BESCHLUSS DER DSK ZUR NICHTANWENDUNG TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN

Am 24. November 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – kurz: DSK) gegen die Stimme Sachsens einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen gefasst. Der Inhalt des Beschlusses sowie seine möglichen Auswirkungen für die Praxis sollen im nachstehenden Beitrag näher erörtert werden.


WAS BEINHALTET DER BESCHLUSS?

Durch Ziff. 1 folgt direkt die erste diskussionswürdige Aussage: „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ So weit so gut. Die zentrale Frage, welche hier aufgeworfen werden muss ist, warum die DSK davon ausgeht, dass es sich bei Art. 32 DS-GVO um eine „objektive Rechtspflicht“ handelt. Unter den Terminus objektives Recht sind gemeinhin alle Rechtsvorschriften eines Rechtsstaates in ihrer Gesamtheit zu fassen. Vom objektiven Recht ist das subjektive Recht abzugrenzen, welches den Anspruch bzw. ein sonstiges Recht eines jeden Einzelnen beschreibt. Sofern die DSK in Bezug auf Art. 32 DS-GVO nunmehr eine objektive Rechtspflicht annimmt, verwundert dies mit Blick auf Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) sowie Art. 1 DS-GVO doch sehr. Ausweislich des Art. 1 Abs. 2 DS-GVO werden „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu Regelungsgegenstand der Datenschutz-Grundverordnung erklärt. Primäres Schutzgut ist also das Grundrecht auf Datenschutz nach Art. 8 GRCh. Nichts anderes gilt im Hinblick auf Art. 32 DS-GVO. Der Zweck dieser Vorschrift ist die Unterstützung und Durchsetzung der in der Datenschutz-Grundverordnung geregelten Vorschriften durch technische und organisatorische Maßnahmen. Die Norm ist in erster Linie auf den Schutz der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Person gerichtet und fungiert insoweit als Ausgestaltung der Grundsätze von Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO. Das Grundrecht auf den Schutz personenbezogener Daten in seiner Gänze und mithin auch Art. 32 DS-GVO müssen bereits nach dem grundlegenden Verständnis zur Disposition des Grundrechtsträgers, also der betroffenen Person stehen. Es muss der betroffenen Person also auch unbenommen sein, in alle Umstände der Verarbeitungen ihrer personenbezogenen Daten einzuwilligen, sei es die Frage des „Ob“ oder des „Wie“ der Verarbeitung, auch vor dem Hintergrund, dass die Erklärungen möglicherweise als nachteilig oder schädlich für die betroffene Person selbst wahrgenommen werden. Es wird in diesem Zusammenhang vermutlich stets auf den Grad an Informiertheit im Vorfeld der Abgabe der Erklärung abzustellen sein.

Weiter wird in Ziff. 2 wie folgt festgesetzt: „Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“ Mit Blick auf Ziff. 1 des Beschlusses sind die vorstehenden Ausführungen nahezu stringent. Nichts desto trotz verwundert diese Gesamtschau. Hatte sich doch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmdBfDI) in einem Aktenvermerk ursprünglich anders in dieser Thematik positioniert. Wir haben dazu bereits berichtet. Nunmehr schließt die DSK die Möglichkeit einer Einwilligungserklärung zum Verzicht bzw. zu Absenkung des vorzuhaltenden Standards der Sicherheit der Verarbeitung nach allem Anschein nach kategorisch aus.

Nach dem zuvor Gesagten erfahren diese Grundsätze in Ziff. 3 anschließend dann doch eine Ausnahme: „Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Mit Blick auf die Ziffern 1 und 2 des Beschlusses sind die Kernaussagen der Ziff. 3 doch sehr verwunderlich. Nachdem vorab starr ein Ausschluss der Möglichkeit des Abbedingens oder Absenkens des Schutzniveaus bekundet wird, erfolgt anschließend doch eine „Rolle rückwärts“ und die DSK lässt unter strengen Voraussetzungen Ausnahmen zu. Hier bleiben bei genauer Betrachtung der Voraussetzungen allerdings viele Fragen offen. Einzig zutreffend dürfte der Hinweis auf die Beachtung des Selbstbestimmungsrechts der betroffenen Person sein. Fraglich ist hingegen, wann es zu dokumentierenden Einzelfällen (eine zahlenmäßige Beschränkung gleich welcher Art scheint dogmatisch nicht vertretbar) kommt und welche Anforderungen an einen ausdrücklichen, eigeninitativen Wunsch der informierten betroffenen Person zu stellen sein wird.

Die Ziff. 4 des Beschlusses kommt letztendlich nahezu unspektakulär daher, da es insoweit nur heißt: „Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.“ Dies dürfte insoweit nicht zu beanstanden sein und wird daher nicht weiter vertieft.


WIE GEHT ES NUN WEITER?

Der HmdBfDI hat in Reaktion auf den Beschluss der DSK seinen eigenen Aktenvermerk überarbeitet. Nach Ansicht der Aufsichtsbehörde ist – dies ist insoweit auch mit den Ausführungen in dem Beschluss übereinstimmend – ein Verzicht der betroffenen Person auf die Anwendung von technischen und organisatorischen Maßnahmen möglich. Hierfür ist erforderlich, dass Verantwortliche die nach Art. 32 DS-GVO erforderlichen Maßnahmen überhaupt bereit hält und dass die Verzichtserklärung der betroffenen Person den Anforderungen des Art. 7 DSGVO analog genügt. In Bezug auf die Verzichtserklärung führt der HmdBfDI aus: „Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden. Der Verzicht auf die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen, wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).“ Weiter heißt es: „Eigeninitiativ bedeutet dabei, dass die betroffene Person an den Verantwortlichen mit einem entsprechenden Wunsch herantreten muss. Dies setzt ein aktives Handeln der betroffenen Person voraus. Ein solches aktives Handeln kann eine mündliche oder schriftliche Bitte sein, aber auch das Anklicken eines entsprechenden Auswahlfeldes in einem (Online-)Formular. Ein eigeninitiatives Handeln liegt allerdings nicht vor, wenn die betroffene Person ohne ein eigenes Zutun auf die Anwendung von TOM „verzichtet“, etwa indem sie ein Online-Formular abschickt, bei welchem ein entsprechendes Feld („ich verzichte auf eine verschlüsselte elektronische Kommunikation“) bereits vorausgewählt ist.“

Für die Praxis ergibt sich nach den Ausführungen des HmdBfDI demnach die Erforderlichkeit der Gestaltung einer Verzichtserklärung in der Gestalt bzw. unter den Voraussetzungen einer Einwilligungserklärung, aber eben nicht als solche deklariert. Insbesondere hinsichtlich der Anforderungen an die Freiwilligkeit, Bestimmtheit und Informiertheit der Verzichtserklärung dürften diese als im Einklang mit der Datenschutz-Grundverordnung zu sehen sein, da auf den ersten Blick insoweit keine strengeren Anforderungen aufgestellt werden. Inwieweit die Anforderungen an den eigeninitativen Wunsch der betroffenen Person über die Anforderungen der DS-GVO hinaus gehen oder letztendlich „nur“ eine Umformulierung hinsichtlich der Betätigung des freien Willens ist, wird noch zu erörtern und mit Sicherheit Gegenstand zahlreicher Diskussion sein. Mit Blick auf die oben dargestellten Schutzsphäre des Grundrechtes auf Datenschutz aus Art. 8 GRCh muss ein mögliches Aufstellen strengerer Anforderungen an die Ausübung bzw. Sicherung der Rechtsposition des Grundrechtsträgers dann logischerweise trefflich in Frage gestellt werden.


FAZIT

Die zentrale Problematik des Beschlusses zeigt sich in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung. In den zu betrachtenden Fällen ergibt eine Abwägung nach Art. 32 DS-GVO – auch im Hinblick auf die von der DSK in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail festgelegten Grundsätze – allzu häufig, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Dies führt nicht zuletzt vermehrt bei den Gruppen der Berufsgeheimnisträgern selbst unter dem Gesichtspunkt, dass die datenschutzrechtlichen Verantwortlichen die erforderlichen entsprechende technische und organisatorische Maßnahmen in Form von Verschlüsselungstechnologien vorhalten, immer wieder zu Nutzerakzeptanzproblemen seitens der betroffenen Personen. Insofern wäre eine vertiefte Auseinandersetzung mit der Problematik seitens der DSK wünschenswert gewesen. Allerdings ist ein Beschluss nun einmal nur ein Beschluss und muss nicht weitergehend begründet werden. Unter Bezugnahme auf die Selbstbestimmtheit der betroffenen Personen erscheint es allerdings nahezu zwingend, dass zu den dispositiven Bestimmungen eben auch jene über die Sicherheit der Verarbeitung zählt. Ob es dafür eines dogmatischen Umweges über eine Verzichtserklärung bedarf oder doch der Gang über eine Einwilligung möglich ist, wird zu beobachten sein. Letztendlich bedarf es in dieser Sache vermutlich einer Klärung durch die Rechtsprechung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffene Person
  • Datenschutzkonferenz
  • Einwilligung
  • Technische-organisatorische Maßnahmen
  • Verzichtserklärung
Lesen

ORIENTIERUNGSHILFE DER AUFSICHTSBEHÖRDEN FÜR ANBIETER:INNEN VON TELEMEDIEN

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  


WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“


WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.


WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“
Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.


WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.


FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • ePrivacy
  • Orientierungshilfe
  • Telemedien
  • TTDSG
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL II

In unserem letzten Beitrag haben wir unseren Jahresrückblick mit einem Review über die ersten vier Monate des Jahres begonnen. In unserem heutigen Beitrag wollen wir uns nunmehr den Monaten Mai bis August 2021 und einigen datenschutzrechtlich relevanten Themen in dieser Zeit widmen:


MAI 2021

Am 25. Mai 2021 jährte sich der Anwendungsbeginn der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren der daran anschließende Zeitraum hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Die Einzelheiten können in unserem Beitrag nachgelesen werden.

