Skip to content

Wir erklären, was Binding Corporate Rules sind und welche Voraussetzungen sie unter der DS-GVO erfüllen müssen.

Binding Corporate Rules

Einführung

Häufig haben Unternehmensgruppen, die international tätig sind und mit selbständigen Einheiten in unterschiedlichen Ländern auch außerhalb Europas agieren, ein großes Interesse daran, personenbezogene Daten der gesamten Unternehmensgruppe verfügbar zu machen. Für eine solche internationale Datenübermittlung kommen besondere Vorschriften der DS-GVO zum Tragen. Denn in der Regel wird der Transfer in mindestens ein Land erfolgen, in dem kein angemessenes Datenschutzniveau besteht, so dass der Transfer in die besagten Länder, einer weiteren Rechtfertigung bedarf, um die Mängel hinsichtlich des Datenschutzniveaus auszugleichen.

Zum einen kann eine Angemessenheitsentscheidung der Europäischen Kommission nach Art. 45 Abs. 3 DS-GVO ergehen, wie es im Falle des EU-US Privacy Shield passiert ist, wenn hinreichende Garantien bestehen, dass ein vergleichbares Schutzniveau im Drittland herrscht. Fehlt es an einem solchen vergleichbaren Schutzniveau, darf keine Angemessenheitsentscheidung getroffen werden und das entsprechende Land gilt als sog. Unsicherer Drittstaat. In diesem Fall kommen die Garantiemaßnahmen des Art. 46 Abs. 2 DS-GVO in Betracht. Zu nennen sind hierbei die Möglichkeit von rechtlich bindenden und durchsetzbaren Dokumenten zwischen den Behörden oder öffentlichen Stellen, Standarddatenschutzklauseln, die von der Kommission erlassen wurden, genehmigten Zertifizierungsmechanismen gem. Art. 42 DS-GVO oder verbindliche interne Datenschutzvorschriften, auf Englisch Binding Corporate Rules (BCR) genannt. 

Binding Corporate Rules vor der DS-GVO 

BCR sind Unternehmensrichtlinien, zu deren Einhaltung sich ein im Hoheitsgebiet der EU niedergelassener Verantwortlicher im Hinblick auf grenzüberschreitende Datenverarbeitung verpflichtet und die in der Form eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten binden und für diese einen verbindlichen Datenschutzstandard schaffen. Auch vor der Normierung der Binding Corporate Rules in den Art. 46, 47 DS-GVO, wurde von diesem Instrument Gebrauch gemacht. Bereits 82 Unternehmen haben sich seit 2002 BCR von den Aufsichtsbehörden genehmigen lassen. Rechtlich gestützt waren diese Maßnahmen auf Art. 26 Abs. 2 DSRL, der jedoch keinen ausdrücklichen Hinweis auf diese Form einer Garantiemaßnahme zur Legitimation von Datenübermittlungen in Drittländer enthält. Mangels einer expliziten Nennung der BCR als zulässiges datenschutzrechtliches Instrument, griff der deutsche Gesetzgeber diese Möglichkeit in § 4 c Abs. 2 BDSG auf, während ganz im Gegenteil dazu in Portugal BCR überhaupt nicht als Übermittlungsgrundlage anerkannt waren. Angesichts dessen, ist die klare Normierung mit detaillierten Voraussetzungen zu Inhalt und Verfahren in der neuen DSGVO sehr praxisfreundlich ausgefallen. 

Voraussetzungen für zulässige BCR 

Art. 46 Abs. 1 DS-GVO gewährt eine Datenübermittlung in unsichere Drittstaaten, wenn der Verantwortliche geeignete Garantien vorsieht und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Diese Voraussetzungen gelten für alle Garantiemaßnahmen des Art. 46 Abs.2, während in Art. 47 DS-GVO zur Zulässigkeit von Binding Corporate Rules engere Voraussetzungen gezogen werden: Zum einen müssen die internen Datenschutzvorschriften für alle Mitglieder der Unternehmensgruppe bindend sein, dazu können vertragliche Vereinbarungen zwischen den Unternehmensteilen oder einseitige Erklärungen oder Verpflichtungen des Mutterunternehmens eingesetzt werden, allerdings müssen auch die Beschäftigten beispielsweise durch Verpflichtungen in Arbeitsverträgen mit bedacht und auf Einhaltung und Durchsetzung der BCR verpflichtet werden. Zum anderen müssen die betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eingeräumt bekommen, das bedeutet, sie müssen verfahrensrechtliche Möglichkeiten eingeräumt bekommen, um die Einhaltung der BCR durch die Datenschutzbehörden oder durch Gerichte durchsetzen zu können. Als dritte Voraussetzung nennt Art. 46 Abs. 1 DS-GVO, dass die in Absatz 2 genannten Voraussetzungen eingehalten werden müssen. Unter den genannten 14 Voraussetzungen sind folgende Angaben aufgeführt, die in den verbindlichen internen Datenschutzvorschriften enthalten sein müssen: 

  1. Struktur und Kontaktdaten der Unternehmensgruppe 
  2. Detaillierte Informationen über die Datenübermittlung, einschließlich Zweck der Datenverarbeitung, Art der betroffenen Personen und betroffenes Drittland 
  3. Interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften
  4. Angaben zur Anwendung der allgemeinen Datenschutzgrundsätze 
  5. Rechte der betroffenen Personen, Drittbegünstigungsklauseln 
  6. Der Verantwortliche und die haftende Stelle muss erkennbar sein 
  7. Informationspflichten über Art und Umfang der Betroffenenrechte 
  8. Aufgaben des Datenschutzbeauftragten oder einer anderen überwachenden internen Stelle 
  9. Beschwerdeverfahren 
  10. Bestehende Verfahren zur Überprüfung der Einhaltung der BCR 
  11. Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde 
  12. Verfahren für die Zusammenarbeit mit den Aufsichtsbehörden 
  13. Meldeverfahren an zuständige Aufsichtsbehörde über nachteilige rechtliche Bestimmungen in einem Drittland 
  14. Geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten

Genehmigungsverfahren 

Sind all diese Voraussetzungen erfüllt, können die Durchführungsrechtsakte nach einem erfolgreichen Prüfverfahren nach Art. 93 Abs.2 DS-GVO seitens der Europäischen Kommission erlassen werden. Wird der Durchführungsrechtsakt mittels einer befürwortenden Stellungnahme und damit einer Zustimmung der Kommission erlassen, sind alle Aufsichtsbehörden der Mitgliedstaaten durch das in Art. 63 DSGVO niedergelegte Kohärenzverfahren dazu verpflichtet die Binding Corporate Rules anzuerkennen. Dies dient der einheitlichen Rechtsanwendung und der Harmonisierung des europäischen Datenschutzrechts. 

Bewertung der Binding Corporate Rules 

Auffälligster Vorteil der Binding Corporate Rules ist die einheitliche Ausgestaltung in allen betroffenen EU-Mitgliedstaaten, sodass Unternehmen nicht mehr sog. Forum Shopping betreiben und von einem niedrigeren Datenschutzniveau anderer Länder profitieren können. Außerdem macht die anfängliche Genehmigung der BCR durch die Kommission, weitere Genehmigungen einzelner Datenübermittlungen überflüssig, sodass Prozesse unbürokratischer und schneller gestaltet werden können. Insbesondere negativ für die Unternehmen fällt auf, dass das Genehmigungsverfahren sehr umfangreich und zeitintensiv ausfällt. Da die Kommission ihre Entscheidung mit allen betroffenen Datenschutzbehörden der unterschiedlichen Länder abgleichen muss, liegt der zeitliche Aufwand bei mindestens 12 Monaten. Trotz allem stellt dieses Instrument eine gute Alternative zu einem fehlenden Angemessenheitsbeschluss oder anderen Instrumenten wie den Standardvertragsklauseln dar, um grenzüberschreitenden Datentransfer zu ermöglichen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, was unter einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO zu verstehen ist und wann sie durchgeführt werden muss.

Die Datenschutz-Folgenabschätzung in der DS-GVO

Einführung

Was zuvor durch § 4 d Abs. 5 BDSG geregelt und unter dem Begriff der Vorabkontrolle bekannt war, wird ab Mai 2018 in Art. 35 DS-GVO wiederzufinden sein. Das neue Instrument der Datenschutz-Folgenabschätzung ist dem der Vorabkontrolle sehr ähnlich, wird aber einen deutlich weiteren Anwendungsbereich haben. Bisher war eine Vorabkontrolle regelmäßig dann durchzuführen, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Ein solches besonderes Risiko war laut Gesetzestext bei der Verarbeitung besonderer Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG anzunehmen oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa bei Assessment Centern, der Erstellung von Kundenprofilen oder Personalinformationssystemen. Die Pflicht zur Vorabkontrolle entfällt jedoch dann, wenn eine gesetzliche Pflicht zur Verarbeitung besteht, der Verantwortliche eine Einwilligung des Betroffenen eingeholt hat oder die Datenverarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. 

Art. 35 Abs. 1 DS-GVO formuliert die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung noch weiter: Liegt in der „Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“, muss der Verantwortliche vorab die Folgen der beabsichtigten Verarbeitungsvorgänge abschätzen oder abschätzen lassen. 

Die folgenden Absätze konkretisieren die Voraussetzungen einer Durchführungspflicht: Während in Absatz 3 drei Fälle explizit genannt werden, in denen eine Folgenabschätzung notwendig wird, weist Absatz 4 und 5 die Aufsichtsbehörden dazu an, eine Liste zu erstellen, in denen die Verarbeitungsvorgänge ersichtlich werden, bei denen eine Folgenabschätzung erforderlich ist oder eben auch nicht erforderlich ist (sog. Positiv- und Negativ-Listen). Die Art. 29 Datenschutzgruppe, als gemeinsames Gremium der Datenschutzbeauftragten der Mitgliedstaaten, hat ihre Pflicht aus der DSGVO erfüllt und eine solche Liste und Leitlinien herausgegeben. 

