz
  • Digitalisierung
  • Personalvertretung
  • Verantwortlichkeit
Lesen

NEUES ZUM TTDSG

Über einen im August des vergangenen Jahres geleakten Entwurf zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) haben wir bereits früher berichtet. Seitdem hat die Entwicklung des TTDSG an Fahrt aufgenommen. Die Details:


WAS IST BISHER GESCHEHEN?

Im Januar dieses Jahres hat zunächst das Bundesministerium für Wirtschaft und Energie (BMWi) einen Referentenentwurf zum „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes“ vorgelegt. Gleichzeitig wurde am 12. Januar das Anhörungsverfahren der Verbände eingeleitet. Bis zum Stichtag am 22. Januar sind 31 Stellungnahmen, u.a. des Branchenverbandes bitkom, des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., des Rundfunkdatenschutzbeauftragten, der Landesbeauftragten für den Datenschutz Niedersachsen und der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eingegangen. Am 10. Februar 2021 hat das Bundeskabinett sodann den „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikations-Telemedien-Datenschutz-Gesetzes – TTDSG)“ beschlossen. Hierbei drängt sich bereits die Frage auf, ob dieser verhältnismäßig kurze Zeitraum ausreichend war, um die entsprechenden Stellungnahmen gebührend Beachtung zu schenken. Die Stellungnahme des Bundesrates folgte nach einer Beratung am 26. März 2021.


WAS IST DAS TTDSG?

Das TTDSG soll laut Gesetzesentwurf in aller erster Linie für Rechtklarheit sorgen und bestehende Rechtsunsicherheiten durch das Nebeneinander von DS-GVO, Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) bei Verbrauchern, die Telemedien und Telekommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden beseitigen. Gewährleistet werden soll ein wirksamer Datenschutz sowie der Schutz der Privatsphäre der Endnutzer.

Das TTDSG führt die Datenschutzbestimmungen des TMG und des TKG, einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses, zusammen und versucht eine Anpassung der der Bestimmungen an die der DS-GVO sowie der Richtlinie 2002/58/EG, der sogenannten ePrivacy-Richtlinie.

Systematisch besteht das TTDSG aus vier Teilen: Allgemeine Vorschriften; Datenschutz und Schutz der Privatsphäre in der Telekommunikation, Telemediendatenschutz, Endeinrichtungen; Straf- und Bußgeldvorschriften und Aufsicht. Ersichtlich wird hierdurch, dass – neben dem „allgemeinen Datenschutzrecht“ aus der DS-GVO – auf nationaler Ebene weiterhin an der bisherigen sektorspezifischen Unterscheidung zwischen Datenschutz in Telemedien und Datenschutz in der Telekommunikation festgehalten wird, wohingegen es auf europäischer Ebene bei der klassischen Zweiteilung von DS-GVO und „ePrivacy-Recht“ als spezielles Datenschutzrecht verbleibt.


WAS SOLL SICH NUN ÄNDERN?

Berücksichtigung findet im TTDSG die aktuelle Rechtsprechung des Europäischen Gerichtshofes (EuGH) im Hinblick auf den Schutz der Privatsphäre beim Speichern und Auslesen von Informationen auf Endeinrichtungen, insbesondere Cookies. In Bezug genommen wird hier die Entscheidung des EuGH in der Rechtssache Planet 49 (EuGH, Urt. v. 01.10.2019 – C-673/17). Hierzu wird eine Regelung in das Gesetz aufgenommen, die sich eng am Wortlaut der ePrivacy-Richtlinie orientiert.

Zudem soll die Aufsicht über die Datenschutzbestimmungen des TKG bei der geschäftsmäßigen Erbringung von Telekommunikationsdiensten zukünftig umfassend, d. h. auch im Hinblick auf die Verhängung von Bußgeldern, durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängiger Datenschutzaufsichtsbehörde erfolgen.


WELCHE REGELUNGEN VERDIENEN BESONDERE AUFMERKSAMKEIT?