Im Mai 2021 erfolgte zudem die Verabschiedung des Betriebsrätemodernisierungsgesetztes. Aus datenschutzrechtlicher Sicht lohnt hier insbesondere ein Blick auf die Neuregelung in § 79a Betriebsverfassungsgesetz (BetrVG). Der Gesetzgeber beabsichtigte zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret normiert wird, dass bei der Verarbeitung personenbezogener Daten der Betriebsrat die Vorschriften über den Datenschutz einzuhalten hat. So weit, so gut. In Satz 2 heißt es weiter: „Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.“ In Satz 3 wird schließlich noch hinzugefügt: „Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“ Letztlich lässt sich festhalten, dass der Gesetzgeber für eine klarstellende Regelung gesorgt hat. Nicht mehr und nicht weniger. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Darüber hinaus ergeben sich jedoch zahlreiche praxisrelevante Fragestellungen. Dies betrifft insbesondere die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, Verarbeitungen von personenbezogenen Daten betreffende Tätigkeiten des Betriebsrates, die Bearbeitung von Betroffenenanfragen im Sinne des Kapitel III der DS-GVO sowie die Behandlung von und den Umgang mit Datenschutzverletzungen. In allen vorgenannten Punkten ist auch vor dem Hintergrund der Rechenschaftspflicht des Arbeitgebers als verantwortlicher Stelle im Sinne des Art. 4 Nr. 7 DS-GVO in der Praxis eine enge Zusammenarbeit zwischen Mitarbeitervertretung und Arbeitgeber erforderlich.


JUNI 2021

Im Juni 2021 überschlugen sich die Ereignisse aus datenschutzrechtlicher Sicht beinahe. Den Anfang machte die Europäische Kommission am 4. Juni 2021 mit der Veröffentlichung der neuen Standardvertragsklauseln (SCC) zur Absicherung für die Übermittlung personenbezogener Daten an Drittländer. Seit dem 27. Juni 2021 können die SDK nun auch angewendet werden. Ziel der SCC ist die Erreichung von mehr Sicherheit bei der Übermittlung personenbezogener Daten an Drittländer – also einem Land außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Nach dem „Schrems II“-Urteil des Europäischen Gerichtshofes (EuGH) bilden die bisherigen Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Waren die bisherigen Standardvertragsklauseln für Datenübermittlungen in Drittländer in den Versionen „Verantwortlicher – Auftragsverarbeiter“ und „Verantwortlicher – Verantwortlicher“ verfügbar, erscheinen die neuen Standardvertragsklauseln hingegen nur in einer Version. Dafür bieten diese einen neuen modularen Aufbau, welcher es ermöglicht, dass ein jeweils auf den Einzelfall angepasstes Vertragswerk erstellt werden kann. Bis Dezember 2022 sind in sämtlichen Vertragsverhältnissen die neuen Standardvertragsklauseln zur Anwendung zu bringen. Weitere Informationen gibt es in unserem Beitrag.

Es folgt der Bundesgerichtshof (BGH) mit seinem Urteil vom 15. Juni 2021 (Az.: VI ZR 576/19) zur Reichweite des Auskunftsanspruchs gemäß Art. 15 DS-GVO. Der BGH geht im Einklang mit der Rechtsprechung des EuGH von einem sehr weiten Verständnis des Begriffes der personenbezogenen Daten aus und lässt insoweit auf der Tatbestandsebene des Art. 15 DS-GVO keine teleologische Reduktion des Anwendungsbereiches dergestalt zu, dass nur „signifikante biografische Informationen“ betroffen sind. Konkret sieht der BGH vom Auskunftsanspruch u.a. Korrespondenz zwischen den Parteien, interne (Akten-)Vermerke und Kommunikation umfasst. Außerdem sei der Auskunftsanspruch nicht bereits deshalb ausgeschlossen, weil die Daten dem Vertragspartner bereits bekannt seien.


JULI 2021

Mit einem Beschluss vom 20. Juli 2021 (Az.: 1 UF 74/21) hat das OLG Düsseldorf entschieden, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist. Der Entscheidung lag der Sachverhalt zu Grunde, es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die Kinder leben bei der Mutter und haben mit dem Vater regelmäßig Umgang. Die Lebensgefährtin des Vaters betreibt einen Friseursalon und nahm zu Werbezwecken Fotos der Kinder auf uns veröffentlichte diese in ihrem Facebook-Account und bei Instagram. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Vielmehr stellte die Lebensgefährtin weitere Fotos der Kinder in ihre Social-Media-Accounts ein. Die Mutter ging hiergegen mit Erfolg gerichtlich vor. Das OLG Düsseldorf führt daraufhin u.a. aus, dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“ Dementsprechend komme es grundsätzlich auch nicht darauf an, ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. Weitere Details können unserem Beitrag zum Thema entnommen werden.


AUGUST 2021

Je weiter der Sommer voranschritt desto häufiger trat in der Rechtswelt wieder die Corona-Pandemie auf den Plan. Umstände, die man in der warmen Jahreszweit versuchte auszublenden, hielten langsam wieder Einzug in betriebliche und behördliche Praxis. Den Anfang machten Fragen um die Verarbeitung personenbezogener Daten im Rahmen von Testnachweisen, die Verarbeitung von Gesundheitsdaten der Beschäftigten sowie Datenverarbeitung bei der Kontaktnachverfolgung. Die einzelnen Themen haben wir bereits in einem unserer Beiträge näher beleuchtet. Wie sich an späterer Stelle noch zeigen wird, waren dies zunächst die ersten leichten Diskussionen rund um Datenverarbeitungen den Immunisierungs- und Teststaus betreffend.

Darüber hinaus wurde durch eine Pressemitteilung vom 16. August 2021 bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt hat, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden: „Dies verstößt gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten. Die Senatskanzlei – als die für Digitalisierungsfragen in der FHH federführend zuständige Behörde –hat den HmbBfDI zwar frühzeitig über entsprechende Pläne informiert, war in der Folge aber nicht bereit, auf dessen wiederholt vorgetragene Bedenken einzugehen. Auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 führte nicht zu einem Umdenken. Es wurden dem HmbBfDI weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen. Die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO ist daher ein folgerichtiger Schritt.“

In der nächsten Woche folgt nun der Rückblick auf die Monate September bis Dezember 2021. In dem letzten Beitrag unseres Jahresrückblickreihe widmen wir uns dann den Themen TTDSG, Verarbeitung von Immunisierungs- und Testdaten von Beschäftigten und der im Dezember 2021 aufgetretenen Log4j-Sicherheitslücke sowie einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betriebsrätemodernisierungsgesetz
  • Einwilligung
  • Jahresrückblick
  • Standardvertragsklauseln
  • Videokonferenzen
Lesen

UPDATE: ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Mit dem Einzug des Herbstes wird auch die anhaltende Covid-19-Pandemie wieder zunehmender zum Thema in der Gesellschaft. Damit einhergehen gleichfalls zahlreiche datenschutzrechtliche Fragestellungen. Über die grundlegende Problematik der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber haben wir bereits berichtet. Aufgrund zahlreicher Praxisfälle sowie einer Reihe von Änderungen des Infektionsschutzgesetzes (IfSG) haben nunmehr ergänzend zu den bisherigen Mitteilungen noch die Landesdatenschutzbeauftragten aus Baden-Württemberg, Sachsen und Sachsen-Anhalt zu einigen Problempunkten Stellung bezogen. Die Rechtsansichten der Aufsichtsbehörden zur praxisrelevanten Thematik des bestehen des Fragerechtes des Arbeitgebers nach Impf- bzw. Genesenenstatus sollen Gegenstand des nachfolgenden Beitrages sein.


LOHNFORTZAHLUNG IM QUARANTÄNEFALL

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) beschäftigt sich in seiner Veröffentlichung der Frage nach einem Auskunftsanspruchs des Arbeitgebers gegenüber Beschäftigten im Rahmen der Lohnfortzahlung bei behördlicher angeordneter Quarantäne oder des Eingreifens anderweitiger Absonderungspflichten. In den vorbezeichneten Fällen ist der Arbeitgeber regelmäßig nach § 56 Abs. 1, Abs. 3,
Abs. 5 IfSG zur Verdienstausfallentschädigung für den Zeitraum von sechs Wochen verpflichtet. Der Arbeitgeber wiederrum kann von der zuständigen Behörde Erstattung verlangen, § 56 Abs. 5 Satz 3 IfSG. Ausgeschlossen ist die Ausfallentschädigung gemäß § 56 Abs. 1 Satz 4 und 5 IfSG jedoch in den Fällen, in denen der Beschäftigte durch Inanspruchnahme einer Schutzimpfung oder durch Nichtantritt einer vermeidbaren Reise in ein Risikogebiet diese Quarantäne hätte vermeiden können. In diesem Zusammenhang stellt sich trefflich die Frage, ob und bejahendenfalls in welchem Umfang der Arbeitgeber zu Geltendmachung der Erstattungsansprüche gegenüber der zuständigen Behörde, den Impfstatus der betroffenen Beschäftigten erfragen darf. Der LfDI kommt zu dem Ergebnis, dass der Arbeitgeber aufgrund der Entschädigung i.R.d. § 56 IfSG den Impfstatus der Beschäftigten erheben darf, diese allerdings nicht zur Offenbarung verpflichtet sind.  Dies ist dem Umstand geschuldet, dass das IfSG keine ausdrückliche Bestimmung zur Auskunftspflicht vorsieht, um den Vorgaben des Vorbehaltes des Gesetzes gerecht zu werden. Allerdings geht der LfDI wohl zutreffender Weise von einer entsprechenden Obliegenheit des Beschäftigten gegenüber dem Arbeitgeber aus:

„Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen zur Geltendmachung des Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG beisteuern will, läuft insofern jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden. Sollte der Arbeitgeber etwa nicht bereits aus § 616 BGB zur Fortzahlung des Lohns verpflichtet sein oder dem Beschäftigten kein Anspruch auf Entgeltfortzahlung im Krankheitsfall zustehen, könnte der Beschäftigte sich Ansprüchen des Arbeitgebers auf Rückzahlung des Lohns für die Zeit der Quarantäne ausgesetzt sehen bzw. keinen Lohn erhalten.“

Zusammengefasst: Sofern der Beschäftigte die Angaben verweigert, kann er mangels Mitwirkung auch Nachteile erleiden, also keine Lohnfortzahlung erhalten bzw. Rückzahlungsansprüche des Arbeitgebers ausgesetzt sein. Bemerkenswert ist, dass der LfDI im Zusammenhang mit § 56 Abs. 5 Satz 3 IfSG die Einwilligung als einschlägige Rechtsgrundlage und das Merkmal der Freiwilligkeit bereits in dem Moment als erfüllt ansieht, wenn „der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen oder nicht.“ Dies dürfte nach Auffassung des LfDI stringent sein, da dem Beschäftigten die Möglichkeit verbleibt gemäß § 56 Abs. 5 Satz 4 IfSG die Entschädigung selbst bei der zuständigen Behörde zu beantragen, ohne dass der Arbeitgeber in diesen Fällen den Impfstatus erfahren würde. 


FRAGERECHT DES ARBEITGEBERS IM RAHMEN DES SOGENANNTEN 2G-OPTIONSMODELLS?

Der Sächsische Datenschutzbeauftragte (SächsDSB) befasst sich in einer Stellungnahme mit der Frage, ob Arbeitgeber im Rahmen des sog. 2G-Optionsmodells der Sächsischen Corona-Schutz-Verordnung (SächsCoronaSchVO). Bei dem 2G-Optionsmodell können gemäß § 6a SächsCoronaSchVO in bestimmten Bereichen Angebote für geimpfte oder genesenen Personen ohne Pflicht zum Tragen einer Mund-Nasen-Bedeckung, ohne Pflicht zur Einhaltung des Abstandgebotes und ohne Beschränkung hinsichtlich der Auslastung der Höchstkapazität ermöglicht werden. Im Zusammenhang mit dem 2G-Optionsmodell sich unter Berücksichtigung der Voraussetzung, dass alle Anwesenden Personen über einen Impf- oder Genesenennachweis verfügen müssen, sogleich die Frage, ob der Arbeitgeber die Offenbarung des Impf- und Genesenenstatus oder die Offenbarung des Ergebnisses eines Tests (§ 6a Abs. 1 Satz 2 SächsCoronaSchVO sieht Ausnahmen für Beschäftigte vom Impf- oder Genesenennachweis vor, sofern diese über einen Testnachweis verfügen und einen medizinische Mund-Nasen-Bedeckung tragen) auf das Nichtvorliegen einer Infektion mit SARS-CoV-2 von seinen Beschäftigten verlangen darf.

Der SächsDSB lehnt ein entsprechendes Fragerecht des Arbeitgebers ab. Abgesehen von den Ausnahmebereichen der §§ 23a Satz 1, 23 Abs. 3 und § 36 Abs. 3 IfSG sieht die Aufsichtsbehörde keine einschlägige belastbare gesetzliche Rechtsgrundlage. Eine Negierung der Anspruchsgrundlage erfolgt ebenfalls für die Abfrage mittels Einwilligung des Beschäftigten, wobei hier nur ein pauschaler Hinweis auf das häufige Fehlen des Tatbestandsmerkmales der Freiwilligkeit ergeht, und keine vertiefte Auseinandersetzung erfolgt. Gleiches gilt für die Verarbeitung aufgrund von Kollektivvereinbarungen. Die streitgegenständliche Norm § 6a SächsCoronaSchVO scheitert im Ergebnis gleichermaßen, hier jedoch aufgrund der fehlenden Regelungskompetenz des sächsischen Verordnungsgebers für eine Rechtsgrundlage zur Abfrage des Impf- oder Genesenenstatus nach § 32 Satz 1 i. V. m. § 28 Absatz 1 Satz 1 und 2, § 28a Absatz 1, Abs. 2 Satz 1, Abs. 3 und Abs. 6 IfSG. Darüber hinaus sei der Arbeitgeber ebenfalls nicht berechtigt das Ergebnis eines Corona-Testes auf das Nichtvorliegen einer Infektion mit SARS-Cov2 von seinen Beschäftigten zu verarbeiten. Die Begründung hierfür wird Wortlaut der Norm bzw. der Systematik der SächsCoronaSchVO festgemacht: § 6a SächsCoronaSchVO sieht lediglich vor, dass der Beschäftigte über einen Testnachweis verfügen muss, eine Pflicht zur Vorlage wurde (beispielsweise abweichend zur Testpflicht für Urlaubsrückkehrer), explizit nicht geregelt.


DOKUMENTATION DES IMPFSTATUS BEI „FREIWILLIGER“ MITTEILUNG DER BESCHÄFTIGTEN

Auch der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat sich zur Thematik der Abfrage des Impfstatus durch den Arbeitgeber entsprechend geäußert. Zunächst wird herausgesellt, dass ein Zugang des Arbeitgebers zu den Daten über den Impfstatus von Beschäftigten nur sehr begrenzt, gegeben sein wird (z.B. § 24 Abs. 2 Gesetz über den öffentlichen Gesundheitsdienst und die Berufsausbildung im Gesundheitswesen im Land Sachsen-Anhalt). Neben diesen spezialgesetzlichen Normen und dem Verweis auf die bekannten Regelungen aus dem IfSG werden die übrigen Rechtsgrundlagen aus § 26 Abs. 3 BDSG (bzw. § 84 Beamtengesetz des Landes Sachsen-Anhalt), Arbeitsschutzgesetz, SARS-CoV-2-Arbeitsschutzverordnung sowie § 2a Abs. 3, 4 und 14 SARS-Cov2 Eindämmungsverordnung abgelehnt. Zur Begründung wird u.a. angeführt, dass neben der Abfrage des Status der Beschäftigten andere mildere technische und organisatorische Maßnahmen wie bspw. Umsetzung der AHA+L-Regeln, Ablauforganisation, Hygienekonzepte, Homeoffice etc. zur Verfügung stehen und daher im Zweifel keine Erforderlichkeit der Datenverarbeitung anzunehmen sei. Dies gilt auch da durch die Antwort des Beschäftigten auf die Abfrage Rückschlüsse auf dessen Stellung zur (Coronaschutz-)Impfung möglich sind und so Stigmatisierung und sozialer Druck die Folge sein können.

Gleichfalls schließt die Aufsichtsbehörde die Abfrage auf Basis einer Einwilligung des Beschäftigten in den meisten Fällen aufgrund der wohl fehlenden Freiwilligkeit aus. Wiederrum wird aber die Möglichkeit bejaht, dass der Arbeitgeber den Impfstatus verarbeiten darf (Speichern zur Dokumentation, nicht erfragen), wenn dieser von Beschäftigten freiwillig angegeben wird, z.B. um sich von einer Testpflicht zu befreien. In dieser Richtung äußerten sich bereits schon der Hessische Datenschutzbeauftragte in seiner Handreichung sowie das Bayrische Landesamt für Datenschutzaufsicht in einer entsprechenden Mitteilung. Dieses Ergebnis in den Fällen der „aufgedrängten Verarbeitung“ dürfte insbesondere mit Blick auf die derzeitige Praxis interessengerecht sein.


FAZIT

Zusammenfassend lässt sich festhalten, dass ein Fragerecht des Arbeitgebers nach dem Impf- bzw. dem Genesenenstatus weiterhin nur aufgrund einer ausdrücklichen gesetzlichen Normierung gestattet werden kann. Zwar lassen die Aufsichtsbehörden die Einwilligungserklärung prinzipiell offen, diese dürfte jedoch in den meisten Fällen am Tatbestandsmerkmal der Freiwilligkeit scheitern. Etwas anderes gilt nach nunmehr klarerer Tendenz unter den Aufsichtsbehörden lediglich für die Fälle, in denen die Beschäftigten dem Arbeitgeber ihren Impfstatus freiwillig mitteilen, ohne dass dem eine Abfrage seitens des Arbeitgebers vorangegangen wäre.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

NUDGING UND DARK PATTERN – DIE BEEINFLUSSUNG DES NUTZERS

Derzeit sind die Begrifflichkeiten Nudging und Dark Pattern in aller Munde. Datenschutzrechtlich Bedeutung erlange sie insbesondere im Zusammenhang mit der Gestaltung von Einwilligungserklärungen. Einen interessanten Beitrag zu dieser Thematik liefert Laura L. Stoll im Rahmen der diesjährigen Herbstakademie der Deutschen Stiftung für Recht und Informatik (DSRI) unter dem Titel „Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging“ (die zugehörige Präsentation ist hier abrufbar). Was nun aber unter Nudging und Dark Pattern (beide Begriffsklärungen gehen auf den vorgenannten Beitrag zurück) zu verstehen ist und wie beide Begriffe datenschutzrechtlich einzuordnen sind, damit befasst sich der nachfolgende Beitrag.


WAS VERSTEHEN WIR UNTER NUDGING?

