Beschäftigtendatenschutz – DID | Dresdner Institut für Datenschutz

Windows Hello: Einwilligungspflicht bei Biometrie?

Max Just — Mon, 19 Jan 2026 09:00:00 +0000

Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?

Biometrie und Datenschutz

Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.

Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.

Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.

In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.

Einwilligung im Beschäftigtenverhältnis

Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.

Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.

Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.

Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.

Fazit

Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Darf § 26 BDSG nun doch nicht mehr angewendet werden?

Alexander Weidenhammer — Mon, 01 Sep 2025 08:00:00 +0000

Unser heutiger Beitrag soll ein recht aktuelles Urteil des Bundesarbeitsgericht (BAG) vom 8. Mai 2025 (8 AZR 209/21) näher beleuchten. Dieses Urteil des BAG hat bereits in den vergangenen Wochen die datenschutzrechtliche Welt beschäftigt. Hierbei standen laut Pressemitteilung des BAG insbesondere Fragen rund um Datenverarbeitungen nach § 26 Abs. 4 Bundesdatenschutzgesetz (BDSG) im Zusammenhang mit Betriebsvereinbarungen und den Schadenersatz eines Beschäftigten nach Art. 82 DS-GVO aufgrund unzulässiger Datenübermittlungen innerhalb einer Konzerngruppe im Blickpunkt. Ein guter Bericht findet sich hier. Nunmehr wurde auch der Volltext des Urteils veröffentlicht.

Ein Blick in die Urteilsbegründung lohnt sich eben doch!

Viel spannender für die datenschutzrechtliche Praxis sind die Ausführungen des BAG ab Randziffer 16. Hier heißt es zunächst: „Die Verarbeitung dieser vorgenannten personenbezogenen Daten zu Testzwecken in Workday ist nicht nach Art. 88 Abs. 1 DSGVO iVm. § 26 Abs. 1 BDSG zulässig. § 26 Abs. 1 BDSG hat unangewendet zu bleiben.“ Noch einmal zum auf der Zunge zergehen lassen: „§ 26 Abs. 1 BDSG hat unangewendet zu bleiben.“

Zur Verdeutlichung, § 26 Abs. 1 Satz 1 BDSG umfasst als Grundtatbestand mehrere Regelungstatbestände: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist […].“ Auf Satz 2 verzichten wir an dieser Stelle, dieser enthält Vorgaben zur Datenverarbeitung zur Aufdeckung von Straftaten.

Und wie geht es nun weiter?

Wir erinnern uns zurück: Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 30. März 2023 (Rs. C-34/21) mit der Vereinbarkeit des § 23 Abs. 1 Satz 1 Hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG) und der Datenschutz-Grundverordnung, insbesondere natürlich Art. 88 Abs. 1 DS-GVO, befasst und diese verneint (wir berichteten). Seitdem ist in der Literatur umstritten, ob dieses Urteil Ausstrahlungswirkung auf den wortgleichen § 26 Abs. 1 BDSG hat.

Nunmehr hat sich das BAG in seinem Urteil offenkundig mit der Rechtslage befasst. Es führt hierzu weiter aus: „§ 26 Abs. 1 BDSG erfüllt nicht die Voraussetzungen der Öffnungsklausel des Art. 88 DSGVO. Spezifischere Vorschriften iSv. Art. 88 Abs. 1 DSGVO sind nur gegeben, wenn sie sich nicht auf eine Wiederholung der Bestimmungen der Datenschutz-Grundverordnung beschränken, sondern einen zum normierten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der Datenschutz-Grundverordnung unterscheidet.“

Und weiter: „Zudem müssen sie auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person iSv. Art. 88 Abs. 2 DSGVO umfassen […] Diese Anforderungen erfüllt § 26 Abs. 1 Satz 1 BDSG schon deshalb nicht, weil es an Schutzmaßnahmen iSv. Art. 88 Abs. 2 DSGVO fehlt.“

Das BAG spricht klar von einer Unanwendbarkeit des § 26 Abs. 1 BDSG, kommt aber bei den vertieften Ausführungen zu der Darstellung, dass „lediglich“ § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 Abs. 1 DS-GVO nicht erfüllt. Letzteres könnte in der Anwendung konsequent sein, da auch die vom EuGH zitierte Entscheidung beispielsweise nicht die Regelungen zur Aufdeckung von Straften adressiert.

Das BAG führt zudem weiter aus, dass nationale Vorschriften, zur Gewährleistung des Schutzes der Rechte und Freiheiten von Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext, die nicht die Voraussetzungen und Grenzen des Art. 88 Abs. 1 und 2 DS-GVO beachten, unangewendet bleiben müssen, es sei denn die Rechtsvorschriften stellen eine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DS-GVO dar. Dies war in dem zugrundeliegenden Sachverhalt nicht gegeben.

Fazit

War nach dem Urteil des EuGH zum HDSIG noch umstritten, ob es eine Ausstrahlungswirkung des Urteils auf § 26 Abs. 1 Satz 1 BDSG gibt, verdichten sich nun mit dem Urteil des BAG die Anzeichen, dass Verantwortliche bei der Bewertung von Fragen rund um Datenverarbeitungen im Beschäftigungskontext auf Art. 6 Abs. 1 UAbs. lit. b) oder f) DS-GVO zurückgreifen müssen. Eventuell wird künftig sogar noch einmal der Plan nach einem Beschäftigtendatenschutzgesetz aus der Schublade geholt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Schadenersatz wegen verspäteter Auskunftserteilung?

Alexander Weidenhammer — Mon, 23 Jun 2025 08:00:00 +0000

Vermutlich löst kaum eine andere Norm der Datenschutz-Grundverordnung bei der praktischen Umsetzung vergleichbar Unbehagen bei den verantwortlichen Stellen aus wie der Auskunftsanspruch nach Art. 15 DS-GVO. Man stelle sich nur vor, welche Gedanken den intern Verantwortlichen durch den Kopf gehen, wenn plötzlich ein – vielleicht sogar anwaltliches –Schreiben eingeht, in welchem vollständige Auskunft über die personenbezogenen Daten der betroffenen Person verlangt wird. Mit den möglichen Anforderungen an die Auskunftserteilung haben wir uns erst neulich bei einem Spaziergang durch die DS-GVO befasst. Im heutigen Beitrag wollen wir den Blick ein stückweit auf die Rechtsfolgenseite richten und uns mit der Frag beschäftigten, was passiert, wenn die Auskunft zu spät erteilt wird.

… unverzüglich, in jedem Fall aber innerhalb eines Monats…

Grundsätzlich gilt auch für die Auskunftserteilung die Frist des Art. 12 Abs. 3 Satz 1 DS-GVO: „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.“ Man könnte nun durchaus darüber diskutieren, ob mit „ergriffene Maßnahme“ im Falle von Art. 15 DS-GVO die vollständige Auskunftserteilung gemeint ist, aber dies wollen wir heute nicht betrachten, da es für unseren Fall auch nicht wirklich entscheidend ist (wir haben bereits über die Thematik berichtet).

Es bleibt also bei der in Datenschutzkreisen wohl bekannten Frist „unverzüglich, in jedem Fall aber innerhalb eines Monats„. Der „wunderbare“ unbestimmte Rechtsbegriff unverzüglich kann dabei wohl nach herrschender Meinung vergleichbar zu § 121 Bürgerliches Gesetzbuch also „ohne schuldhaftes Zögern“ verstanden werden. Hervorzuheben ist, dass „innerhalb eines Monats“ als Höchst- und nicht als Regelfrist zu verstehen ist. Nach Art. 12 Abs. 3 Satz 2 DS-GVO kann die Frist „[…] um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.“

Die Frage die sich nunmehr aufdrängt ist, wie weiter zu verfahren ist, wenn die erforderliche Auskunft nicht innerhalb der gesetzlichen Frist erfüllt wird und ob der jeweils betroffenen Person ein Schadenersatzanspruch gemäß Art. 82 DS-GVO zusteht.

Schadenersatz als Kontrollverlust?

Mit der geschildeten Situation hat sich jüngst das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (Az.: 8 AZR 61/24) auseinandergesetzt. In einer arbeitsrechtlichen Auseinandersetzung forderte der Kläger und ehemaliger Beschäftigter der Beklagten im Oktober 2022 Auskunft, nachdem er bereits 2020 Auskunft über die Ihn betreffenden personenbezogenen Daten erhalten hatte. Die Auskunft wurde ihm letztendlich nach mehreren fruchtlosen Fristsetzungen im Dezember 2022 erteilt. Nach Ansicht des Klägers allerdings unvollständig. Deshalb verlangte der Kläger Schadenersatz nach Art. 82 DS-GVO. In der Vorinstanz wurde ihm vom Arbeitsgericht Duisburg zunächst ein Anspruch in Höhe von 10.000€ zugesprochen (wir berichteten), bevor das Landesarbeitsgericht Düsseldorf das Urteil wiederrum aufhob und die Revision zum BAG zuließ.

