Skip to content

Einen Elektronikhändler aus Niedersachsen erreichte ein Bußgeldbescheid in Millionenhöhe wegen unzulässiger Videoüberwachung von Mitarbeitern.

Bußgeldbescheid in Höhe von 10,4 Millionen € wegen DS-GVO-Verstoß

Einleitung

Im Dezember 2020 erreichte ein Elektronikunternehmen aus Sarstedt ein Bußgeldbescheid der Landesbeauftragten für Datenschutz (LfD) des Landes Niedersachsen. Gerügt wurde ein Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO), namentlich eine unzulässige Videoüberwachung der Mitarbeiter. Das verhängte Bußgeld betrug 10,4 Millionen € und ist somit das bisher höchste Bußgeld, dass die LfD Niedersachen bisher verhängt hat. Im Folgenden beleuchten wir die Grundsätze für eine Videoüberwachung unter der DS-GVO und gehen genauer auf die Begründung der Datenschutzbehörde und die Reaktion des Elektronikhändlers ein.

Wann ist eine Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung am Arbeitsplatz ist ein heikles Thema und wird deshalb häufig diskutiert. Aus datenschutzrechtlicher Sicht stellt sie einen erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Aus diesem Grund darf eine Videoüberwachung nur erfolgen, wenn sie im konkreten Fall gerechtfertigt ist. Eine Rechtfertigung läge bspw. nach Art. 6 Abs. 1 DS-GVO vor, wenn berechtigte Interessen für eine Videoüberwachung bestünden. Hierfür müsste also zunächst ein berechtigtes Interesse des Arbeitsgebers für eine Videoüberwachung gegeben sein. Dieses Interesse, bspw. ein Eigentumsrecht aus Art. 14 GG oder ein Hausrecht, müsste dann das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG überwiegen.

Es gibt keine starren Höchstfristen für die Speicherung des Videomaterials. Grundsätzlich gilt jedoch, dass die Speicherung der Daten so lange zulässig ist, wie sie zur Zweckerreichung der Videoüberwachung erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Eine Videoüberwachung ist demnach unter den oben genannten strengen Voraussetzungen zulässig. Sofern die Videoüberwachung unzulässig ist, stellt sie einen Verstoß gegen die DS-GVO dar. In einem solchen Fall steht es den Datenschutzbehörden frei, neben oder zusätzlich zu den Maßnahmen aus Art. 58 Abs. 2 DS-GVO, Bußgelder gem. Art. 83 DS-GVO von bis zu 20 Millionen € oder 4 % des Jahresumsatzes (je nachdem was höher ist) zu verhängen.

Begründung der LfD und Reaktion des Elektronikhändlers

Die LfD rügte eine ihrer Ansicht nach unzulässige Videoüberwachung von Mitarbeitern und Kunden, welche über zwei Jahre stattfand. Von den installierten Kameras wurden die Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst.

Das Unternehmen rechtfertigte die Videoüberwachung zunächst damit, dass Straftaten so schneller ausgeklärt werden können und sie die Kameras vor allem installiert hatten, um den Warenfluss zu verfolgen. Mitarbeiter sollten zu keinem Zeitpunkt kontrolliert oder deren Verhalten analysiert werden.

Aus Sicht der LfD sei die konstante Überwachung jedoch nicht verhältnismäßig und würde einen zu schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen darstellen. Insb. stünden andere Mittel zur allgemeinen Diebstahlprävention zur Verfügung, namentlich stichprobenartige Taschenkontrollen der Mitarbeiter. Eine wie hier dauerhafte Videoüberwachung der Arbeitnehmer komme einem Generalverdacht sehr nah. Die langfristige Videoüberwachung zur Diebstahlprävention verlange jedoch gerade einen konkreten Verdacht gegen eine bestimmte Person, um ein berechtigtes Interesse des Arbeitgebers zu begründen, welches gegenüber den Persönlichkeitsrechten der Mitarbeiter überwiegt.

Die LfD kritisierte zudem, dass das Videomaterial im vorliegenden Fall 60 Tage lang gespeichert wurde, was ihrer Ansicht nach deutlich zu lange und unverhältnismäßig sei.

Aus Sicht des Elektronikhändlers ist der Bußgeldbescheid unzulässig. Das Unternehmen rügte vor allem, dass der Sachverhalt seitens der LfD nicht ausreichend ermittelt wurde. Sie hätten Mitarbeiter der Behörde innerhalb der zwei Jahre häufiger eingeladen und dazu aufgerufen, sich die Überwachungssituation vor Ort genauer anzusehen. Dem sei die Behörde jedoch nicht nachgekommen.  Zudem sei die Höhe des Bußgeldes unverhältnismäßig und stünde nach Angaben des Geschäftsführers „in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes“.

Fazit

Es ist festzuhalten, dass die Videoüberwachung am Arbeitsplatz nur unter strengen Voraussetzungen erlaubt ist, um die Persönlichkeitsrechte der Mitarbeiter zu wahren. Ein Verstoß gegen die Voraussetzungen der DS-GVO berechtigt die Datenschutzbehörden dann im Ergebnis dazu, hohe Bußgelder gegen die Unternehmen zu verhängen. Die LfD Niedersachsen und das Elektronikunternehmen sind bezüglich der Zulässigkeit des Bescheides und der Höhe des Bußgeldes unterschiedlicher Auffassungen. Aus diesem Grund ist der Bußgeldbescheid auch noch nicht rechtskräftig. Das Unternehmen hat Einspruch gegen ihn eingelegt, sodass im weiteren Verlauf ein Gericht über den Fall zu entscheiden hat. Es ist demnach abzuwarten, wie das zuständige Gericht den Sachverhalt beurteilen wird. Es bleibt also spannend, ob das horrende Bußgeld seitens der Justiz als angemessen und gerechtfertigt angesehen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die ergänzenden Maßnahmen zur Standarddatenschutzklausel.

Gibt es noch Hoffnung für den US-Datentransfer?

Einleitung

Im Juli diesen Jahres kippte der Europäische Gerichtshof den transatlantischen „Privacy Shield“. Dieses Urteil hatte und hat weitreichende Auswirkungen auf den Datentransfer zwischen der EU und den Vereinigten Staaten. Um dennoch einen Datentransfer zu gewährleisten, werden nun ergänzende Maßnahmen vorgeschlagen, die in Verbindung mit den Standarddatenschutzsklauseln einen gleichwertigen Datenschutz darstellen sollen. Dazu hat das European Data Protection Board (EDPB) eine schriftliche Empfehlung zur praktischen Vorgehensweise veröffentlicht. 

Diese Empfehlungen beinhalten zunächst einen Sechs-Schritte-Plan, in dem es vorrangig darum geht, wie Daten sicher übermittelt werden können. Im Anschluss daran erfolgt dann eine Erläuterung über die neuen ergänzenden Maßnahmen. Diese sollen in Kombination mit bereits bestehenden Transfer Tools eingesetzt werden, um einen gleichwertig geschützten Datentransfer in Drittländer vornehmen zu können, insbesondere dort wo der Schutz allein aufgrund der Standarddatenschutzklauseln nach dem Urteil nicht mehr gewährleistet ist. 

Was für ergänzende Maßnahmen sind das? 

Es gibt drei Kategorien, in die die Maßnahmen eingeteilt sind: technisch, vertraglich und organisatorisch.  

Die technischen Maßnahmen betreffen überwiegend die Verschlüsselung und Pseudonymisierung von Daten einer Datenübermittlung. Diesbezüglich werden in den Empfehlungen Fallbeispiele angeführt, wie die Datenspeicherung bei einem externen Provider oder die Verschlüsselung bei Durchquerung des Drittlandes aussehen sollte, um nach Ansicht des EDPB als angemessene Maßnahme zu gelten. Insbesondere soll eine Verschlüsselung und Pseudonymisierung vor der Datenübermittlung erfolgen, womit eine Entschlüsselung beim Übermittlungs– und Verarbeitungsprozess durch unberechtigte Parteien unmöglich gemacht oder zumindest erschwert werden soll. Allerdings sind derartige technische Maßnahmen bei Cloud-Anbietern oder bei Fernzugriffen auf Geschäftsdaten regelmäßig nur schwer umsetzbar, da in beiden Bereichen eine Verschlüsselung die Arbeitsprozesse behindern kann. 

Die vertraglichen Maßnahmen umfassen die Einführung verpflichtender Klauseln zur Absicherung der technischen Maßnahmen, Informationspflichten, verstärkte Kontrollrechte, Mitteilungspflichten sowie die Anfechtung von behördlichen Anordnungen. 

Die organisatorischen Maßnahmen dienen der angemessenen Umsetzung und Erhaltung der zuvor benannten Maßnahmen. Sie können aus internen Richtlinien, Organisationsmethoden sowie Standards bestehen, die die verantwortlichen Parteien anwenden und auch den Datenimporteuren in Drittländern auferlegt werden können. Des Weiteren wird die Durchführung entsprechender Schulungen empfohlen, um Mitarbeiter für die Überprüfung dieser Prozesse auszubilden. 

Können diese Maßnahmen den Datentransfer in die Vereinigten Staaten sichern?  