Als Nudging können Methoden im Rahmen von Entscheidungsfindungen und den damit verbundenen Handlungen verstanden werden, die das Verhalten beeinflussen wollen, ohne auf Gebote und Verbote zurückgreifen. Es findet kein förmlicher Zwang statt. Datenschutzrechtlich entfaltet das Nudging an Bedeutung, wenn die Nutzer bei dem Einsatz von verschiedenen, einwilligungspflichtigen Technologien auf Webseiten zustimmen sollen, um möglichst viele Daten der Nutzer über das technisch Erforderliche hinaus zu erlangen.


UND WAS IST DARK PATTERN?

Dark Patterns umfassen mögliche unrechtmäßige Beeinflussungen von Entscheidungen durch Benutzeroberflächen, die sorgfältig ausgearbeitet wurden, um Nutzer auszutricksen, damit diese Dinge tun, die sie sonst nicht tun würden. Es handelt sich um Designelemente, die die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen.


WAS IST DAS PROBLEM?

Die Beeinflussungsmethoden Nudging und Dark Pattern kommen u.a. bei der Gestaltung und Nutzung von Consent-Layern auf Webseiten zum Einsatz, sprich bei der Abgabe einer datenschutzrechtlichen Einwilligung des Nutzers. Die datenschutzrechtliche Einwilligung stellt gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO eine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten dar. Darüber, dass die Einwilligung häufig zu Unrecht als „ultimative Rechtsgrundlage“ zur Verarbeitung personenbezogener Daten betrachtet wird, haben wir bereits berichtet. Die konkreten Anforderungen an eine Einwilligungserklärung ergeben sich aus der Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a) und Art. 7 DS-GVO sowie der dazugehörigen Erwägungsgründe zur DS-GVO.

In Art. 4 Nr. 11 DS-GVO wird Einwilligung der betroffenen Person als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, legaldefiniert.

Das Hauptaugenmerk liegt im Hinblick auf die Beeinflussung des Nutzers unstreitig auf der Freiwilligkeit. So wird insbesondere in Erwägungsgrund 42 Satz 5 zur DS-GVO wie folgt ausgeführt: „Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

Freiwillig erfolgt die Abgabe einer Einwilligungserklärung nur dann, wenn kein Druck oder Zwang (in der englischen Sprachfassung „freely given“) ausgeübt wurde, um die betroffene Person zu einer Erklärung zu bewegen. Die betroffene Person darf bei Abgabe der Einwilligung mithin keinem physischen oder psychischen Zwang ausgesetzt sein. Nun wird die farbliche oder strukturelle Ausgestaltung von Consent-Layern als psychischer Zwang einzuordnen sein, wenn eine Beeinflussung der Wahrnehmung und eine hieran anknüpfend Entscheidung des Nutzers erfolgt.


WAS SAGEN AUFSICHTSBEHÖRDEN UND GERICHTE DAZU?

Die Landesbeauftragte für den Datenschutz Niedersachen äußert sich in ihrer Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ zum Thema Nudging wie folgt:

„Je mehr Betreiber von Webseiten für die Verwendung von Cookies Einwilligungen einholen, desto häufiger treten Formen des sogenannten Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.“

Weiter heißt es:

„Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.“

Hinsichtlich der Gestaltung und Verwendung von Schaltflächen zur Abfrage von Einwilligungen bei Cookie-Bannern hat das LG Rostock (Urt. v. 15.9.2020 – Az.: 3 O 762/19) u.a. wie folgt konstatiert:

„Eine wirksame Einwilligung ist […] mit dem […]  verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. […] Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“


FAZIT

Ersichtlich wird, dass die Beeinflussung des Nutzers bei der Abgabe seiner Willensbekundung, sprich seiner Einwilligungserklärung im Zusammenhang mit der Gestaltung von Consent-Layern sich an den Tatbestandvoraussetzungen der datenschutzrechtlichen Einwilligungserklärung und hier insbesondere dem Freiwilligkeitsvorbehalt messen lassen muss. Bei der Verwendung unzulässiger Mittel droht dem Verwender gleichfalls das Entfallen der Rechtsgrundlage zur Datenverarbeitung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Dark Pattern
  • Einwilligung
  • Freiwilligkeit
  • Internetseite
  • Nudging
Lesen

EINWILLIGUNG IN TELEFONWERBUNG

Mit Wirkung zum 01. Oktober 2021 nimmt der deutsche Gesetzgeber im Rahmen des Gesetzes für faire Verbraucherverträge vom 10. August 2021 auch eine Änderung des Gesetzes gegen den unlauteren Wettbewerb (UWG) vor. Konkret werden für die Fälle der Telefonwerbung nach § 7 UWG bestimmte Anforderungen an die erforderlichen Einwilligungen gestellt. So dürfen nach der bisherigen Rechtslage Verbraucher gemäß § 7 Abs. 2 Nr. 2 UWG ohne vorherige ausdrückliche Einwilligung nicht zu werblichen zwecken telefonisch kontaktiert werden. Die Gesetzesänderung erweitert nun den Pflichtenkreis des Unternehmers insoweit, als dass an die eingeholten Einwilligungen künftig eine Dokumentationspflicht geknüpft wird.


WAS IST NEU?

Einzug in das Gesetz hält der neue § 7a UWG mit folgendem Wortlaut:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Hinzu kommt eine Änderung des § 20 UWG:

§ 20 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 7 Absatz 1 Satz 1 in Verbindung mit Absatz 2 Nummer 2 oder 3 mit einem Telefonanruf oder unter Verwendung einer automatischen Anrufmaschine gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung wirbt,

2. entgegen § 7a Absatz 1 eine dort genannte Einwilligung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig dokumentiert oder nicht oder nicht mindestens fünf Jahre aufbewahrt […]

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, in den übrigen Fällen das Bundesamt für Justiz.


WAS ÄNDERT SICH NUN KONKRET?

Mit Einführung des § 7a UWG besteht nun künftig wettbewerbsrechtlich eine Pflicht zu Dokumentation für Fälle der Telefonwerbung.  Hinsichtlich des Umfangs der Dokumentation konkretisiert der Gesetzgeber die Anforderungen lediglich insoweit, als dass zum Zeitpunkt der Erteilung der Einwilligung dies in angemessener Form erfolgen soll und diese Dokumentation gemäß § 7a Abs. 1 Satz 1 in Verbindung mit § 7 Abs. 2 Satz 1 UWG ab Erteilung sowie nach jeder Verwendung der Einwilligung für fünf Jahre aufbewahrt wird. Über weitergehende konkrete Anforderungen an die Dokumentation stellt der Gesetzgeber keine Anforderungen.


WAS BEABSICHTIGT DER GESETZGEBER MIT DER GESETZESÄNDERUNG?

Ausweislich des Gesetzesbegründung strebt der Gesetzgeber hier einen verbesserten Schutz vor telefonisch aufgedrängten und untergeschobenen Verträgen und eine effiziente Sanktionierung unerlaubter Telefonwerbung an. Weiter heißt es, dass durch die Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden sollen. Die Pflicht zur Dokumentation wird es werbenden Unternehmen außerdem erleichtern, die Wirksamkeit der Einwilligung zu prüfen.


IST DAMIT ALLES GESAGT?

Nicht so ganz. Die Neuregelung hat zu Recht Kritik erfahren, wobei insbesondere die Vereinbarkeit mit der Datenschutz-Grundverordnung (DS-GVO) in Zweifel gezogen wird. Wie durch den Kollegen Dr. Carlo Piltz bereits anschaulich dargestellt, liegt das Problem im Einwilligungsbegriff verankert, denn das UWG kennt einen solchen nicht. Die Einwilligung im UWG wird durch die Gesetzänderung aber nun Anforderungen unterworfen, welche wiederrum die DS-GVO selbst nicht vorsieht. Es stellt sich daher die Frage, ob zum einen die Dokumentationsverpflichtung und zum anderen die Aufbewahrungspflicht mit der DS-GVO vereinbar sind.

Der Gesetzgeber seinerseits verweist in seiner Begründung darauf, dass die Normen über Art. 94 Abs. 2 DS-GVO sowie Art. 13 in Verbindung mit Art. 2 lit. f) der Richtlinie 2002/58/EG auf die Einwilligung in Telefonwerbung anwendbar sind. Ferner stelle die Regelung eine spezielle Ausfüllung der Beweislastverteilung der in Art. 7 Abs. 1 DS-GVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar.

Im oben genannten Beitrag vom Kollegen Dr. Carlo Piltz wird zurecht darauf abgestellt, dass aufgrund der Tatsache, dass § 7a UWG keine weitere Konkretisierung zur Dokumentation normiert, es durchaus vertretbar erscheint, diese Verpflichtung insoweit mit Art. 5 Abs. 2 in Verbindung mit Art. 7 Abs. 1 DS-GVO als bereits durch die DS-GVO vorgesehene Regelung auszulegen. Bei einem Blick in Art. 7 DS-GVO findet sich jedoch keine Normierung eines näher definierten Aufbewahrungszeitraums.