Leitlinien der Art. 29 Datenschutzgruppe und ihre Kriterien 

Ziel des Arbeitspapiers der Art. 29 Datenschutzgruppe ist es, für Einheitlichkeit im Umgang mit der Datenschutz-Folgenabschätzung zu sorgen. Es soll eine einheitliche europäische Liste für Verarbeitungsvorgänge enthalten, bei denen eine Folgenabschätzung obligatorisch ist, sowie einheitliche Kriterien aufstellen, wann ein „hohes Risiko“ vorliegt und wann nicht und zusätzlich, unter welchen Umständen die Aufsichtsbehörde nach Art. 36 Abs. 1 DS-GVO informiert werden muss. Es soll den tatbestandlichen Prognoseentscheidungen, die typischerweise auf Unsicherheiten beruhen, einen einheitlichen und verlässlichen Rahmen bieten, der für alle Verantwortlichen als Orientierung und Absicherung dienen soll. 

Bevor die einzelnen Kriterien erläutert werden, stellt die Art. 29 Datenschutzgruppe klar, dass wenn ähnliche Technologien eingesetzt werden, um ähnliche Daten für einen ähnlichen Zweck zu sammeln, auch eine einheitliche Folgenabschätzung ausreicht. Die nachfolgenden Kriterien erläutern den Umfang und die Bedeutung der Formulierung des „voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen“ des Art. 35 Abs. 1 DS-GVO. Neben den exemplarischen Fällen des Art. 35 Abs. 3 DS-GVO, enthält das Arbeitspapier diese zehn Kriterien, die zu einer Folgenabschätzung führen können: 

  1. Bewertung und Scoring sowie Profiling von Daten, die Arbeitsleistung, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen betreffen. 
  2. Automatische Entscheidungsfindung mit rechtlichen oder ähnlichen Folgen für den Betroffenen, zum Beispiel wenn die Verarbeitung zum Ausschluss oder zur Diskriminierung von Betroffenen führt. 
  3. Systematische Überwachung, insbesondere die systematische Überwachung von öffentlich zugänglichen Bereichen. Ausschlaggebend ist hier, dass der Betroffenen nicht weiß, von wem er überwacht wird und wer als Verantwortlicher dahinter steht. Darüber hinaus kann es für den Betroffenen unmöglich sein, diese Art von Überwachung zu vermeiden. 
  4. Sensible Daten, wie sie in Art. 9 DS-GVO beschrieben werden und persönliche Daten mit Bezug zu Straftaten 
  5. Datenverarbeitung mit weitem Umfang, wobei der Erwägungsgrund 91 dazu herangezogen wird, um zu bestimmen, wann ein besonders umfangreicher Datenverarbeitungsvorgang vorliegt. Dabei ist die Anzahl der Betroffenen, die Menge oder der Umfang der Daten, die Dauer der Verarbeitung sowie die geographische Ausweitung der Verarbeitung in den Blick zu nehmen. 
  6. Datensätze, die zusammengestellt oder kombiniert wurden und aus unterschiedlichen Verarbeitungsvorgängen gewonnen wurden. 
  7. Daten, die gefährdete / schutzwürdige Personen betreffen, insbesondere im Hinblick auf wirtschaftliche Verluste, Identitätsdiebstahl oder -betrug oder andere immaterielle oder physische Schäden. Dieses Kriterium erfordert aufgrund des gehobenen Machtungleichgewichts zwischen Betroffenem und Verantwortlichem eine Folgenabschätzung, da dem Betroffenen keine effektive Möglichkeit zusteht zu wiedersprechen oder freiwillig zuzustimmen. 
  8. Innovative Nutzung oder technische Prozesslösungen, wie Beispielsweise die Kombination von Fingerabdrücken mit Gesichtserkennungssystemen. 
  9. Grenzüberschreitender Datentransfer außerhalb der Europäischen Union
  10. Wenn die Datenverarbeitung an sich die Betroffenen daran hindert ihre Rechte auszuüben oder von einer Dienstleistung Gebrauch zu machen.

Als Daumenregel stellt die Art. 29 Datenschutzgruppe auf, dass eine Folgenabschätzung erfolgen muss, sobald zwei dieser Kriterien kumulativ erfüllt sind; Ausnahmen natürlich vorbehalten. Und es gilt der Grundsatz, dass auch bei Unklarheit über die tatsächliche Erforderlichkeit der Folgenabschätzung die Durchführung in jedem Fall empfohlen wird, da die Folgenabschätzung ein hilfreiches Werkzeug ist, um eine Übereinstimmung mit dem Datenschutzrecht zu fördern. Die Durchführung muss vor Beginn des Verarbeitungsprozesses stattfinden. Die Folgenabschätzung muss mindestens die in Art. 35 Abs. 7 DS-GVO aufgezählten Elemente enthalten, also eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (a), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (b), eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (c) und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Das Arbeitspapier der Art. 29 Datenschutzgruppe empfiehlt darüber hinaus auch die Dokumentation aller Schritte und Überwachung des gesamten Prozesses. 

Keine Folgenabschätzung ist dagegen ausdrücklich dann erforderlich, wenn kein hohes Risiko für die Rechte und Freiheiten für natürliche Personen besteht. Also dann wenn Natur, Umfang, Kontext und Zweck der Verarbeitung sehr ähnlich sind mit Verarbeitungsvorgängen, für die bereits eine Folgenabschätzung durchgeführt wurde. Oder auch wenn für die Verarbeitung eine Rechtsgrundlage besteht oder der Verarbeitungsvorgang auf der Liste der Aufsichtsbehörden zu finden ist, die alle folgenabschätzungsfreien Verarbeitungsvorgänge enthält.

Vergleich mit der Vorabkontrolle und dem „Standard-Datenschutzmodell“ 

Herzstück der Datenschutz Folgenabschätzung stellt die Bewertungsphase nach Art. 35 Abs. 7 lit. b und c DS-GVO dar. Sie gleicht die Verarbeitungsvorgänge, Zwecke und Risiken für die Rechte und Freiheiten der Betroffenen mit den rechtlichen Vorgaben ab und entwickelt eine Relation zwischen der Eintrittswahrscheinlichkeit einerseits und der Schwere der möglichen Schäden für die Betroffenen andererseits. Dabei werden Gefahrenlagen und Gewährleistungsziele als Prüfungsmaßstab einbezogen, was sehr an das sog. Standard-Datenschutzmodell erinnert, welches die Datenschutzbeauftragten des Bundes und der Länder seit Herbst 2015 verwenden und welches auf den Voraussetzungen der Vorabentscheidung des § 4 d Abs. 5 BDSG beruht. Das Standard-Datenschutzmodell gibt dem Verwender eine Methode an die Hand, um Verarbeitungsvorgänge systematisch auf ihre Übereinstimmung mit dem geltenden Recht abzugleichen. Kernstück dieser Methode stellen die sechs Gewährleistungsziele dar. Diese Gewährleistungsziele streben eine normgerechte Verarbeitung durch technisch-organisatorische Maßnahmen an, sind aber nicht zu verwechseln mit den Schutzzielen, die in einigen Landesdatenschutzgesetzen enthalten sind. Während die ersten drei Gewährleistungsziele die Daten- und Informationssicherheit betreffen, sind die weiteren drei auf den Schutz der Betroffenen ausgerichtet: 

  • Verfügbarkeit: Begrifflich bedeutet Verfügbarkeit, dass die Daten zugänglich sein müssen, also ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Sie müssen für den Berechtigten zugriffsbereit sein und die vorgesehenen Methoden müssen auf sie anwendbar sein. 
  • Integrität: Das Standard-Datenschutzmodell erklärt das Gewährleistungsziel der Integrität so, dass „informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden“. Andererseits bedeutet dies auch, dass die Daten unversehrt, vollständig und aktuell bleiben. 
  • Vertraulichkeit: Keine Person darf personenbezogene Daten unbefugt zur Kenntnis nehmen. 
  • Nichtverkettung: Das Gewährleistungsziel der Nichtverkettung garantiert, dass Daten nur für den Zweck verarbeitet und ausgewertet werden, für den sie auch zweckgebunden erhoben wurden. 
  • Transparenz: Transparenz bedeutet in diesem Zusammenhang, dass sowohl Betreiber als auch Kontrollinstanzen erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Zwecke genutzt wurden und wo der Datenfluss endet.
  • Intervenierbarkeit: Den Betroffenen müssen Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung eingeräumt werden und die verantwortliche Stelle ist dazu verpflichtet, die eingeforderten Maßnahmen auch umzusetzen.

Anhand der Gewährleistungsziele ist erkennbar, dass das Standard-Datenschutzmodell die Betroffenenperspektive in den Mittelpunkt der Vorabentscheidung stellt, während die DS-GVO mit ihrer Folgenabwägung eher den Fokus auf das Schadensrisiko legt. Art. 35 Abs. 7 lit b und c DS-GVO stellt die „Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“ und die Risiken für die Betroffenen in den Mittelpunkt, strebt also nach einem angemessenen Ausgleich zwischen legitimen Verarbeitungszielen und den möglichen Schäden für die Betroffenen. Auch wenn die gesetzlichen Anforderungen im BDSG und der DS-GVO ähnlich formuliert sind, so lässt sich doch in der Methodik eine Tendenz finden, vom bloßen Betroffenenschutz Abstand zu nehmen und den gerechten Ausgleich zwischen den gegenüberstehenden Interessen zu suchen. Das Standard-Datenschutzmodell kann als Vorreiter wichtige Impulse mitgeben und als Grundgerüst dienen, jedoch ist die Datenschutz-Folgenabschätzung als eigenständiges Instrument mit abweichender Schutzrichtung zu betrachten.

Folgen einer unterlassenen Folgenabschätzung 

Ist eine Folgenabschätzung oder eine Konsultation der Aufsichtsbehörde nach Art. 36 DS-GVO erforderlich, wird aber versäumt, so können auf den Verantwortlichen schwere Sanktionen zukommen. Nach Art. 83 Abs. 4 lit. a iVm Art. 39 DS-GVO kann dem Verantwortlichen ein Bußgeld in Höhe von 10 000 000 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes drohen, je nachdem welcher der beiden Beträge höher ist. Alternativ können Maßnahmen der Aufsichtsbehörde nach Art. 58 DS-GVO verhängt werden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Von der Kita bis zur Schule: Wir gehen auf den Datenschutz in Bildungseinrichtungen ein.

