Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

in unserem Datenschutz-Newsletter im März 2020 haben wir über ein Bußgeld in Höhe von 51.000 Euro berichtet, das die Datenschutz-Aufsichtsbehörde in Hamburg gegen die Facebook Germany GmbH verhängt hat, da diese ihrer Pflicht, ihren Datenschutzbeauftragten bei der Behörde zu melden, nicht nachgekommen war. Der Fall zeigt beispielhaft, dass die Regelungen bezüglich der Benennung und Meldung des Datenschutzbeauftragten von den Aufsichtsbehörden ernst genommen werden und dass Unternehmen bei Verstößen empfindliche Bußgelder drohen. Unternehmen ist deshalb zu empfehlen, sich mit den einschlägigen Vorschriften vertraut zu machen. Wir haben den Fall zum Anlass genommen, in diesem Monat in unserem Schwerpunktthema über die Benennung und Meldung eines Datenschutzbeauftragten sowie seine Stellung im Unternehmen zu informieren.

Außerdem berichten wir in gewohnter Weise auch über andere aktuelle Geschehnisse aus dem Datenschutzrecht, zum Beispiel über eine Überprüfung des hessischen Datenschutzbeauftragten von Apples Schutzmaßnahme gegen das Coronavirus, bei seinen Kunden vor dem Betreten eines Apple-Stores Fieber zu messen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Die Benennung des Datenschutzbeauftragten und seine Stellung im Unternehmen

„Die Benennung des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörde sind Pflichten, die die DSGVO ernst nimmt.“ Diese Aussage trifft der Hamburgische Beauftragte für Datenschutz- und Informationssicherheit in seinem Tätigkeitsbericht für 2019. Der Datenschutzbeauftragte wirkt auf die Einhaltung der datenschutzrechtlichen Vorgaben hin und nimmt damit eine wichtige Rolle im Unternehmen ein.

Bereits im Oktober 2017 haben wir in unserem Datenschutz-Newsletter über die Funktion des Datenschutzbeauftragten unter der DSGVO und dem BDSG-neu berichtet und sind dabei insbesondere auf die Rechtsänderungen im Zusammenhang mit der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) eingegangen. In unserem aktuellen Beitrag möchten wir schwerpunktmäßig auf die Stellung des Datenschutzbeauftragten im Unternehmen und die Meldung seiner Kontaktdaten an die Aufsichtsbehörde eingehen. Wir berücksichtigen außerdem die geänderten Benennungsvoraussetzungen aufgrund des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU vom 20.11.2019.

Zum vollständigen Schwerpunktthema

BGH zu Cookie-Einwilligung:

Die wirksame Einholung der datenschutzrechtlichen Einwilligung in die Speicherung von Cookies mittels eines voreingestellten Ankreuzkästchens ist nicht möglich. Soweit die nationale Regelung gem. § 15 Telemediengesetz (TMG) bisher so interpretiert wurde, dass eine Widerspruchslösung bei Cookies zu Werbezwecken ausreichend sei, bedarf es einer europarechtskonformen Auslegung. Zu diesem Ergebnis kommt der Bundesgerichtshof (BGH) in seinem Urteil vom 28. Mai 2020, wobei die vollständige Urteilsbegründung noch nicht veröffentlicht ist (BGH, Urt. v. 28.05.2020, Az.: I ZR 7/16).

Der BGH knüpft damit inhaltlich an die Entscheidung des Europäischen Gerichtshofs vom 1. Oktober 2019 (wir berichteten) an, bei der ebenfalls von einem Einwilligungserfordernis ausgegangen wurde, und setzt die entsprechenden Vorgaben auf nationaler Ebene um.

Die rechtliche Problematik bestand in der Vergangenheit darin, dass zur Frage der Zulässigkeit von Cookies unterschiedliche rechtliche Vorgaben zu beachten sind, die sich unter anderem aus der ePrivacy-Richtlinie aus dem Jahr 2009 (RL 2009/136/EG) ergeben, die perspektivisch durch die ePrivacy-Verordnung abgelöst werden soll. Die ePrivacy-Richtlinie gilt jedoch nicht unmittelbar in Europa, sondern muss, wie jede andere europäische Richtlinie, zunächst in nationales Recht umgesetzt werden. In Deutschland wurde die ePrivacy-Richtlinie nie gesondert umgesetzt. Die Bundesregierung stand stets auf dem Standpunkt, die zuvor zur Umsetzung der Datenschutz-Richtlinie getroffenen Regelungen im Telemediengesetz (TMG) seien ausreichend, um auch die aktualisierten Anforderungen der ePrivacy-Richtlinie zu erfüllen. Diese Position ist in der Folge auch von der EU-Kommission akzeptiert worden, die gegen Deutschland insoweit kein Vertragsverletzungsverfahren eingeleitet hat. Nach dem Wortlaut von § 15 TMG genügt aber für Werbezwecke unter Nutzung pseudonymisierter Profile eine Widerspruchslösung (Opt-Out).