Das BAG urteilte nun, dass allein eine verspätete Auskunft noch keinen Schadenersatzanspruch nach Art. 82 DS-GVO begründet. Vielmehr sei die Darlegung eines entsprechenden Schadens seitens des Klägers – dieser behauptete hier schlicht einen Kontrollverlust – erforderlich: „Die vom Kläger im vorliegenden Rechtsstreit geschilderte Gefühlslage begründet demnach keinen Schaden im Zusammenhang mit einem Kontrollverlust. Der Kläger hat – wovon das Landesarbeitsgericht zu Recht ausgegangen ist – keine konkreten Befürchtungen einer missbräuchlichen Verwendung seiner Daten dargelegt.“

Fast schon schulbuchartig prüft das BAG die durch den Europäischen Gerichtshof (EuGH) in verschiedenen Urteilen (wir berichteten hier, hier, hier und hier) statuierte Anwendung des Art. 82 DS-GVO. Zunächst stellt das BAG heraus, dass der Anspruch nach Art. 82 DS-GVO das Vorliegen eines Schadens, eines Verstoßes sowie eines Kausalzusammenhangs zwischen Schaden und Verstoß erfordert.

Hierfür wird herausgestellt: „Hinsichtlich der Darlegungs- und Beweislast ist geklärt, dass die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen muss, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.“ Und weiter: „Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat […].“

Vorliegend aber konnte ein solcher Kontrollverlust durch den Kläger gerade nicht dargelegt werden: „Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden iSv. Art. 82 Abs. 1 DSGVO darstellen […]. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen […].“

Das BAG kommt daher zum Ergebnis: „Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus […] Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“

Oder doch aufgrund negativer Gefühle?

Anschließend befasst sich das BAG noch mit der Frage, ob der Schaden in Form von negativen Gefühlen wegen der verspäteten Erfüllung des Auskunftsanspruchs vorliegt und lehnt auch dies zu recht ab: „Ein immaterieller Schaden kann allein in negativen Gefühlen bestehen […]. Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus […]. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO – so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte – zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos […].“

Ergänzt sei noch, dass das BAG hingegen die Frage offengelassen hat, ob eine potenzielle Verletzung von Art. 15 DS-GVO in Verbindung mit Art. 12 Abs. 3 DS-GVO überhaupt einen Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann.

Fazit

Das BAG entschied in seinem Urteil, dass eine verspätete Auskunft allein keinen Schadenersatzanspruch begründet. Dies bedeutet für Betroffene jedoch nicht, dass mögliche Ansprüche nach Art. 82 DS-GVO in Gänze ausgeschlossen wären. In der Praxis wird entscheidend sein, das der gelten gemachte Schaden zum Beispiel in Form eines Kontrollverlustes zumindest nachvollziehbar dargelegt und eine missbräuchliche Verwendung bewiesen wird. Das bloße Abstellen auf die verspätete Auskunftserteilung ist hingegen nicht ausreichend.

Der Jahresrückblick 2024 Teil II

Max Just — Mon, 30 Dec 2024 09:00:00 +0000

Im ersten Teil des Jahresrückblick 2024 haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns nun den Monaten Juli bis Dezember.

Juli

Für eine kleine Überraschung sorgte im Juli der Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Hinsichtlich der privaten Nutzung von dienstlichen E-Mail-Postfächern und Internetzugängen wurde bislang zu großen Teilen vertreten, dass es sich hierbei seitens des Arbeitgebers um ein Anbieten von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten handelt und somit das Fernmeldegeheimnis einschlägig ist. Die LDI NRW verkündete im Rahmen des Tätigkeitsberichtes eine Abkehr von der bisherigen Rechtsauffassung: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Mit den Hintergründen haben wir uns im Rahmen eines Blog-Beitrages auseinandergesetzt.

Darüber hinaus sorgte der Crowdstrike-Vorfall – der vermeintlich größte IT-Ausfall aller Zeiten – für Aufsehen. Ursache für den Ausfall war ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, das heißt Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens. Als Folge des Vorfalls wurden zwischenzeitlich viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. Eine Auseinandersetzung mit dieser Thematik erfolgte in unserem Blog-Beitrag „Der Crowdstrike-Vorfall und die Frage nach Verantwortung“.

Weniger überraschend hingegen fiel der zweite Bericht der Europäischen Kommission zur Evaluierung der Datenschutz-Grundverordnung (DS-GVO) aus: „Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DS-GVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat. […] In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“ Wir dürfen gespannt sein, ob in den kommenden Jahren eine solche Vereinheitlichung gelingen wird.

August

Im August 2024 ist die weltweit erste umfassende Verordnung über Künstliche Intelligenz (KI) in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser. Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar. Welche Regelungen bereits ab Anfang 2025 gelten und wie sich die deutschen und europäischen Datenschutz-Aufsichtsbehörden bislang zum Thema KI positionieren, haben wir hier zusammengefasst.

Im Rahmen einer Pressemitteilung machte die Sächsische Datenschutz- und Transparenzbeauftragte auf das datenschutzkonforme Schwärzen von Dokumenten aufmerksam. Was zunächst trivial klingen mag, kann in der Praxis ernsthafte rechtliche Konsequenzen nach sich ziehen: „Wie die Aufsichtspraxis der Sächsischen Datenschutz- und Transparenzbeauftragten zeigt, unterlaufen Verantwortlichen beim Schwärzen gelegentlich Fehler. Dadurch können die Persönlichkeitsrechte der Betroffenen verletzt werden. Zudem ist der Verantwortliche in der Pflicht – sofern schützenswerte personenbezogene Daten offenbart werden – die Datenpanne gemäß Artikel 33 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde zu melden.“ In unserem zugehörigen Blog-Beitrag geben wir einen entsprechenden Überblick.

September

Ende September stärkte der Europäische Gerichtshof (EuGH) mit einem Urteil die Rolle der Datenschutz-Aufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung und gewährt insbesondere mehr Ermessensspielraum für das Tätigwerden dieser. Somit besteht seitens betroffener Personen grundsätzlich kein Anspruch auf das Tätigwerden oder gar auf das Ergreifen konkreter Maßnahmen. Ausgangspunkt des Verfahrens war eine Klage gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).

Oktober

Im Laufe des Oktobers legte der EuGH mit einer Reihe weiterer datenschutzrelevanter Entscheidungen nach. Wenig überraschend stärkt dieser mit seinen Entscheidungen die Position betroffener Personen und schafft für die rechtskonforme Verarbeitung personenbezogener Daten weitere konkrete Rahmenbedingungen: Im Rahmen der Rechtssache C-446/21 betonte der EuGH einerseits die Pflicht zur zeitlichen Beschränkung von Datenverarbeitungen und andererseits die enge Zweckbindung bei der Verarbeitung besonderer Kategorien personenbezogener Daten – jeweils im Kontext personalisierter Werbung.

In einem weiteren Verfahren (Rs. C-621/22) setzte sich der EuGH mit dem sogenannten berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf vorangegangene Urteile betonte der EuGH erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein. Kurze Zeit darauf veröffentliche auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines öffentlichen Konsultationsverfahrens entsprechende Leitlinien zur Anwendung des berechtigten Interesses.

Abschließend ist in dieser Reihe noch das Urteil des EuGH zur Rechtssache C-21/23 „Lindenapotheke“ anzuführen. Einerseits stellte der EuGH klar, dass die Regelungen der DS-GVO keine nationalen Rechtsvorschriften ausschließe, welche es Wettbewerbern ermögliche, gegen Datenschutzverletzungen von Dritten vorzugehen, selbst wenn sie selbst weder Betroffener, Verantwortlicher oder Auftragsverarbeiter sind. Andererseits entschied der EuGH, dass bei einem Kauf nicht verschreibungspflichtiger Arzneimittel über einen Online-Shop auch die Kundendaten in Form von Namen, Lieferadresse und Produktinformationen als Gesundheitsdaten gelten können. Insofern ist für die Praxis stets ein sehr weites Verständnis für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Nr. 1 DS-GVO anzunehmen.

Aber auch das Oberlandesgericht (OLG) Dresden konnte im Oktober ein äußerst praxisrelevantes Urteil (Az. 4 U 940/24) präsentieren. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung haben wir im Rahmen unseres Blog-Beitrages vorgenommen.

Ebenfalls im Oktober tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf. Mit Blick auf die Auflösung des Bundestages und die bevorstehenden Neuwahlen im Februar 2025 ist jedoch in naher Zukunft nicht mit einer Verabschiedung des Gesetzes zu rechnen. Auch unter Berücksichtigung inhaltlicher Aspekte ist bereits abzusehen, dass der vorliegende Gesetzesentwurf in dieser Form nicht verabschiedet werden wird.

November

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 erschien Mitte November und bietet einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Unser Blog-Beitrag stellt einige ausgewählte Themen aus dem aktuellen Bericht dar.

Der Bundesgerichtshof (BGH) hat ebenfalls Mitte November (Az. VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden, wie unserem Blog-Beitrag zu entnehmen ist.

Dezember

Nachdem der Cyber Resilience Act (CRA) bereits im Oktober 2024 verabschiedet wurde, ist dieser am 11. Dezember 2024 in Kraft getreten. Bei dem CRA handelt es sich um die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte vorschreibt, welche auf dem europäischen Markt erhältlich sind. Hierdurch soll die Cybersicherheit innerhalb der Europäischen Union nachhaltig gestärkt werden. Die wesentlichen Inhalte des CRA gelten jedoch erst im Laufe der Jahre 2026 und 2027 – die Zeit bis dahin sollte jedoch zur Umsetzung der gesetzlichen Anforderungen genutzt werden.