Datenschutz in Bildungseinrichtungen

Einführung

Im Datenschutz gilt: es dürfen keine personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, soweit kein Gesetz dies erlaubt. Das regelt Art. 6 Datenschutz-Grundverordnung (DS-GVO). Dieser Grundsatz des Verbots mit Erlaubnisvorbehalt kann darauf zurückgeführt werden, dass jeder Mensch das Recht über seine Daten hat. Aus dem Recht auf informationelle Selbstbestimmung kann abgeleitet werden, dass jedem Menschen die Freiheit zusteht, selber entscheiden zu können, welche Daten wem, wann und zu welchem Zweck zugänglich sind. Dieses Recht steht jedem Menschen zu. Problematisch ist dies allerdings dann, wenn es um Minderjährige geht, die in der Regel nicht die nötige Entscheidungsreife besitzen und abwägen können, inwiefern sie selbst über ihre Daten verfügen sollten. Daher sind in der Regel die Eltern des Kindes nach § 1626 Abs. 1 BGB zur elterlichen Sorge verpflichtet, was auch die Sorge für die Person des Kindes umfasst. Sie entscheiden für das Kind in Sachen Datenschutz und vertreten es auch nach außen gemäß § 1629 Abs. 1 BGB.

Als Ausnahme des Grundsatzes des Verbotes mit Erlaubnisvorbehalt können Kitas bestimmte Datennutzungen auch ohne Einwilligungen durchführen. Hierzu zählt die Nutzung von personenbezogenen Daten, die zur Gewährleistung der Betreuung notwendig ist. Erlaubt ist demnach die Erhebung folgender Daten:

  • Name, Adresse, Geburtstag des Kindes
  • Name, Adresse und Kontaktdaten der gesetzlichen Vertreter (idR. Eltern)
  • Krankheiten, Allergien und Impfungen des Kindes
  • Kontaktdaten des Kinderarztes/ Hausarztes

Über die notwendigen Daten hinaus dürfen nur personenbezogene Daten verarbeitet werden, deren Verarbeitung durch einen gesetzlichen Erlaubnistatbestand oder eine DS-GVO-konforme Einwilligung nach Art. 7 DS-GVO gerechtfertigt wird.

Foto- und Videoaufnahmen

Ein wesentliches datenschutzrelevantes Thema rund um Schule und Kita ist der Bereich der Foto- und Videoaufnahmen. Fotos und Videos fallen unter die personenbezogenen Daten. In der Regel sind die Aufnahmen nicht für die Aufgabe der Schule, nämlich den Bildungsauftrag, erforderlich, sodass sie nicht „per se“ verarbeitet werden dürfen. Die Fotografie eines Kindergartenkindes oder Schülers bedarf also mangels gesetzlicher Ermächtigung einer Einwilligung.

Unter „diese Einwilligung“ fällt nicht automatisch auch die Veröffentlichung der Aufnahmen auf Homepages o.ä., weshalb es einer weiteren Einwilligung der Eltern dafür bedarf. Wichtig ist hier, dass sich die Einwilligung konkret auf den Zweck der Veröffentlichung auf der Homepage oder auch nur auf den Gemeinschaftsraum der Schule/Kita bezieht.

Während sich die Fotografie als solche nach den Vorschriften der DS-GVO richtet, findet im Bereich der Veröffentlichung von Fotos und Videos das Kunsturhebergesetz (§ 22 KUG) Anwendung. Inwiefern das KUG jedoch neben der DS-GVO anwendbar ist, ist umstritten. Hinsichtlich dieser Problematik gibt es bislang noch keine absolute Rechtssicherheit. Einer Stellungnahme des Bundesministeriums des Inneren, für Bau und Heimat nach zu urteilen gilt das KUG in Bezug auf die Verbreitung von Foto- und Videoaufnahmen neben der DS-GVO. Danach bedarf es einer Einwilligung nach § 22 KUG, die im Vergleich aber geringere Anforderungen als die Einwilligung nach Art. 7 DS-GVO hat.

Aktuelles Ereignis: Kita schwärzt Kinderfotos aus DS-GVO Panik

Kürzlich sorgte eine katholische Kindertagesstätte für mediales Aufsehen, als sie Erinnerungsfotoalben an den ältesten Jahrgang verteilte, die Fotos allerdings zuvor durch Edding geschwärzt hatte, sodass jeweils nur das Kind zu sehen war, dem das Erinnerungsfotoalbum geschenkt wurde. Die Kita begründete ihr Handeln mit einer Vorbeugung von Klagen aufgrund der DS-GVO. Dieses profane Mittel, stellte jedoch gleichzeitig eine sehr radikale Vorgehensweise dar und ist wohl als Widerspruch zu der tatsächlichen Absicht eines Erinnerungsfotoalbums anzusehen.  Als ein „milderes Mittel“ hätte es hier bereits ausgereicht die Einwilligung der Eltern für den Abdruck und die Verteilung einzuholen. Da es sich in dem Spezialfall um eine katholische Kindertagesstätte handelte, ist das speziellere Gesetz über den Kirchlichen Datenschutz (KDG) vor der DS-GVO anzuwenden. Aber auch nach dem KDG ist eine Einwilligung einzuholen, welche sich bis auf eine Formvorschrift bei §§ 6, 8 KDG nicht von der DS-GVO Vorschrift unterscheidet.

Alte Einwilligungen

Wurden bereits vor Inkrafttreten der DS-GVO am 25. Mai 2018 Einwilligungen der Eltern von Kindern eingeholt, sind diese nicht automatisch anwendbar, sondern müssen auf ihre Konformität mit der DS-GVO geprüft werden. Nur wenn die „alte“ Einwilligung auch die Voraussetzungen des Art. 7 DS-GVO erfüllt, kann sie auch weiterhin als Rechtsgrundlage für Datenverarbeitungen genutzt werden.

Digitalisierung in der Schule

Häufig nutzen Lehrer im Zeitalter der Digitalisierung bei der Unterrichtsgestaltung digitale Medien. Einige Beispiele dafür sind Clouds und digitale Klassenbücher. Auch hier gilt: ohne eine gesetzliche Ermächtigung oder Einwilligung dürfen nur die personenbezogenen Daten verarbeitet werden, die erforderlich sind. Darüber hinaus dürfen weitere Daten von Schülern nur genutzt werden, wenn das Gesetz das vorschreibt oder die Eltern für ihre Kinder darin eingewilligt haben.

Schülerfotos zur Namenseinprägung

So manch ein Lehrer ist zu Beginn eines Schuljahres mit der Fülle an neuen Schülern überfordert und macht es sich schwer, die Namen der Schüler zu lernen. Kommt ein Lehrer auf die Idee, Schülerfotos mit Sitzplänen zu erstellen, ist das aus datenschutzrechtlicher Sicht insofern problematisch, als dass die Lehrer dafür wohl im seltensten Fall eine Einwilligung der Eltern eingeholt haben dürften. Die klassische Form von Namensschildern, die aufgestellt werden, erscheint insofern nach wie vor als bewährtes Mittel.

Schulfotos

Jedes Jahr ist es zu Beginn eines neuen Schuljahres soweit: der Fotograf kommt. Indem der Schulfotograf (nach erteilter Einwilligung der Eltern) Bilder von den Schülern anfertigt, handelt er immer noch im Weisungsbereich der Schule. Die Schule hat dafür einzustehen, dass die durch die Fotografie erhobenen personenbezogenen Daten der Schüler weiterhin umfassend geschützt werden. Dafür hat die Schule mit dem engagierten Fotograf einen Auftragsverarbeitungsvertrag anzufertigen, indem der Fotograf sich verpflichtet, die Anforderungen der DS-GVO einzuhalten.

Fazit

Es kann unstreitig festgestellt werden, dass sich in Bezug auf die Themen Kita und Schule viele datenschutzrechtliche Hürden ergeben. Die Besonderheit ergibt sich daraus, dass zwar jede Kita und jede Schule anders ausgerichtet sein mag, allerdings das Thema Datenschutz überall zur Anwendung kommt. Nichtsdestotrotz bleibt es eine Frage des Einzelfalles. Haben Sie daher Fragen rund um dieses Thema, dann helfen wir Ihnen sehr gerne.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, welche Schadensersatzansprüche bei Verstößen gegen die DS-GVO entstehen und wann überhaupt ein Schaden vorliegt.

Schadensersatzansprüche nach der DS-GVO

Einleitung

Die Datenschutz-Grundverordnung (DS-GVO) sorgt seit Mitte des Jahres 2018 für ein strengeres Datenschutzrecht in der EU. Dabei gilt die Verordnung nach Art. 288 Abs. 2 des Vertrages über die Arbeitsweisen der europäischen Union (AEUV) unmittelbar und auch vorrangig gegenüber nationalen Datenschutzgesetzen. Der europäische Gesetzgeber entschied sich in der DS-GVO auch für die Normierung von Schadensersatzansprüchen, nach welchen der Verantwortliche somit direkt haftet. Im alten Datenschutzrecht ergaben sich für den Betroffenen Schwierigkeiten hinsichtlich des Nachweises eines Schadens, sodass ein Verstoß in der Praxis zivilrechtlich bislang häufig sanktionslos blieb. Nun hat der europäische Gesetzgeber seinen Willen klar geäußert, neben öffentlich-rechtlichen Regelungen zur Prävention und Sanktion im Rahmen des Schutzes des allgemeinen Persönlichkeitsrecht des Betroffenen, verbunden mit seinem Recht an den eigenen Daten, auch die zivilrechtlichen Instrumente zu erweitern.

Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO

Art. 82 Abs. 1 DS-GVO räumt jeder Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter ein. Konkretisiert wird der Schadensersatzanspruch

Anspruchsberechtigter ist somit jeder von einer Datenverarbeitung Betroffene, dem ein Schaden aufgrund eines Verstoßes gegen die DS-GVO entstanden ist. Die Anspruchsberechtigung ist nicht auf nationale Bürger begrenzt, vielmehr kann jeder EU-Ausländer tauglicher Anspruchssteller sein. Anspruchsberechtigte Betroffene können nur „natürlichen Personen“ sein, juristische Personen sind nicht anspruchsberechtigt. Dies geht aus der Definition des Begriffs  „Betroffener“ in Art. 4 Nr. 1 DS-GVO hervor, wonach nur identifizierbare „natürliche Personen“ in den Schutzbereich fallen sollen. Eine Ausnahme dessen in Form des Schutzes nach Art. 7 und 8 der EU-Grundcharta hat der EuGH lediglich in dem Fall bejaht, dass der Name eine oder mehrere natürliche Personen bestimmt.

Anspruchsgegner ist der für die Datenverarbeitung Verantwortliche oder der Auftragsverarbeiter. Nach Art. 82 Abs. 4 DS-GVO haften diese gesamtschuldnerisch, wonach der Anspruchsberechtigte ein Wahlrecht hat, wen er in Anspruch nimmt. Die Gesamtschuldner können nach Art. 82 Abs. 5 DS-GVO einen Innenausgleich vornehmen.  Art. 82 Abs. 2 DS-GVO regelt eine Privilegierung des Auftragsverarbeiters, wonach dieser entschuldigen kann. 

Ein Verstoß gegen die DS-GVO kann grundsätzlich jede Verletzung einer Pflicht des Verantwortlichen sein. Die DS-GVO legt dem Verantwortlichen eine Vielzahl an Pflichten auf. Dazu gehören beispielsweise Informationspflichten nach Art. 12 ff. DS-GVO, Dokumentationspflichten nach Art. 30 DS-GVO und Meldeverpflichtungen an die Aufsichtsbehörde bei Datenschutzverletzungen nach Art. 33 f. DS-GVO.

Hinsichtlich des Verschuldens für den Umstand, durch welchen der Schaden eingetreten ist, sieht  Art. 82 Abs. 3 DS-GVO eine Beweislastumkehr vor. Dafür muss der Verantwortliche oder der Auftraggeber nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich ist. Demnach ist der Schadensersatzanspruch zwar  verschuldensabhängig, allerdings ist der Maßstab sehr streng. Denn der Anspruchsgegner  haftet zunächst einmal vollumfänglich für jede schadensstiftende Handlung. Haftungsbeschränkungen oder Bagatellgrenzen kennt die DS-GVO nicht.

Abzuwarten bleibt, inwieweit ein potentielles Mitverschulden des Betroffenen zu berücksichtigen sein wird, etwa bei Verwendung eines zu simplen oder zu kurzen Passworts durch den Betroffenen.

Die Beweislast für eine Behauptung trägt nach dem deutschen Recht grundsätzlich derjenige, für den die geltend gemachte Tatsache günstig ist. Macht die betroffene Person also einen Schadensersatzanspruch geltend, so trägt sie die Beweislast für alle Voraussetzungen des haftungsbegründenden Tatbestandes. Da Betroffene dies aber in der Regel nicht hinreichend belegen können, scheiterten diverse Ansprüche des Betroffenen gegen den Verantwortlichen nach dem alten Datenschutzrecht. Dies wollte der Verordnungsgeber nun ändern und verteilte die Beweislast nach der DS-GVO neu. Nach dem in Art. 5 Abs. 2 DS-GVO zugrunde gelegten Rechenschaftsprinzip und nach Art. 24 Abs. 1 DS-GVO muss der Verantwortliche die Einhaltung seiner Pflichten nachweisen können. In der Konsequenz führt das unter Umständen zu einer Beweislastumkehr von erheblicher Bedeutung im Rahmen eines zivilrechtlichen Prozesses um den Schadensersatzanspruch aus Art. 82 DS-GVO. Wie die Gerichte die Beweislast der DS-GVO handhaben, bleibt abzuwarten. Ferner ist bislang noch nicht ersichtlich, inwiefern Zertifizierungen nach Art. 42, 43 DS-GVO, die mit den Aufsichtsbehörden abgestimmt sind, als Entlastungsbeweis genügen.

Die Verletzungshandlung muss zudem ursächlich für den Schaden sein. Wer Ursächlichkeit der Rechtsverletzung für den eingetretenen Schaden beweisen muss, ist nicht geregelt.

Schaden

Weitere Voraussetzung eines Schadensersatzanspruchs nach der DS-GVO ist freilich das Bestehen eines Schadens. Ausdrücklich genannt wird neben materiellen Schäden auch der immaterielle Schaden. Nach Erwägungsgrund 146 sei der Begriff des Schadens weit auszulegen. Damit gemeint ist auch, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Genannt werden  Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder unbefugte Aufhebung der Pseudonymisierung. Daneben werden andere gesellschaftliche Nachteile genannt, welche sich zu einem materiellen Schaden verwirklichen können oder anderweitige finanzielle Verluste und erhebliche wirtschaftliche Nachteile.

Zur Berechnung materieller Schäden sind nationale Grundsätze heranzuziehen. Zu beachten ist hierbei, dass die Effektivität des durch europäische Gesetzgebung geregelten Schadensersatzanspruchs nicht beeinträchtigt werden darf (Stichwort „Abschreckung“), was für deutsche Verhältnisse ungewöhnlich hohe Schadenssummen zur Folge haben kann. Materielle Schäden sind in Deutschland nach der Differenzmethode zu berechnen. Dabei ist die Vermögenslage des Geschädigten mit und ohne schädigende Handlung zu vergleichen. Beispielhaft zu nennen sind etwa die Nichtgewährung eines Kredits aufgrund falscher Bonitätsdaten oder Anwaltshonorare, welche zur Durchsetzung von materiellen oder immateriellen Schäden erforderlich waren.

Auch hinsichtlich der auszuurteilenden Schadenshöhe gilt nationales Recht. Nach § 287 ZPO entscheidet das Gericht nach freier Überzeugung unter Würdigung aller Umstände des Einzelfalls über die Höhe des Schadens. Dafür bedarf es aber Anhaltspunkte, an die das Gericht anknüpfen kann.

Fazit

Der in der DS-GVO normierter Schadensersatzanspruch aus Art. 82 DS-GVO schützt die betroffene Person weitreichender und sicherer als das alte Datenschutzrecht. Das Recht des Betroffenen auf Schadensersatz stellt ein nicht zu unterschätzendes wirtschaftliches Risiko dar. Dies gilt vor allen Dingen unter Beachtung des Umstandes, dass zu ersetzende Schäden schlechterdings mit der Gesamtzahl der betroffenen Personen zu multiplizieren sind.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Überall hört man nur eins: Die DS-GVO gilt ab dem 25. Mai 2018! Doch was steckt dahinter? Wir erklären, was sich für Amazon-Händler ändert und was im Hinblick auf die DS-GVO zu beachten ist.

Die Datenschutz-Grundverordnung: Was müssen Amazon-Händler wissen?

Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union zur Sicherstellung des Schutzes personenbezogener Daten innerhalb der EU und zur Gewährleistung des freien Datenverkehrs innerhalb des Europäischen Binnenmarktes. Die Verordnung bedarf keines Umsetzungsgesetzes, sondern gilt unmittelbar ab dem 25. Mai 2018 in den Mitgliedstaaten. Es gilt der Erlaubnisvorbehalt, nach dem die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn es greift eine Rechtsgrundlage für die Verarbeitung oder der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt (Art. 6 DS-GVO). 

Bin ich als Amazon-Händler von der DS-GVO betroffen? 

Nach Art. 2 Abs. 1, 3 Abs. 1, 2 DS-GVO unterfällt jeder der DS-GVO, der personenbezogene Daten von in der EU befindlichen Personen verarbeitet. Es ist also unerheblich, ob der Händler in der EU niedergelassen ist oder nicht. Die DS-GVO gilt nicht nur für Unternehmen, die ihren Sitz in der EU haben, ebenso gibt es keine Privilegierung für kleinere Händler. Personenbezogene Daten von juristischen Personen unterfallen nicht dem Schutz der DS-GVO, so dass B2B-Geschäfte zwischen dem Amazon-Händler und Kapitalgesellschaften, eingetragenen Vereinen und Personengesellschaften nicht unter die DS-GVO fallen, wenn nur die juristischen Personen unter ihrer Firmierung und nicht die dahinter stehenden natürlichen Personen adresseiert werden. Einigen sich ein Amazon-Händler und ein Kunde über den Abschluss eines Kaufvertrags, so kommt sowohl Amazon als auch der Amazon-Händler mit den personenbezogenen Daten des Kunden in Berührung. Somit sind auch die Amazon-Händler zur Einhaltung der DS-GVO verpflichtet. Wann konkret eine Datenverarbeitung vorliegt, bestimmt Art. 4 Nr. 2 DS-GVO: unter den Begriff der Datenverarbeitung fallen beispielsweise die Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesung, Abfragung, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung und Vernichtung von personenbezogenen Daten.

Welche Änderungen kommen mit der DS-GVO auf Amazon-Händler zu? 

Die folgenden Pflichten für Amazon-Händler existieren bislang schon nach dem Bundesdatenschutzgesetz, durch die DS-GVO kann die Nichteinhaltung dieser Pflichten aber zu schmerzhaften Strafen führen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr.

Dokumentationspflicht 

Ein Verarbeiter unterliegt nun der Pflicht, ein Verzeichnis über seine Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 1, 2 DS-GVO). Dokumentiert werden müssen die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und Daten, die Empfänger der verarbeiten Daten, eine ggf. stattfindende Übermittlung der Daten ins Ausland, die Löschungsfristen sowie die zur Datenverarbeitung verwendeten technischen und organisatorischen Maßnahmen. Zudem hat der Verantwortliche eine Datenschutz-Folgenabschätzung zu dokumentieren, sofern diese erforderlich ist nach Art. 35 Abs. 1 S. 1 DS-GVO. Die Pflicht zur Dokumentation entfällt aber nach Art. 30 Abs. 5 DS-GVO, wenn das Unternehmen des Amazon-Händlers weniger als 250 Mitarbeiter hat und es nicht zu einer Verarbeitung besonders sensibler Daten im Sinne des Art. 9 DS-GVO kommt. 