Der BGH greift den Hintergrund der Regelung in § 15 TMG auf und kommt zu dem Ergebnis, dass die Regelung faktisch gegen ihren Wortlaut ausgelegt werden muss: „§ 15 Abs. 3 Satz 1 TMG ist […] richtlinienkonform dahin auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist. Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar.“ Der BGH weist in diesem Zusammenhang auch ausdrücklich darauf hin, dass seine Wertungen auch unter Anwendung der DSGVO gilt, da sich die diesbezüglichen Vorgaben aus Art. 4 Nr. 11 DSGVO ergeben.

Durch die Entscheidung des BGH dürfte jetzt endgültig geklärt sein, dass auch unter Berufung auf die Vorschrift in § 15 Abs. 3 TMG keine Möglichkeit mehr besteht, es bei Marketing- und Analysecookies bei einer Widerspruchslösung oder einem bloßen Hinweis zu belassen. Das Ergebnis hatte sich nach der Entscheidung des EuGH bereits angekündigt und kam letztlich erwartungsgemäß. Unternehmen, die sich datenschutzkonform verhalten wollen, sollten jetzt nochmals prüfen, inwieweit Werbecookies auf den eigenen Webauftritten verwendet werden und gegebenenfalls kurzfristig auf eine Einwilligungslösung umstellen bzw. auf Werbecookies verzichten. Es kann wohl nicht damit gerechnet werden, dass jetzt noch eine große Umstellungsfrist gewährt wird.

Microsoft mahnt Berliner Datenschutzbeauftragten ab

Der US-Konzern Microsoft hat nach Berichten von T-Online die Beauftragte für Datenschutz und Informationsfreiheit abgemahnt und aufgefordert Warnhinweise zur Nutzung von Microsoft-Produkten für Videokonferenzen zu unterlassen. Vorangegangen war eine kritische Bewertung zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen, die von der Berliner Aufsichtsbehörde veröffentlicht wurde. Die Behörde teilte in ihrer Bewertung mit, dass einige häufig eingesetzte Produkte bestimmter Anbieter die von ihr aufgeführten Bedingungen für einen rechtskonformen Einsatz nicht erfüllen würden. Namentlich wurden in diesem Zusammenhang die Dienste Microsoft Teams, Skype Communications und Zoom Video Communications benannt. Eine konkrete Begründung, warum diese Dienste nicht datenschutzkonform eingesetzt werden können, enthielt die Bewertung nicht.

In Ergänzung zu der Abmahnung hat Microsoft zudem Anfang Mai 2020 eine eigene Stellungnahme veröffentlicht, in der ausführlich auf datenschutzrechtliche Bedenken eingegangen wird. Microsoft erklärt in diesem Zusammenhang zu der Bewertung der Aufsichtsbehörde, „der Vermerk kam ohne Anhörung oder sonstige Einbeziehung von Microsoft zustande, enthält in Bezug auf Microsoft Produkte missverständliche Aussagen und legt zum Teil unzutreffende datenschutzrechtliche Wertungen zugrunde.“

Die Aufsichtsbehörde hat am 25.05.2020 in einer Presseerklärung zu der Abmahnung von Microsoft Stellung genommen. Darin wird der Erhalt der Abmahnung bestätigt; zudem wird erklärt, man habe zwischenzeitlich die ursprüngliche Bewertung vorübergehend von der Homepage entfernt, um die von Microsoft vorgebrachten Vorwürfe zu prüfen. Im Ergebnis hält die Aufsichtsbehörde aber an ihrer Auffassung fest und ergänzt, „die Überprüfung der Dokumente durch die Berliner Aufsichtsbehörde hat keinen inhaltlichen Änderungsbedarf der Empfehlungen ergeben, es wurden nur einige geringfügige Konkretisierungen an den Texten vorgenommen.“

Es bleibt abzuwarten, ob sich Microsoft mit dieser Antwort nicht zufriedengeben wird. Sollte Microsoft den Rechtsweg tatsächlich beschreiten und gerichtlich gegen die Bewertung der Aufsichtsbehörde vorgehen, könnte richterlich geklärt werden, welche datenschutzrechtlichen Anforderungen beim Einsatz von Videokonferenz-Tools zu beachten sind.

LAG Nürnberg: Regelungen des BDSG zum Datenschutzbeauftragten sind mit der DSGVO vereinbar

Das Landesarbeitsgericht Nürnberg hat in einem Urteil vom 19.02.2020 (Az. 2 Sa 274/19) entschieden, dass die nationalen Regelungen im deutschen Bundesdatenschutzgesetz (BDSG), nach denen einem internen Datenschutzbeauftragten nur aus wichtigem Grund gekündigt und er nur aus wichtigem Grund von seinem Amt abberufen werden kann, mit der DSGVO vereinbar seien.