In der weihnachtlichen Vorfreude fast unbeachtet blieb zunächst das Urteil des EuGH zu Art. 88 DS-GVO (Rs. C-65/23). Dem Urteil zu entnehmen ist, dass die nationalen Vorschriften im Rahmen des Art. 88 DS-GVO zusätzlich zu den dort geregelten Anforderungen ebenfalls die allgemeinen Anforderungen der DS-GVO, insbesondere aus Art. 5, 6 und 9 DS-GVO berücksichtigen müssen. Weiterhin stellte der EuGH klar, dass Kollektivvereinbarungen, welche die Verarbeitungen personenbezogener Daten regeln, einer vollen gerichtlichen Kontrolle, insbesondere im Hinblick auf die Erforderlichkeit, unterfallen können.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2024 und sind auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als treue Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

In diesem Sinne wünschen wir Ihnen nun einen guten und gesunden Start in das Jahr 2025!

Der Jahresrückblick 2024 Teil I

Alexander Weidenhammer — Mon, 16 Dec 2024 09:00:00 +0000

Gemeinsam wollen wir wie in jedem Jahr in zwei Beiträgen auf das Jahr 2024 und die Ereignisse aus dem Datenschutzrecht und der Informationssicherheit zurückblicken. Beginnen wir unseren Jahresrückblick 2024 mit den Monaten Januar bis Juni.

Januar

Der Data Act – auch Datenverordnung – als ein Baustein der europäischen Datenstrategie wurde bereits im vergangenen Jahr durch den Rat der Europäischen Union verabschiedet und ist zum 11. Januar 2024 in Kraft getreten. Ähnlich wie beispielsweise bereits bei der DS-GVO gilt zunächst eine Übergangsfrist, sodass der Data Act erst ab dem 12. September 2025 vollumfänglich anzuwenden sein wird. Der Data Act zielt auf eine bessere Nutzung von Daten als Wirtschaftsgut sowie auf eine Förderung eines wettbewerbsfähigen Datenmarktes hin. Nutzerinnen und Nutzer von vernetzten Geräten und Produkten sollen darüber entscheiden können, wie mit dem gewonnenen Daten umzugehen ist, an deren Entstehung sie maßgeblich mitgewirkt haben.

Mit einem Blick auf Erwägungsgrund 7 zum Data Act wird schnell deutlich: Die Regelungen der DS-GVO bleiben durch den Data Act unberührt und beide Rechtsakte sind unabhängig voneinander anzuwenden. Zudem ist Erwägungsgrund 7 zum Data Act zu entnehmen, dass Verarbeitungen personenbezogener Daten zur Umsetzung der Anforderungen aus dem Data Act einer Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und gegebenenfalls nach Art. 9 Abs. 2 DS-GVO erfordern. Hierbei ist jedoch zu beachten, dass der Data Act als solcher selbst keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten darstellt.

Für den Fall, dass ein Nutzer im Sinne des Data Acts von einer betroffenen Person im Sinne der DS-GVO abweicht, schlägt Erwägungsgrund 7 zum Data Act die Anonymisierung personenbezogener Daten vor. Weiterführende Informationen zum Data Act und der DS-GVO gibt es hier.

In unserem Blog haben wir uns im Januar zudem mit noch einigen Ereignissen aus den Dezembertagen 2023 befasst. Zum Nachlesen gibt es die Berichte hier und hier. Darüber hinaus hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 25. Januar 2025 (C‑687/21) entschieden, dass allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Einen Beitrag zu diesem Urteil gibt es an anderer Stelle.

Februar

Für Furore sorgten in den Februartagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können. Wieviel an den Gerüchten dran war und was eigentlich DDoS-Angriffe sind, lesen Sie in unserem Beitrag zu diesem Thema.

März

Am 7. März 2024 befasste sich der EuGH mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten zu verstehen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen beziehungsweise Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P). Außerdem adressierte der EuGH weitere Fragen rund um den Begriff der Verarbeitung nach Art. 4 Nr. 2 DS-GVO und wie dieser in bestimmten Situationen zu verstehen und anzuwenden sein soll (Rs. C-740/22). Zum Nachlesen gibt es hier und hier eine Zusammenfassung der Rechtsprechung.

In einem Urteil vom 15. März 2024 (Az. VI ZR 330/21) beschäftigte sich der Bundesgerichtshof (BGH) mit der Frage, was unter dem Begriff Kopie der personenbezogenen Daten zu verstehen ist. Bezüglich der Definition von personenbezogenen Daten verweist das Gericht auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der Begriff umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, vorausgesetzt, dass es sich um Informationen über die in Rede stehende Person handelt.

In dem Urteil stell der BGH klar, dass Art. 15 Abs. 1 DS-GVO betroffenen Personen ein Auskunftsrecht über die Verarbeitung personenbezogener Daten gibt. Art. 15 Abs. 3 DS-GVO legt die Modalitäten für die Erfüllung des Auskunftsersuchens fest, indem er unter anderem die Form, in der die Daten zur Verfügung zu stellen sind, regelt, nämlich als Kopie der Daten, ohne jedoch ein anderes Recht zu gewähren als das, was Art. 15 Abs. 1 DS-GVO vorsieht. Mehr zu diesem Urteil gibt es in einem Blog-Beitrag.

April

Mit Urteil vom 10. April 2024 (Az. 12 Sa 1007/23) hatte sich das Landesarbeitsgericht (LAG) Düsseldorf mit der Frage auseinanderzusetzen, ob die Durchführung einer Google-Recherche zur Überprüfung der Eignung des Bewerbers datenschutzrechtlich zulässig ist. Hierbei stellte das Gericht klar, dass unter bestimmten Voraussetzungen eine Hintergrundrecherche zur Person des Bewerbers möglich sein kann, sprach dem erfolglosen Bewerber dennoch einen immateriellen Schadenersatz in Höhe von 1.000 Euro zu.

Das LAG Düsseldorf führte aus, dass die Durchführung einer Google-Recherche im Rahmen eines Bewerbungsverfahrens unter bestimmten Voraussetzungen datenschutzrechtlich zulässig sein kann. In Betracht kommt insbesondere Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO. Weiterhin stellte das Gericht fest, dass die öffentliche Stelle versäumt hatte, den Bewerber ausreichend über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 14 DS-GVO zu informieren. Den vollständigen Beitrag aus unserem Blog gibt es hier.

Der EuGH wiederrum hat sich in seinem Urteil vom 11. April 2024 (Rs. C-741/21) unter anderem mit der Frage des Exzesses der Beschäftigten im Rahmen des Schadenersatzanspruchs des Art. 82 DS-GVO befasst. Das Urteil haben wir ebenfalls in einem Blog-Beitrag näher betrachtet. Der EuGH formuliert mit dem Urteil strenge Anforderungen an die Möglichkeit zur Exkulpation für die verantwortlichen Stellen im Rahmen des Art. 82 Abs. 3 DS-GVO, insofern es sich um eine Konstellation eines Mitarbeiterexzesses handelt.

Ein bloßer Verweis auf die gegenüber den Beschäftigten erteilten Weisungen bzw. die Weisungswidrigkeit der Handlung der betroffenen Beschäftigten genügt nicht. Dies gilt gleichwohl für einen Verweis auf bestehende Datenschutzbestimmungen innerhalb der verantwortlichen Stelle, z.B. in Form einer Policy bzw. Richtlinie zum Datenschutz. Es bedarf vielmehr des konkreten Nachweises, dass zwischen dem bestehenden Verstoß gegen die Datenschutz-Grundverordnung und dem Handeln des Mitarbeiters kein Kausalzusammenhang besteht. Von den Fragen der Haftung nach Art. 82 DS-GVO gegenüber der betroffenen Person unberührt bleiben im Innenverhältnis zwischen verantwortlicher Stelle und Beschäftigten natürlich arbeits- bzw. dienstrechtliche Ausgestaltungen sowie etwaige Maßnahmen der jeweils zuständigen Datenschutzaufsichtsbehörde.

MAI

Am 7. und 8. Mai fand der 20. Deutsche IT-Sicherheitskongress statt. Motto des diesjährigen Kongresses war „Cybernation Deutschland: Kooperation gewinnt“. Unter dem Thema Vision: Wir bauen gemeinsam die Cybernation Deutschland nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Aufgaben und Verantwortungen als integraler Bestandteil der Cybersicherheitsarchitektur wahr und arbeitet mit zahlreichen Kooperationspartnern zusammen. Im Block „Management von Informationssicherheit“ war dieses Jahr auch das Dresdner Institut für Datenschutz mit einem Vortrag zum Thema „Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit“ vertreten. Den gesamten Beitrag gibt es zum Nachlesen im Tagungsband zum Kongress.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Betreiber von Internetseiten müssen im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden.

Juni

Im Juni führte die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) eine größere Prüfkampagne bei Internetpräsenzen von nicht-öffentlichen und öffentlichen Stellen im Freistaat Sachen durch. Wie mit der Pressemitteilung vom 13. Juni 2024 bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Mittlerweile hat die SDTB die konkreten Zahlen zum Prüfverfahren veröffentlicht. Infolge der Prüfung haben über 1.500 Website-Betreiber und -Betreiberinnen ihrer Seiten nachgebessert.