FAZIT

Durch die Neuregelung des § 7a UWG wird nunmehr ein konkreter Zeitraum vorgegeben, innerhalb dessen die dokumentierte Einwilligung durch den Unternehmer vorgehalten werden muss. Ob hieraus künftig Rechtsunsicherheiten aufgrund der möglichen Unionsrechtswidrigkeit herrühren, muss entsprechend beobachtet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • § 7a UWG
  • Einwilligung
  • Telefonwerbung
  • unlauterer Wettbewerb
  • Werbung
Lesen

ABFRAGE DES IMPFSTATUS VON BESCHÄFTIGTEN DURCH DEN ARBEITGEBER

Im Zusammenhang mit der COVID-19-Pandemie ergeben sich immer mehr und stetig neue rechtliche Fragestellungen, so auch in datenschutzrechtlicher Hinsicht. Hierrüber haben wir in der Vergangenheit bereits berichtet. Mediale Aufmerksamkeit erlangt derzeit insbesondere die umstrittene Frage nach der Zulässigkeit der Abfrage des Impfstatus von Beschäftigten durch den Arbeitgeber. Jüngst äußerte sich auch der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber und rät für Rechtsklarheit zu einer bundeseinheitlichen Regelung. Der folgende Beitrag befasst sich mit den wesentlichen Punkten der Rechtsfrage, wobei hier insbesondere auf die im August 2021 veröffentlichte Handreichung der Hessischen Beauftragten für Datenschutz und Informationsfreiheit Bezug genommen wird.             


WO BEGINNT DAS PROBLEM?

Ausgangspunkt der rechtlichen Betrachtung ist der Umstand, dass es sich bei den Daten zum Impfstatus um Gesundheitsdaten im Sinne des (i.S.d.) Art. 4 Nr. 15 DS-GVO und mithin um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt. Gleichwohl ist die Verarbeitung dieser Kategorien personenbezogener Daten grundsätzlich untersagt, es sei denn es ergibt sich aus Art. 9 Abs. 2, Abs. 3 DS-GVO etwas anderes.  Genau an diesem Punkt knüpfen auch die tatsächlichen Schwierigkeiten an: Es gelten für geimpfte und genesene Personen nach § 28c Infektionsschutzgesetz (IfSG) in Verbindung mit (i.V.m.) der Verordnung zur Regelung von Erleichterung und Ausnahmen von Schutzmaßnahmen zur Verhinderung der Verbreitung von COVID-19 (COVID-19-Schutzmaßnahmen-Ausnahmenverordnung – SchAusnahmV) einige Ausnahmen wie bspw. von der Beschränkung privater Zusammenkünfte (§ 4), von der Beschränkung des Aufenthalts außerhalb einer Wohnung oder einer Unterkunft (§ 5) oder von der Absonderungspflicht (§ 10). Diese Gesamtschau lässt erkennen, dass auch der Arbeitgeber ein gewisses Interesse an der Abfrage des Impf- bzw. Genesenenstatus seiner Beschäftigten haben kann. Die einfache, wie zutreffende Frage ist: Darf er das?


WELCHE RECHTSGRUNDLAGEN KOMMEN IN BETRACHT?

Als belastbare Rechtsgrundlagen werden seitens der Datenschutz-Aufsichtsbehörden in den allermeisten Stellungnahmen bzw. Mitteilungen häufig Art. 9 Abs. 2 lit. h) bzw. lit. i) DS-GVO i.V.m. §§ 23a Satz 1, 23 Abs. 3 IfSG, Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. dem Arbeitsschutzgesetz, der SARS-CoV-2-Arbeitsschutzverordnung, der Coronavirus-Schutzverordnung oder der Verordnung zur arbeitsmedizinischen Vorsorge herangezogen. Sämtlich scheitern diese Grundlagen jedoch (in den meisten Fällen) bereitsauf Tatbestandebene, da keine ausdrücklich normierte gesetzliche Rechtsgrundlage zur Verarbeitung des Impfstatus der Beschäftigten besteht. Ausnahmen bestehen hier für die in § 23 Abs. 3 IfSG genannten Arbeitgeber. Diese scheint deshalb zwingend, da insofern derzeit auch keine allgemeine gesetzlich normierte Impfpflicht hinsichtlich des Coronavirus besteht. Gegenwärtig gibt es keine gesicherten Erkenntnisse darüber, über welchen Zeitraum eine geimpfte Person vor einer COVID-19-Erkrankung geschützt ist, d. h. wie lange der Impfschutz besteht.

Abgestellt wird zudem häufig auf Art. 9 Abs. 2 lit. b) DS-GVO i.V.m. § 26 Abs. 3 BDSG. Hier kann man sich – wie in der Handreichung der Hessischen Datenschutzbeauftragten dargelegt – trefflich darüber streiten, ob § 26 Abs. 3 BDSG eine gesetzliche Grundlage voraussetzt oder aber ob hiernach etwa eine rechtliche Pflicht aus dem Arbeitsvertrag die Verarbeitung rechtfertigen kann. Unabhängig davon wird in der Regel keine rechtliche Pflicht aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und Sozialrecht einschlägig sein. Die Erforderlichkeit richtet sich nach Ansicht der Landesbeauftragen für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jedenfalls wohl nicht nach der Fürsorge- und Schutzpflicht des Arbeitgebers vor potentiellen Ansteckungsrisiken der Beschäftigten oder der Kundschaft.


KANN DER BESCHÄFTIGTE NICHT EINWILLIGEN?

In der Praxis wird häufig als naheliegende Lösungsmöglichkeit die Einwilligung des Betroffenen, hier also der Beschäftigten in Betracht gezogen. Dieser Ansatz ist jedoch nicht immer zutreffend und die Einwilligung nicht die „ultimative“ Rechtsgrundlage für die sie gehalten wird. Im Normgenese des Art. 9 Abs. 2 DS-GVO wird hingegen unter lit. a) die ausdrückliche Einwilligung als Ausnahmetatbestand des Art. 9 Abs. 1 DS-GVO normiert. Im Beschäftigtenverhältnis sind über dies gemäß Art. 88 Abs. 1 DS-GVO in Verbindung mit § 26 Abs. 2 Satz 1 BDSG gesonderte Anforderungen zu berücksichtigen: Das Hauptaugenmerk liegt hier unstreitig auf dem sog. Freiwilligkeitsvorbehalt. Im Beschäftigtenverhältnis ergibt sich die besondere Situation eines Über-/Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten, weshalb die Beschäftigten in einem Abhängigkeitsverhältnis zu ihrem Arbeitgeber stehen und daher bei der Abgabe einer Erklärung nur selten frei von Drucksituationen bzw. Zwängen sein können. Die Freiwilligkeit kann gemäß § 26 Abs. 2 Satz 2 BDSG insbesondere dann angenommen werden, wenn für die beschäftigten Personen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz äußerte sich diesbezüglich, Abfragen des Impfstatus durch Arbeitgeber – und sei es auch nur durch freiwillige Angabe der Beschäftigten – als Teil eines Hygienekonzepts, aufgrund des dadurch für die Beschäftigten entstehenden sozialen Drucks und die Angst vor Repressalien dazu führen, dass ein indirekter Impfzwang entsteht. As diesem Grunde könne eine Einwilligung nicht als Grundlage für eine solche Datenerhebung herangezogen werden.

Die Hessische Datenschutzbeauftragte geht in ihrer Handreichung davon aus, dass die Verarbeitung des Impfstatus durch den Arbeitgeber auf Basis einer Einwilligung etwa dann möglich ist, wenn dies im Zusammenhang mit einem Anreizprogramm für die Beschäftigten erfolgt da der Arbeitgeber insoweit ein wirtschaftliches Interesse haben kann, dass krankheits- oder quarantänebedingte Ausfälle verhindert werden und so gleichfalls Anreize für die Impfung zu setzen. Beispiele für derartige Anreize sind demnach eine Freistellung von der Arbeit für eine Schutzimpfung durch den Betriebsarzt, Sachgeschenk oder finanzielle Anreize („Impf-Bonus“). Zudem wird die Freiwilligkeit nach der Handreichung für die Fälle angenommen, in denen eine Testpflicht besteht und er der Beschäftigt sich der Beschäftigte von dieser Testpflicht durch die Mitteilung befreien kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)  merkt in diesem Zusammenhang an, dass allerdings keine Verpflichtung der Beschäftigten besteht, den Impfstatus anzugeben. Entscheiden sich Beschäftigte, den Impfstatus nicht anzugeben, müssen sie sich stattdessen testen lassen.

Für das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) kommt laut entsprechender Mitteilung auf der Basis einer Einwilligung eine Abfrage des Impfstatus grundsätzlich nicht in Betracht. Einwilligungen müssten den Anforderungen des Art. 7 und der Erwägungsgründe 32, 42 und 43 DS-GVO genügen (insbes. Freiwilligkeit). Dies ist infolge der Abhängigkeiten im Beschäftigungsverhältnis in der Regel nicht gegeben (Ausnahmen im Sinne des § 26 Abs. 2 BDSG dürften in der Regel nicht vorliegen). Unabhängig davon ist ein Arbeitgeber aber befugt, den Impfstatus zumindest zu erheben bzw. zur Kenntnis zu nehmen, wenn er vom Beschäftigten freiwillig angegeben wird, um sich gemäß geltenden landesrechtlichen Vorschriften zur Pandemieeindämmung von einer gesetzlich geregelten Pflicht zur Testung zu befreien.