Die schriftlichen Empfehlungen legen sich nicht auf die Vereinigten Staaten fest, sondern umfassen allgemein Drittstaaten, wozu nach Wegfall des Privacy Shields nun eben auch die Vereinigten Staaten zählen. Da die Einstellung des Datentransfers in die Vereinigten Staaten wirtschaftlich betrachtet höchst problematisch und nahezu unmöglich ist, zumindest zum gegenwärtigen Zeitpunkt, kann man nur vermuten, dass das EDPB angesichts der verhältnismäßig schnellen Veröffentlichung seiner Empfehlungen dieses Problem erkannt hat und den betroffenen Unternehmen dennoch Möglichkeiten an die Hand geben will, um einen Datentransfer in die Vereinigten Staaten zu legitimieren. Die Anwendbarkeit und Legitimierungswirkung der empfohlenen Maßnahmen sei erst einmal dahingestellt, da die Maßnahmen zumindest dann nicht ausreichend sein können, wenn die Datenimporteure und das Telekommunikations-Sicherheitsgesetz der Vereinigten Staaten (FISA) fallen  

So wurde im Schrems-II-Urteil zwar die weitere Nutzung von Standardvertragsklauseln als zulässig erachtet, aber zusätzlich vor deren Nutzung muss nunmehr von den Datenexporteuren und –importeuren geprüft werden, ob die Standardvertragsklauseln einen ausreichenden Schutz bieten oder ggf. noch weitere Maßnahmen zur Gewährleistung des Datenschutzes erfolgen müssen. Für die Vereinigten Staaten dürfte dies meist der Fall sein. Darüber hinaus ist aber auch jedes andere Drittland betroffen, sofern es nicht den europäischen Datenschutzstandards gerecht wird.  

Wie sieht die praktische Umsetzbarkeit aus? 

Die Einsetzung der ergänzenden Maßnahmen ist hilfreich, allerdings ist die praktische Umsetzung schwierig. Zu einer umfassenden Dokumentationspflicht kommt hinzu, dass die ergänzenden Maßnahmen viele individuelle Absprachen zwischen den datenverarbeitenden Parteien erfordern. Zudem garantiert die Einsetzung einer einzelnen Maßnahme nicht automatisch den erforderlichen Datenschutz. Ganz im Gegenteil muss eine konkrete Abwägung der verschiedenen Maßnahmen vorgenommen werden, die im jeweiligen Drittland zum Einsatz kommen sollen. Denn jedes Drittland hat verschiedene Gesetze und Regelungen, die Auswirkungen auf das EU-Datenschutzniveau haben und daher andere Maßnahmen erforderlich machen. Daher ist es unabdingbar, dass diverse Informationsquellen über das Zielland herangezogen werden. Dazu zählen Rechtsprechung der Europäischen Union, Berichte von zwischenstaatlichen Organisationen, nationale Rechtsprechung und Einschätzungen und Berichte von nationalen oder europäischen Datenschutzbehörden (wie bspw. des EDPB) Letztlich muss immer eine Einzelfallentscheidung getroffen werden, die auch eine Kombination aus mehreren Maßnahmen voraussetzen kann 

Fazit 

Folglich gibt es nicht den einen Lösungsweg. Doch bieten die Empfehlungen eine Orientierungshilfe, um den Datentransfer in Drittländer dennoch anhand von Standardvertragsklauseln zu ermöglichen. Bei alldem gilt es die eigene Verantwortlichkeit für den Datentransfer zu beachten. Daher sollten Datenexporteure und –importeure die Empfehlungen des EDPB vor der Datenübermittlung oder Datenverarbeitung berücksichtigen und sich detailliert über die Regelungen im Drittland informieren, in welches die Daten transferiert oder verarbeitet werden.  

In diesem Zusammenhang ist es auch empfehlenswert den neuen Entwurf der SCCs zu lesen, welcher vermutlich zu Beginn des nächsten Jahres in Kraft treten wird und die Verordnung von 2010 ablösen soll. Bis zum 10.12.2020 hatten Betroffene die Möglichkeit sich zu diesem Entwurf zu äußeren. Besonders besorgt sind einige Betroffene über den Umsetzungszeitraum von einem Jahr ab Inkrafttreten, da viele Forderungen in der Praxis nicht entsprechend schnell umgesetzt werden können.  

Zwar greift der neue Entwurf die oben benannten Maßnahmen auf und wird auf diese Weise den Anforderungen des Schrems-II-Urteils gerecht, aber für die Unternehmen bedeutet das, dass sie mit erheblichem Aufwand eine umfassende Übersicht über ihre Datentransfers vornehmen müssen. 

 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Bisher ist noch kein Angemessenheitsbeschluss für das Vereinigte Königreich in Sicht. Wir erläutern, was für einen solchen Beschluss sprechen könnte und warum auch Bedenken bestehen.

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Einführung

Großbritannien ist am 31.01.2020 aus der EU ausgetreten und seitdem kein Mitgliedstaat mehr. Bis zum 31.12.2020 dauert jedoch noch der sog. Übergangszeitraum an, in dem EU-Recht, vor allem die Datenschutz-Grundverordnung (DS-GVO) noch direkte Anwendung findet. Wie zuvor berichtet, wird das Vereinigte Königreich ab dem 01.01.2021 dann zum Drittland im Sinne der DS-GVO, sodass ein Datentransfer nur noch anhand der Art. 44 ff. DS-GVO zulässig ist. Ein uneingeschränkter Drittlandstransfer bedarf demnach eines Angemessenheitsbeschlusses der Europäischen Kommission, der besagt, dass in dem jeweiligen Drittland ein angemessenes, mit dem der EU vergleichbares, Datenschutzniveau vorliegt. Sofern kein Angemessenheitsbeschluss vorliegt, kann eine Datenübermittlung anhand geeigneter Garantien stattfinden: es kann vor allem auf Standardvertragsklauseln oder Binding Corporate Rules (BCRs) zurückgegriffen werden.

Angemessenheitsbeschluss für das Vereinigte Königreich?

Bisher hat die EU-Kommission noch keinen Angemessenheitsbeschluss für einen Datentransfer in das Vereinigte Königreich erlassen. Es bleibt also abzuwarten, ob und wie schnell sich die Kommission entscheiden wird.

Fraglich ist, ob das Datenschutzniveau in Großbritannien als angemessen angesehen wird. Dafür könnte zunächst sprechen, dass das Vereinigte Königreich maßgeblich im Prozess der Entstehung und Einführung der DS-GVO (als Mitgliedstaat) beteiligt war und 2018 den UK-DPA (Data Protection Act) erlassen hat, welcher viele Regelungen aus der DS-GVO aufgegriffen und umgesetzt hat. Im Zuge des Erlasses der UK-GDPR 2019 hat die Rechtslage sich im Vereinigten Königreich nun weitgehend der DS-GVO angenähert. Deswegen hatten sich viele Menschen und vor allem Unternehmen erhofft, dass der Angemessenheitsbeschluss nur eine Formalität ist und deshalb zügig von der EU-Kommission erlassen wird, um schnellstmöglich Rechtssicherheit zu schaffen. Dies ist nun nicht der Fall; die Kommission überprüft derweil eingehend das Datenschutzniveau in dem ehemaligen Mitgliedstaat.

Einem Angemessenheitsbeschluss könnte jedoch die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH) und ein Abkommen zwischen dem Vereinigten Königreich und den Vereinigten Staaten entgegenstehen, bzw. diesen erschweren.

Im Folgenden wird näher auf die Auswirkungen des zuvor erwähnten Abkommens und der EuGH-Rechtsprechung auf einen möglichen Angemessenheitsbeschluss eingegangen.

Auswirkungen des Datenschutzabkommens zwischen den USA und dem Vereinigten Königreich?

Die USA und das Vereinigte Königreich haben Ende 2019 ein Abkommen getroffen, welches die Strafverfolgungsbehörden des jeweils anderen Landes dazu ermächtigt, zum Zwecke der Strafverfolgung umfangreichen Zugang zu elektronischen Beweismitteln, einschließlich personenbezogenen Daten, die sich im Besitz eines Unternehmens mit Sitz im jeweils anderen Land befinden, zu erlangen (Agreement between the UK and US on Access to Electronic Data for the Purpose of Countering Serious Crime). Am 28.02.2020 trat das Abkommen dann in Kraft. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat in einem Brief bereits seine Bedenken bezüglich des Abkommens geäußert und klargestellt, dass es auch Einfluss auf die Abgabe eines möglichen Angemessenheitsbeschlusses hat. Der Datenschutzausschuss kritisierte vor allem, dass aus dem Abkommen nicht eindeutig hervorgehe, dass die Beantragung der Datenauskunft der vorherigen gerichtlichen Genehmigung bedürfe. Zudem sei nicht ersichtlich, dass das getroffene Abkommen in Bezug auf den Datenschutz Vorrang vor anderen innerstaatlichen Gesetzen, wie bspw. dem Cloud Act in den USA habe. Dies sei jedoch notwendig, damit ein Abkommen dem Schutzniveau der EU gerecht werde, vor allem, wenn das Land keinen Angemessenheitsbeschluss der EU-Kommission vorweisen könne.

Auswirkungen der Nichtigkeit des Privacy Shields auf einen Angemessenheitsbeschluss?

Auch die Nichtigkeit des Privacy Shields könnte Auswirkungen auf den Erlass eines Angemessenheitsbeschlusses des Vereinigten Königreichs haben. Wie zuvor berichtet, ist das Privacy Shield vom EuGH am 16.07.2020 für ungültig erklärt worden, weil den US-Geheimdiensten und -Behörden zu umfangreiche Befugnisse bezüglich des Zugriffs und des Sammelns von personenbezogenen Daten aufgrund innerstaatlicher Gesetze zustehen und dass Nicht-US-Bürger sich nicht ausreichend gegen einen möglichen Verstoß ihrer Rechte wehren konnten.