… und am Jahresende geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2024!

Kommt schon bald ein Beschäftigtendatengesetz?

Max Just — Mon, 28 Oct 2024 09:00:00 +0000

Bereits im September des vergangenen Jahres berichteten wir über die Datenstrategie der Bundesregierung und der diesbezüglichen Pläne für den Datenschutz. Hierunter befand sich auch ein neuer Anlauf zur Schaffung eines Beschäftigtendaten(schutz)gesetzes. Die Roadmap der Datenstrategie nannte zum damaligen Zeitpunkt als Ziel für ein solches Gesetz das vierte Quartal 2023. Seitdem war es um die Thematik wieder einmal ruhig geworden und kaum einer rechnete mit einer Umsetzung noch in dieser Legislaturperiode. Doch nun tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf.

Eckpunkte zum Referentenentwurf

Der Referentenentwurf des Bundesministeriums für Arbeit und Soziales (BMAS) sowie des Bundesministeriums des Innern und Heimat (BMI) umfasst auf 84 Seiten insgesamt 30 Paragrafen, darunter allgemeine Regelungen zu Datenverarbeitungen, Rechtsgrundlagen und Betroffenenrechten, aber auch Normen für spezifische Verarbeitungssituationen wie Videoüberwachung, Ortung und betriebliches Eingliederungsmanagement. Aufgrund der Formulierung einiger Regelungen und bereits aufgekommener Diskussionen, ist davon auszugehen, dass der derzeit vorliegende Referentenentwurf vor einer Verabschiedung eine Reihe weiterer Anpassungen erfahren wird. Mit Blick auf die kommenden Bundestagswahlen im September 2025 bestehen für das vollständige Durchlaufen des Gesetzgebungsverfahrens für den Gesetzgeber jedoch ebenfalls keine üppigen zeitlichen Reserven. Die weitere Fortentwicklung des Entwurfs wird demnach mit Spannung zu verfolgen sein.

Voraussichtlicher Anwendungsbereich

Mit Blick auf den in § 1 des Referentenentwurfs geregelten Anwendungsbereichs ist festzustellen, dass dieser Parallelen zum Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) aufweist. In der Praxis gelten die Regelungen des Beschäftigtendatengesetzes dann somit für öffentliche Stellen des Bundes (§ 2 Abs. 1, 3 BDSG) und nichtöffentliche Stellen (zum Beispiel Unternehmen oder Vereine, § 2 Abs. 4, 5 BDSG). Für öffentliche Stellen des Landes werden dann hinsichtlich des Beschäftigtendatenschutzes weiterhin etwaige landesspezifische Regelungen, wie sie beispielsweise im Freistaat Sachsen in § 11 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) zu finden sind, Anwendung finden.

Wesentliche Inhalte

Im Rahmen eines kurzen Überblicks werden die – aus unserer Sicht – wesentlichen Inhalte kurz dargestellt und datenschutzrechtlich eingeordnet:

Begriffsbestimmungen: Die Definition von Beschäftigten wurde im Wesentlichen aus § 26 Abs. 8 BDSG entnommen. Neu ist, dass ebenfalls Praktikanten und Praktikantinnen explizit als Beschäftigte aufgeführt werden. Ergänzt wurde ebenfalls eine Definition des Begriffs Arbeitgeber, wobei auf Grundlage der derzeitigen Formulierungen noch unklar ist, ob diese tatsächlich für ein Mehr an Rechtssicherheit sorgen wird. Hinsichtlich der Definitionen von KI-Systemen und besonderen Kategorien personenbezogener Daten wird auf die KI-Verordnung beziehungsweise auf Art. 9 Abs. 1 DS-GVO verwiesen.

Prüfung der Erforderlichkeit: Aus § 4 ergibt sich im Allgemeinen welche Kriterien bei der vorangehenden Prüfung der Erforderlichkeit einer Verarbeitung von Beschäftigtendaten anzulegen sind. Hierbei lassen sich Parallelen zu dem bisherigen § 26 BDSG und der einschlägigen Rechtsprechung, aber auch zu Art. 6 Abs. 1 DS-GVO und dem generellen risikobasierten Ansatz finden, welche jedoch nun wesentlich spezifischer ausgeführt werden. Aus Sicht der Verantwortlichen zu kritisieren ist in diesem Kontext sicherlich der steigende Dokumentationsaufwand zur Darlegung der durchgeführten Erforderlichkeitsprüfungen.

Einwilligung: Auch wenn in Bezug auf die Verarbeitung von Beschäftigtendaten auf Rechtsgrundlage einer Einwilligung eine Reihe von Anforderungen dargelegt werden, wirft die aktuelle Regelung des § 5 auch neue Fragestellungen auf. So stellt § 5 Abs. 2 Nr. 2 lit. a) des Referentenentwurfs beispielsweise dar, dass eine freiwillige Einwilligung im laufenden Beschäftigtenverhältnis für die Nutzung von Fotos im Intranet erteilt werden kann. Unklar ist hierbei, ob eine Freiwilligkeit für Veröffentlichungen im Internet grundsätzlich nicht anzunehmen ist oder im Rahmen einer beispielhaften Aufzählung dieser Anwendungsfall lediglich nicht als darstellungswürdig erachtet wurde.

Betroffenenrechte: Im Rahmen von § 10 des Referentenentwurfs erfolgt die Einführung eines ergänzenden datenschutzrechtlichen Betroffenenrechts: Beruht die Verarbeitung von Beschäftigtendaten auf den Regelungen des neuen Gesetzes und wird diese auf ein berechtigtes betriebliches oder dienstliches Interesse gestützt, ist der Arbeitgeber auf Verlangen des Arbeitnehmers dazu verpflichtet, die Abwägung der entgegenstehenden Interessen in verständlicher Weise darzulegen. Die Beschäftigten sind im Rahmen der datenschutzrechtlichen Informationspflichten über das Bestehen dieses ergänzenden Rechts hinzuweisen. Auch bei einem Einsatz von KI-Systemen gelten ergänzende Auskunftsrechte gegenüber Beschäftigten.

Ergänzende Mitbestimmungsrechte des Betriebsrates: Zu Teilen als negatives Highlight des Referentenentwurfs wird die Regelung in § 12 gesehen. Dieser regelt ein Mitbestimmungsrecht des Betriebsrates bei der Bestellung und Abberufung des betrieblichen Datenschutzbeauftragten. Käme hierbei eine Einigung nicht zustande, so entscheidet eine Einigungsstelle nach § 76 des Betriebsverfassungsgesetzes. Unbeschadet der hierzu aufkommenden Diskussion, ob eine solche Regelung überhaupt europarechtskonform wäre, darf stark angezweifelt werden, dass diese Regelung die Abstimmungen in Bundestag und Bundesrat überstehen und somit letzten Endes im Gesetz stehen wird.

Bewerbungsverfahren: Im Rahmen eines gesonderten Kapitels zur Datenverarbeitung vor Begründung des Beschäftigungsverhältnisses stellt der Gesetzgeber klar, in welchem Rahmen personenbezogene Daten von Bewerbenden verarbeitet werden dürfen. Auch wenn sich innerhalb dieses Kapitels aufgrund der Aufnahme (arbeits-)gerichtlich hergeleiteter Grundsätze kaum Überraschungen ergeben, dürften die hierin angeführten Normen in der Praxis überwiegend für mehr Rechtssicherheit sorgen. Ganz nebenbei stellt § 17 des Referentenentwurfs klar, dass personenbezogene Daten von Bewerbenden spätestens drei Monate nach Absage zu löschen sind. In der datenschutzrechtlichen Praxis bestand bislang Uneinigkeit, ob eine solche Löschung aufgrund der Regelungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) bereits nach drei oder erst nach sechs Monaten zu erfolgen hat.

Betriebliches Eingliederungsmanagement: Weniger gelungen scheint wiederrum die Regelung des § 29 zum betrieblichen Eingliederungsmanagement. Gemäß § 29 Abs. 1 ist die Verarbeitung von Beschäftigten zur Erfüllung der gesetzlichen Anforderungen aus § 167 Abs. 2 des neunten Buches des Sozialgesetzbuches (SGB IX) sowie zur Erfüllung kollektivrechtlich vereinbarter Pflichten zulässig, soweit die Interessen des Arbeitgebers an einer Verarbeitung die Interessen der betroffenen Beschäftigten überwiegen. Etwas, das zunächst nach Durchführung einer Interessenabwägung klingt (vgl. §§ 4, 10 Ref-E, Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), wird durch § 29 Abs. 2 torpediert, wonach eine ausdrückliche Einwilligung der betroffenen Beschäftigten vorausgesetzt wird. Was den Gesetzgeber zu dieser Regelung führt, ist unklar, insbesondere nachdem das Bundesarbeitsgericht (BAG) erst im Dezember 2022 klarstellte, dass die Durchführung eines betrieblichen Eingliederungsmanagements keine datenschutzrechtliche Einwilligung voraussetze (Urt. v. 15.12.2022, Az. 2 AZR 162/22).