FAZIT

Im „rechtlichen“ Ergebnis wird es wohl derweil darauf hinauslaufen, dass im Detail zu unterscheiden sein wird, zwischen der „Abfrage“ seitens des Arbeitgebers und der „aufgedrängten“ Information durch die Beschäftigten durch die freiwillige Bekanntgabe des Impfstatus. Die Hessische Datenschutzbeauftragte weist im Zusammenhang mit der Einwilligung noch darauf hin, dass die Einwilligung des Beschäftigten in die Verarbeitung nicht automatisch auch die dauerhafte Speicherung des Impfstatus oder die Verarbeitung zusätzlicher Daten rechtfertigt. Der HmbBfDI teilt in seinen FAQ mit, dass soweit der Arbeitgeber den Impfstatus der Beschäftigten verarbeitet, zu beachten ist, dass lediglich ein Vermerk über das Vorliegen des Impfnachweises und den bestehenden Impfschutz in die Personalakte aufgenommen wird. Eine Kopie des Impfausweises ist nicht erforderlich und folglich datenschutzrechtlich unzulässig. In eine ähnliche Richtung ist die Aussage des BayLDA zu verstehen, dass eine Befugnis zur Speicherung der vorgelegten Nachweise in den bislang existierenden Vorschriften (Anm.: landesrechtlichen Vorschriften) dieser Art nicht geregelt ist und sich somit daraus nicht ableiten lässt. Mit Spannung wird daher zu erwarten sein, ob es zu der vom BfDI geforderten einheitlichen Regelung zur Abfrage des Impf- bzw. Genesenenstatus kommen der der Flickenteppich an Rechtsgrundlagen entstehen wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Corona-Pandemie
  • Einwilligung
  • Gesundheitsdaten
  • Impfstatus
Lesen

OLG DÜSSELDORF: VERÖFFENTLICHUNG VON KINDERFOTOS

Erst vor kurzem beleuchteten wir in unserem Beitrag „Einwilligungen – Wie? Wann? Wofür nicht?“ welche Anforderungen an eine rechtskonforme Einwilligung zu stellen sind und in welchen Situationen sich ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet. Im Rahmen des Beitrages wiesen wir bereits darauf hin, dass bei bestimmten Datenverarbeitungen, welche Kinder betreffen, es der Einwilligung der Träger der elterlichen Verantwortung bedarf. Aus einem aktuellen Beschluss des Oberlandesgerichts Düsseldorf (OLG Düsseldorf, Beschl. v. 20.07.2021 – 1 UF 74/21) geht nun hervor, dass für die Verbreitung von Fotografien eines Kindes in sozialen Netzwerken grundsätzlich die Einwilligung beider sorgeberechtigter Elternteile erforderlich ist.


SACHVERHALT

Dem streitgegenständlichen Sachverhalt ist zu entnehmen, dass es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die gemeinsamen Kinder leben bei der Mutter, wobei der Vater mit den Kindern einen regelmäßigen Umgang pflegt. Die neue Lebensgefährtin des Vaters wiederum betreibt einen Friseursalon und verbreitete zu Werbezwecken für ihr Friseurgewerbe auf den einschlägigen Profilen bei Facebook und Instagram Aufnahmen der Kinder. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Die Mutter ging hiergegen mit Erfolg gerichtlich vor.


ENTSCHEIDUNG DES OLG DÜSSELDORF

Auch wenn im Rahmen des Beschlusses des OLG Düsseldorf im Kern die Anwendung des § 1628 BGB (Bürgerliches Gesetzbuch) hinsichtlich der gerichtlichen Entscheidung bei Meinungsverschiedenheiten der Eltern thematisiert wird, deren Ausführungen an dieser Stelle nicht weiter ausgeführt werden sollen, sind die weiteren datenschutzrechtlichen Betrachtungen von besonderer Bedeutung:

Zunächst stellt das Gericht klar, dass „das öffentliche Teilen der Bilder bei Facebook und Instagram und ihre Einstellung auf der Webseite […] schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder [hat].“ Dies ergebe sich „aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit.“ Weiterhin wird im Rahmen des Beschlusses deutlich gemacht, dass eine derartige Veröffentlichung von Fotoaufnahmen gegenüber einem unbegrenzten Personenkreis erfolgt und eine Weiterverbreitung dieser kaum kontrollierbar ist. Dies führe zwangsläufig dazu, dass die Kinder (potenziell) für einen unbegrenzten Zeitraum und gegenüber einem unbeschränkten Personenkreis mit Fotoaufnahmen aus der Zeit ihrer Kindheit konfrontiert werden. Nach Auffassung des Gerichtes „tangiert [dies] spürbar die Integrität ihrer Persönlichkeit und ihrer Privatsphäre.“

Darüber hinaus führt das OLG Düsseldorf mit Verweis auf eine frühere Entscheidung des Bundesgerichtshofes (BGH, Urt. v. 28.09.2004 – VI ZR 305/03) aus , dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO (Datenschutz-Grundverordnung) ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dementsprechend komme es grundsätzlich auch nicht darauf an, „ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. […] Denn entscheidend sind nicht die Neigungen, die Bindungen oder der Wille der Kinder. Den Ausschlag gibt [vorliegend] vielmehr die Rechtswidrigkeit der Bildverbreitung mangels der Zustimmung der Mutter.“


AUSWIRKUNGEN FÜR DIE PRAXIS

Für die Praxis ergibt sich aus dem Beschluss des OLG Düsseldorf zwangsläufig die Anforderung, dass im Rahmen einer Veröffentlichung von Fotoaufnahmen von Kindern die Einwilligungen sämtlicher sorgeberechtigter Parteien eingeholt werden. Das bedeutet, dass neben den allgemeinen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung, diese so zu gestalten ist, dass die Notwendigkeit der Einwilligung sämtlicher Sorgeberechtigten deutlich hervortritt. Dies kann beispielsweise durch eine entsprechende Gestaltung der Unterschriftenfelder oder im Rahmen elektronischer Einwilligungserklärungen beispielsweise durch eine Hervorhebung im Text erreicht werden.

Sofern es der verantwortlichen Stelle zuzumuten ist und diese gegebenenfalls bereits Informationen über die sorgeberechtigten Personen vorliegen hat, sollte eine entsprechende Überprüfung der Einwilligungserklärungen erfolgen.


BESONDERER SCHUTZBEDARF PERSONENBEZOGENER DATEN VON KINDERN

Weiterhin ergibt sich aus den Entscheidungsgründen ein weit wesentlicher Aspekt: Die Veröffentlichung von Kinderfotos im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen kann auf die Entwicklung von Kindern enorme negative Auswirkungen haben. In diesem Zusammenhang sollten verantwortliche Stellen – insbesondere solche mit Nähe zu Kindern, z.B. Kindertageseinrichtungen – stets hinterfragen, ob die Veröffentlichung von Kinderfotos im Internet zwingend erforderlich ist. (Zur Erforderlichkeit der Abbildung konkreter Personen unser Beitrag: „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“, DSB 2021, S. 128 ff.). Dies ergibt sich bereits aus Art. 5 Abs. 1 lit. c DS-GVO – dem Grundsatz der Datenminimierung. Eine Veröffentlichung von Fotoaufnahmen verbietet sich erst recht dann, wenn Kinder (teilweise) unbekleidet abgebildet sind. Einen Perspektivenwechsel ermöglicht hierbei auch der Blog von Toyah Diebel.

Darüber hinaus wird in der datenschutzrechtlichen Literatur auch ein weiterer nicht zu vernachlässigender Gesichtspunkt diskutiert: Influencer:innen und Blogger:innen nutzen im Rahmen Ihrer Reichweite Fotoaufnahmen ihrer Kinder zur Platzierung von Werbung. Bei den benannten Personen handelt es sich sodann zugleich sowohl um die datenschutzrechtlich verantwortliche Stelle als auch um die Träger der elterlichen Verantwortung. Ist vor diesem Hintergrund eine solche Datenverarbeitung zulässig oder handelt es sich hierbei womöglich um ein unwirksames Insichgeschäft im Sinne des § 181 BGB?


FAZIT

Aus dem Beschluss des OLG Düsseldorf geht deutlich hervor, dass eine Veröffentlichung von Fotoaufnahmen von Kindern erhebliche Auswirkungen auf die Entwicklung der Kinder haben kann. Die Dimension einer solchen Veröffentlichung bedingt – und dies wurde bereits durch den Gesetzgeber und andere Gerichte erkannt – stets einer Einwilligung sämtlicher sorgeberechtigter Personen. Aufgrund möglicher weitreichender Folgen sollte durch verantwortliche Stellen stets im Vorfeld einer Veröffentlichung geprüft werden, ob eine solche zwingend erforderlich ist und bejahendenfalls für eine konforme Einwilligung der sorgeberechtigten Personen Sorge tragen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Einwilligung
  • Fotoveröffentlichung
  • Internetseite
  • Kinder
  • Soziale Netzwerke
Lesen

EINWILLIGUNGEN – WIE? WANN? WOFÜR NICHT?

Die Einwilligung der betroffenen Person wird häufig als die „ultimative“ Rechtsgrundlage zur Verarbeitung personenbezogener Daten missverstanden. An die Einwilligung der betroffenen Person sind eine Vielzahl von Anforderungen geknüpft, sodass sich ein Rückgriff auf diese im Rahmen zahlreicher Verarbeitungssituationen verbietet. Der Beitrag stellt die verschiedenen Anforderungen an eine rechtskonforme Einwilligung dar und zeigt beispielhaft Sachverhalte auf, in denen es für die Verarbeitung personenbezogener Daten keiner gesonderten Einwilligung der betroffenen Person bedarf.


NACHWEIS EINER EINWILLIGUNG

Grundsätzlich fordert die Datenschutz-Grundverordnung (DS-GVO) keine schriftliche Einwilligung der betroffenen Person, sodass eine Datenverarbeitung auch auf eine „konkludente“ (aus dem Verhalten einer betroffenen Person schlüssig ableitbare) Einwilligung gestützt werden kann. Vielfach wird in diesem Zusammenhang beispielhaft angeführt, dass das Posieren einer betroffenen Person vor einer Kamera bereits als konkludente Einwilligung gewertet werden könne. Probleme ergeben sich hierbei jedoch im Rahmen des Nachweises: Art. 7 Abs. 1 DS-GVO fordert seitens des Verantwortlichen, dass dieser die Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten nachweisen können muss. Gleiches ergibt sich auch aus der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO.