Im Vereinigten Königreich könnte es nun ähnlich aussehen, da sie aufgrund ihrer ebenfalls weitgehenden Überwachungsgesetze im Investigatory Powers Act und mit der Mitgliedschaft in der Five Eyes Alliance (UKUSA-Vereinbarung), ihren Behörden auch in großem Umfang Zugriff auf personenbezogene Daten ermöglichen. Aus der Rechtsprechung des EuGH zum Privacy Shield geht jedoch klar hervor, dass ausladende Überwachungsgesetze als nicht vereinbar mit dem EU-Datenschutzniveau angesehen werden. Die Nichtigkeit des Privacy Shields schmälert demnach die Chancen für einen Angemessenheitsbeschluss des Vereinigten Königreichs.

Auswirkungen der EuGH-Rechtsprechung zu Privacy International?

Kürzlich hat der EuGH in der Sache Privacy International (Urteil vom 06.10.2020, Az. C-623/17) geurteilt, dass die britische Regelung zur umfangreichen und anlasslosen Vorratsdatenspeicherung nach dem EU-Recht nicht zulässig sei. Britische Überwachungsgesetze wie der Investigatory Powers Act, welcher britischen Sicherheitsbehörden weitreichende Befugnisse zum Sammeln und Speichern von personenbezogenen Daten der Bevölkerung verschafft, würden gegen die EU-Grundrechte verstoßen.

Daraus folgt, dass das Datenschutzniveau von den Luxemburger Richtern als nicht angemessen angesehen wird. Dies wird sicherlich auch für die Kommission von entscheidender Bedeutung sein. Das Urteil wird einen möglichen Angemessenheitsbeschluss nun erheblich erschweren, gerade weil das Privacy Shield unter anderem wegen zu umfangreicher Befugnisse der Geheimdienste und Sicherheitsbehörden gekippt wurde. Im Vereinigten Königreich ist die Situation nun sehr ähnlich.

Fazit

Nun bleibt es weiter abzuwarten, wie die Europäische Kommission bezüglich des Angemessenheitsbeschlusses entscheiden wird. Aufgrund der neueren EuGH-Rechtsprechung ist ein Angemessenheitsbeschluss jedoch eher unwahrscheinlich. Ein Datentransfer in das Vereinigte Königreich muss ab dem 01.01.2021 also zunächst über Standardvertragsklauseln oder BCRs erfolgen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter Bestandsdatenauskunft zu verstehen ist und in welchem Verhältnis sie zu den Grundrechten steht.

BVerfG: Regelungen zur Bestandsdatenauskunft gehen noch immer zu weit

Einleitung

Nach einigen Jahren hat das Bundesverfassungsgericht (BVerfG) sich erneut mit der Bestandsdatenauskunft auseinandergesetzt. Grund dafür waren zwei Verfassungsbeschwerden, wobei eine der Verfassungsbeschwerden 2013 von einem heutigen Piraten-Europapolitiker und einer seiner ehemaligen Parteikolleginnen eingelegt und von etwas mehr als 6.000 Bürgerinnen und Bürgern unterstützt wurde. Die Beschwerde-führer kritisierten insbesondere, dass Sicherheitsbehörden aufgrund der geltenden Gesetzeslage ohne große Hürden personenbezogene Daten einsehen könnten und sie deswegen in ihren Grundrechten verletzt seien.

Nachdem die Regelungen zur Bestandsdatenauskunft bereits 2012 nach einem Beschluss des BVerfG (Beschl. v. 24.01.2012, Az. 1 BvR 1299/05, „Bestandsdatenauskunft I“) abgeändert wurden, stehen sie nun wieder im Visier des Karlsruher Gerichts. Erst kürzlich hat das BVerfG erneut darüber entschieden, ob sie mit der Verfassung vereinbar sind oder sie einer erneuten Änderung bedürfen.

Bestandsdatenauskunft und ihre rechtliche Grundlage

Als Bestandsdaten werden gem. § 3 Nr. 3 des Telekommunikationsgesetzes (TKG) solche personenbezogenen Daten bezeichnet, die im Rahmen eines Telekommunikationsvertrages zu dessen Begründung, inhaltlicher Ausgestaltung, Änderung oder Beendigung erhoben werden. Dazu zählen bspw. der Name, die Adresse, die Telefonnummer oder auch Passwörter und IP-Adressen der Kunden. Bestimmte gesetzliche Regelungen befugen nun Sicherheitsbehörden, von den Telekommunikationsunternehmen Auskunft über diese Kundendaten zu erlangen (sog. Bestandsdatenauskunft). Dabei geht es insbesondere um die Auskunft über den Anschlussinhaber eines Telefonanschlusses oder einer bestimmten IP-Adresse. Sofern die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, sind die Telekommunikationsanbieter zur Auskunft verpflichtet. Dies betrifft jedoch nicht die sog. Verkehrsdaten, welche sich auf die Nutzung des Telekommunikationsdienstes oder deren Inhalt beziehen, sondern ausschließlich die Bestandsdaten der Kunden.

Als gesetzliche Grundlage für die Bestandsdatenauskunft dient insbesondere der § 113 TKG. Danach dürfen Sicherheitsbehörden die jeweiligen Bestandsdaten anfordern, wenn dies im Einzelfall der Verfolgung von Straftaten oder Ordnungswidrigkeiten, der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder der Erfüllung von gesetzlichen Aufgaben der Behörden dient. Die in § 113 TKG berechtigten Behörden sind bspw. die Bundespolizei, das Bundeskriminalamt oder auch Nachrichtendienste.

Entscheidung des BVerfG 

In seinem neusten Beschluss (Beschl. v. 27.05.2020, Az. 1 BvR 1873/13, 1 BvR 2618/13, “Bestandsdatenauskunft II”) entschied das BVerfG erneut für die Kläger und begründete seine Entscheidung damit, dass § 113 TKG keine ausreichende und verhältnismäßige Rechtsgrundlage für die Bestandsdatenauskunft darstelle. Dies liege daran, dass die Norm zu weit und unbestimmt gefasst sei. Die Eingriffsschwellen für die Sicherheitsbehörden seien zu niedrig, sodass die derzeitige Fassung des § 113 TKG gegen das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 des Grundgesetzes (GG) und gegen das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG verstoße. Nach Auffassung des Gerichts seien neben dem § 113 TKG auch andere Bundesgesetze verfassungswidrig, die maßgeblich die Bestandsdatenauskunft betreffen.

Die Karlsruher Richter verlangten, dass der Gesetzgeber sowohl für die Übermittlung der Bestandsdaten an die Behörden als auch für dessen Abruf durch die Behörden eine verhältnismäßige Rechtsgrundlage ausarbeite. Diese müsste dann eine hinreichende Begrenzung der Verwendungszwecke der Daten beinhalten. Davon sei jedenfalls dann auszugehen, wenn tatbestandliche Eingriffsschwellen und ein hinreichend gewichtiger Rechtsgüterschutz in den jeweiligen Normen vorgesehen würden. Das BVerfG betonte zudem, dass eine Bestandsdatenauskunft nicht per se verfassungswidrig sei, sondern nur die derzeitige gesetzliche Grundlage.

Folge der Entscheidung ist, dass § 113 TKG und andere Bundesgesetze, die die Bestandsdatenauskunft betreffen, abgeändert werden müssen, um den Grundrechten der Betroffenen gerecht zu werden und sie nicht in unverhältnismäßiger Weise zu verletzen. Dies soll nun bis spätestens Ende 2021 geschehen. In der Übergangszeit könne § 113 TKG jedoch weiterhin eine Bestandsdatenauskunft legitimieren, sofern die jeweilige Auskunft zur Abwehr einer konkreten Gefahr erforderlich oder bezüglich der Nachrichtendienste zur Aufklärung im Einzelfall geboten sei oder wenn für die Verfolgung von Straftaten und Ordnungswidrigkeiten zumindest ein Anfangsverdacht bestehe, so das BVerfG.

Fazit

Die Änderung der Vorschriften zur Bestandsdatenauskunft in 2012 waren nach Ansicht des BVerfG nicht ausreichend. Die Rechtsgrundlagen, insbesondere § 113 TKG, seien derzeit immer noch zu unbestimmt und würden die Betroffenen in ihren Grundrechten auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis (Art. 2 Abs.1 i.V.m Art 1 Abs. 1 und Art. 10 Abs. 1 GG) verletzen.

Als Folge des Urteils wird nun eine weitere Änderung der Vorschriften über die Bestandsdatenauskunft erwartet. Für die Reformierung der Gesetze hat der Gesetzgeber nun bis zum 31.12.2021 Zeit. In der Zwischenzeit findet § 113 TKG jedoch weiterhin mit gewissen Einschränkungen Anwendung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der BGH bestätigt nun das BKartA, sodass Facebook seine Nutzungsbedingungen vorerst anpassen muss.