Auftragsdatenverarbeitung und Übertragung in Drittländer

Amazon-Händler bedienen sich üblicherweise verschiedener zusätzlicher Tools zur Erleichterung ihres Arbeitsalltags. In der Regel kommt es dadurch zu weiteren Datenverarbeitungen, beispielsweise über den Amazon Marketplace Web Service. Diese weiteren Verarbeitungen stellen möglicherweise Auftragsdatenverarbeitungen dar, bei denen Amazon-Händler nur mit Auftragsverarbeitern arbeiten dürfen, die sich nach Art. 28 DS-GVO richten. Zusätzliche Besonderheiten ergeben sich dann, wenn der Datentransfer in ein nichteuropäisches Land fließt, dass zudem kein sogenanntes „sicheres Drittland“ ist. Das sind die Staaten, die die Europäische Kommission nicht als ein dem europäischen Datenschutz entsprechendes Drittland erklärt hat. Dazu zählen unter anderem auch die USA.

Behördliche Rechenschaftspflicht 

Ein Verantwortlicher unterliegt nach Art. 5 Abs. 2 DS-GVO der Pflicht, die Einhaltung aller grundlegenden Datenschutzprinzipien auf behördliche Anforderung nachzuweisen.

Widerrufsmöglichkeit der Einwilligung 

Eine weitere Neuerung stellt die zu gewährleistende Widerrufsmöglichkeit von erteilten Einwilligungen durch den Betroffenen nach Art. 7 Abs. 3 S. 4 DS-GVO dar. 

Auskunftsrechte Betroffener 

Einem Betroffenen, dessen personenbezogene Daten verarbeitet wurden, räumt die DS-GVO einige Auskunftsrechte ein. Dazu gehören ein Recht auf Löschung (Art. 17 DS-GVO), aber auch Auskunftsrechte über die Datenspeicherung und-verarbeitung (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung bei unrichtigen personenbezogenen Daten (Art. 16 DS- GVO). Ein Betroffener kann sich bei Nichteinhaltung dieser Pflichten durch den Händler an die Behörden zur Durchsetzung seiner Rechte wenden, welche wiederrum dann ein Verfahren gegen den Amazon-Händler eröffnet. Nach Art. 12 Abs. 3 DS-GVO verkürzt sich die Frist zur Stellungnahme durch den Verantwortlichen auf einen Monat. 

Datenschutzerklärung 

Aufgrund des deutlich eingeschränkten Gestaltungs- und Entscheidungsspielraums für Amazon-Händler durch bindende Vorgaben von der Plattform Amazon, wie beispielsweise die Zahlungsmethoden, ist die erforderliche Datenschutzerklärung für Amazon-Händler um einiges weniger umfangreich. Dennoch gilt es, bereits bestehende Datenschutzerklärungen den Anforderungen der DS-GVO anzupassen. Ein Beispiel ist die Verlinkung sämtlicher Schaltflächen auf die aktualisierte Datenschutzerklärung sowie diverse Anpassungen bei Plug-Ins und Social-Media-Buttons. Eine bestätigte Kenntnisnahme der Datenschutzerklärung durch den Kunden wird allerdings nicht gefordert und es reicht ein Hinweis. 

Wann muss ein Datenschutzbeauftragten ernannt werden?

Unter bestimmten Voraussetzungen kann ein Amazon-Händler verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Dieser Pflicht unterliegt er gem. Art. 37 DS-GVO, wenn seine Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, also die Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit ist, und eine systematische Überwachung von Personen erforderlich macht (Art. 37 Abs. 1 lit. b DS-GVO) oder die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 lit. c DS-GVO). In erster Linie fällt darunter beispielsweise die Verarbeitung von Gesundheitsdaten im Krankenhaus, so dass Amazon-Händler mit dem vorrangigen Zweck der Vertragsabwicklung, aber auch der Werbung in der Regel nicht von der Pflicht betroffen sind.

Fazit

Auch wenn die ab dem 25. Mai 2018 geltende DS-GVO auch Amazon-Händlern mit bislang geltendem Recht größtenteils übereinstimmt, bringt sie dennoch einige Veränderungen für Online-Händler mit sich, die im Ergebnis zur Stärkung der Betroffenenrechte führen. Zusammenfassend werden Amazon-Händler sich u.a. mit neuen Dokumentationspflichten, behördlichen Rechenschaftspflichten, stärker ausgeprägten Auskunftsrechten von Betroffenen und der Widerrufsmöglichkeit von Einwilligungen durch den Betroffenen auseinander setzen müssen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wie erläutern, warum das Fluggastdaten-Abkommen mit Kanada aus Sicht des EuGH keinen ausreichenden Datenschutz bietet.

EuGH zum Fluggastdaten-Abkommen mit Kanada: So nicht!

Vorgeschichte des Abkommens 

Zwischen der Europäischen Union und Kanada besteht seit 2006 ein Abkommen über die Übermittlung und Verarbeitung von erweiterten Fluggastdaten und Fluggastdatensätzen, wonach die Fluggesellschaften, die Personen nach Kanada fliegen, erweiterte Fluggastdaten und Fluggastdatensätze an die zuständigen kanadischen Behörden übermitteln dürfen und gegebenenfalls müssen. Gleichzeitig wurde in Art. 1 des Abkommens von 2006 gewährleistet, dass die Weitergabe von den genannten Daten unter uneingeschränkter Achtung grundlegender Rechte und Freiheiten, insbesondere des Rechts auf Privatsphäre erfolgt. Auf dieser Grundlage entschied die Europäische Kommission gem. Art. 25 Abs. 2 RL 95/46/EG, dass das Abkommen einen angemessenen Schutz böte. Diese Entscheidung und damit auch die Geltungsdauer des Abkommens lief im September 2009 aus, sodass im folgenden Jahr die Verhandlungen über ein neues Fluggastdatenabkommen aufgenommen wurde und am 5. Dezember 2013 beschloss der Rat die Unterzeichnung des neuen, wenn auch umstrittenen, Abkommens und ersuchte die Zustimmung des Parlaments zu diesem Entwurf. Das Parlament jedoch legte das Abkommen dem EuGH vor und bat um ein Gutachten nach Art.218 Abs.11 AEUV, welches der EuGH nun am 26. Juli 2017 verkündet hat. Ein solches Gutachten über die Vereinbarkeit mit europäischem Recht bzw Zustimmungsfähigkeit eines internationalen Abkommens wurde bisher noch nie erbeten und stellt damit schon rein verfahrenstechnisch eine Besonderheit dar. 

Inhalt des geplanten Abkommens 

Wesentlicher Inhalt des Abkommens ist die Übermittlung und Verarbeitung von Fluggastdatensätzen, sog. Passenger Name Records, oder kurz: PNR-Daten. Das Abkommen sieht vor, dass die Fluggesellschaften bei Flügen zwischen Kanada und der EU die erhobenen Daten an die zuständigen kanadischen Behörden übermitteln dürfen, welche diese dann verarbeiten können. Dies alles zum Zwecke der Verhinderung und Aufdeckung von terroristischen Straftaten oder anderer grenzüberschreitender schwerer Kriminalität. Dabei gilt ein Speicherungszeitraum von 5 Jahren im Zielland und die gesammelten Daten lassen dabei Rückschlüsse auf den Reiseverlauf, Reisegewohnheiten, Beziehungen zwischen den Fluggästen sowie die finanzielle Situation, Essgewohnheiten und gesundheitlichen Zustand der Fluggäste zu. Das Europäische Parlament wandte sich mit zwei Fragen an den EuGH, in denen es erfragte, ob das Abkommen mit den Bestimmungen der Verträge (Art. 16 AEUV) und der Charta der Grundrechte der Europäischen Union (Art. 7, Art. 8 und Art. 52 Abs. 1) bezüglich des Rechts auf den Schutz personenbezogener Daten vereinbar sei. Und die zweite Frage, bezog sich auf die zutreffende Rechtsgrundlage, denn das Europäische Parlament war sich nicht darüber einig, ob Art. 82 Abs. 1 Buchst. d und Art. 87 Abs. 2 Buchst. a AEUV oder Art. 16 AEUV die zutreffende Rechtsgrundlage darstelle. 

EuGH pocht auf Schutz personenbezogener Daten

Obwohl das Abkommen grundsätzlich zulässig sei, kommt der EuGH dennoch zu dem Ergebnis, dass es in seiner jetzigen Form so nicht geschlossen werden dürfe, weil einzelne Bestimmungen nicht mit den Grundrechten aus der Grundrechtecharta vereinbar seien. Die Speicherungsdauer von 5 Jahren stelle einen besonders großen Zeitraum dar. Die Speicherung, Verwendung und Weitergabe zwischen kanadischen, europäischen und ausländischen Behörden greife in das Grundrecht auf Achtung des Privatlebens sowie in das Grundrecht auf Schutz personenbezogener Daten ein. Diese Eingriffe könnten jedoch gerechtfertigt sein durch die Verfolgung eines dem Gemeinwohl dienenden Ziels, welches hier die Gewährleistung der öffentlichen Sicherheit im Rahmen der Bekämpfung terroristischer und grenzübergreifender schwerer Kriminalität darstellt. Allerdings stellte das Gericht fest, dass einige Bestimmungen im Rahmen der Erforderlichkeitsprüfung problematisch erscheinen: Zum einen fehlt es an einer Rechtfertigung für diejenigen Bestimmungen, die die Übermittlung von sensiblen Daten – darunter sind Daten über die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder die Gewerkschaftszugehörigkeit zu verstehen – ermöglichen, da das Risiko einer gegen das Diskriminierungsverbot verstoßenden Verarbeitung besonders präzise und fundierte Rechtfertigungsgründe erfordere, welche aber nicht gegeben sind. 

Darüber hinaus legt der EuGH fest, dass sich das Ausmaß der Befugnisse auf das absolut Notwendige beschränken müsse. Im Falle der Einreise und des Aufenthalts der Fluggäste in Kanada sei ein hinreichender mittelbarer Zusammenhang zum verfolgten Ziel vorhanden, so dass die Speicherung nicht über das absolut Notwendige hinausgeht. Besteht bei den Fluggästen aber weder bei ihrer Ankunft in Kanada noch während ihres Aufenthalts oder ihrer Ausreise der Verdacht einer Gefahr im terroristischen Bereich, ist eine weitere dauerhafte Speicherung ihrer Daten für einen Zeitraum von 5 Jahren nicht erforderlich, da kein mittelbarer Zusammenhang zwischen ihren PNR-Daten und dem verfolgten Ziel bestehe, sodass eine Rechtfertigung hier fehlt. 