Fazit

Der erste Referentenentwurf ist ein erster Schritt in Richtung Beschäftigtendaten(schutz)gesetz, bis zu einer endgültigen Verabschiedung dürften jedoch noch eine Reihe von Änderungen zu erwarten sein. Das avisierte Ziel zur Schaffung von einem Mehr an Rechtssicherheit kann dem gegenwärtigen Referentenentwurf jedoch nicht vollständig attestiert werden. Weiterhin scheinen einige der vorliegenden Regelungen im Widerspruch zu den sonstigen Vorhaben der Bundesregierung zur Entbürokratisierung zu stehen. Das weitere Gesetzgebungsverfahren wird demnach mit Spannung zu verfolgen sein.

Millionenstrafe wegen Beschäftigtenüberwachung

Max Just — Mon, 29 Jan 2024 09:00:00 +0000

Die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat, wie nun bekannt wurde, bereits im Dezember 2023 gegen das Unternehmen Amazon France Logistique ein Bußgeld in Höhe von 32 Millionen Euro verhängt. Hintergrund sei die exzessive und teilweise sekundengenaue Überwachung beschäftigter Personen. Nach Angaben des französischen Amazon-Unternehmens sei diese Praxis „branchenüblich“ und „notwendig, um die Sicherheit, Qualität und Effizienz der Abläufe zu gewährleisten.“ (F.A.Z.) Vielen dürfte diese Diskussion bereits aus einem Urteil des Verwaltungsgerichtes Hannover von Februar 2023 bekannt vorkommen.

Hintergrund

Die Beschäftigten des französischen Amazon-Logistikunternehmens dokumentieren mithilfe von Handscannern in Echtzeit die Erfüllung der ihnen übertragenen Aufgaben. Dies umfasst beispielsweise die Einlagerung, die Entnahme sowie das Verpacken und Versenden von Artikeln. Hierbei erfasst das Unternehmen verschiedenste Kennzahlen, die Rückschlüsse auf die Arbeitsweise der einzelnen Beschäftigten ermöglichen. Neben den Faktoren Qualität und Produktivität, prüft das Amazon-Unternehmen ebenfalls die Inaktivitätszeiten. In diesem Zusammenhang geben die Handscanner beispielsweise Warnungen aus, wenn Artikel in zu großer Geschwindigkeit gescannt oder zu häufig und zu lange Unterbrechungen registriert werden. Aufgrund einiger Beschwerden von Beschäftigten sowie einschlägiger Presseartikel führte die CNIL Kontrollen durch.

Nach Ansicht der Aufsichtsbehörde ist das System unverhältnismäßig und mithin rechtswidrig. Die Art und Weise der Beschäftigtenüberwachung setze die Personen einem ständigen Druck aus, insbesondere wenn die Beschäftigten in die Lage gerieten, jede Arbeitsunterbrechung rechtfertigen zu müssen.

Prüfung durch die Aufsichtsbehörde

Im Rahmen der Prüfung durch die französische Datenschutz-Aufsichtsbehörde wurden eine Reihe verschiedener Verstöße gegen die Datenschutz-Grundverordnung festgestellt:

Verstoß gegen den Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c) DS-GVO: Für die Organisation und Koordinierung von Arbeitsaufgaben sowie für die Schulung der Beschäftigten sei eine derartig umfangreiche Verarbeitung der Qualitäts- und Produktivitätsindikatoren auf Basis des Arbeitsverhaltens des jeweils letzten Monats nicht erforderlich. Die Aufsichtsbehörde ist der Ansicht, eine Auswahl aggregierter Informationen auf wöchentlicher Basis seien hierfür ausreichend.

Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung, Art. 6 Abs. 1 DS-GVO: Von den verwendeten Qualitäts- und Produktivitätsindikatoren seien insbesondere drei Indikatoren unrechtmäßig verarbeitet worden. Dies betrifft die Indikatoren bezüglich zu schnelles Scannen (Zeitspanne von weniger als 1,25 Sekunden zwischen zwei Artikeln), die Leerlaufzeit (keine Nutzung des Scanners innerhalb von zehn Minuten) sowie die Erfassung sonstiger Unterbrechungen (Unterbrechungszeiten zwischen einer und zehn Minuten).

Die Aufsichtsbehörde stellte hierbei fest, dass die Datenverarbeitungen nicht auf ein berechtigtes Interesse zu stützen seien, da die bemängelten Indikatoren zu einer übermäßigen Überwachung führten. Dies zeige bereits die zum Teil sekundengenaue Erfassung der Tätigkeiten. Weiterhin bestünden bereits zahlreiche weitere aggregierte Indikatoren, welche das Unternehmen zur Qualitätssicherung und zur Umsetzung von Sicherheitsaspekten nutze.
Verstoß gegen die Verpflichtung zur Bereitstellung transparenter Datenschutzinformationen, Art. 13 DS-GVO: Hinsichtlich des ebenfalls eingesetzten Videoüberwachungssystems wurden weder Beschäftigte noch Externe über die Datenverarbeitungen informiert.

Verstoß gegen die Gewährleistung der Sicherheit der Verarbeitung, Art. 32 DS-GVO: Ebenfalls im Zusammenhang mit der Videoüberwachungsanlage stellte die Datenschutz-Aufsichtsbehörde fest, dass bestehende Zugriffsmöglichkeiten unzureichend abgesichert wurden. So seien ungeeignete Passwörter genutzt sowie Nutzungskonten durch mehrere Personen verwendet worden. Hierdurch sei es nicht möglich gewesen, etwaige (unrechtmäßige) Zugriffe auf die Videoüberwachungsanlage nachzuvollziehen.

Auch wenn ein Bußgeld in Höhe von 32 Millionen Euro zunächst vergleichsweise beträchtlich wirkt, kommt dieses bei einem Amazon-Konzernumsatz von 514 Milliarden US-Dollar im Jahr 2022 nicht einmal ansatzweise an die möglichen vier Prozent des Jahresumsatzes, die Art. 83 Absatz 5 DS-GVO als Höchstgrenze vorsieht. Das Amazon-Unternehmen kündigte bereits an, gegen den Bescheid der Aufsichtsbehörde vorzugehen, schließlich seien die bemängelten Datenverarbeitungen branchenüblich und notwendig.

Beschäftigtenüberwachung und das Verwaltungsgericht Hannover

Bereits im Februar 2023 befasste sich das Verwaltungsgericht Hannover mit einer vergleichbaren Datenverarbeitung durch die Amazon Logistik Winsen GmbH. Anders als die französische Datenschutz-Aufsichtsbehörde befand das Gericht die Datenverarbeitungen – auch zum Unverständnis Vieler – für zulässig (Urt. v. 9.2.2023, Az. 10 A 6199/20). Dem Urteil vorangegangen war eine Besichtigung am betroffenen Logistikstandort.

Ursprünglich hatte die niedersächsische Datenschutz-Aufsichtsbehörde dem betreffenden Unternehmen untersagt, eine zum französischen Sachverhalt vergleichbare Datenverarbeitung durchzuführen. Hiergegen wehrte sich das deutsche Amazon-Unternehmen und reichte beim Verwaltungsgericht Hannover Klage ein. Dieses stellte nach einem Vor-Ort-Termin sowie nach Gesprächen mit dem damaligen und einem ehemaligen Betriebsratsvorsitzenden fest, dass die Datenverarbeitung für die Erreichung der dargestellten Zwecke erforderlich sei. Zudem würden die Interessen des Unternehmens etwaig entgegenstehenden Rechten und Freiheiten der Beschäftigten überwiegen, insbesondere da die Datenverarbeitung nicht heimlich geschehe. Ferner konnte durch das Gericht keine Verhaltenskontrolle festgestellt werden. Vielmehr würden die Datenverarbeitungen der Steuerung der Logistikabläufe dienen. Die Beschäftigten würden sogar die Möglichkeit eines objektiven Feedbacks schätzen.

Die Rechtsauffassung des Gerichts steht damit scheinbar im Widerspruch zur bisherigen Rechtsprechung des Bundearbeitsgerichts, welches Maßnahmen, die Beschäftigte einem permanentem Überwachungsdruck aussetzen, als rechtswidrig einstuft (Urt. v. 27.7.2017, Az. 2 AZR 681/16). Spannend bleibt, wie ein mögliches Gerichtsverfahren im Fall der Amazon France Logistique ausgehen wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Jahresrückblick 2023 Teil I

Alexander Weidenhammer — Mon, 11 Dec 2023 09:00:00 +0000

Wie in jedem Jahr wollen wir die Vorweihnachtszeit nutzen, um in einem kurzen Jahresrückblick 2023 auf das vergangene Datenschutzjahr zurückzublicken. Es wird uns sicherlich nicht gelingen alle datenschutzrechtlich relevanten Themen einzufangen und zu betrachten, daher haben wir eine kleine, aber feine Auswahl getroffen. Den Anfang machen wir mit den Monaten Januar bis Juni.