Besonderheiten ergeben sich zudem im Rahmen der Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO. Die Rechtsgrundlage des Art. 9 Abs. 2 lit. a DS-GVO setzt nach ihrem Wortlaut bereits eine ausdrückliche Einwilligung der betroffenen Person voraus. Das Abstellen auf eine konkludente Einwilligung ist in diesem Rahmen nicht möglich. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes in Bezug auf Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO, bedarf es darüber hinaus der Einwilligung der Träger der elterlichen Verantwortung. Gemäß Art. 8 Abs. 2 DS-GVO hat sich der Verantwortliche mit angemessenen Anstrengungen über die tatsächliche Einwilligung der Träger der elterlichen Verantwortung zu vergewissern. Dies ist im Zweifelsfall nachzuweisen.


FREIWILLIGKEIT, BESTIMMTHEIT, TRANSPARENZ

Eine Einwilligung setzt stets ein aktives Handeln einer betroffenen Person voraus. Dabei ist zu berücksichtigen, dass diese tatsächlich eine freie Wahl über die (Nicht-)Abgabe ihrer Einwilligung besitzt. Nach Erwägungsgrund (ErwGr.) 42  Satz 5 zur DS-GVO muss die betroffene Person insbesondere in der Lage sein, ihre Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch Nachteile zu erleiden. Dies ist bereits dann nicht anzunehmen, sofern die Erbringung einer Dienstleistung von der Abgabe einer Einwilligung abhängig gemacht wird oder  wenn zu verschiedenen Verarbeitungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann (Art. 7 Abs. 4 DS-GVO, ErwGr. 43 Satz 2 zur DS-GVO). Auch kann dann nicht von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn zwischen Verantwortlichem und betroffener Person ein klares Ungleichgewicht besteht und es im konkreten Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde (ErwGr. 43  Satz 1 zur DS-GVO). Dies kann in bestimmten Fällen beispielsweise bei Behörden oder im Beschäftigungskontext anzunehmen sein.

Ferner bedarf es gegenüber der betroffenen Person einer umfangreichen Information, zumindest über die verantwortliche Stelle sowie die konkreten Zwecke der Verarbeitung (ErwGr. 42 Satz 4 zur DS-GVO). Es empfiehlt sich jedoch die Inhalte der Einwilligungserklärung entsprechend den Anforderungen an Datenschutzinformationen nach Art. 13 DS-GVO zu gestalten, um zugleich dieser datenschutzrechtlichen Verpflichtung nachzukommen. Die Einwilligungserklärung ist in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen (ErwGr. 42 Satz 3 zur DS-GVO). Dies umfasst gemäß Art. 7 Abs. 2 DS-GVO auch, dass eine Einwilligungserklärung im Rahmen anderer Erklärungen deutlich als Ersuchen um Einwilligung der betroffenen Person hervorzuheben und von weiteren Sachverhalten deutlich abzutrennen ist.


GELTUNGSDAUER EINER EINWILLIGUNG

Eine zeitlich beschränkte Geltungsdauer der Einwilligung sieht die DS-GVO nicht vor. In Art. 7 Abs. 3 DS-GVO heißt es lediglich, dass die betroffene Person das Recht hat, ihre Einwilligung zu widerrufen, wobei der Widerruf so einfach wie die Erteilung der Einwilligung sein muss.

In der Vergangenheit ging die Rechtsprechung zu Teilen davon aus, dass eine abgegebene Einwilligung nach einer Nichtnutzung von anderthalb bis zwei Jahren erlischt (AG Bonn, Urt. v. 10. Mai 2016 – 104 C 227/15; LG München, Urt. v. 08. April 2010 – 17 HK O 138/10; LG Berlin, Beschl. v. 02. Juli 2004 – 15 O 653/03). Der Bundesgerichtshof (BGH) führte jedoch 2018 in einem Urteil bezugnehmend auf die Werbeeinwilligung nach § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) sowie auf die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) aus, dass eine Einwilligung nicht allein durch Zeitablauf endet (BGH, Urt. v. 01. Februar 2008 – III ZR 196/17). Mit Blick auf Art. 7 Abs. 3 DS-GVO ist für die Einwilligung nach der DS-GVO selbiges anzunehmen.


RECHTSFOLGEN EINER NICHT-KONFORMEN EINWILLIGUNG

Entspricht eine Einwilligungserklärung nicht den dargestellten rechtlichen Anforderungen, so ist diese als unwirksam anzusehen. Die Datenverarbeitung kann dementsprechend nicht auf die Rechtsgrundlage einer Einwilligung gestützt werden. Kann der Verantwortliche die Umsetzung der datenschutzrechtlichen Voraussetzungen an eine Einwilligungserklärung nicht zweifelsfrei nachweisen, ist dies ebenso rechtswidrig.

Verarbeitungen personenbezogener Daten ohne (nachweisbare) einschlägige Rechtsgrundlage stellen grundsätzlich einen Verstoß gegen die datenschutzrechtlichen Grundsätze aus Art. 5 DS-GVO dar und können durch die Aufsichtsbehörden entsprechend (z.B. mit einem Bußgeld und/oder durch Untersagung der jeweiligen Datenverarbeitung) geahndet werden.


BEISPIELE AUS DER PRAXIS

In der Praxis wird sich häufig auf die Einwilligung als Rechtsgrundlage gestützt. Doch nicht immer ist dies auch sinnvoll. Regelmäßig ergeben sich anderweitig einschlägige Rechtsgrundlagen, welche für den konkreten Verarbeitungszweck besser – oder gar ausschließlich – geeignet sind. Einwilligungen können ausschließlich dann als Rechtsgrundlage herangezogen werden, sofern die beabsichtigte Datenverarbeitung nicht zwingend erforderlich ist. Eine Einwilligung der betroffenen Person ist beispielsweise in folgenden Konstellationen nicht erforderlich:

Beschäftigtenverhältnis: Datenverarbeitungen, welche zwingend zur Begründung, Durchführung oder Beendigung des Beschäftigtenverhältnisses erforderlich sind (z.B. Bewerbermanagement, Lohn- und Gehaltsabrechnung), sind auf die Rechtsgrundlage des Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) zu stützen. Eine Einwilligung von Beschäftigten ist ausschließlich dann erforderlich, sofern darüberhinausgehende Datenverarbeitungen erfolgen sollen. Ein klassisches Beispiel ist die Veröffentlichung von Fotoaufnahmen auf der Internetseite oder in Broschüren. Die Rechtsgrundlage bildet hierfür die Einwilligung gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 2 BDSG.

Vertragsverhältnis: Sofern die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (z.B. Abrechnung) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. zur Erstellung eines unverbindlichen Angebotes), bildet Art. 6 Abs. 1 Satz 1 lit. b DS-GVO die einschlägige Rechtsgrundlage. Ein Rückgriff auf die Rechtsgrundlage der Einwilligung verbietet sich hierbei bereits aufgrund der untrennbaren Verknüpfung zwischen (potenziellem) Vertragsverhältnis und Datenverarbeitung.

Rechtliche Verpflichtung: Einer Einwilligung der betroffenen Person bedarf es ferner nicht, falls die verantwortliche Stelle zur Verarbeitung der personenbezogenen Daten verpflichtet ist. Die einschlägige Rechtsgrundlage stellt Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i.V.m. einer spezialgesetzlichen Rechtsvorschrift dar. Eine solche rechtliche Verpflichtung liegt beispielsweise hinsichtlich der Aufbewahrung handels- bzw. steuerrechtlicher Unterlagen vor, welche nach den Regelungen des Handelsgesetzbuches sowie der Abgabenordnung aufzubewahren sind. Derartige spezialgesetzliche Aufbewahrungsfristen gelten vorrangig zur Verpflichtung zur Löschung personenbezogener Daten nach Art. 17 DS-GVO.


FAZIT

Wie der Beitrag aufzeigt, sind im Zusammenhang mit einer Einwilligung zahlreiche Anforderungen, zum Beispiel hinsichtlich der Transparenz und der Freiwilligkeit zu beachten. Weiterhin sollte stets überprüft werden, ob gegebenenfalls alternative Rechtsgrundlagen zur Verarbeitung personenbezogener Daten einschlägig sind. Auf eine Einwilligung sollte sich tatsächlich nur in Ausnahmefällen gestützt werden. Weitergehende Informationen lassen sich auch dem Kurzpapier Nr. 20 „Einwilligung nach der DS-GVO“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) entnehmen. Hierzu ist in Kürze auch mit einer überarbeiteten Fassung zu rechnen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigtendatenschutz
  • Einwilligung
  • Freiwilligkeit
  • Rechenschaftspflicht
  • Rechtsfolgen
Lesen

ICH MÖCHTE EINE UMFRAGE MACHEN – UND NUN?

„Wie zufrieden sind Sie mit unserer Leistung?“ „Welche Partei würden Sie wählen, wenn heute Bundestagswahl wäre?“ „Wie hat sich Corona auch Ihre Psyche, Arbeit oder Ihr Privatleben ausgewirkt?“ Derartige Umfragen sind auch aus datenschutzrechtlicher Perspektive äußerst interessant. Der folgende Beitrag umreißt die datenschutzrechtlichen Anforderungen an derartigen Umfragen.


ICH WOLLTE DOCH NUR MAL FRAGEN…

Es gibt die verschiedensten Arten von Umfragen. Im Rahmen meiner Tätigkeit für Forschungseinrichtungen und Hochschulen ist die erste Aussage eigentlich immer: „Da haben wir kein Problem, alles anonym.“ Sieht man sich das Ganze dann genauer an, wird schnell das Gegenteil deutlich. Darüber hinaus gibt es viele Umfragen/Studien, die nur mit der Rückverfolgbarkeit zu einer konkreten Person ihr Ziel erreichen können.