Abschließend arbeitet das Gericht einige Änderungsvorgaben heraus, unter deren Berücksichtigung ein überarbeiteter Entwurf zulässig wäre. Darunter fällt zum einen die Forderung, dass einige der zu übermittelnden PNR-Daten klarer und präziser definiert werden müssen, ebenso müssen die in der automatisierten Verarbeitung von PNR-Daten verwendeten Modelle spezifischer und zuverlässiger und keinesfalls diskriminierend sein. Es dürfen außerdem nur Datenbanken gebraucht werden, die im Zusammenhang mit der Terrorismusbekämpfung eingerichtet wurden. Zur Weitergabe an Nicht-EU-Länder durch kanadische Behörden gibt der EuGH vor, dass eine solche Weitergabe nur möglich ist, wenn ein ähnliches Abkommen mit entsprechendem Schutzniveau zwischen der EU und diesem Staat gilt. Außerdem müssen den betroffenen Fluggästen Informationsrechte eingeräumt und eine unabhängige Kontrollstelle zur Überwachung eingerichtet werden. 

Die Frage nach der zutreffenden Rechtsgrundlage beantwortet der EuGH dahingehend, dass das Abkommen auf beiden Rechtsgrundlagen, also Art. 82, 87 AEUV (justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit) sowie auf Art. 16 AEUV (Schutz personenbezogener Daten) fußen muss, da zwei gleichrangige, untrennbar miteinander verbundene Ziele verfolgt werden. 

Kritik 

Von Datenschützern zwar uneingeschränkt begrüßt, löst das Gutachten des EuGH teilweise auch Kritik aus. Denn die Folge ist: Wird kein neues Abkommen geschlossen, gilt das Abkommen von 2006 unverändert weiter, welches mindestens genauso überprüfungsbedürftig sei wie der aktuelle Entwurf. Durch die Änderungsvorgaben des EuGH werde jetzt aber nun der Zeitraum verlängert, in dem das alte Abkommen gelte, das keinen besseren Schutz biete.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir beleuchten das Urteil des OVG Saarlouis zur Videoüberwachung am Arbeitsplatz.

Zulässigkeit von Videoüberwachung am Arbeitsplatz

Einführung

Schon im März 2017 hatte der Deutsche Bundestag das sog. Videoüberwachungsverbesserungsgesetz verabschiedet, welches am 5. Mai 2017 in Kraft getreten ist. Das seit Mai 2018 geltende Bundesdatenschutzgesetz (BDSG neu) enthält dabei die inhaltlich gleiche Neuregelung der Videoüberwachung. Die Videoüberwachung öffentlich zugänglicher Räume darf nur unter den in § 4 BDSG (neu) geregelten Voraussetzungen vorgenommen werden. § 4 BDSG betrifft dabei den Einsatz von optisch-elektronischen Einrichtungen. Hiervon werden sowohl analoge als auch digitale Beobachtungstechnik erfasst, sowie Fotoapparate oder Mobiltelefone mit integrierter Kamera. Eine Anwendung von § 4 BDSG kann nur dann erfolgen, wenn die Videoüberwachung zum Zwecke der Beobachtung vorgenommen wird. § 4 BDSG umfasst dabei ausschließlich die Beobachtung öffentlich zugänglicher Räume. Es wird unterschieden zwischen dem Regelfall und den Bereichen mit besonderem Gefahrenpotenzial. Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit entschieden, der die Videoüberwachung zur Wahrnehmung des Hausrechts betraf. Hierauf wird abschließend eingegangen.

§ 4 BDSG (neu)

§ 4 Abs. 1 BDSG enthält dabei die Voraussetzungen für die Zulässigkeit der Videoüberwachung. Die Beobachtung ist demnach zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen (Nr. 1), zur Wahrnehmung des Hausrechts (Nr. 2) oder zur Wahrnehmung berechtigter Interessen für konkrete festgelegte Zwecke erforderlich sind (Nr. 3). Hierbei handelt es sich um drei Zweckbestimmungen, die geeignet sind eine Beobachtung zu rechtfertigen.

Nach § 4 Abs. 1 Satz 1 BDSG muss die Videobeobachtung erforderlich sein. Die Erforderlichkeit einer Überwachungsmaßnahme ist grundsätzlich dann gegeben, wenn sie geeignet ist, das mit der Überwachung verfolgte Ziel tatsächlich zu erreichen. Zusätzlich darf kein anderes Mittel ersichtlich sein, das gleich wirksam, aber die betroffene Person weniger in ihren Rechten beeinträchtigt. Maßgeblich im Rahmen der Prüfung der Rechtmäßigkeit der Videoüberwachungsmaßnahme ist also die Abwägung zwischen den mit der Überwachung verfolgten Zwecken und dem Grad der Schutzwürdigkeit der Interessen des Betroffenen. Bei der vorzunehmenden Abwägung ist insbesondere darauf zu achten, ob der jeweilige Bereich öffentlich zugänglich ist oder nicht.

Nach § 4 Abs. 3 BDSG darf eine Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten nur dann erfolgen, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und schutzwürdige Interessen des Betroffenen nicht überwiegen. Gemäß § 4 Abs. 4 BDSG besteht auch eine Informationspflicht gegenüber der von der Videoüberwachungsmaßnahme betroffenen Person. Einer Pflicht zur Löschung der Daten muss nach § 4 Abs. 5 BDSG dann nachgegangen werden, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind.

Urteil des OVG Saarlouis

Das OVG Saarlouis hat mit Urteil vom 14.12.2017 (2 A 662/17) in einem Rechtsstreit über die Frage entschieden, ob die erfolgte Videoüberwachung zur Wahrnehmung des Hausrechts und berechtigter Interessen erfolgte und somit eine Rechtfertigung der Beobachtung vorliegt. In dem dem Urteil zugrundeliegenden Sachverhalt hatte der Eigentümer einer Apotheke aufgrund eines zu verzeichnenden und nicht erklärbaren Verlusts in Höhe von 40.000€ eine Videoüberwachung eingerichtet. Die Überwachung umfasst dabei sowohl die Verkaufsräume der Apotheke, als auch den nicht öffentlich zugänglichen Bereich und eine Überwachung der Beschäftigten selbst. Die Mitarbeiter haben ihre Einwilligung zur Aufstellung der Videokameras erteilt. Die Aufstellung der Videokameras wurde von dem Unabhängigen Datenschutzzentrum des Saarlandes untersagt. Hiergegen klagte der betroffene Apotheker. Das OVG Saarlouis gab dieser Klage zum Teil statt.

Videoüberwachung des Verkaufsraums

Die Videoüberwachung des Verkaufsraumes sollte den Schutz des Klägers vor weiteren Diebstählen bezwecken. Dieser Zweck stellt einen Fall der Wahrnehmung des Hausrechts i.S.v. § 4 Abs. 1 Nr. 2 BDSG dar. Das Gesetz enthält jedoch keine Definition des Hausrechts. In Rechtsprechung und Literatur erfolgt dabei eine weite Auslegung. Bei Zugrundelegung einer weiten Auslegung zählen Maßnahmen, die geeignet sind zur Gewährleistung eines Eigentumsschutzes beizutragen, zur Wahrnehmung des Hausrechts. Bezogen auf den vorliegenden Fall ist festzuhalten, dass die potentiellen Straftäter durch eine Videoüberwachung massiv abgeschreckt werden können. Nach Auffassung des Gerichts überwiegt damit das Interesse des Eigentümers am Schutz seines Eigentums. Überdies kann der Kläger sich vorliegend auch auf § 4 Abs. 1 Nr. 3 BDSG berufen. Es waren genügend Anhaltspunkte gegeben, die den Schluss auf einen Diebstahl zulassen und eine permanente Beobachtung des Raumes nach § 4 Abs. 1 Nr. 3 BDSG damit erforderlich machten.

Videoüberwachung des nicht öffentlich zugänglichen Bereichs

Die Videoüberwachung der Arbeitsräume und damit des nicht öffentlich zugänglichen Bereichs ist aufgrund der eingeholten Einwilligung der Beschäftigten zu bejahen. Grundsätzlich kommen im Rahmen der Videoüberwachung nicht-öffentlicher Räume die allgemeinen Erlaubnistatbestände in Betracht (Bsp.: Art. 6 DS-GVO, insbesondere Art. 6 Abs. 1 lit. f DS-GVO).

Videoüberwachung der Beschäftigten

Im Rahmen der Videoüberwachung der Beschäftigten kann im vorliegenden Fall nicht ausgeschlossen werden, dass ein möglicherweise strafbares Verhalten eines oder mehrerer Mitarbeiter ursächlich für den eingetretenen Verlust ist.

Das OVG Saarlouis hob folglich die Anordnung der Datenschutzbehörde auf (Urteil vom 12.12.2017, Az. 2 A 662/17).

Fazit

Für die Frage der Zulässigkeit der Videoüberwachung kommt es zunächst auf das Vorliegen eines Zwecks nach § 4 Abs. 1 BDSG an. Damit steht auch bei dem Urteil des OVG Saarlouis das Gebot der Zweckbindung im Fokus. Nachfolgend liegt der Schwerpunkt dann auf der Prüfung der Intensität des aus der Überwachung resultierenden Grundrechtseingriffs. Im Rahmen dieser Abwägung sind u.a. Art und Umfang der erfassten Informationen, den betroffenen Personenkreis und die Alternativen zur Videoüberwachung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die Entwicklung des Privacy Shields.

Informationen über die Verwendung des Privacy Shields

Wie geht es mit Privacy Shield weiter?

Seit knapp zwei Jahren können Unternehmer den Datentransfermechanismus „Privacy Shield“ nutzen. Dieses Instrument hat den Zweck der Sicherstellung eines angemessenen Datenschutzniveaus bei Datentransfers zwischen den USA und Europa. Doch nun fordern Datenschutzbehörden Nachverhandlungen zum Privacy Shield, da sie einen ebenso starken Schutz der Daten in den USA, wie dieser in der Europäischen Union gewährleistet wird, bezweifeln. 