Zunächst enthält § 2 Abs. 1 TTDSG-E Begriffsbestimmungen, welche an die Bestimmungen von TMG, TKG und DS-GVO anknüpfen. In § 2 Abs. 2 TTDSG-E sollen darüber hinaus Bestimmungen der ePrivacy-Richtline aufgenommen werden.

§ 2 Abs. 2 Nr. 6 TTDSG-E einhält dabei die Legaldefinition der Endeinrichtung. Hierunter ist „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ zu verstehen. Gewählt wird hier wohl bewusst eine technologieneutrale Formulierung und somit ein weiter Anwendungsbereich. Erfasst ist nicht nur die Telefonie oder die Internetkommunikation, sondern auch Gegenstände im Internet der Dinge.  

In § 3 TTDSG-E (Vertraulichkeit der Kommunikation – Fernmeldegeheimnis) sollen die derzeit in § 88 TKG enthaltenen Regelungen zum Fernmeldegeheimnis – bis auf redaktionelle Anpassungen – unverändert übernommen werden. Die Verpflichteten werden in § 3 Abs. 2 TTDSG-E aufgeführt. Kritische Stimmen zweifeln jedoch an einer Vereinbarkeit des Anwendungsbereiches des § 3 Abs. 2 Nr. 2 TTDSG-E mit der Öffnungsklausel des Art. 95 DS-GVO für öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen. Abzuwarten bleibt daher, ob der bekannte Streit über die Privatnutzung betrieblicher Informations- und Kommunikationstechnik durch die Mitarbeiter und der damit einhergehenden Frage nach der Wahrung des Fernmeldegeheimnisses durch den Arbeitgeber tatsächlich gelöst werden kann.

§ 19 Abs. 2 TTDSG-E (Technische und organisatorische Vorkehrungen) enthält darüber hinaus die Verpflichtung von Anbietern von Telemedien die Nutzung anonym oder unter Pseudonymen zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

§ 24 Abs. 1 TTDSG-E (Schutz der Privatsphäre bei Endeinrichtungen) setzt nunmehr für das Speichern oder den Zugriff – also bspw. das Auslesen – von Endgeräteinformationen die Pflicht zur klaren und umfassenden Information sowie die Abgabe einer Einwilligung des Endnutzers voraus. Die Regelung orientiert sich laut Gesetzesbegründung eng am Wortlaut des Art. 5 Abs. 3 ePrivacy-RL. Abgestellt wird auf die Endgeräteinformationen, weshalb gerade kein Personenbezug erforderlich ist. Erfasst werden mithin Cookies, Fingerprints und vergleichbare Technologien. Die Einwilligung des Endnutzers muss dabei den Anforderungen der DS-GVO an die Einwilligung entsprechen.

Ausnahmen vom Einwilligungserfordernis werden durch § 24 Abs. 2 TTDSG-E für die Fälle vorgesehen, dass der alleinige Zweck der Speicherung oder des Zugriffs in der Endeinrichtung des Endnutzers die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist (Nr. 1) oder die Speicherung oder der Zugriff auf die Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einem vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann (Nr. 2). Unberührt bleibt die Frage der Rechtmäßigkeit der an die Speicherung oder den Zugriff anschließenden Verarbeitung personenbezogener Daten.


FAZIT

Der Entwicklungsprozess des TTDSG-E schreitet sichtlich voran. Viele derzeitig vorgesehene Regelungen haben das Potenzial das Wirrwarr im Datenschutz für Telekommunikation und Telemedien etwas zu entzerren. Nicht absehbar ist, wann das TTDSG tatsächlich verabschiedet werden soll. Entsprechenden Einfluss dürfte hier ebenfalls die anstehende Bundestagswahl ausüben. Welche Normen letztendlich in das TTDSG aufgenommen werden, bleibt abzuwarten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Telekommunikation
  • Telemedien
  • TTDSG
Lesen