BGH im Eilverfahren: Facebooks Datenerhebung behindert den Wettbewerb

Einleitung

Bereits im Februar 2019 sprach das Bundeskartellamt (BKartA) gegen Facebook eine Verbotsverfügung aus, weil es der Meinung war, Facebook behindere mit seinen Nutzungsbedingungen den Wettbewerb und nutze seine marktbeherrschende Position aus. Das BKartA setzte Facebook sodann eine Frist von zwölf Monaten, um seine Nutzungsbedingungen anzupassen. Bereits nach vier Monaten sollten Lösungsvorschläge präsentiert werden. Facebook hat gegen die Verfügung umgehend Beschwerde am Oberlandesgericht (OLG) Düsseldorf eingelegt, welches im Rahmen des vorläufigen Rechtsschutzes die aufschiebende Wirkung der Verfügung angeordnet hat. Dies bedeutet, dass die Entscheidung des BKartA nicht vollzogen werden darf, bis im Hauptsacheverfahren darüber entschieden wurde. Für Facebook heißt das, sich nicht an das Verbot bzw. die Auflagen des BKartA halten zu müssen, bis das OLG über die Rechtmäßigkeit der Verfügung entschieden hat. Das BKartA hat sich daraufhin ebenfalls im Eilverfahren an den Bundesgerichtshof (BGH) gewandt, um die aufschiebende Wirkung der Verfügung beseitigen zu lassen. Der BGH hat nun geprüft, ob die Gewährung der aufschiebenden Wirkung der Verfügung gerechtfertigt ist. Hierbei entscheidet der BGH nicht in der Hauptsache selbst, also ob das Verhalten von Facebook gegen kartellrechtliche Bestimmungen verstößt, sondern, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen.  

Nutzungsbedingungen von Facebook

Um Facebook nutzen zu können, müssen User zuerst einem plattformübergreifenden Umgang mit ihren Daten zustimmen. Das soziale Netzwerk sammelt und verarbeitet nicht nur Daten, die die jeweiligen Nutzer auf ihrem Facebook-Profil preisgeben, sondern auch Daten von Dritt-Webseiten und -Apps wie Instagram und WhatsApp (welche zu Facebook gehören). Dies dient dazu, genauere Profile der Nutzer zu erstellen und bspw. gezielt Werbung zu platzieren.

Ansicht des BKartA

Das BKartA ist der Ansicht, dass die Nutzungsbedingungen einen Verstoß gegen § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) darstellen. Durch das plattformübergreifende Datensammeln nutze Facebook seine marktbeherrschende Stellung aus, da den Nutzern keine Wahl gelassen werde, ob sie die Verknüpfung der Daten zulassen wollen oder nicht. Missbräuchlich sei, entgegen der Vorschriften der Datenschutz-Grundverordnung (DS-GVO) die private Nutzung von Facebook vom scheinbar grenzenlosen Sammeln von Daten und Erstellen von Profilen abhängig zu machen und den Nutzer quasi zur Zustimmung zu „zwingen“.

Entscheidung des BGH (Beschl. v. 23.06.2020, Az. KVR 69/19)

Der BGH setzte sich im Eilverfahren damit auseinander, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen. Dies erfolgt nur aufgrund einer summarischen Prüfung, was bedeutet, dass auf eine umfangreiche Beweisaufnahme verzichtet wird, um dem Charakter des Eilverfahrens gerecht zu werden und schnell eine Entscheidung zu erlangen. Nach seiner Prüfung stellte der BGH sich auf die Seite des BKartA. Das Karlsruher Gericht war ebenfalls der Auffassung, dass keine ernstlichen Zweifel an der marktbeherrschenden Stellung von Facebook auf dem deutschen Markt bestünden und diese Stellung von dem sozialen Netzwerk bei Verwendung ihrer Nutzungsbedingungen missbräuchlich ausgenutzt werde. Ausschlaggebend sei wieder die fehlende Wahlmöglichkeit der Nutzer, ob sie dem umfangreichen Datensammeln zustimmen wollen oder nicht. Dieser Umstand beeinträchtige schließlich die Privatautonomie und die Wahrung des Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 Grundgesetz) der Facebook-Nutzer, sowie die Kontrollfunktion des Wettbewerbs. Letztere könne durch die nach Ansicht des BGH kartellrechtlich relevante Ausbeutung der Nutzer von Facebook nicht mehr wirksam ausgeübt werden.

Der BGH bestätigt mithin einen Marktmissbrauch und sieht keine ernsthaften Zweifel an der Rechtmäßigkeit der Verbotsverfügung des BKartA. Die Karlsruher Richter sind der Meinung, dass die Nutzungsbedingungen in der Hinsicht angepasst werden müssten, dass die Nutzer des sozialen Netzwerks der Verknüpfung ihrer Daten von anderen Webseiten und Diensten aktiv zustimmen müssten und zudem eine Nutzung möglich wäre, sofern sie die Verknüpfung der Profile ablehnen würden.

Fazit

Im Ergebnis lehnte der BGH die Entscheidung des OLG Düsseldorf, die Anordnung der aufschiebenden Wirkung, ab und hob sie auf. Daraus folgt, dass Facebook sich zunächst an die Verbotsverfügung des BKartA halten muss, bis in der Hauptsache entschieden wurde. Somit stoppt der BGH zunächst das umfangreiche Datensammeln von dem sozialen Netzwerk. Wie das OLG sich im Hauptsacheverfahren entscheidet und der Rechtsstreit ausgeht, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Nächste Runde im Duell von Datenschutzaktivist und Jurist Max Schrems gegen Facebook aufgrund der Datenübermittlung aus der EU in die USA.

EuGH: EU-US Privacy Shield ist nichtig

Einleitung

Seit einigen Jahren kritisiert der österreichische Datenschutzaktivist und Jurist Max Schrems die Datenübermittlung von Facebook aus der EU in die USA. Nach seiner Ansicht werde bei den Datentransfers den europäischen Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) nicht gerecht. Schrems hatte zuletzt bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt. Die Beschwerde richtet sich gegen die Weiterleitung der Daten von Facebook in Irland an ihren Mutterkonzern in den Vereinigten Staaten. Schrems begründet seine Beschwerde damit, dass kein angemessenes Datenschutzniveau in den USA gewährleistet sei, da Facebook dort dazu verpflichtet sei, seinen Behörden wie NSA oder FBI Zugang zu den aus der EU übermittelten Daten zu gewähren, ohne dass die Betroffenen dagegen vorgehen könnten. Nach Ansicht des österreichischen Datenschutzaktivisten sei ein angemessener Datenschutz auch nicht durch den EU-US Privacy Shield (im Folgenden: Privacy Shield) oder die Standardvertragsklauseln gewahrt. Schrems möchte mit seiner Beschwerde erreichen, dass seine personenbezogenen Daten von Facebook nicht mehr in die Vereinigten Staaten übermittelt werden. Facebook ist hingegen der Ansicht, dass die Datenübermittlung rechtmäßig erfolge und das europäische Datenschutzrecht ferner nicht anzuwenden sei, wenn die personenbezogenen Daten zum Zwecke der nationalen Sicherheit verarbeitet werden.

Der irische High Court hat nun den Europäischen Gerichtshof (EuGH) angerufen, um zu klären, ob der Privacy Shield und die Standardvertragsklauseln mit dem europäischen Datenschutzrecht vereinbar sind.

Datentransfer in ein Drittland nach DS-GVO 

Eine Datenübermittlung aus der EU in Drittländer erfolgt gem. Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem Unionsrecht vergleichbares Datenschutzniveau verfügt. Bisher wurden transatlantische Datenübermittlungen häufig mit dem Privacy Shield gerechtfertigt. Der Privacy Shield ist eine Absprache zwischen der US-Regierung und der EU-Kommission, welches die Gewährleistung eines angemessenes Schutzniveaus für personenbezogene Daten, welche aus der EU übermittelt wurden, vorsieht.

Zudem können Standardvertragsklauseln der EU-Kommission eine Rechtsgrundlage für den Datentransfer in die Vereinigten Staaten darstellen. Bisher bedienten sich etliche US-Konzerne den Standardvertragsklauseln, sofern Daten aus der EU in die USA weitergeleitet wurden. 

Entscheidung des EuGH

In seinem neusten Urteil (16.07.2020, Az.: C-311/18) stellt der EuGH auf Anfrage eines irischen Gerichts zunächst klar, dass das EU-Recht, vor allem die DS-GVO generell dann Anwendung finde, wenn eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken erfolge. Dies gelte auch in Fällen, in denen die jeweiligen Daten direkt oder im Anschluss von Behörden des Drittlandes verarbeitet werden könnten. Eine Datenverarbeitung durch Behörden in einem Drittland könne nicht dazu führen, dass die Datenübermittlung nicht den Anforderungen der DS-GVO unterliegen müsse.

Des Weiteren entschied der EuGH, dass der Privacy Shield den europäischen Datenschutzvorschriften nicht gerecht werde. Dies sei darauf zurückzuführen, dass die Überwachungsgesetze in den Vereinigten Staaten zu umfangreich seien, sodass ein angemessener Schutz der personenbezogenen Daten von EU-Bürgern auch durch den Privacy Shield nicht gewährleistet sei. Darüber hinaus kritisierte der EuGH, dass keine ausreichenden Betroffenenrechte zur Verfügung stünden, um gegen den Datentransfer bzw. den Zugriff der US-amerikanischen Behörden auf die europäischen Daten, gerichtlich vorzugehen. Der EuGH erklärte den Privacy Shield mithin für nichtig.