Die Regelung findet sich in § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG. In einer arbeitsgerichtlichen Auseinandersetzung, in der sich die Datenschutzbeauftragte eines Unternehmens gegen ihre Kündigung und den Widerruf ihrer Benennung als Datenschutzbeauftragte gewehrt hatte, hatte ein Unternehmen geltend gemacht, die Regelung sei unwirksam, da sie nicht den Vorgaben der DSGVO entspreche.

Das Gericht hält die Bestimmung in seinem Urteil aber für wirksam. Zwar gelte die DSGVO als europäische Verordnung unmittelbar und zwingend, sodass die Mitgliedstaaten von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen dürften, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulasse und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren dürften. Eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, um einen besonderen Kündigungsschutz zu regeln, existiere in der DSGVO nicht. Die Auslegung ergebe aber, dass die DSGVO spezifische arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulasse, solange das Schutzniveau der DSGVO nicht unterschritten werde. Im Bereich der spezifisch arbeitsrechtlichen Regelungen handele die EU nach Art. 153 Abs. 2 AEUV durch Richtlinien und nicht durch Verordnung, was dafürspreche, dass die DSGVO keine genuinen abschließenden arbeitsrechtlichen Regelungen treffe. Als weiteres Argument nennt das Gericht den Wortlaut des Art. 38 Abs. 3 Satz 2 DSGVO, wonach der Datenschutzbeauftragte nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf. Es dürfe deshalb also nicht gekündigt werden. Art. 38 DSGVO enthalte aber keine spezifischen Regelungen des Kündigungsschutzes für Datenschutzbeauftragte und verbiete daher keinen darüberhinausgehenden Kündigungsschutz in nationalen Vorschriften. Dies diene auch dem in Erwägungsgrund 97 der DSGVO festgelegten Ziel der Unabhängigkeit des Datenschutzbeauftragten.

Gegen das Urteil wurde am 16.04.2020 Revision beim Bundesarbeitsgericht eingelegt.

Datenleck bei der österreichischen Verwaltung

In Österreich waren Daten von mindestens einer Million Menschen jahrelang öffentlich im Netz abrufbar. Auf diesen Vorfall haben die Datenschutzorganisation epicenter.works und die österreichische Partei NEOS aufmerksam gemacht.

Über eine Online-Datenbank der österreichischen Verwaltung seien sensible personenbezogene Daten wie private Adressen, Geburtsdaten und Angaben zum Steuerverfahren öffentlich zugänglich gewesen. Aus den Daten ließe sich beispielsweise ableiten, wann Steuererklärungen eingereicht und ob Beihilfen bezogen wurden. Es habe sich bei der Datenbank um das „Ergänzungsregister für sonstige Betroffene“ gehandelt, in dem etwa Selbstständige aufgeführt werden, die von dem Vereins- und Unternehmensregister nicht erfasst werden. Die Datenbank sei 2004 von der österreichischen Regierung eingerichtet und später von der Datenschutzbehörde der Regierungszentrale und dem Digital- und Wirtschaftsministerium geführt worden. Das System sei mittlerweile nicht mehr am Netz.

Nach dem bisherigen Kenntnisstand liege die Zahl der betroffenen Personen bei ungefähr 11 Prozent der Bevölkerung von Österreich. Betroffen seien Personen, die andere Einkünfte als aus nicht-selbstständiger Arbeit haben und hatten; dazu zähle auch der österreichische Bundespräsident.

Hessischer Datenschutzbeauftragter zum Fiebermessen im Apple Store

Seit dem 11.05.2020 darf Apple bundesweit seine Geschäfte wieder öffnen. Als Schutzmaßnahme gegen die Ausbreitung des Coronavirus sollen jedoch laut der Frankfurter Allgemeinen Mitarbeiter mit Infrarot-Thermometern die Körpertemperatur aller Kunden messen, bevor diese die Läden betreten. Darauf wurde der FAZ zufolge nun der hessische Beauftragte für Datenschutz und Informationsfreiheit Michael Ronellenfitsch aufmerksam. Mitarbeiter des Datenschutzbeauftragten hätten am 11.05.2020 inkognito einen Apple-Store in Frankfurt besucht und das Fiebermessen beobachtet. Dabei sei gesehen worden, dass auch Kunden das Geschäft betreten durften, die die Fiebermessung verweigerten.

Es werde nun von der hessischen Datenschutz-Aufsichtsbehörde geprüft, ob Apple durch die Vorgehensweise gegen datenschutzrechtliche Vorschriften verstoße. Zudem solle der Fall am 12.05.2020 bei der Konferenz der Datenschutzbeauftragten der Länder besprochen worden sein. Konkrete Aussagen der Behörde zu dem Verfahren gebe es derzeit nicht.

Zunächst bleibt damit abzuwarten, wie die Aufsichtsbehörde das Fiebermessen in den Läden datenschutzrechtlich bewertet. Ihre Einschätzung dürfte auch für andere Unternehmen interessant sein, die selbst ähnliche Maßnahmen gegen die Ausbreitung des Coronavirus ergreifen.