Januar

Das neue Jahr startete – wie eigentlich so häufig – mit gesetzlichen Neuerungen. Aus datenschutzrechtlicher Sicht hierbei bedeutsam insbesondere § 5 des Entgeltfortzahlungsgesetzes (EntgFG), welcher Regelungen der Anzeige- und Nachweispflichten bei Eintritt von Arbeitsunfähigkeiten enthält und in Absatz 1a die Regelungen zur elektronischen Arbeitsunfähigkeitsbescheinigung enthält. Wir haben über die konkreten Änderungen berichtet und sind hierbei vor allem auf die veröffentlichten Hinweise der Landesbeauftragten für den Datenschutz Niedersachsen eingegangen. Mittlerweile ist die Umstellung in einer Vielzahl der verantwortlichen Stellen erfolgt.

Die datenschutzrechtlichen Herausforderungen liegen insbesondere im Bereich des operativen Datenschutzes, das heißt in der Erfüllung der Informationspflichten (hier Art. 14 DS-GVO, da die Daten durch die Beschäftigungsgeber bei den Krankenkassen erhoben werden), Führung des Verzeichnisses der Verarbeitungstätigkeiten und die Erfüllung technischer und organisatorischer Maßnahmen, das bedeutet unter anderem, dass nur denjenigen Personen Zugang zu den Daten gewährt wird, als dies zur Aufgabenerfüllung erforderlich ist.

Außerdem prägte das erste – von zahlreichen Urteilen – des Europäischen Gerichtshof (EuGH) in diesem Jahr die Datenschutzwelt. Mit Urteil vom 12. Januar 2023 (Rs. C-154/21) entschied der EuGH, dass verantwortliche Stellen bei einer Auskunft nach Art. 15 DS-GVO die konkreten Empfänger personenbezogener Daten mitteilen müssen. Art. 15 Abs. 1 lit. c) DS-GVO bedeutet nach der juristisch maßgeblichen Lesart des EuGH, dass „der Verantwortliche […] verpflichtet ist, der betroffenen Person die Identität für der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv […] sind.“ Auf das Urteil gehen wir in unserem Blog näher ein.

Februar

Im winterlichen Februar sorgte allen voran der Bescheid des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber gegenüber des Bundespresseamtes (BPA) vom 17. Februar 2023 für Aufsehen. In diesem Bescheid wies der BfDI die BPA an, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Begründet wurde dies mit den fahrlässigen Verstößen gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, gegen die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie gegen § 25 Abs. 1 TTDSG. Über den Inhalt des Verfahrens haben wir bereits berichtet. Das BPA hat mittlerweile beim Verwaltungsgericht Köln Klage gegen die Anordnung des BfDI erhoben. Bis zur gerichtlichen Entscheidung wird die Facebook-Fanpage weiter betrieben.

Ein ähnliches Verfahren wird derzeit zwischen der Sächsischen Datenschutz- und Transparenzbeauftragten, Fr. Dr. Hundert und der Sächsischen Staatskanzlei betrieben (vgl. TB 2022, Ziff. 1.1).

Wir richten einen ersten Blick auf den Beschäftigtendatenschutz (mehr folgt gleich). Lesens- aber nach hiesiger Auffassung nicht nachahmenswert ist das Urteil des Verwaltungsgerichtes (VG) Hannover vom 9. Februar 2023 (Az.: 10 A 6199/20) zur permanenten Datenverarbeitung und Mitarbeiterkontrolle im Logistikcenter von Amazon. Die im Logistikcenter tätigen Beschäftigten nutzen zum Teil Handscanner, mittels derer bestimmte Arbeitsschritte erfasst werden. Gegen diese Datenverarbeitung wurde durch die (ehemalige) Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, ein Verfahren eingeleitet, welches zu einer Untersagung und hieran anschließend einem gerichtlichen Verfahren führte. In dem vorbezeichneten Urteil hob das VG Hannover die Untersagungsverfügung auf. Die Urteilsgründe sind nicht für jeden Datenschützer nachvollziehbar, um es einmal vorsichtig auszudrücken.

März

Am 30. März 2023 fällte der EuGH ein Urteil (Rs. C-34/21) mit – vermutlich – weitreichenden Konsequenzen für den Beschäftigtendatenschutz in Deutschland – oder eben auch nicht. So ganz klar und unumstritten sind die Auswirkungen des Urteils nach wie vor nicht. Kernbestandteil des Urteils ist eine Vorschrift des hessischen Datenschutz- und Informationssicherheitsgesetz (HDSIG), genauer gesagt § 23 Abs. 1 Satz 1 HDSIG. Der EuGH konstatiert, dass eine nationale Regelung, die sich auf eine Wiederholung des Erforderlichkeitsprinzips beschränkt, nicht als spezifische Regelung im Sinne von Art. 88 Abs. 1 DS-GVO gelten kann und eine Regelung, die zum Schutz der Beschäftigten lediglich auf die ohnehin geltenden Instrumente der DS-GVO verweist, keine besonderen Maßnahmen im Sinne von Art. 88 Abs. 2 DS-GVO enthält.

Der Grund, weshalb dieses Urteil in der rechtswissenschaftlichen Literatur nicht unumstritten ist, resultiert aus der nahezu bestehenden Deckungsgleichheit mit § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG). Aufgrund der Tatsache, dass die Regelungen beider Gesetze nahezu identisch sind, macht sich vermehrt Zweifel über die zukünftige Anwendbarkeit des § 26 BDSG breit. Das Urteil wirkt deshalb auf den ersten Blick wie eine massive Änderung im Beschäftigtendatenschutz. Beim genaueren Hinsehen wird jedoch folgendes klar: Zunächst betrifft die EuGH-Entscheidung lediglich § 23 Abs. 1 Satz 1 HDSIG. Umfasst ist mithin nicht die vollständige Vorschrift des § 23 HDSIG, genauer noch nicht einmal der vollständige Absatz 1. Darüber hinaus ist ein Durchschlagen des Urteils auf § 26 Abs. 1 Satz 1 BDSG keinesfalls unumstritten.

Dennoch geht beispielsweise aus der Handreichung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), Prof. Alexander Roßnagel, hervor, dass auch die Datenschutzaufsichtsbehörden die Auffassung der Unanwendbarkeit des § 26 Abs. 1 Satz 1 BDSG teilen. Folgt man nun dieser Ansicht, sind die Datenverarbeitungen im Beschäftigtenverhältnis künftig insbesondere auf Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO und Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO zu stützen. Inhaltlich ändert sich durch diesen Wechsel nichts, denn wie der EuGH explizit festgestellt hat, besteht eine Identität der Vorschriften. Anpassungsbedarf resultiert insbesondere im Bereich der Informationspflichten und des Verzeichnisses der Verarbeitungstätigkeiten. Aufgelöst werden diese Rechtsunsicherheiten möglicherweise durch ein (bevorstehendes) Beschäftigtendatenschutzgesetz.

Bei diesem vermeintlichen Paukenschlag geht der Beschluss der der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) zur Bewertung von Pur-Abo-Modellen auf Webseiten vom 22. März 2023 beinahe unter. Ebenso wie das temporäre Verbot von ChatGPT in Italien.

April

Auch im Datenschutzrecht ist der Einsatz von Künstlicher Intelligenz (KI) in aller Munde. Mit diesen Worten schließt sich der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse in einer Pressemitteilung vom 14. April 2023 der koordinierten datenschutzrechtlichen Prüfung der DSK zur Anwendung von ChatGPT an. In diese Richtung geht ebenfalls die Mitteilung des HBDI, dass dieser das in San Francisco ansässige Unternehmen OpenAI, das den derzeit vieldiskutierten Dienst ChatGPT betreibt, aufgefordert hat, einen Fragenkatalog zur Datenverarbeitung bei ChatGPT zu beantworten. Die Fragen sind mit den anderen deutschen Aufsichtsbehörden in der DSK abgestimmt. Wir haben uns hier mit den datenschutzrechtlichen Anforderungen bei der Nutzung von KI befasst.

Hervorzuheben ist auch das Urteil des Europäischen Gerichtes (EuG) vom 26. April 2023 (Rs. T-557/20). Das EuG befasst sich in dieser Entscheidung mit der Frage: Was sind gleich noch personenbezogene Daten?

Mai

Der Monat Mai wurde maßgeblich durch den EuGH und drei seiner Urteile geprägt. Im Einzelnen:

Mit dem Urteil vom 4. Mai 2023 (Rs. C‑487/21) beschäftigte sich der EuGH mit der Frage der Auslegung des Begriffs der Kopie im Rahmen des Auskunftsanspruchs gemäß Art. 15 Abs. 3 DS-GVO. Art. 15 Abs. 3 Satz 1 DS-GVO ist laut EuGH dahingehend zu verstehen, dass es der betroffenen Person durch Erhalt einer entsprechenden Kopie im Sinne des Art. 15 Abs. 3 Satz 1 DS-GVO möglich sein muss, eine originalgetreue und verständliche Reproduktion ihrer eigenen Datenverarbeitungsvorgänge erkennen und bewerten zu können, um dann möglicherweise weitere Betroffenenrechte auszuüben.

Der EuGH macht deutlich, dass es, um die in Art. 12 Abs. 1 in Verbindung mit Erwägungsgrund 58 DS-GVO verlangte, leicht verständliche Bereitstellung von Informationen gegenüber Betroffenen gewährleisten zu können, durchaus notwendig sein kann, Auszüge aus Dokumenten oder sogar ganze Dokumente im Rahmen einer Kopie dem Betroffenen zu übersenden. Darüber hinaus stellt der EuGH heraus, dass sich der Begriff Kopie nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen, bezieht.