Der Hintergrund

Hintergrund ist die Vermutung, dass Drittländer kein ausreichendes, europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, wenn die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat. Dabei unterfallen auch gerade Drittländer dem Anwendungsbereich des Bundesdatenschutzgesetzes, §§ 4, 4b, 4c BDSG, sofern Datenübermittlungen im Rahmen von Tätigkeiten erfolgen, die auch nur teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaft fallen. Das neue Bundesdatenschutzgesetz verweist in § 1 Abs. 5 BDSG auf die Anwendbarkeit der Datenschutz-Grundverordnung, die gemäß Art. 3 Abs. 2, 3 DS-GVO bei der Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen heranzuziehen ist. Die USA zählen gerade nicht zu den sogenannten „sicheren Drittländern“, weshalb man verschiedene Instrumente wie Privacy Shield schuf, um einen ausreichenden Datenschutz bei Datentransfers herzustellen. Das dadurch als sichergestellt geltende Datenschutzniveau ermöglicht eine Datenübermittlung, anderenfalls gilt sie als unzulässig.

Das Safe-Harbor-Abkommen

Vorgänger des EU-US Privacy Shields war das Safe-Harbor-Abkommen, eine Übereinkunft zwischen den USA und der EU. Unterwarfen sich US-Unternehmen den Prinzipien dieses Abkommens, so wurden sie als Unternehmen mit angemessenem Datenschutzniveau in die Liste des US Department of Commerce aufgenommen, welches die Einhaltung des EU-Standards für ein Jahr zusicherte. Jedoch gilt dieses Abkommen seit dem sogenannten Schrems-Urteil des Europäischen Gerichtshofs vom 06.10.2015 nicht mehr. Max Schrems klagte 2013 wegen Verstöße der USA gegen EU-Recht bei Datenübermittlungen aus Europa in die USA und den folgenden Überwachungsmaßnahmen durch den amerikanischen Staat vor der irischen Datenschutzbehörde gegen Facebook Irland. Das Verfahren gelang bis zum EuGH, der das Safe-Harbor-Abkommen letztendlich auflöste. Der EuGH begründete seine Entscheidung damit, dass das die Einhaltung des europäischen Datenschutzes in den USA nicht immer gewährleistet werden könne.

Die wichtigsten Kritikpunkte:

  • Das Safe-Harbor-Abkommen galt nur für amerikanische Unternehmen und nicht für Behörden der USA.
  • Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung nationaler Gesetze der Vereinigten Staaten genossen Vorrang vor dem Abkommen. Also waren amerikanische Unternehmen im Fall eines Widerstreits zu den Erfordernissen nicht zur Anwendung des Abkommens verpflichtet.
  • Es gab keine Begrenzungsmöglichkeit der Eingriffe amerikanischer Behörden in die Grundrechte der betroffenen Personen.
  • Es gab keine Möglichkeit des gerichtlichen Rechtsschutzes europäischer Bürger gegen die Maßnahmen durch die US-Behörden.

Das „EU-US-Privacy Shield“

Um allerdings die durch die Ungültigkeit des Safe-Harbor-Abkommens entstandene Lücke zu schließen, schuf man einen neuen Datentransfermechanismus namens „EU-US-Privacy Shield“, der die Unternehmer zur Einhaltung der Datenverarbeitungsstandards verpflichtet und im Gegensatz zu Safe Harbour den Zugriff auf die Daten von EU-Bürgern durch die US-Behörden begrenzt. Eine weitere Neuerung war die Einführung von Rechtsschutz für Bürger durch Ombudsmänner und Streitbeilegung, sowie eine jährliche Überprüfung des Privacy Shields.

Die Überprüfung von Privacy Shield

Daher überprüften die Europäische Kommission und die US-Regierung Mitte September 2017 die Funktionsweise des „EU-US-Privacy Shields“. Während der Datentransfermechanismus nach Ansicht der Kommission gut funktioniert, sieht das das unabhängige Beratungsgremium der Europäischen Kommission, die Artikel-29-Datenschutzgruppe, anders. Zwar erkennt die Artikel-29-Datenschutzgruppe in Privacy Shield Fortschritte im Vergleich zu Safe Harbour, sowie die Bemühung der US-Behörden und der Kommission bei der Umsetzung des Datenschutzschildes. Dennoch übt das Beratungsgremium auch Kritik, indem es Bedenken hinsichtlich der Gleichwertigkeit des Datenschutzniveaus in den USA durch Privacy Shield und des Datenschutzniveaus in der EU äußert.

Diese Bedenken liegen in erster Linie in der Funktionalität der eigentlich zugesicherten Möglichkeit des Rechtswegs für EU-Bürger gegen staatliche und kommerzielle Überwachungsmaßnahmen durch die Einführung des Ombudsmanns. Der Artikel-29-Datenschutzgruppe wurden bei der Überprüfung von Privacy Shield Informationen vorenthalten, die sich auf das Verfahren für den Zugang der Bürgerbeauftragten mit anderen Mitgliedern der Geheimdienstgemeinschaft, einschließlich der Aufsichtsorgane, beziehen. Somit kann sie nicht überprüfen und damit auch nicht bejahen, dass dem Ombudsmann ausreichende Befugnisse für den Zugang zu Informationen und die Behebung von Verstößen zustehen, um ihre einem Gericht oder anderen unabhängigen Stellen vergleichbare Rolle zu erfüllen. Daher steht dies einer Bewertung des Ombudsmanns als wirksamer Rechtsbehelf im Sinne des Artikels 47 der Charta der Grundrechte entgegen.

Ferner fordert das Beratungsgremium Belege oder rechtlich bindende Zusagen dafür, dass eine Datenerhebung durch US-Behörden keine willkürlichen Datensammlung darstellt und kein unbeschränkter Zugriff auf die personenbezogenen Daten von EU-Bürgern erfolgt, wie sie im Rahmen des NSA-Programms UPSTREAM geschah. Aufgrund dieser Bedenken fordert die Artikel-29-Datenschutzgruppe Nachverhandlungen der EU-Kommission mit der US-Regierung. Dafür müsse in erster Linie ein Aktionsplan aufgestellt werden, so dass spätestens bis zum Wirksamwerden der Datenschutzgrundverordnung am 25. Mai 2018 Abhilfe für die Bedenken geschaffen wird. Anderenfalls ergreifen die Mitglieder der Artikel-29-Datenschutzgruppe geeignete Maßnahmen wie die Anrufung nationaler Gerichte, und kündigen eine mögliche Überprüfung des Privacy Shields durch den Europäischen Gerichtshof an.

Die Kritik der Artikel-29-Datenschutzgruppe ändert momentan aber nichts an der noch bestehenden Wirksamkeit des Privacy Shields. Das Instrument kann also weiterhin als Rechtsgrundlage für Datenübermittlungen in die USA herangezogen werden, solange kein Gericht rechtswirksam die Unwirksamkeit von Privacy Shield festgestellt hat.

Derzeit ist das Privacy Shield nicht der einzige Datentransfermechanismus, an dessen Wirksamkeit gezweifelt wird. Schrems ging in einem zweiten Verfahren gegen die EU-Standardvertragsklauseln vor. Nun prüft der EuGH im Rahmen eines Vorabentscheidungsersuchen durch den Obersten Irischen Gerichtshof, ob die EU-Standardverträge eine ausreichende Garantie hinsichtlich des Schutzes der Privatsphäre für eine Übermittlung personenbezogener Daten in Drittländern darstellen. In Zukunft wird sich einiges auf dem Gebiet der Grundlagen für einen rechtskonformen Datenaustausch in Drittländer tun, und wir halten Sie diesbezüglich selbstverständlich auf dem Laufenden.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir berichten über die digitale Überwachung am Arbeitsplatz.

Neues zur Arbeitnehmerüberwachung aus Straßburg

Der europäische Gerichtshof für Menschenrechte in Straßburg hatte am 05.09.2017 über das Recht auf Achtung des Privat- und Familienlebens aus Art. 8 EMRK am Arbeitsplatz zu entscheiden. Es ging um die Rechtmäßigkeit der Kündigung des rumänischen Staatsangehörigen Mogdan Mihai Bărbulescu, der am Arbeitsplatz zunächst auf Anweisung seines Arbeitsgebers einen Yahoo Messenger installierte um Kundenanfragen zu beantworten und diesen im Weiteren auch für private Kommunikation nutzte. Kurz vor der Kündigung des Beschwerdeführers wurde im Unternehmen über die Entlassung einer Angestellten aus disziplinarischen Gründen informiert, nachdem sie Internet, Telefon und Kopierer für private Zwecke genutzt hatte. Der Beschwerdeführer stritt die Anschuldigung ab, den Messenger Dienst für private Kommunikation genutzt zu haben, jedoch konnte der Arbeitgeber ihm ein 45-seitiges Transkript seiner Online-Gespräche entgegenhalten, welches Kommunikation mit seinem Bruder und seiner Verlobten zu persönlichen und intimen Themen enthielt. Der Arbeitgeber sprach Herrn Bărbulescu am 1. August 2007 die Kündigung aus, die der Beschwerdeführer vor den nationalen Gerichten jedoch angriff, aufgrund der Überwachung am Arbeitsplatz, die sein Recht auf Privatsphäre und private Kommunikation verletzen würde. Die nationalen Gerichte wiesen das Begehren des Beschwerdeführers, die Rechtswidrigkeit der Kündigung festzustellen, ab. Ebenso verneinte die Kammer des EGMR im Januar 2016 eine Verletzung des Art. 8 EMRK, mit der Begründung, die nationalen Gerichte hätten einen fairen Ausgleich zwischen den betroffenen Interessen auf Achtung des Privatlebens und der Korrespondenz einerseits sowie den Interessen des Arbeitgebers andererseits hergestellt. Im Juni 2016 beantragte Herr Bărbulescu eine Verweisung an die Große Kammer des EGMR, die nun auch anders als zuvor urteilte.