Die Verwendung von Standardvertragsklauseln beanstandeten die Luxemburger Richter dagegen nicht. Es sei keine Kollision mit der europäischen Grundrechts-Charta (GRCh) ersichtlich. Der Beschluss der EU-Kommission zu Standardvertragsklauseln (Beschluss 2010/87) sehe die benötigten Maßnahmen vor, um in der Praxis gewährleisten zu können, dass das von der EU verlangte Datenschutzniveau eingehalten werde und dass bei einem Verstoß gegen die Klauseln eine Verarbeitung und Übermittlung ausgesetzt oder verboten werde. 

Fazit

Nachdem der EuGH bereits den Vorgänger des Privacy Shields, das Safe Harbor Abkommen, welches Schrems ebenfalls beanstandet hatte, im Jahr 2015 für ungültig erklärt hatte (Urt. v. 06.10.2015, Az.: C-362/14), teilt der Privacy Shield nun dasselbe Schicksal. Grund seien die ausgiebigen US-amerikanischen Überwachungsgesetze, welche die US-Behörden zur Überwachung „ausländischer Kommunikation“ weitläufig befugen. Zudem seien die Betroffenenrechte der EU-Bürger unzureichend. Alles in allem sei kein angemessenes Datenschutzniveau in den USA gegeben, so die Luxemburger Richter. Die Standardvertragsklauseln seien nicht zu beanstanden, sofern sie in dem jeweiligen Drittland auch eingehalten würden.

Folge des Urteils ist, dass viele Datenübermittlungen, welche sich auf den Privacy Shield als Rechtsgrundlage gestützt hatten, nun nicht mehr rechtmäßig sind. Dies könnte starke Auswirkungen auf Unternehmen haben, die auf den Bestand des Privacy Shields vertraut haben.

Darüber hinaus wird empfohlen, dass in der EU ansässige Unternehmen ihre Datenübermittlungen und Datenverarbeitungsabkommen betreffend Datenübermittlungen in die USA gründlich überprüfen sollten. Wenn die transatlantischen Datentransfers durch den “Privacy Shield” gerechtfertigt sind, ist unverzüglich zu Standardvertragsklauseln überzugehen, um einen angemessenen Datenschutz zu gewährleisten. Findet diese Umstellung nicht statt, drohen hohe Geldstrafen (Art. 83 DS-GVO). 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten, wie das Merkmal der Angemessenheit zum Schutz von Geheimnissen nach dem Geschäftsgeheimnisgesetz auszulegen ist.

Schutz von Geschäftsgeheimnissen
nach § 2 Nr. 1 GeschGehG

Einleitung

Wie zuvor berichtet, ist seit dem 26. April 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches der Umsetzung der Geschäftsgeheimnis-Richtlinie 2016/943/EU dient.

Vor Umsetzung der Richtlinie ins deutsche Recht wurden Geschäftsgeheimnisse in § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geschützt. Hier wurde für die Klassifikation als Geschäftsgeheimnis und demnach dem Schutz der Information lediglich ein subjektiver Wille zur Geheimhaltung als ausreichend angesehen. Der Anwendungsbereich des GeschGehG ist hingegen klarer eingegrenzt und schützt nur solche Informationen, welche auch objektiv als Geschäftsgeheimnisse zu qualifizieren sind. Gemäß § 2 Nr. 1 GeschGehG liegt ein zu schützendes Geschäftsgeheimnis vor, wenn die jeweilige Information nur einem begrenzten Personenkreis zugänglich und daher von wirtschaftlichem Wert ist, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Interesse an der Geheimhaltung der Information besteht.

Was unter angemessen Geheimhaltungsmaßnahmen zu verstehen ist, ist eine Frage der Auslegung. Im Folgenden wird das Merkmal der Angemessenheit der Geheimhaltungsmaßnahmen näher beleuchtet.

Gesetzesbegründung

In der Gesetzesbegründung (Drucksache 19/4724, S. 24) wird ausgeführt, dass die Art der Geheimhaltungsmaßnahme von der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung abhängt. In Betracht kämen insbesondere physische Zugangsbeschränkungen oder vertragliche Sicherungsmechanismen.

Ob die jeweiligen Geheimhaltungsmaßnahmen angemessen sind, hängt demnach vom Einzelfall ab und kann folgende Kriterien umfassen:

  • Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
  • Bedeutung für das Unternehmen,
  • übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
  • Art der Kennzeichnung der Information,
  • Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Eine eindeutige Konkretisierung ist also nicht vorhanden. Vielmehr muss die Gesamtsituation zur Beurteilung der Angemessenheit herangezogen werden. In der Geschäftsgeheimnis-Richtlinie wird ebenfalls nicht näher auf den Begriff der Angemessenheit eingegangen.

Auslegung unter Berücksichtigung der Normhistorie

Da die Gesetzbegründung die Angemessenheit nicht näher definiert, muss für eine weitere Konkretisierung des Begriffs auf die Normgeschichte der Richtlinie zurückgegriffen werden. Die Geschäftsgeheimnis-Richtlinie nimmt in ihren Vorbemerkungen Bezug auf das 1994 von den Gründungsmitgliedern der Welthandelsorganisation (WTO, World Trade Organization) beschlossene „Abkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums“ (TRIPS-Abkommen). Das TRIPS-Abkommen setzt in Art. 39 Nr. 2 lit. c) für den Geschäftsgeheimnisbegriff voraus, dass angemessene Schritte unternommen wurden, um die betroffene Information geheim zu halten. Allerdings wird auch im TRIPS-Abkommen nicht näher darauf eingegangen, was genau unter angemessenen Maßnahmen zu verstehen ist. Demnach ist zum weiteren Verständnis des Begriffs der Angemessenheit auf die Normhistorie des TRIPS-Abkommens einzugehen.

Das TRIPS-Abkommen hat eine Formulierung des US-amerikanischen Uniform Trade Secrets Act (UTSA) übernommen. Der Uniform Trade Secrets Act definiert Geschäftsgeheimnisse (“trade secrets”) in Sec. 1 (4) als Informationen, einschließlich Formeln, Mustern, Kompilationen, Programmen, Vorrichtungen, Methoden, Techniken oder Verfahren, die einen unabhängigen wirtschaftlichen Wert, ob tatsächlich oder potenziell, daraus ableiten, dass sie anderen Personen, die aus seiner Offenlegung oder Nutzung wirtschaftlichen Wert erhalten können, nicht allgemein bekannt sind und nicht ohne weiteres mit angemessenen Mitteln ermittelt werden können. Zudem müssen den Umständen nach angemessenen Maßnahmen unternommen wurden, um die betroffenen Informationen geheim zu halten.

Nach Ansicht der englischsprachigen Literatur bedarf es für die Angemessenheit der Geheimhaltungsmaßnahmen weder der absoluten noch der größtmöglichen Sicherheit. Stattdessen soll das Erfordernis der Angemessenheit der Maßnahmen bewirken, dass Personen, die mit einem Geschäftsgeheimnis in Berührung kommen, sich diesem Umstand aufgrund äußerer Anzeichen bewusst oder sich dessen nur durch eigene Fahrlässigkeit nicht bewusst sind. Die Formulierung „den Umständen nach“ impliziert, dass die Größe des Unternehmens einen entscheidenden Einfluss auf die Beurteilung der Angemessenheit haben dürfte. Zusätzlich zu den allgemeinen Sicherungsmaßnahmen im Unternehmen ist es unerlässlich für den Geheimnisschutz, dass die betroffene Information den vorgebrachten Sicherungsmaßnahmen unterlegen haben muss. Wenn sich jedoch bereits aus persönlichen und beruflichen Sonderbeziehungen eine Geheimhaltungspflicht ergibt, beispielsweise im Verhältnis zwischen dem Anwalt und seinen Mandaten, sind keine weiteren Maßnahmen notwendig.

Praxis

In der Praxis sollten zum Schutz von Geschäftsgeheimnissen grundlegende Maßnahmen getroffen werden. Unternehmen sollten vertragliche Maßnahmen ergreifen, welche bereits in die Arbeitsverträge aufgenommen werden. Es empfiehlt sich jedoch, besonders vertrauliche Dokumente als solche zu kennzeichnen. Zudem sind organisations- und informationstechnische Regelungen zu treffen. In der täglichen Organisation sollte insbesondere sichergestellt werden, dass nur berechtige Mitarbeiter Zugriff auf entsprechende geheime Informationen bekommen. Darüber hinaus sollten sicherheitstechnische Maßnahmen umgesetzt werden. Hierzu bedarf es meist eines angepassten Sicherheitskonzepts.

Inwiefern hier ein Rückgriff auf die Regelungen der Datenschutz-Grundverordnung (DS-GVO) möglich ist, ist fraglich. Das GeschGehG und die DS-GVO verfolgen unterschiedliche Zwecke. Die DS-GVO dient dem Schutz personenbezogener Daten, das GeschGehG eben nur dem Schutz von Geschäftsgeheimnissen. Für personenbezogene Daten gilt die DS-GVO automatisch. Das GeschGehG entfaltet hingegen erst Wirkung nachdem angemessene Geheimhaltungsmaßnahmen ergriffen worden sind.