In einem weiteren Urteil vom 4. Mai 2023 (Rs. C-300/21) setzt sich der EuGH mit dem ebenfalls in der Literatur umstrittenen Art. 82 DS-GVO auseinander. Zum einen wird klargestellt, dass ein reiner Verstoß gegen die Datenschutz-Grundverordnung noch keinen Schaden im Sinne des Art. 82 DSGVO begründet. Andererseits ist der Schadenersatzanspruch nicht davon abhängig, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeitsschwelle erreichen muss. Weiteres zum Urteil kann hier nachgelesen werden.

Im letzten Urteil vom 4. Mai 2023 (Rs. C-60/22) befasst sich der EuGH damit, ob ein Verstoß gegen Art. 26 DS-GVO (Gemeinsame Verantwortlichkeit) und Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten) zur Unrechtmäßigkeit einer Datenverarbeitung führt.

Juni

Schließlich spielt auch im Juni wieder ein Gerichtsurteil eine Rolle. Dieses Mal jedoch vom Bundesarbeitsgericht (BAG). Mit dem Verfahren haben wir uns ebenfalls auseinandergesetzt. Das BAG entschied mit dem Urteil vom 6. Juni 2023 (9 AZR 383/19), dass die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden können. Zur Wahrnehmung seiner Aufgaben nach dem Betriebsverfassungsgesetz, sind dem Betriebsrat ausschließlich zu diesem Zweck personenbezogene Daten zur Verfügung zu stellen. Somit kann die entsprechende Benennung des Datenschutzbeauftragten aus wichtigem Grund im Sinne von § 4f Abs. 3 Satz 4 BDSG a.F. in Verbindung mit § 626 Abs. 1 BGB widerrufen werden.

… und in der kommenden Woche geht es weiter mit unserem kurzen Datenschutz-Jahresrückblick mit den Monaten Juli bis Dezember 2023!

Das Eckpunktepapier zum Beschäftigtendatenschutz

Andreas Nanos — Mon, 18 Sep 2023 08:00:00 +0000

Das Bundesministerium des Innern und für Heimat (BMI) und das Bundesministerium für Arbeit und Soziales (BMAS) veröffentlichten im April ein Eckpunktepapier mit Vorschlägen zur Überarbeitung des derzeit geltenden Beschäftigtendatenschutzes. Anlass dafür ist unter anderem die stetig zunehmende Digitalisierung, die natürlich am Arbeitsplatz nicht endet. Neue Technologien und Softwares führen zur stetig anwachsenden Verarbeitung personenbezogener Daten von Beschäftigten. Diese Änderungen stellen Unternehmen regelmäßig vor immer größeren datenschutzrechtlichen Unsicherheiten.

Weiterer Anlass für ein neues Beschäftigtendatenschutzgesetz ist die Feststellung der Europarechtswidrigkeit des § 23 Abs. 1 Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) durch den Europäischen Gerichtshof in seinem Urteil vom 30. März 2023 (C-34/21). Durch den nahezu identischen Wortlaut der zentralen Norm des § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG besteht Grund zur Annahme, dass diese ebenso europarechtswidrig ist. Für mehr Informationen zu diesem Thema verweisen wir auf unseren Beitrag vom 15. Mai 2023. Der folgende Beitrag soll kurz den Inhalt des angesprochenen Eckpunktepapiers vorstellen.

Inhalte des Eckpunktepapiers

Erweiterung des Beschäftigtenbegriffs: Das Eckpunktepapier enthält den Vorschlag, dass auch soloselbständige Plattformtätige in den Anwendungsbereich des Beschäftigtendatenschutzgesetz aufgenommen werden. Gemäß des Eckpunktepapiers sind diese Personen aufgrund der besonderen Strukturen und Geschäftsmodelle in der Plattformökonomie auch hinsichtlich der Verarbeitung ihrer personenbezogenen Daten den Arbeitnehmer:innen in ähnlicher Weise schutzbedürftig.

Überwachung von Beschäftigten: Die dauerhafte Überwachung von Arbeitnehmer:innen soll demnach ausschließlich in Ausnahmefällen erfolgen. Auf keinen Fall dürfen die Materialien zur Bewertung und Ermittlung der Leistung der Beschäftigten genutzt werden. Ähnlich verhält es sich auch bei der verdeckten Überwachung. Eine verdeckte Überwachung wäre demnach nur als ultima ratio zulässig, wenn es keine weniger in die Grundrechte der Beschäftigten eingreifende Alternative besteht, eine Straftat im Betrieb aufzudecken. Weiterhin soll es für eine offene Überwachung klare Bedingungen geben.

Einsatz von künstlicher Intelligenz: Das Eckpunktepapier thematisiert auch den Einsatz von künstlicher Intelligenz (KI). Von besonderer Relevanz könnte hierbei der Einsatz von KI im Bewerbungsverfahren sein. KI kann allerdings auch für viele andere Aufgaben eingesetzt werden, wie zum Beispiel die Erstellung von Leistungsprofilen oder gar Zukunftsprognosen von Beschäftigten. Hier soll Transparenz geschaffen werden.

Fragerecht: Laut des Eckpunktepapiers sollen Informationen zur Qualifikation direkt von Bewerber:innen erfragt werden. Das Fragerecht der Arbeitgeber soll zudem ausdrücklich geregelt sein. Hierzu ergeben sich jedoch keine Neuerungen, da auf die Rechtsprechung zum Fragerecht in Bewerbungsverfahren verwiesen wird.

Sensible Daten: Durch die Bildung typischer Fallgruppen bei der Verarbeitung besonders sensibler Daten wie beispielsweise Gesundheitsdaten, soll aufgezeigt werden, wann bzw. in welchen Ausnahmefällen der Arbeitgeber sensible Daten der Beschäftigten verarbeiten darf.

Interessenabwägung: Der Gesetzgeber soll konkrete Kriterien für eine Interessenabwägung einführen, für Datenverarbeitungen, die eine solche Abwägung erfordern.

Einwilligung: Einwilligungen von Beschäftigten sind häufig ein komplexes Thema in Unternehmen. Einwilligungen im Beschäftigtenverhältnis sollen eindeutig freiwillig erfolgen. Ebendiese Freiwilligkeit ist in der Praxis problematisch, da sie aufgrund des Abhängigkeitsverhältnisses häufig angezweifelt wird. Laut des Eckpunktepapiers soll der Gesetzgeber konkrete Anwendungsfälle auflisten, um die Umsetzung wirksamer Einwilligungen von Beschäftigten zu erleichtern.

Konzerninterne Datenübermittlung: Konkrete Regelungen sollen in Zukunft Rechtssicherheit bei der Übermittlung personenbezogener Daten von Beschäftigten innerhalb eines Konzerns bringen. Die Übermittlung der Daten soll dadurch deutlich vereinfacht werden, ohne jedoch den Schutz der betroffenen Personen zu schmälern.

Betroffenenrechte: Im Eckpunktepapier werden auch die Betroffenenrechte angesprochen. Auch wenn diese bereits in der DS-GVO geregelt sind, bedürfen die Betroffenenrechte im Beschäftigungsverhältnis einer Konkretisierung. Was damit jedoch genau gemeint ist, wird aus dem Papier nicht ersichtlich. Weiterhin soll in Fällen von unzulässiger Datenerhebungen die Notwendigkeit prozessualer Verwertungsverbote geprüft werden.

BYOD-Regelungen: Als Reaktion auf den zunehmenden Trend, private Endgeräte betrieblich zu nutzen, soll mehr Rechtssicherheit bei der Verwendung privater Endgeräte geschaffen werden.

Prüfung des Betriebsverfassungsrechts: Die Ministerien wollen im letzten Schritt die Modernisierungsbedürftigkeit des Betriebsverfassungsrechts zu prüfen. Hierzu gehört auch die Prüfung, ob Kollektivvereinbarungen als Regelungen für die Verarbeitung von Beschäftigtendaten Klarstellungen bedürfen.

Fazit

Dass die Ministerien nun Vorschläge zur Gestaltung des Beschäftigtendatenschutzes gemacht haben, ist zunächst positiv hervorzuheben. Insbesondere im Beschäftigtendatenschutz bestehen derzeit viele Punkte, die sowohl in der Rechtsprechung als auch in der Literatur umstritten sind. Die Ministerien haben diese bei der Erstellung des Papiers eindeutig berücksichtigt und sich zum Ziel genommen, gerade für die problematischen Themen eine praxisorientierte Lösung herauszuarbeiten und rechtliche Unsicherheiten zu klären.