Entscheidung des EGMR: 

Das Gericht stellte zunächst fest, dass Art. 8 EMRK anwendbar ist, denn obwohl die Kommunikation am Arbeitsplatz stattfand ist das Konzept von „Privatleben“ für diesen Fall anwendbar. Auch die Vorgaben des Arbeitgebers können das Privatleben am Arbeitsplatz nicht auf null reduzieren, sondern nur auf das Nötigste beschränken. 

Im Weiteren stellt das Gericht fest, dass die nationalen Gerichte es versäumt haben festzustellen, ob der Beschwerdeführer über die Überwachungsmaßnahmen und deren Natur informiert worden sei. Der vorherige Hinweis auf eine ähnliche Entlassung wegen privater Internutzung am Arbeitsplatz sei nicht ausreichend, um den Angestellten zu warnen bzw. zu informieren. Ein Arbeitnehmer muss vor Beginn der Überwachungsmaßnahmen über die Art und das Ausmaß derselben informiert werden, um sich bei der privaten Kommunikation am Arbeitsplatz darüber bewusst zu sein, dass private und intime Details möglicherweise mitgelesen werden. Vor allem mit Blick auf das Ausmaß der Überwachung und den Eingriff in die Rechte des Arbeitnehmers hätte die Frage nach einer ausreichenden Warnung umfassend beantwortet werden müssen, ebenso wie die fehlende Beurteilung der nationalen Gerichte, ob überhaupt legitime Gründe zur Rechtfertigung dieses massiven Eingriffs zur Verfügung standen. Auch haben es die Gerichte versäumt zu hinterfragen, ob das gleiche Ziel mit milderen Mitteln hätte erreicht werden können, was aber im Hinblick auf das eingriffsintensivste Disziplinarmittel, nämlich der Kündigung, unbedingt hätte erfolgen müssen. Aufgrund dieser Feststellungen stellt der EGMR fest, dass die Gerichte die widerstreitenden Interessen der Beteiligten nicht in angemessenen Ausgleich gebracht haben und Rumänien damit seine Schutzpflichten gegenüber dem Beschwerdeführer verletzt hat. Neben diesen konkreten Feststellungen der Versäumnisse der rumänischen Gerichte, geht aus diesem Urteil deutlich hervor, dass Überwachungsmaßnahmen am Arbeitsplatz zwar möglich sind, über sie aber zuvor informiert werden muss und sie in einem angemessenen Verhältnis zum Zweck stehen müssen. Da auch Deutschland Mitglied des Europarates ist, müssen sich auch die hiesigen Gerichte und Arbeitgeber an diese Vorgaben halten. 

Rechtsprechung deutscher Gerichte zur Arbeitnehmerüberwachung

Auch die hiesige Rechtsprechung war in den vergangenen Jahren immer wieder mit dieser Thematik befasst und hat teilweise recht unterschiedliche Entscheidungen getroffen: Während das LAG Berlin-Brandenburg 2016 urteilte, dass im Rahmen von Kündigungsschutzprozessen die Einträge der aufgerufenen Internetseiten in einem Internetbrowser, der auf dem Dienstrechner installiert ist, ausgewertet werden dürfen, um eine exzessive private Internetnutzung am Arbeitsplatz zu beweisen, fällt die Einschätzung des BAG zu Keyloggern anders aus. Keylogger können auf einem Rechner installiert werden, um unbemerkt Tastenanschläge zu registrieren und in regelmäßigen Abständen Bildschirmfotos zu machen. In einem Kündigungsprozess, versuchte der Arbeitgeber die private Nutzung am Arbeitsplatz mithilfe der Dokumentation des Keyloggers zu beweisen. Das BAG sah darin aber einen massiven Eingriff in die Persönlichkeitsrechte des Arbeitnehmers und betrachtete die anlasslose und gleichzeitig sehr intensive Überwachung der Arbeitnehmer als unverhältnismäßig. Damit war ein Beweisverwertungsverbot einschlägig und die gesammelten Beweise konnten im Prozess nicht verwendet werden. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären, warum der Datenschutz von Facebook nach Ansicht des Berliner Gerichts nicht ausreichend ist.

Facebook verliert Prozess in 2. Instanz: kein ausreichender Datenschutz! 

Einführung

Das Kammergericht Berlin entschied mit Urteil vom 22. September 2017 (Az. 5 U 155/14), dass Facebook die personenbezogenen Daten deutscher Kunden im App-Zentrum nicht ausreichend schützt und bestätigte die vorherige Entscheidung des Landgerichts Berlin vom November 2014. Facebook ist nun verpflichtet, in Sachen Datenschutz nachzubessern und den Verbraucher über die Nutzungsbedingungen für Spiele aus seinem App-Zentrum besser zu informieren.

Der Sachverhalt

Facebook-Nutzer können über das App-Zentrum kostenlos Onlinespiele anderer Anbieter spielen. Im November 2012 wurde in dem App-Zentrum u.a. auch das Spiel „The Ville“ angeboten, für das Nutzern zu Beginn des Spiels unter dem Button „Sofort spielen“ Hinweise bezüglich der Übermittlung ihrer personenbezogenen Daten an den Betreiber des Spiels angezeigt wurden, jedoch ohne Angaben über den Zweck der Datenverarbeitung. Die personenbezogenen Daten umfassten die E-Mail-Adresse, Statusmeldungen und andere Informationen. Diese Konstellation traf auch auf drei weitere Spiele zu. Bei dem Spiel „Scrabble“ hieß es: „Diese Anwendung darf Statusmeldungen Fotos und mehr in deinem Namen posten“. 

Der Bundesverband der Verbraucherzentralen (VZBV) mahnte Facebook ab und klagte anschließend mit der Begründung, dass die Hinweise zu knapp seien, um den Verbraucher in ausreichendem Maße über die Datenverarbeitung zu informieren. Ferner würde der Hinweis keine rechtswirksame Einwilligung darstellen. Somit sei Facebook nicht befugt, die personenbezogenen Daten der Nutzer an den Anbieter zu übermitteln. Das Landgericht gab dem VZBV Recht. Facebook ging daraufhin in Berufung, scheiterte nun allerdings auch vor dem Kammergericht.

Die Entscheidungen des KG Berlin

Zum einen entschied das Gericht, dass das deutsche Datenschutzrecht Anwendung findet, obwohl es sich bei Facebook um ein Unternehmen mit Sitz in Irland handelt. Grund dafür sei, dass sich das Angebot auch an deutsche Nutzer richte und sich eine in Hamburg sitzende Schwestergesellschaft für die Förderung des Anzeigengeschäfts verantwortlich zeichne. Allein in dem Werben um Werbekunden und deren Unterstützung durch die Facebook Germany GmbH liege eine hinreichend effektive und tatsächliche Tätigkeit einer Niederlassung. Insgesamt unterliege Facebook also hier dem deutschen Datenschutzrecht. 

Auch im Übrigen stimmt das Kammergericht der Entscheidung der Vorinstanz zu. Ein Rechtsverstoß sei darin zu sehen, dass eine Einwilligung des Nutzers bezüglich der Übermittlung seiner personenbezogenen Daten fehle. Allein durch das Anklicken des Buttons „Sofort spielen“ werde der Nutzer nicht ausreichend darüber informiert, dass er dadurch in die Übermittlung seiner Daten einwillige. Der Nutzer werde diesbezüglich nicht einheitlich informiert. Ferner dürfe auch nicht von einer Generaleinwilligung des Nutzers über die Übermittlung seiner Daten an andere Betreiber ausgegangen werden. 

Das Gericht beanstandete auch die Mitteilung bezüglich der Berechtigung zum Posten im Namen des Nutzers. In diesem Zusammenhang stellte die Einräumung derartiger Berechtigungen einen Verstoß gegen das Transparenzgebot aus dem AGB-Recht gemäß § 307 Abs. 1 S. 2 BGB und gegen Vorgaben der EU-Datenschutzrichtlinie 95/46/EG dar. Zum einen sei zu unbestimmt und unklar, in welchem Umfang und mit welchem Inhalt sich diese Posts durch den Spielebetreiber geschehen sollten, zumal zum anderem von der Formulierung auch Werbung für sexuell anzügliche Produkte umfasst sei. 

Das Urteil des Kammergerichts ist allerdings noch nicht rechtskräftig. Es ist möglich, dass Facebook in Revision geht.

Anforderungen an eine wirksame Datenschutzeinwilligungserklärung

Gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit eine gesetzliche Grundlage dafür vorliegt oder der Betroffene darein eingewilligt hat. Die Anforderungen an eine wirksame Einwilligung regelt § 4a BDSG. 

Zunächst muss eine Einwilligung freiwillig erfolgen, also auf einer autonomen Entscheidung des Betroffenen beruhen. Dies wird dadurch gewährleistet, indem man dem Betroffenen eine Alternative zur Einwilligung bietet. Ferner hat derjenige, der die personenbezogenen Daten erhebt, verarbeitet oder nutzt den Zweck der Datenerhebung, -verarbeitung oder –nutzung anzugeben. Das Erfordernis der Transparenz zeichnet sich dadurch aus, dass gerade keine pauschale Einwilligung für noch unbestimmte Zwecke in der Zukunft eingeholt werden können. Zudem muss die Einwilligung grundsätzlich schriftlich eingeholt werden. Unter Umständen ist es erforderlich, den Betroffenen auch auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Ebenso ist eine besondere optische Hervorhebung unerlässlich, falls die Einwilligung zusammen mit anderen Erklärungen erteilt werden soll. 

Außerdem nutzen viele Unternehmer vorformulierte Einwilligungserklärungen, um sie bei einer Vielzahl von Verträgen anzuwenden. Wenn die Einwilligung in AGB eingebaut wird, muss sie zudem den Anforderungen der §§ 305 ff. BGB genügen. Insbesondere darf kein Verstoß gegen § 307 Abs. 1 BGB vorliegen, nach dem die Klausel den Betroffenen erstens nicht entgegen den Geboten von Treu und Glauben unangemessen benachteiligen darf und zweitens die Erklärung gemäß des Transparenzgebots für den Vertragspartner klar und verständlich sein muss.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!