Daher müssen Sie sich bei Planung einer Umfrage/Studie immer zuerst fragen, ob der Anwendungsbereich des Datenschutzes eröffnet ist und welche Anforderungen bestehen. Sehen Sie sich zunächst einmal Ziel und die Fragestellungen genau an. Geht es Ihnen darum, die Person – z.B. zur weiteren Klärung von Aussagen oder Problemen – zu kontaktieren? Gibt es weitere Datenverarbeitungen (z.B. klinische Studien, Gerätemessungen, Zusammenführung von Teilumfragen) mit denen die Antworten z.B. über eine Studien-ID in Verbindung gebracht werden müssen, ohne dass die Möglichkeit besteht, hierfür einen Code zu nutzen, der nur dem Befragten selbst bekannt ist? Werden möglicherweise durch die technische Umsetzung oder das eingesetzte Umfragetool personenbezogene Daten verarbeitet (z.B. Kontaktdaten zur Zusendung der Umfrage, IP-Adressen, Zuordnungsnummern zu Messtechniken)?

Häufig werden „Anonymität“ und „Pseudonymität“ fatalerweise gleichgesetzt. Aber nur, wenn tatsächlich kein Personenbezug gegeben ist, besteht auch kein Risiko für die befragten Personen und es bedarf nicht der Schutzmaßnahmen des Datenschutzes. „Anonym“ ist eine Umfrage dann, wenn durch die beteiligten Forscher, aber auch die beteiligten Einrichtungen insgesamt sowie gegebenenfalls Dritte keine Möglichkeit besteht, die Antworten zu einer Person zurückzuverfolgen. Auch die Rückverfolgbarkeit zu einer kleinen Gruppe (in der Regel drei bis fünf Personen) kann problematisch sein, da häufig nicht ausgeschlossen werden kann, dass Dritte über entsprechendes Zusatzwissen verfügen. Bei der Beurteilung der Anonymität einer Umfrage dürfen Sie daher die folgenden Blickrichtungen nicht aus den Augen verlieren:

(1) Direkte Erhebung personenbezogener Daten bzw. sonstiges Identifikationsmerkmal (z.B. Name, Personal- oder Matrikelnummer, Studien-ID etc.) im Rahmen der Einladung/Zusendung der Umfrage oder des Umfrageformulars sowie im Zusammenhang mit Anreizen (z.B. Bezahlung, Geschenk, Verlosung – grundsätzlich auf freiwilliger Basis),
(2) Rückverfolgbarkeit auf eine einzelne Person oder kleine Gruppe von Personen durch Zusammenführung verschiedener Fragen/Antworten (z.B. Geschlecht, Altersgruppe, Betriebszugehörigkeit, Einrichtung – Achtung auch bei Freitextfeldern!),
(3) Neben dem Umfrageteilnehmer gegebenenfalls personenbezogenes Befragungsthema, also z.B. Zufriedenheit mit dem Vorgesetzten bzw. der Geschäftsleitung, Meinung zu einer Veranstaltung/Vortrag und damit zum Dozierenden, Fragen zu Familienangehörigen,
(4) Erhebung technischer Daten, welche eine Rückverfolgbarkeit zulassen (z.B. IP-Adresse, Sensor-ID).

Auch wenn im Ergebnis keine Umsetzung datenschutzrechtlicher Anforderungen wie z.B. Informationspflichten erfolgen muss: Seien Sie gegenüber den Befragten transparent in dem, was Sie tun! Denken Sie immer daran, dass die erfolgreiche Durchführung einer Umfrage/Studie immer auch auf dem Vertrauen der Befragten beruht.


WELCHES UMFRAGETOOL IST FÜR MICH DAS RICHTIGE?

Auf dem Markt existieren diverse Umfragetools wie z.B. LamaPoll, SosciSurvey, QuestionStar, Easy Feedback, LimeSurvey, Blubbsoft, Zoho Survey sowie Google Forms. Natürlich gibt es noch viele andere Anbieter und der Auswahl und Reihenfolge ist keine Bewertung zu Leistung oder Datenschutzkonformität zu entnehmen. Welches Tool im konkreten Fall geeignet ist, ist von verschiedenen Faktoren abhängig. Was ist der Zweck der Umfrage (z.B. Kundenzufriedenheit, Mitarbeiterbefragung z.B. zur Arbeitssicherheit oder Mobilität, Evaluation der Lehre, klinische oder wissenschaftliche Studie, sozialwissenschaftliche Umfrage) und wen will ich ansprechen (z.B. Kunden, Beschäftigte, anonyme Probanden, zufälliger Personenkreis)? Bestehen besondere Ansprüche hinsichtlich der Gestaltung, Durchführung oder Auswertung? Besteht über das Tool auch technisch die Möglichkeit der anonymen Befragung? Handelt es sich um eine einzelne Umfrage oder wird ein dauerhaftes Tool für verschiedene Umfragen benötigt? Verfüge ich über eine eigene, geeignete IT-Struktur oder wo soll die Datenspeicherung erfolgen (Empfehlung: Deutschland/Europa)? Wie hoch ist mein Budget? Auch wenn der Datenschutz bei der Auswahl oft nicht an erster Stelle steht: Stellen Sie vor Auswahl sicher, dass die Software geeignet ist, um die zu Ihrer Umfrage/Studie passenden Anforderungen, insbesondere Anonymität sowie technische und organisatorische Maßnahmen, zu erfüllen.


MEINE UMFRAGE IST DOCH NICHT ANONYM. WAS SOLL ICH TUN?

Zunächst einmal benötigen Sie eine Rechtsgrundlage. In den meisten Fällen werden Sie für die Datenerhebung im Zuge der Umfrage eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a i.V.m. Art. 7 Datenschutz-Grundverordnung (DS-GVO) benötigen, da Sie nur selten für die Durchführung eines Vertrags oder ein besonderes Interesse erforderlich sein dürfte. Unabhängig davon dürfte sich eine verpflichtende Umfrage i.d.R. auch auf die Qualität der Antworten niederschlagen. Werden die Umfragebögen bereits personenbezogen verteilt und beispielsweise nicht über einen Link an eine Funktions-E-Mail-Adresse beziehungsweise durch Auslage/Intranet, benötigen Sie darüber hinaus eine Rechtsgrundlage, um mit den gewünschten Umfrageteilnehmern in Kontakt treten zu dürfen. Hierfür kann neben einer Einwilligung auch ein bereits bestehender Vertrag gemäß Art. 6 Abs. 1 Satz 1 lit. b DS-GVO in Frage kommen. Aber Achtung: Der BGH hat in seinem Urteil vom 10. Juli 2018 (VI ZR 225/17) entschieden, dass es sich bei Kundenzufriedenheitsumfragen um Werbung handelt und die Anforderungen des § 7 UWG zu beachten sind. Es sind also unter Umständen auch angrenzende Rechtsgebiete zu berücksichtigen.

Vor Durchführung der Umfrage muss der gewünschte Teilnehmer über die Datenverarbeitung nach Art. 13, 14 DS-GVO informiert werden. Dies kann mit der gegebenenfalls erforderlichen Einwilligung verbunden werden und sollte bereits bei der ersten Ansprache z.B. per E-Mail oder Brief, im Rahmen des Umfrageformulars sowie gegebenenfalls im Zusammenspiel mit einer separaten Internetseite zur Datenschutzinformation erfolgen. Wichtig ist nur, dass die Information verständlich, möglichst transparent und vor der Datenerhebung erfolgt. Achten Sie dabei im Interesse der Teilnehmer bitte auch darauf, die Informationen nicht ganz unten auf das Formular bzw. auf die letzte Seite des Fragebogens vor dem „Abschicken“-Button zu packen.

Vor Erhebung und Verarbeitung der Daten muss sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen getroffen wurden. Die Möglichkeiten der technischen Maßnahmen bestimmen sich in weiten Teilen danach, für welches Umfrage-Tool Sie sich entscheiden. Insoweit die Möglichkeit besteht, dass der Anbieter des Umfragetools auf die (personenbezogenen) Daten zugreifen kann, bedarf es des Abschlusses eines Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO. Hierbei ist frühzeitig der Datenschutzbeauftragte Ihrer Einrichtung einzubeziehen.

In Hinblick auf die organisatorischen Maßnahmen ist insbesondere sicherzustellen, dass der Kreis der zugriffsberechtigten Personen möglichst klein bleibt und mit den datenschutzrechtlichen Anforderungen – insbesondere der Vertraulichkeit im Umgang mit personenbezogenen Daten – vertraut ist. Kontaktdaten für die Umfrageverteilung beziehungsweise im Rahmen versprochener Anreize sind möglichst frühzeitig von den Umfragedaten zu trennen. Auch darüber hinaus ist die frühestmögliche Anonymisierung beziehungsweise Pseudonymisierung der Daten zu berücksichtigen. Alle Umfragedaten sind zu löschen, sobald diese nicht mehr für die Durchführung der Umfrage inklusive Auswertung benötigt werden und keine Aufbewahrungspflichten o.ä. bestehen. Eine Veröffentlichung ist in der Regel nur in Bezug auf aggregierte Daten ohne Personenbezug zulässig.

Zumindest wenn Umfragetools dauerhaft eingesetzt werden oder es sich nicht nur um eine einmalige/kurzzeitige Umfrage handelt, sollte eine Prozessbeschreibung in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO aufgenommen werden. Und ganz wichtig: Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein! Von diesem können Sie wertvolle Tipps zur Gestaltung Ihrer Umfrage und der erforderlichen Dokumente erhalten.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Anonymisierung
  • Einwilligung
  • Pseudonymisieung
  • Studie
  • Umfrage
Lesen