Fazit

Da im deutschen Recht der Begriff der Angemessenheit im Rahmen von Geheimhaltungsmaßnahmen neu ist, ist damit zu rechnen, dass die Rechtsprechung diesen noch näher konkretisieren wird. Diese Aufgabe hat der europäische Gesetzgeber offensichtlich der Rechtsprechung überlassen, da Erwägungsgrund 14 der Geschäftsgeheimnis-Richtlinie explizit eine homogene Definition des Geschäftsgeheimnisses, und damit auch der Angemessenheit der Geheimhaltungsmaßnahmen, verlangt.

Bis dahin bietet es sich an, sich an den Grundsätzen des amerikanischen Rechts zu orientieren. Nicht nur, weil der europäische Begriff der Angemessenheit der Maßnahmen auf den amerikanischem zurückzuführen ist, sondern auch, weil insbesondere internationale Unternehmen darauf zurückgreifen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, welche Voraussetzungen gelten und wie das Recht auf Einschränkung vom Recht auf Löschung abzugrenzen ist.

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO

Einleitung

Artikel 18 der Datenschutz-Grundverordnung (DS-GVO) enthält das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten. Als Initiativrecht des Betroffenen muss es geltend gemacht und beantragt werden, um als gewünschte Rechtsfolge die Begrenzung der Datenverarbeitung herbeizuführen. Unter Einschränkung der Verarbeitung ist gem. Art. 4 Nr. 4 DS-GVO „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“, zu verstehen. Eine Markierung ist ein unmissverständlicher Einschränkungsvermerk im System des Verantwortlichen (s. Erwägungsgrund 67 der DS-GVO). Abzugrenzen ist Art. 18 DS-GVO vom Recht auf Löschung aus Art. 17 DS-GVO, bei dem die personenbezogenen Daten vollständig gelöscht und nicht nur wie bei Art. 18 DS-GVO deren Verarbeitung eingeschränkt.

Voraussetzungen

Voraussetzungen Ein Einschränkungsrecht steht nicht jedem zu: um eine Einschränkung der Verarbeitung verlangen zu können, muss der Betroffene eine der in Art. 18 Abs. 1 lit a-d DS-GVO genannten Voraussetzungen erfüllen. Dies ist der Fall, wenn der Betroffene die Richtigkeit der verarbeiteten Daten bestreitet (lit. a) oder er Widerspruch gegen die Verarbeitung eingelegt hat (lit. d). Die Einschränkung der Datenverarbeitung gilt dann für die Zwischenzeit, in der Abwägungsentscheidungen bezüglich der Verarbeitung getroffen werden.

Ein Einschränkungsrecht steht dem Betroffenen zudem alternativ zu einem Löschungsrecht aus Art. 17 DS-GVO zu. Gem. Art. 18 Abs. 1 lit. b DS-GVO kann der Betroffene eine Einschränkung verlangen, wenn die Verarbeitung seiner personenbezogenen Daten unrechtmäßig erfolgt, er eine Löschung aber explizit ablehnt. Des Weiteren steht dem Betroffenen ein Einschränkungsrecht gem. Art 18 Abs. 1 lit. c DS-GVO zu, wenn die personenbezogenen Daten vom Verantwortlichen zur Verarbeitung nicht länger benötigt werden, der Betroffene sie aber nicht löschen will, weil die Daten noch zur Geltendmachung seiner Rechtsansprüche gebraucht werden. Demnach setzen lit. b und c voraus, dass dem Betroffenen ein Löschungsrecht zusteht, er dieses jedoch ablehnt und die (mildere) Einschränkung der Verarbeitung verlangt. Dies liegt daran, dass eine Löschung in einigen Fällen nicht dem berechtigten Interesse des Betroffenen entspricht, sodass eine Einschränkung praktikabler erscheint.

Rechtsfolgen

Sobald ein Betroffener sein Recht auf Einschränkung geltend gemacht hat, dürfen seine personenbezogenen Daten gem. Abs. 2 nur noch mit seiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeitet werden. Darüber hinaus kann eine Datenverarbeitung trotz Einschränkung erfolgen, wenn sie dem Schutz der Rechte anderer natürlicher oder juristischer Personen dient oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaates geboten ist.

Als Folge der Einschränkung treffen den Verantwortlichen Mitteilungspflichten aus Art. 18 Abs. 3 und Art. 19 DS-GVO. Demnach muss der Verantwortliche dem Betroffenen im Voraus mitteilen, wenn die Einschränkung der Verarbeitung aufgehoben wird. Zudem ist er verpflichtet, Dritte, an welche die Daten des Betroffenen weitergegeben wurden, über die Einschränkung zu informieren, sodass sie ihre Verarbeitungsprozesse ebenfalls beschränken. Diese Pflicht besteht jedoch nur, soweit die Unterrichtung möglich ist und für den Verantwortlichen keinen unverhältnismäßigen Aufwand darstellt. Darüber hinaus ist dem Betroffenen Auskunft über die Empfänger seiner Daten zu erteilen, sofern er dies vom Verantwortlichen verlangt.

Anwendungsbereich

Betroffene können ein Interesse an einer Einschränkung haben, wenn sie eine Löschung als zu radikal empfinden, diese nicht möglich oder nicht praktisch erscheint. Ein solcher Fall läge vor, wenn von vornherein damit gerechnet werden kann, dass die betroffene Person dem Verantwortlichen die Daten zu einem späteren Zeitpunkt wieder übermitteln möchte; im Fall der Einschränkung müssen die Daten dann nur wieder freigeschaltet und nicht neu erhoben werden. Art. 18 DS-GVO kann zudem zur Anwendung kommen, wenn der Kunde eines Unternehmens seine Daten weiterhin zur Vertragserfüllung gespeichert haben will, die Nutzung für Werbezwecke allerdings einschränkt werden soll.

Damit dem Einschränkungsgesuch der Betroffenen auch gerecht werden kann, sollen geeignete technische und organisatorische Maßnahmen ergriffen werden, damit die jeweiligen personenbezogenen Daten nicht für andere als die in Abs. 2 genannten Zwecke verwendet werden. Es soll durch die jeweiligen Maßnahmen gewährleistet werden, dass die Daten in keiner Weise weiterverarbeitet oder verändert werden. Erwägungsgrund 67 der DS-GVO nennt ein paar Beispiele dazu, wie eine Einschränkung ablaufen kann. Hierzu zählen unter anderem die vorübergehende Übertragung der jeweiligen Daten auf ein anderes Verarbeitungssystem, eine Sperrung der Daten für Nutzer, sowie eine vorübergehende Entfernung der Daten von einer Website.

Frühere Regelungen im Bundesdatenschutzgesetz (BDSG aF)

Art. 18 DS-GVO entspricht im weitesten Sinne dem Recht auf Sperrung statt Löschung aus §§ 20 Abs. 3-7 und 35 Abs. 3 und 4 BDSG aF. Im BDSG aF wurde stets von Datensperrung gesprochen, dies meint aber ebenso wie das Recht auf Einschränkung der Verarbeitung die vorübergehende Unbrauchbarmachung von personenbezogenen Daten, ohne diese gänzlich zu löschen. Im Wesentlichen stimmen die Regelungen im BDSG aF und der DS-GVO überein, dennoch gibt es kleine Unterschiede.

Art. 18 DS-GVO beinhaltet beispielsweise eine Einwilligungslösung, wohingegen die Vorschriften des BDSG aF von einer Widerspruchslösung ausgingen. Zudem ist die Regelung in der DS-GVO etwas schärfer als § 20 Abs. 3 bis 7 BDSG aF, in dessen Abs. 7 noch weitere Fälle aufgezählt sind, in denen eine Nutzung und Übermittlung der „gesperrten“ Daten ohne Einwilligung als zulässig angesehen wird. Als Beispiel ist die Verarbeitung zu wissenschaftlichen Zwecken zu nennen. Das Einschränkungsrecht der DS-GVO lässt eine weitere Nutzung der jeweiligen Daten nur zur Geltendmachung von Rechtsansprüchen, sowie bei Gebotenheit der Verarbeitung im öffentlichen Interesse, zu (s.o.). Ein weiterer Unterschied besteht darin, dass nach § 20 Abs. 4 und § 35 Abs. 4 BDSG aF eine Datensperrung auch ausdrücklich für den Fall vorgesehen war, dass die Richtigkeit der Daten zwar bestritten wird, im Ergebnis aber weder die Richtigkeit noch die Unrichtigkeit der Daten feststellbar ist. Eine Regelung zu den Fällen des sog. „non liquet“ (lat.: es ist nicht klar), in denen sich die Richtigkeit oder Unrichtigkeit der Daten nicht feststellen lässt, findet sich in der DS-GVO hingegen nicht. Solch eine ausdrückliche Bestimmung findet sich nur außerhalb der DS-GVO in § 58 Abs.1 S. 3, 4 BDSG, der eine Einschränkung der Datenverarbeitung auch dann vorsieht.

Fazit

Art. 18 DS-GVO ist ein Teil der Betroffenenrechte aus der DS-GVO und entspricht weitestgehend dem Recht auf Sperrung aus dem BDSG aF. Es ist scharf zu trennen vom Recht auf Vergessenwerden aus Art. 17 DS-GVO, welches auf die Löschung von personenbezogenen Daten abzielt. Das Einschränkungsrecht aus Art 18 DS-GVO kann in manchen Fällen interessengerechter sein als das Recht auf Datenlöschung aus Art. 17 DS-GVO. Dies liegt daran, dass die Daten teilweise noch zur Geltendmachung von Rechtsansprüchen benötigt werden oder der Betroffene die Verarbeitung seiner Daten beispielsweise nur im Rahmen von Werbung untersagen möchte, einer weiteren Verarbeitung aber zustimmt. Zudem ist zu beachten, dass den Verantwortlichen erweiterte Mitteilungspflichten aus Art. 18 Abs. 3 und Art 19 DS-GVO treffen.