KOPIEN VON AUSWEISDOKUMENTEN

In zahlreichen Fällen des praktischen Lebens kommt es vor, dass Ausweisdokumente – an vorderster Front natürlich der Personalausweis, dicht gefolgt von dem Reisepass oder Führerschein – aus Nachweisgründen vorgezeigt werden müssen. Doch häufig werden diese darüber hinaus auch kopiert/gescannt und gespeichert/aufbewahrt. Nicht selten wird der Ausweis dafür mit in ein „Hinterzimmer“ genommen und ist aus unserem Blickfeld verschwunden. Und wer hat nicht bereits seinen Ausweis als Pfand hinterlegt oder auf einen Stapel an der Rezeption des Hotels zu Gunsten eines schnelleren Check-Ins gelegt? Gleichzeitig ist der Umgang mit Ausweisdokumenten seit Jahrzehnten ein häufiger Gegenstand von Beschwerden bei den Aufsichtsbehörden und Gerichten.


WO LIEGT DAS PROBLEM?

Zunächst einmal befinden sich auf einem Ausweis viele Informationen zu der betreffenden Person, welche in den meisten Fällen für den Zweck der Identitätsfeststellung nicht benötigt werden. Darüber hinaus können Kopien durch Identitätsbetrüger genutzt werden. Entsprechend wurde in der Vergangenheit (bis Anfang 2011) von Aufsichtsbehörden, BMI und Rechtsprechung davon ausgegangen, dass das Kopieren und Scannen von Personalausweisen grundsätzlich verboten sei. Dies wurde insbesondere auch auf die damaligen Regeln des Personalausweisgesetzes (PAuswG) gestützt. Ausnahmen sollten nur im Rahmen ausdrücklicher gesetzlicher Erlaubnistatbestände gelten. Die herrschende Meinung hat sich aber zwischenzeitlich dahingehend verändert, dass eine Kopie unter Berücksichtigung des neuen § 20 PAuswG sowie unter Einhaltung strenger datenschutzrechtlicher Vorschriften zulässig sei. Entsprechende Vorschriften finden sich auch im § 18 Passgesetz (PassG) z.B. in Bezug auf Reisepässe.

Zweck der Erstellung einer Kopie in der Praxis soll regelmäßig der Nachweis der Identitätsfeststellung sein. Eine Verwendung der Kopie über die Identifizierung hinaus ist jedoch unzulässig. Entsprechend ist eine Kopie unverzüglich zu löschen, sobald diese nicht mehr erforderlich ist („Speicherbegrenzung“). Dies ist grundsätzlich nach Feststellung der erforderlichen Angaben der Fall, insoweit keine spezialgesetzlichen Aufbewahrungsfristen bestehen. Für spätere Nachweiszwecke reicht in der Regel ein entsprechender Vermerk der Kontrolle sowie gegebenenfalls die Notiz der entsprechenden Daten des Ausweises.

Die Erstellung der Kopie muss im konkreten Fall erforderlich sein. Das heißt, es bedarf immer der Prüfung im Einzelfall, ob es mildere Mittel gibt, welche ebenfalls zum Erreichen des Zwecks geeignet wären. Davon ausgehend bedarf es in vielen Fällen des Alltags eigentlich keiner Kopie, sondern es wäre ausreichend, die Prüfung des Ausweises mittels eines Vermerks zu notieren. Ist eine Kopie hingegen erforderlich, muss diese jederzeit als solche erkennbar sein. Nicht erforderliche Daten sind – entsprechend dem Grundsatz der Datenminimierung – zu schwärzen. (z.B. Zugangs- und Seriennummer, Prüfziffer, Augenfarbe- und Körpergröße, Foto). Der Betroffene kann dies grundsätzlich im Vorfeld der Übermittlung der Kopie bereits tun. Die Betroffenen sollten im Rahmen der Informationspflichten auf diese Möglichkeit hingewiesen werden. Gleichzeitig sollten die erforderlichen Angaben durch die erhebende Stelle benannt werden. Gemäß § 20 PAuswG darf eine Kopie nur mit Zustimmung des Ausweisinhabers erfolgen und eine Übermittlung an Dritte ist nur durch diesen selbst zulässig.