Allerdings bemüht sich die Bundesregierung nun seit mehreren Jahrzenten zur Schaffung eines konkreten Beschäftigtendatenschutzgesetzes. Nach zahlreichen Bemühungen in der Vergangenheit sind bislang kaum Fortschritte zu verzeichnen. Aus diesem Grund sollte auch jetzt nicht allzu viel Hoffnung auf einen neuen Beschäftigtendatenschutz gesetzt werden. Die Roadmap der Datenstrategie der Bundesregierung nennt nun allerdings das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Betriebsrat, Personalrat & Datenschutz – Ein Update

Ralph Wagner — Mon, 11 Sep 2023 08:00:00 +0000

Datenschutz bei Betriebsrat und Personlrat. Das Thema ist in der täglichen Beratung immer wieder relevant; wir hatten dazu im vergangenen Jahr schon berichtet. Inzwischen liegen damals erwartete Entscheidungen des Europäischen Gerichtshofs vor und – vor allem – etwas überraschende Äußerungen des Bundesarbeitsgerichts. Anlass genug, den aktuellen Stand noch einmal zusammenzufassen:

So Viel ist sicher: Betriebs- und Personalräte sind keine eigenen verantwortlichen Stellen

Beim DS-GVO-Start wurde noch heftig gestritten, ob Beschäftigtenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen kirchlicher Einrichtungen) als eigene verantwortliche Stellen anzusehen sind. Dafür ist nach Art. 4 Nr. 7 DS-GVO wichtig, ob sie selbst über „Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“. Mittlerweile besteht Einigkeit, auch unter den Aufsichtsbehörden: Verantwortliche Stelle ist die jeweilige Behörde, das Unternehmen, … . Begründet wird dies damit, dass die Beschäftigtenvertretungen nicht selbständig über Zweck und Mittel der Datenverarbeitung bestimmen können, sondern insbesondere die Verarbeitungszwecke gesetzlich vorgegeben sind. Der Bundesgesetzgeber hat das vorsichtshalber für den Betriebsrat in § 79a Satz 2 BetrVG ausdrücklich festgehalten.

Ähnliches gilt für interne Datenschutzbeauftragte in Unternehmen und in Behörden. Auch bei ihnen begründet die fachliche Unabhängigkeit begründet keine Eigenständigkeit im Datenschutz als verantwortliche Stelle. Dies lässt sich auf Geldwäschebeauftragte, Strahlenschutzbeauftragte, … übertragen.

Ganz klar: Die Datenschutzbeauftragten überwachen auch die Datenverarbeitung der Beschäftigtenvertretung

Aus der datenschutzrechtlichen Zugehörigkeit ergibt sich, dass die Datenschutzbeauftragten der Einrichtung auch für die Datenverarbeitung der Beschäftigtenvertretung zuständig sind, also nach Art. 39 Abs. 1 lit. b) DS-GVO überwachen, ob die Datenschutzvorschriften eingehalten werden.

Bei der Überwachung der Datenverarbeitung des Betriebs-/Personalrats ist die Unabhängigkeit der Datenschutzbeauftragten von Weisungen des Arbeitgebers besonders wichtig. Ob, wann und wie Datenschutzbeauftragte die Datenverbindungen der Personalvertretung prüfen, kann vom Arbeitgeber nicht nachgewiesen werden. Bei ihrer Tätigkeit können und müssen die Datenschutzbeauftragten die besondere Situation und die Aufgaben der Beschäftigtenvertretung berücksichtigen (Interessenvertretung gegenüber dem Arbeitgeber). Auch hier taugt § 79a BetrVG als Merkzettel: „Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen.“

Wohl nur in Thüringen: Zusätzlich eigene Datenschutzbeauftragte für den Personalrat

Wahrscheinlich bundesweit einmalig regelt § 80 Abs. 1 S. 2 des Thüringer Personalvertretungsgesetzes, dass die Personalräte in Thüringen einen eigenen Datenschutzbeauftragten zu bestellen haben. Das darf im Einvernehmen mit der Dienststelle auch die/der behördliche Datenschutzbeauftragte sein – aus unserer Sicht absolut empfehlenswert. Diese Person soll für die Einhaltung des Datenschutzes in der Personalvertretung und in der Dienststelle sorgen. Macht nicht genau dasselbe schon die/der behördliche Beauftragte nach DS-GVO zwingend? Allerdings.

Es spricht viel dafür, dass die Vorschrift wegen Widersprüchlichkeit zur DS-GVO europarechtlich unzulässig ist. Ein Sinn ist jedenfalls nicht erkennbar. Vielleicht findet der Landesgesetzgeber bei Gelegenheit den Mut, die Regelung wieder zu streichen. Sind Ihnen ähnliche Normen für andere Bundesländer bekannt? Danke für Hinweise!

In der mittlerweile zwanzigjährigen Diskussion über ein Beschäftigtendatenschutzgesetz (wir berichteten) war ebenfalls hin und wieder die Idee aufgetaucht, einen gesonderten „Beschäftigtendatenschutzbeauftragten“ einzuführen (z.B. § 28 Abs. 1 Satz 1 und Abs. 2-5 des Entwurfes BÜNDNIS 90/DIE GRÜNEN vom 22.02.2011, Bundestagsdrucksache 17/4853, S. 12). Für den Datenschutz ist eine derartige Beauftragten-Häufung nicht sinnvoll. Sie verbraucht Ressourcen und schafft unter anderem die Gefahr, dass verschiedene Beauftragte unterschiedliche Auffassungen vertreten. Die Position der betrieblichen/behördlichen Beauftragten würde geschwächt.

Plötzlich nicht mehr möglich: Mitglied der Beschäftigtenvertretung zugleich Datenschutzbeauftragter?

Vor Inkrafttreten der DS-GVO hatte das Bundesarbeitsgericht (BAG) gleichzeitige Amtsausübung erlaubt (Urt. v. 13.3.2011, 10 AZR 562/99). Ein schädlicher, verbotener Interessengegensatz liege nicht vor. In neueren Fällen – aber immer noch „altes“ BDSG – wurde die Frage vom BAG dem EuGH vorgelegt und der erklärte (Urt. v. 9.2.2023, Rs. C-453/21 und C-560/21), dass Personalunion zwischen Betriebs-/Personalräten sowie Datenschutzbeauftragten jedenfalls nicht von vornherein verboten ist, sondern im Einzelfall und nach nationalem Recht geprüft werden muss, ob ein Interessengegensatz vorliegt.

Grünes Licht für das BAG, sollte man denken – die Linie aus dem Urteil 2011 kann beibehalten werden. Umso überraschender ist, dass das BAG in den beiden Fällen mit Urteilen vom 6.6.2023 (Az. 9 AZR 383/19 und Az. 9 AZR621/19 – wir berichteten) die Unvereinbarkeit der Funktionen angenommen hat. Die Urteilsbegründungen liegen noch nicht vor. Klar ist aber: Der jetzt entscheidende neunte Senat des BAG entfernt sich vom oben genannten Urteil des zehnten Senats aus dem Jahr 2011. In der Pressemitteilung zum Verfahren 383/19 heißt es: „Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.“

Wenn man das für alte Fälle vor Mai 2018 so sieht, spricht alles dafür, es beim Datenschutzbeauftragten nach DS-GVO genauso zu beurteilen. Und das hat Konsequenzen: Wenn man – wie offenbar jetzt das Bundesarbeitsgericht – einen Interessenkonflikt zwischen den Funktionen typischerweise annimmt, dann ist der Arbeitgeber nicht nur arbeitsrechtlich berechtigt, die Funktion des Datenschutzbeauftragten zu entziehen, sondern zum Widerruf der Bestellung des Datenschutzbeauftragten sogar datenschutzrechtlich verpflichtet. Bleiben Datenschutzbeauftragte trotz eines bestehenden Interessenkonflikts in ihrer Funktion, dann wäre ein solcher Datenschutzbeauftragter nicht mehr wirksam bestellt. Der Arbeitgeber würde also als verantwortliche Stelle gegen die DS-GVO verstoßen.

Damit kann Arbeitgebern nur empfohlen werden, in solchen Fällen die Bestellung zu widerrufen und andere, nicht dem Betriebs-/Personalrat angehörende Personen als Datenschutzbeauftragte zu bestellen. Spiegelbildlich muss internen Datenschutzbeauftragten – wenn sie ihre Funktion behalten möchten – davon abgeraten werden, sich für den Betriebs-/Personalrat zu bewerben…

Zusammenarbeit zwischen BEschäftigtenvertretung und Datenschutzbeauftragten

Natürlich gehört zu den Aufgaben der Beschäftigtenvertretung auch, die Datenschutzrechte der Beschäftigten zu verteidigen. Bestenfalls sollten beim Beschäftigtendatenschutz Beschäftigtenvertretung und Datenschutzbeauftragte also Hand in Hand arbeiten. Nicht selten entwickeln sich einzelne Betriebs-/Personalräte zu Spezialisten für Datenschutzfragen. Das ist sinnvoll und erfreulich. Ein transparentes Miteinander, das der Belegschaft und dem Datenschutz dient, ist optimal.

Was Datenschutzbeauftragte dazu beitragen können:

Auf Beschäftigtenvertretungen aktiv zugehen. Nachfragen, ob die persönliche Vorstellung in einer Sitzung des Betriebs-/Personalrats möglich und gewünscht ist.
Vertraulichkeit der Kommunikation – auch gegenüber der Arbeitgeberseite – zusagen und einhalten.
Unkomplizierte, neutrale und zuverlässige Beratung der Beschäftigtenvertretung bei Datenschutzfragen, z.B. auch bei der Vorbereitung von Betriebs-/Dienstvereinbarungen zu datenschutzrelevanten Themen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.