In der Praxis wird bisher relativ selten vom Recht auf Einschränkung Gebrauch gemacht. Ein Antrag auf Datenlöschung ist indes viel häufiger.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter einem immateriellen Schaden zu verstehen ist und inwieweit Schadenserstaz für solche Schäden geleistet wird.

Art. 82 DS-GVO: Immaterieller Schadensersatz bei datenschutzverstößen

Einleitung

Sofern Verstöße gegen die Datenschutz-Grundverordnung (DS-GVO) einen Schaden verursachen, ist dieser dem Betroffenen gem. Art. 82 Abs. 1 DS-GVO zu ersetzen. Im Gegensatz zur alten Fassung des Bundesdatenschutzgesetzes (BDSG a.F.) sind nicht nur Vermögensschäden, sondern auch ausdrücklich immaterielle Schäden erfasst. Im BDSG a.F. wurde lediglich vom Oberbegriff des Schadens gesprochen, womit regelmäßig nur ein materieller Schaden gemeint war.

In der DS-GVO wird der Begriff des immateriellen Schadens nicht weiter definiert, es ist mithin schwierig abzugrenzen, was genau darunterfällt und in welcher Höhe Schadensersatz zu gewähren wäre. Im Folgenden soll näher darauf eingegangen werden, was unter einem immateriellen Schaden im Sinne der DS-GVO zu verstehen ist und welche Arten von Schäden darunterfallen.  

Begriff des immateriellen Schadens

Nach allgemeiner Definition ist unter einem immateriellen Schaden ein Nichtvermögensschaden zu verstehen. Der Begriff des Nichtvermögensschadens muss nun weiter konkretisiert werden. Gemäß Erwägungsgrund 146 S. 3 der DS-GVO ist nach europäischer Rechtsprechung ein weites Begriffsverständnis des immateriellen Schadens zugrunde zu legen. Danach könnte jeder  Verstoß gegen die Vorschriften der DS-GVO, unabhängig von seinem Schweregrad, bereits einen immateriellen Schaden begründen. Diese Auslegung wurde auch schon für Entscheidungen von österreichischen und niederländischen Gerichten beherzigt. Hierfür spricht zunächst, dass der Wortlaut des Art. 82 Abs. 1 DS-GVO keine Beschränkung auf bspw. schwere Verstöße vorsieht. Im Umkehrschluss müssten also auch nur leichte Persönlichkeitsrechtsverletzungen zu einem immateriellen Schaden führen können. Zudem sollte der Schadensersatz der DS-GVO durch eine großzügige Schadensersatzgewährung eine abschreckende Wirkung entfalten, in der Hoffnung die Anzahl an Verstößen in Zukunft minimieren zu können. Die Gegenansicht kritisiert, dass durch die weite Auslegung des Nichtvermögensschadens ein erhöhtes Missbrauchspotenzial des nahezu voraussetzungslosen immateriellen Schadensersatzanspruchs folgen könnte. Zudem stünde die weite Auslegung im Widerspruch zum deutschen Schadensrecht . Dies liegt daran, dass das deutsche Recht keinen Strafschadensersatz kennt und traditionell zurückhaltend und restriktiv mit Nichtvermögensschäden umgeht. Aufgrund der weiten Auslegung könnten Betroffene sodann immaterielle Bagatellschäden im Bereich des Datenschutzrechts geltend machen, in anderen Schutzbereichen des Allgemeinen Persönlichkeitsrechts jedoch nicht, da hier ein enges Begriffsverständnis des Nichtvermögensschadens zugrunde gelegt wird.

Da von deutschen Gerichten der Begriff des immateriellen Schadens enger verstanden wird, gewähren sie nur in zurückhaltender Weise Schadensersatz. Ein Schaden soll erst mit einer konkreten und nicht nur individuell empfundenen Persönlichkeitsrechtsverletzung gegeben sein. Dies wird unter anderem auf Erwägungsgrund 85 der DS-GVO gestützt, welcher als Beispiele für einen Schaden eine Rufschädigung oder eine Diskriminierung  nennt. Hiervon lässt sich eine gewisse Erheblichkeitshürde ableiten, sodass bloße Bagatellschäden, sowie individuell empfundene Unannehmlichkeiten nicht ersatzfähig sind. Einen Bagatellschaden hat das Amtsgericht Diez (Urt. v. 07.11.2018, Az.: 8 C 130/18) bspw. bei einer unerlaubten E-Mail-Werbung angenommen. Es handelte sich lediglich um eine E-Mail, welche nach Ansicht des Gerichts keinen spürbaren Nachteil, sondern nur eine Unannehmlichkeit für den Empfänger darstellte. Ob bei mehrfachen Bagatellschäden desselben Betroffenen ausnahmsweise ein Schadensersatz gewährt werden kann, ist aufgrund der geringen Anzahl an deutschen Urteilen bisher noch ungeklärt.

Höhe des Schadensersatzes

Die Bezifferung der Schadenshöhe orientiert sich an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes und steht mithin im Ermessen der Gerichte. Auf diesem Wege soll ebenfalls erreicht werden, künftigen Datenschutzverstößen entgegenzuwirken.

Kausalität und Beweislast

Art. 82 Abs. 1 DS-GVO fordert eine gewisse Kausalität zwischen dem Datenschutzverstoß und dem entstandenen Schaden. Der Schaden muss gerade wegen des Verstoßes gegen die DS-GVO entstanden sein. Folglich wird eine hinreichende Kausalität verlangt. Dem schließen sich auch deutsche Gerichte an.

Im Unionsrecht fehlen allgemeine Bestimmungen zur Beweislastregelung, sodass in den konkreten Fällen auf das nationale Recht zurückgegriffen werden muss. Im deutschen Recht ist derweil noch umstritten, welche Beweislastregeln gelten sollen.

Teilweise wird vertreten, dass aus der Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DS-GVO und den Nachweispflichten des Verantwortlichen aus Art. 24 Abs. 1 DS-GVO eine weitgehende Beweislastumkehr zulasten des Verantwortlichen folgt, sodass der Verantwortliche das Nichtvorliegen des Datenschutzverstoßes belegen muss.

Die Gegenansicht zieht die  heran, sodass jede Partei die Beweislast für ihre Behauptungen trägt. Jedoch wird gem. Art. 82 Abs. 3 DS-GVO ein Verschulden des Verantwortlichen widerlegbar vermutet. Daraus folgt, dass der Verantwortliche von einer Haftung nur befreit ist, sofern er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Als Beispiel für die bisherige deutsche Rechtsprechung folgt das LG Karlsruhe (Urt. v. 02.08.2019, Az.: 8 O 26/19) letztgenannter Ansicht und zieht die zivilprozessualen Regeln heran, sodass der Betroffene grundsätzlich die Beweislast für den haftungsbegründenden Tatbestand trägt, das Verschulden des Verantwortlichen jedoch nach Art. 82 Abs. 3 DS-GVO vermutet wird.

Beide Ansätze stellen einen großen Unterschied zum Schadensersatzanspruch nach dem BDSG a.F. dar, wonach keine Verschuldensvermutung zulasten des Verantwortlichen galt. In der Vergangenheit war es schwer für Geschädigte, das Vorliegen des haftungsbegründenden Tatbestands hinreichend belegen zu können.  Mithin scheiterten die Ansprüche auf immateriellen Schadensersatz meist aufgrund der Beweislastregeln.

Fazit

Innerhalb der EU findet derweil keine einheitliche Anwendung des Art. 82 Abs. 1 DS-GVO statt, da der Begriff des immateriellen Schadens unterschiedlich weit ausgelegt wird. Vor allem die deutsche Rechtsprechung verwendet entgegen des Wortlauts des Erwägungsgrundes 146 der DS-GVO (weite Auslegung) eine enge Auslegung des immateriellen Schadensbegriffs. Deutsche Gerichte fordern bisher einen spürbaren Persönlichkeitsrechtsverstoß, der weit über eine Bagatelle hinausgeht. Zudem bestehen unterschiedliche Ansichten bezüglich der Beweislast.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Ist die Arbeit im Home Office mit den strengen Regeln der DS-GVO vereinbar? Wir erklären, was aus datenschutzrechtlicher Sicht zu beachten ist.

DATENSCHUTZ IM HOME OFFICE

Einleitung

Aufgrund der andauernden Corona-Pandemie verschlägt es immer mehr Arbeitnehmer ins Home Office. Viele Unternehmen ermöglichen ihren Arbeitnehmern bereits seit Mitte März ihre Arbeit von zuhause aus zu verrichten. Dies führte zu einer plötzlichen Digitalisierung der Arbeitsplätze ohne jegliche Vorlaufzeit. Etliche Unternehmen hatten nicht genügend Zeit, um sich auf die Heimarbeit ihrer Angestellten vorzubereiten und technische Maßnahmen für einen reibungslosen Ablauf bereitzustellen. Da die Arbeit von zuhause aus jedoch wegen der Verringerung des Infektionsrisikos enorm wichtig ist, geschah dies quasi von einem auf den anderen Tag. Es war und ist vor allem für Betriebe, die vorher noch keinerlei Erfahrung mit Heimarbeit hatten und bei denen die Arbeit aus dem Home Office eher unüblich war, eine große Umstellung.