Darüber hinaus gibt es Fälle, in denen bereits gesetzlich eine Kopie geboten ist. Im vorliegenden sollen einige praxisrelevante Fälle – ohne Anspruch auf Vollständigkeit – dargestellt werden. Bereichsspezifische Regelungen finden sich darüber hinaus z.B. im Telekommunikationsgesetz (TKG) für Diensteanbieter.


FALLBEISPIEL 1: DATENSCHUTZRECHTLICHES AUSKUNFTSERSUCHEN

Will ein Betroffener von seinem Auskunftsanspruch nach Art. 15 DS-GVO Gebrauch machen, muss der Verantwortliche sicherstellen, dass es sich bei dem Anfragenden tatsächlich um die betroffene Person handelt und keine Daten an einen unbefugten Dritten herausgegeben werden. Bei Zweifeln kann die Anforderung einer Ausweiskopie gerechtfertigt sein. Diese ist nach der Prüfung und einem entsprechenden Vermerk zu vernichten.


FALLBEISPIEL 2: VERTRAGSPARTNER

Außerhalb von „Massengeschäften“ kann es im Einzelfall erforderlich sein, die Identität des Vertragspartners mittels Ausweisdokument sicherzustellen (z.B. Mietvertrag, Reklamation). Eine Kopie ist hier jedoch in der Regel nicht zulässig, vielmehr reicht es aus, die erforderlichen Daten zu notieren. Bei der Verleihung eines Gegenstandes sind dies beispielsweise der vollständige Name und die Adresse, sowie gegebenenfalls die Gültigkeitsdauer des Dokuments bei Darlegung der Erforderlichkeit. Hinsichtlich der Einholung von Selbstauskünften bei Mietinteressen berücksichtigen Sie bitte auch die entsprechende Orientierungshilfe der Datenschutzkonferenz.


FALLBEISPIEL 3: GELDWÄSCHEGESETZ

Ein praktischer Anwendungsfall ist das POST-IDENT-Verfahren der Deutschen Post AG, welches z.B. häufig im Rahmen von digitalen Kontoeröffnungen genutzt wird. Doch neben Banken gehören z.B. auch Treuhänder, Immobilienmakler, Wirtschaftsprüfer und Steuerberater zu dem umfangreichen Katalog der „Verpflichteten“ gemäß § 2 Abs. 1 Geldwäschegesetz (GwG). Diese müssen für die Begründung einer Geschäftsbeziehung ihren Vertragspartner durch Erfassung umfangreicher Daten identifizieren. Gemäß § 8 Abs. 2 Satz 2 GwG kann diese Aufzeichnungspflicht auch durch eine Vorlage des Ausweises erfolgen. Dabei haben die Verpflichteten das Recht und die Pflicht, eine vollständige Kopie des Ausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen. Die Aufbewahrungsfrist ergibt sich aus § 8 Abs. 4 GwG und beträgt in der Regel zwischen 5 und 10 Jahren.


FALLBEISPIEL 4: FUHRPARK

Arbeitgeber müssen sicherstellen, dass die Autos nur an zuverlässige Fahrer herausgegeben werden. Dies ergibt sich aus der Halterhaftung nach § 21 Straßenverkehrsordnung (StVO). Hierfür ist regelmäßig (in der Regel mindestens zweimal jährlich) der Führerschein zu kontrollieren. Bei der Ersterfassung können die erforderlichen Daten erfasst werden. Dies kann – abhängig vom Einzelfall – folgende Daten umfassen: Name und Anschrift des Fahrers, Führerscheinnummer, Fahrzeugklassen, Ausstellungsdatum, -ort und Ausstellungsbehörde, Beschränkungen, Gültigkeit des Führerscheins, Datum der Erstkontrolle und Unterschrift. Bei späteren Kontrollen genügt der Vermerk, dass ein gültiger Führerschein vorgezeigt wurde sowie gegebenenfalls eine Notiz der von der Ersterfassung zwischenzeitlich abweichenden Daten. Eine Kopie des Ausweises dürfte hingegen seitens der Aufsichtsbehörden als nicht erforderlich und unzulässig bewertet werden, auch wenn dies von entsprechenden Diensteanbietern häufig anders suggeriert wird.


FALLBEISPIEL 5: GÄSTEHÄUSER

Bei der Beherbergung von Personen, z.B. im Rahmen von eigenen Gästehäusern oder Wohnheimen großer Einrichtungen, sind die Anforderungen des Bundesmeldegesetzes (BMG) zu berücksichtigen. Die gemäß § 29 Abs. 2 BMG erforderlichen Angaben müssen in einem Meldeschein dokumentiert werden. Es besteht jedoch keine Prüfpflicht durch Vorlage von Ausweisdokumenten und erst recht keine Rechtsgrundlage zur Anfertigung einer Kopie. Etwas anderes gilt für ausländische Personen. Diese müssen gemäß § 29 Abs. 3 BMG ein gültiges Identitätsdokument (Pass oder Passersatz) vorzeigen. Eine Kopie ist hingegen nicht zulässig.

Hinweis: Weitere Fallbeispiele können Sie der Broschüre des Landesbeauftragten für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen von Juli 2019 entnehmen.


ACHTUNG BEIM SCANNEN UND BEI DER ANNAHME ALS PFAND

Eine automatisierte Speicherung der Kopie wie dies beim Scannen der Fall ist, birgt weitere Risiken, da die Möglichkeiten der Weiterverarbeitung noch erhöht sind. Hier ist in der Regel von einer Unzulässigkeit nach § 20 PAuswG auszugehen (vgl. VG Hannover, Urt. v. 28. November 2013, Az. 10 A 5342/11). Dies gilt grundsätzlich auch, wenn das Einscannen durch den Inhaber des Ausweises selbst erfolgt. Eine Alternative ist der „Elektronische Identitätsnachweis“ nach § 18 PAuswG. Hierfür wird ein entsprechendes Zertifikat nach § 21 PAuswG benötigt. Die Vergabe erfolgt durch das Bundesverwaltungsamt. Hier wird bereits technisch sichergestellt, dass grundsätzlich nur erforderliche Daten übermittelt werden und ist insoweit – auch im Vergleich zur Ausweiskopie – zu bevorzugen.

Auch die Annahme des Personalausweises als Pfand ist unzulässig. Gemäß § 1 Abs. 1 PAuswG besteht ein sog. „Hinterlegungsverbot“.

Über die Autorin: Kristin Beyer ist als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Ausweisdokumente
  • Ausweiskopie
  • Geldwäschegesetz
  • Hinterlegungsverbot
  • Identitätsfeststellung
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK

Das Jahr 2020 wird uns allen wohl noch lange in Erinnerung bleiben. Die Corona-Pandemie hat unser Leben in vielen Bereichen auf den Kopf gestellt. Mit Sicherheit gibt es in den Augen vieler – so auch einiger Politiker – „wichtigere“ Rechte deren Einhaltung derzeit geboten ist als das Recht auf Datenschutz. Wir dürfen jedoch nicht vergessen, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist und auch als solches behandelt werden muss. In diesem außergewöhnlichen Jahr haben uns insbesondere folgende datenschutzrechtliche Fragestellungen bzw. Aspekte begleitet: 


WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?

Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.

Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.

Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.


WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?

Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.

Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.  


WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?

Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.  


ZWEI JAHRE DS-GVO: WO STEHEN WIR?

Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt. 


IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?

Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.

Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht. 


DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?

Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.

Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.

Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.

Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.


SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?

Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


WAS ERWARTET UNS 2021?

Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.

In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.  

Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten. 

Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Cookie
  • Corona-Pandemie
  • Drittstaaten
  • DS-GVO
  • Homeoffice
  • Jahresrückblick
  • Videokonferenzen
Lesen

QUO VADIS ePRIVACY?