In Zeiten wie diesen wird der Gesundheitsschutz großgeschrieben, dennoch darf der Datenschutz nicht völlig vernachlässigt werden. Es muss sich auch weiterhin an die Vorschriften der Datenschutz-Grundverordnung (DS-GVO) gehalten werden, auch wenn dies vor allem zu Anfang schwierig erscheint, gerade weil viele Unternehmen vorher nicht auf Heimarbeit ausgerichtet waren. Um den Datenschutz auch jetzt gewährleisten zu können, müssen Arbeitgeber nun dafür Sorge tragen, dass entsprechende Maßnahmen getroffen werden, um die Heimarbeit sicher zu gestalten.

Umsetzung vom Home Office

Eine generelle Pflicht des Arbeitnehmers, im Home Office zu arbeiten, gibt es nicht. Der Arbeitgeber kann seine Arbeitnehmer nur dann anweisen Heimarbeit zu leisten, wenn sie dies individualvertraglich vereinbart haben oder es in einem Tarifvertrag oder einer Betriebsvereinbarung ausdrücklich geregelt ist. Sofern es an solch einer Regelung fehlt, bedarf es stets der Zustimmung des Arbeitnehmers.

Viele Unternehmen haben nun wegen des Gesundheitsschutzes weitestgehend auf Heimarbeit umgestellt und deshalb auf Home Office-Vereinbarungen und -Richtlinien zurückgegriffen, häufig in Form von Zusätzen zu den Arbeitsverträgen oder als Betriebsvereinbarungen. In den Vereinbarungen wird in der Regel der Ablauf der Heimarbeit festgelegt, um den arbeitsrechtlichen und datenschutzrechtlichen Anforderungen zu entsprechen. Zudem werden die Arbeitnehmer über neue Pflichten in Bezug auf den Datenschutz informiert.

Datenschutz im Home Office

Die Arbeit aus dem Home Office birgt einige Risiken für den Schutz personenbezogener Daten, insbesondere für Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit. Unter normalen Umständen, wenn im Büro gearbeitet wird, hat der Arbeitgeber die Kontrolle über die Datenverarbeitung. Sobald die Beschäftigten zuhause arbeiten, besteht jedoch häufig keine unmittelbare Kontroll- und Zugriffmöglichkeit des Arbeitgebers auf die jeweiligen Daten und deren Verarbeitung, sowie die IT-Sicherheit im Allgemeinen. Dies ist insbesondere dann der Fall, wenn die Heimarbeit nicht ausschließlich über Firmen-Endgeräte und per VPN (Virtual Private Network) des Unternehmens erfolgt.

Um den Schutz der personenbezogenen Daten zu gewährleisten, sind technische und organisatorische Maßnahmen vom Arbeitgeber zu treffen. Es sollen vor allem die Übertragungswege gesichert und Daten verschlüsselt werden. Zudem sollen den Arbeitnehmern klare Vorgaben zur Nutzung von eventuell bereitgestellten Endgeräten (wie Laptops) und zur Einrichtung des häuslichen Arbeitsplatzes gegeben werden. Dies geschieht meist über Online-Schulungen und/oder die jeweiligen Home Office-Richtlinien.

Sofern möglich, statten die Unternehmen ihre Angestellten mit Firmen-Hardware aus, die von der jeweiligen IT-Abteilung datenschutzkonform eingerichtet und abgesichert wurde. Indem Laptops und Handys vom Arbeitgeber zur Verfügung gestellt werden, können zumindest die technischen Datenschutzvorgaben und ggf. auch die IT-Sicherheit gewährleistet werden, insbesondere in Bezug auf Zugriffsbeschränkungen und Löschregeln. Da manche Unternehmen aufgrund der kurzen Zeit nicht über genügend Firmen-Hardware verfügen, kann es den Arbeitnehmern auch gestattet sein, ihre eigenen Endgeräte für die Arbeit zu nutzen. Das sind dann Fälle des BYOD (bring your own device). Die Nutzung von eigener Hardware darf aber nur in Absprache mit dem Arbeitgeber erfolgen.  

Damit der Arbeitsplatz zuhause sicher ist, sollte eine VPN-Verbindung zum Firmennetzwerk bestehen (am besten noch mit anschließender Zwei-Faktor-Authentifizierung). Des Weiteren ist darauf zu achten, dass eine sichere (passwortgeschützte) WLAN-Verbindung genutzt wird und eine intakte Firewall besteht. Zudem sollten Passwörter verwendet werden, um den Zugriff von Dritten auf die Arbeitsmaterialien zu verhindern. Unter Dritten sind auch und vor allem Personen aus dem eigenen Haushalt zu verstehen.

Darüber hinaus ist darauf zu achten, dass, sofern Papierakten oder Papierdokumente genutzt werden, diese nach der Arbeit und auch in Pausen sicher weggeschlossen werden, um einen Zugriff von Seiten Dritter zu vermeiden. Die Entsorgung von den Papierdokumenten sollte sodann auch nicht im Hausmüll erfolgen.  

Video-Konferenzen und Datenschutz

Viele Unternehmen nutzen Video-Konferenzen, damit Meetings und Besprechungen auch im Home Office stattfinden können. Der Arbeitsalltag soll so „normal“ wie möglich sein. Da in den jeweiligen Konferenzen häufig die Bildschirme gespiegelt und personenbezogene Daten geteilt werden sowie ggf. auch über Betriebsgeheimnisse gesprochen wird, stellt sich die Frage, was bei Video-Konferenzen datenschutzrechtlich zu beachten ist.

Es ist zunächst bei der Auswahl des Anbieters darauf zu achten, wo dieser seinen Sitz hat. Es sollten möglichst Dienstleister aus der EU/dem EWR in Anspruch genommen werden, da diese den Vorschriften der DS-GVO unmittelbar unterliegen. Anbieter mit Sitz in einem Drittland dürfen die Daten nur verarbeiten, sofern in dem jeweiligen Land ein angemessenes Schutzniveau gewährleistet ist (Art. 45 DS-GVO) oder geeignete Garantien bestehen (Art. 46 DS-GVO). Bei der Auswahl sollten des Weiteren etwaige Business-Versionen der Video-Tools bevorzugt werden, da sie häufig über höhere Sicherheitsstandards verfügen.

Sobald die Auswahl auf einen Anbieter bzw. eine Software gefallen ist, sollte darauf geachtet werden, dass zusätzlich technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Es sollte bspw. sichergestellt sein, dass das Programm die gesendeten Daten auch verschlüsselt übermittelt. Zudem sind in dem jeweiligen Programm ggf. die Datenschutzeinstellungen nochmal manuell zu konfigurieren, um einen umfassenden Schutz der personenbezogenen Daten zu gewährleisten. Die Vorabeinstellungen sind nicht immer die datenschutzfreundlichsten. Es ist hierbei insbesondere sicherzustellen, dass übermittelte Dateien und Videomitschnitte nach einem festen Zeitraum gelöscht werden.

Des Weiteren ist zu beachten, dass Einladungen zu Video-Konferenzen nur an die Personen, bzw. Mitarbeiter gehen, die auch die nötige Freigabe für die zu besprechenden Themen und Inhalte haben. Während der Video-Konferenz sollten die Teilnehmer zudem darauf achten, möglichst vor einem neutralen Hintergrund zu sitzen, damit nicht mehr Informationen und Daten als nötig geteilt werden. Um dies zu verhindern gibt es bei manchen Softwares auch die Möglichkeit, während der Video-Konferenz den Hintergrund verschwimmen zu lassen. Die Beteiligten der Video-Konferenz sind außerdem stets darüber zu informieren, wenn Teile oder auch die ganze Sitzung mitgeschnitten wird.

Fazit

Es ist festzuhalten, dass viele Unternehmen nicht darauf ausgerichtet waren, die Arbeitsplätze der Beschäftigten zu digitalisieren, schon gar nicht in solch einer kurzen Zeit. Inzwischen hat sich die anfängliche Aufregung um die plötzliche Umstellung ins Home Office wieder etwas gelegt; dies ist vor allem darauf zurückzuführen, dass viele Unternehmen schnell gehandelt haben, indem sie Home Office-Vereinbarungen mit ihren Arbeitnehmern getroffen haben, die nun für Rechtssicherheit sorgen. Es lag an den Arbeitgebern auch weiterhin für einen ausreichenden Datenschutz zu sorgen und den Regeln der DS-GVO gerecht zu werden. Arbeitgeber und Arbeitnehmer unterliegen demnach den Pflichten, personenbezogene Daten auch bei der Heimarbeit vertraulich zu behandeln, indem der Zugriff von Dritten verhindert wird, sowie Verschlüsselungen und Passwörter genutzt werden.

Bei Video-Konferenzen ist ganz besonders darauf zu achten, dass der Datenschutz gewahrt wird. Es ist wichtig, sich vor der Nutzung der jeweiligen Software darüber zu informieren, in welchem Land der Anbieter seinen Sitz hat. Dies entscheidend darüber, ob der Dienstleister unmittelbar an die Vorschriften der DS-GVO gebunden ist oder nicht. Zudem sind die Vorabeinstellungen der Video-Tools genauestens zu prüfen: Daten sollten verschlüsselt übermittelt werden und es sollten feste Löschzeiträume vorliegen.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!