Berichten zufolge herrscht nunmehr Klarheit darüber, dass auch unter der deutsche EU-Ratspräsidentschaft keine Verständigung der EU-Minister zur geplanten ePrivacy-Verordnung erfolgen wird. Die deutsche EU-Ratspräsidentschaft hatte am 04.11.2020 einen überarbeiteten Entwurf der ePrivacy-Verordnung vorgelegt. Dieser wurde aber wohl als zu restriktiv abgelehnt. Somit ist ein weiterer Versuch auf dem Weg zu gemeinsamen Bestimmungen in den Mitgliedstaaten gescheitert. Einen neuen Anlauf dürfen nunmehr die Portugiesen nehmen, welche die Ratspräsidentschaft übernehmen werden. Doch welche Bedeutung hat all dies für die Datenschutzpraxis? 


WAS IST DIE ePRIVACY-VERORDNUNG?

Die Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regelungen zum Umgang mit elektronischen Kommunikationsdaten. Neben der DS-GVO gilt bisher die bereits 2002 in Kraft getretene Richtlinie 2002/58/EG und regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Diese Richtlinie wird gemeinhin als ePrivacy-Richtlinie (ePrivacy-RL) bezeichnet, da diese einmal durch eine ePrivacy-Verordnung (ePrivacy-VO) abgelöst werden soll. Ergänzt wird die ePrivacy-RL seit 2009 durch die sogenannte „Cookie-Richtlinie“ (Richtlinie 2009/136/EG). Die Bezeichnung dieser Richtlinie ist auf die Regelungen des Art. 5 Abs. 3 der Richtlinie zurückzuführen, welcher den Umgang mit Informationen auf dem Endgerät des Nutzers regelt. Die Regelungen der ePrivacy-RL gelten in den EU-Mitgliedstaaten im Gegensatz zu denen der DS-GVO nicht unmittelbar und bedürfen gemäß Art. 288 des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) eines mitgliedstaatlichen Umsetzungsaktes. In Deutschland wurden die Regelungen überwiegend im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie dem Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Aufgrund der unterschiedlichen Umsetzung der ePrivacy-RL in den Mitgliedstaaten sowie einer darauf aufbauenden nicht einheitlichen Vollzugspraxis der zuständigen Aufsichtsbehörden sollte ursprünglich gemeinsam mit der DS-GVO die ePrivacy-VO in Krafttreten und ihrerseits die ePrivacy-RL ersetzen. Dazu ist es jedoch nicht gekommen.

Das Verhältnis von DS-GVO und ePrivacy-RL wird durch die Kollisionsregel in Art. 95 DS-GVO bestimmt. Hiernach werden durch die DS-GVO natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auferlegt, soweit sie besonderen Pflichten der ePrivacy-RL unterliegen, die dasselbe Ziel verfolgen.    


WIE GEHT ES NUN WEITER?

Wohl bedingt durch die Entwicklung in Sachen ePrivacy-VO sowie die höchstrichterlichen Entscheidungen des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) sowie des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) sah sich der deutsche Gesetzgeber in der Regelungspflicht. So wurde im August der „Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetztes und weiterer Gesetze“, kurz gesprochen der Entwurf des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG-E) des Bundesministeriums für Wirtschaft und Energie (BMWi) geleakt.  


WAS IST DAS TTDSG?

Das TTDSG soll nach den Ausführungen im Referentenentwurf in aller erster Linie für Rechtsklarheit sorgen. Das Nebeneinander von DS-GVO, TMG und TKG führt zu Rechtsunsicherheiten bei Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Die Neuregelung soll auch dazu dienen, die Verwirklichung eines wirksamen und handhabungsfreundlichen Datenschutzes und Schutzes der Privatsphäre zu erleichtern, insbesondere mit Blick auf die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer. Mit anderen Worten versucht der Gesetzgeber die Vielzahl der einzelnen Datenschutzbestimmungen in den unterschiedlichen Gesetzen in einem Gesetz zusammenzuführen. Der Parlamentarischer Staatssekretär Prof. Dr. Günter Krings aus dem Bundesminister des Innern, für Bau und Heimat sieht in dem TTDSG die Möglichkeit der Beseitigung des gegenwärtigen rechtlichen Flickenteppichs.  


WAS WÜRDE SICH ÄNDERN?

Das TTDSG-E enthält insbesondere Bestimmungen zum Einsatz von Cookies und vergleichbarere Technologien und soll zudem eine Rechtsgrundlage für die Anerkennung und Tätigkeit von Diensten zur Verwaltung persönlicher Informationen (Personal Information Management Services – PIMS) schaffen. Darüber hinaus enthält das TTDSG-E die Bestimmungen, welche bisher in den §§ 88-107 TKG enthalten waren.

Der Blick richtet sich bestimmungsgemäß insbesondere auf § 9 TTDSG-E, welcher eine Regelung zur Einwilligung bei Endeinrichtung, mithin zum Einsatz von Cookies und vergleichbarer Technologien auf dem Endgerät des Nutzers, enthält: 

§ 9 Einwilligung bei Endeinrichtungen 

(1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.

(2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,
1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 
2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 
3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 

(3) Im Falle der Inanspruchnahme von Telemedien liegt eine wirksame Einwilligung in die Speicherung von Informationen auf Endeinrichtungen oder in den Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, vor, 
1. wenn der Diensteanbieter den Endnutzer darüber informiert hat, welche Informationen zu welchem Zweck und wie lange auf Endeinrichtungen gespeichert bleiben und ob Dritte Zugriff auf diese Informationen erhalten, und 
2. der Endnutzer mittels einer Funktion diese Information aktiv bestätigt und die Telemedien in Anspruch nimmt. 

(4) Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt. 


Der § 9 TTDSG-E sieht im Wesentlichen die Umsetzung des Einwilligungserfordernisses sowie die entsprechenden Ausnahmen hiervon aus Art. 5 Abs. 3 ePrivacy-RL vor. Die Voraussetzungen der Einwilligung richten sich hierbei nach den Vorgaben der DS-GVO. Jedoch gilt bereits jetzt zu hinterfragen, ob die Regelungen aus § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E nicht über den Wortlaut des Art. 5 Abs. 3 ePrivacy-RL hinausgehen und somit überhaupt von Art. 95 DS-GVO erfasst sein können. Der Gesetzesbegründung lässt sich zwar entnehmen, dass mit § 9 Abs. 2 Nr. 2 und Nr. 3 TTDSG-E lediglich Klarstellungsfunktion verfolgt wird. Die Wirksamkeit der Regelung muss wohl dennoch hinterfragt werden. 


FAZIT

Dem Ziel des deutschen Gesetzgebers, Rechtsklarheit im Bereich der elektronischen Kommunikationsdaten zu schaffen, kann man mit dem Entwurf des TTDSG wohl einen nicht unbeachtlichen Schritt näherkommen, obwohl insbesondere die Wirksamkeit einiger Regelungen in Frage gestellt werden muss. Dies gilt auch vor dem Hintergrund, dass der Entwurf die Rechtsprechung von EuGH und BGH berücksichtigt. In jedem Fall dürften die Bemühungen des Gesetzgebers eher Früchte tragen, als weiterhin auf die ePrivacy-Verordnung zu warten. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Einwilligung
  • ePrivacy
  • Planet49
  • Telemedien
  • TTDSG
Lesen

EMOTET – AKTUELLE INFORMATIONEN

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen

LÖSCHPLFICHT VS. AUFBEWAHRUNGSFRIST

Im Rahmen der datenschutzrechtlichen Beratung stellt die rechtskonforme Aufbewahrung und Vernichtung personenbezogener Unterlagen einen zentralen Themenkomplex dar. Grundsätzlich darf eine Verarbeitung (dementsprechend auch die Aufbewahrung) nur so lange erfolgen, wie es für die Zwecke der Datenverarbeitung zwingend erforderlich ist. Dies gilt jedoch nicht ausnahmslos. Der folgende Beitrag soll kurz das Verhältnis der Löschpflicht zu gesetzlichen Aufbewahrungsfristen darstellen und Umsetzungstipps an die Hand geben.


DAS VERHÄLTNIS VON LÖSCHPFLICHTEN ZU AUFBEWAHRUNGSFRISTEN

Personenbezogene Daten müssen entsprechend des Art. 17 DS-GVO insbesondere dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs.1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beein-trächtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen. Beinhalten Unterlagen keinerlei personenbezogene Daten, können diese ohne datenschutzrechtliche Vorgaben allein nach unternehmerischen Kriterien (Nutzen / Aufwand) aufbewahrt bzw. archiviert werden.


DIE ARCHIVIERUNG AUFBEWAHRUNGSPFLICHTIGER UNTERLAGEN

Unterlagen, welche für den laufenden Geschäftsbetrieb nicht mehr benötigt werden, sind getrennt von den Unterlagen des laufenden Geschäftsbetriebes aufzubewahren. Dabei ist eine Aufbewahrung im Original nicht immer zwingend erforderlich. Die Aufbewahrungspflicht im Original besteht lediglich für Eröffnungsbilanzen, Jahresabschlüsse sowie Konzernabschlüsse. Alle anderen Unterlagen können auch als Wiedergabe auf einem Bild- oder Datenträger aufbewahrt werden, solange dies den Grundsätzen ordnungsgemäßer Buchführung entspricht. Dabei muss jedoch eine jederzeitige Verfügbarkeit, unverzügliche Lesbarkeit sowie eine maschinelle Auswertbarkeit gewährleistet werden. Werden diese Anforderungen erfüllt, können die Originalunterlagen vernichtet werden, wenn dem keine Sondervorschriften entgegenstehen.

Nach dem Ablauf der gesetzlichen Aufbewahrungsfristen sind auch die archivierten Unterlagen datenschutzgerecht zu vernichten. Etwas anderes kann sich im Einzelfall ergeben, wenn die verantwortliche Stelle eine darüber hinausgehende Aufbewahrungsbedürftigkeit hinreichend darlegen kann. Diese ist jedoch entsprechend zu dokumentieren.

Der Kreis der Zugriffsberechtigten ist für die archivierten Unterlagen auf einige wenige Beschäftigte einzuschränken. Die Festlegung der zugriffsberechtigten Mitarbeiter kann zum Beispiel mittels eines Archivierungskonzeptes erfolgen.


DAS ARCHIVIERUNGSKONZEPT

Damit unternehmensübergreifend eine geeignete Archivierung gewährleistet werden kann, empfiehlt sich die Erstellung und Etablierung eines internen Archivierungskonzeptes. Darin werden unter anderem unternehmensrelevante Aufbewahrungsfristen, die technische und organisatorische Umsetzung des Archivsystems sowie diesbezügliche Schulungen der Beschäftigten festgelegt. Bei der Umsetzung eines Archivierungskonzeptes innerhalb Ihrer Organisation steht Ihnen Ihr Datenschutzbeauftragter oder das Dresdner Institut für Datenschutz gern beratend zur Seite.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Archivierung
  • Aufbewahrungsfrist
  • Datenschutz
  • DS-GVO
  • Konzept
  • Löschpflicht
Lesen

DATENSCHUTZ IM BERUFSALLTAG

Es gibt kaum noch Bereiche, in denen personenbezogene Daten nicht regelmäßig verarbeitet werden. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren. Im Folgenden finden Sie einige Anregungen für einen datenschutzkonformen Umgang, welche an dieser Stelle unter Berücksichtigung der häufigsten Datenschutzverletzungen am Arbeitsplatz zusammengefasst wurden.


SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.


SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.


GEBEN SIE KEINE AUSKÜNFTE AN UNBEFUGTE DRITTE

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.


NUTZEN SIE E-MAIL- UND INTERNETDIENSTE BEWUSST

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.


TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


VERNICHTEN SIE DOKUMENTE UND HARDWARE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


ACHTEN SIE AUCH IM HOMEOFFICE AUF EINEN DATENSCHUTZKONFORMEN UMGANG

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.


MELDUNG VON DATENSCHUTZVERLETZUNGEN

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Arbeitsplatz
  • Berufsalltag
  • Datenschutz
  • Datenschutzverletzung
  • DS-GVO
  • Homeoffice
Lesen