Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

der Datenschutz-Newsletter von BRANDI erscheint in diesem Monat optisch in neuer Gestaltung – eine Folge unseres „ReBRANDIngs“, das auch zu Änderungen bei der Gestaltung unserer Homepage und unseres Logos geführt hat. Wir laden Sie herzlich zu einem Blick auf unsere Homepage ein, um unser neues Corporate Design kennenzulernen.

Inhaltlich berichten wir in unserem Datenschutz-Newsletter wie gewohnt über aktuelle datenschutzrechtliche Themen. In unserem Schwerpunktthema zeigen wir in diesem Monat einige datenschutzrechtliche Besonderheiten bei der Verarbeitung personenbezogener Daten von Bewerbern auf.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Umgang mit Bewerberdaten

Der Umgang mit personenbezogenen Daten von Bewerbern und Arbeitnehmern ist für Arbeitgeber unerlässlich. Der Arbeitgeber muss beispielsweise über die Einstellung eines Bewerbers entscheiden und im Falle der Einstellung den Einsatz des neuen Arbeitnehmers in seinem Unternehmen planen. Dabei haben Bewerber und Arbeitnehmer ein Interesse an dem Schutz ihrer personenbezogenen Daten.

Datenschutzrechtlich ergeben sich bei der Verarbeitung personenbezogener Daten von Bewerbern zahlreiche Besonderheiten, die im Folgenden beispielhaft erläutert werden sollen.

Zum vollständigen Schwerpunktthema

Änderung des Telemediengesetzes (TMG)

Der Bundestag hat am 02.07.2020 den Entwurf der Bundesregierung „zur Änderung des Telemediengesetzes und weiterer Gesetze“ in der vom Wirtschaftsausschuss geänderten Fassung (19/20664) beschlossen. Darüber informiert der Bundestag auf seiner Internetseite.

Die Richtlinie (EU) 2018/1808 vom 14.11.2018, durch die die Richtlinie 2010/13/EU (Richtlinie über audiovisuelle Mediendienste, „AVMD-Richtlinie“) geändert worden ist, wird durch die Änderung in deutsches Recht umgesetzt.

Die Änderungen betreffen vor allem Anbieter audiovisueller Mediendienste und Videosharingplattform-Dienste. Anbieter müssen künftig neue Verfahren zum Umgang mit Nutzerbeschwerden einführen.

Im Rahmen dieser Änderung erfolgte keine Anpassung des § 15 TMG, nach dessen Abs. 3 ein Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. In der Vergangenheit war diese Regelung teilweise so interpretiert worden, dass eine Widerspruchslösung bei Cookies zu Werbezwecken ausreichend sei.

Nachdem der Europäische Gerichtshof (EuGH) in einem Urteil vom 01.10.2019 (EuGH, Az. C‑673/17) entschieden hat, dass für das Setzen von Tracking- und Werbecookies eine aktive Einwilligung der Nutzer erforderlich ist, hatte sich der Bundesgerichtshof (BGH) dem insofern angeschlossen, als seiner Auffassung nach § 15 TMG einer europarechtskonformen Auslegung bedürfe.

DSK: Pressemitteilung zum Urteil des EuGH zur Datenübermittlung in Drittstaaten

In dem Schwerpunktthema unseres letzten Datenschutz-Newsletters im Juli 2020 haben wir über ein Urteil des Europäischen Gerichtshofs (EuGH) berichtet, in dem der EuGH das EU-US Privacy Shield für unwirksam erklärt und sich außerdem zu den EU-Standardvertragsklauseln geäußert hat (EuGH, Urt. v. 16.07.2020, Az. C-311/18). Die Datenschutzkonferenz („DSK“), der Zusammenschluss der Datenschutzbehörden der Länder und des Bundes, hat sich nun in einer Pressemitteilung zu dem Urteil geäußert.

Die DSK kommt insgesamt zu dem Schluss, dass das Urteil die Datenschutzgrundrechte der Bürger in der Europäischen Union stärke. Sie empfiehlt Verantwortlichen, ihre Datenübermittlung in Drittstaaten unverzüglich zu überprüfen. Der EuGH habe keine „Schonfrist“ eingeräumt.

Während die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US Privacy Shields seit dem Urteil unzulässig ist, können EU-Standardvertragsklauseln grundsätzlich weiterhin verwendet werden, wobei im Einzelfall zu bewerten ist, ob die Rechte der betroffenen Personen in dem Drittstaat ein gleichwertiges Schutzniveau wie in der EU genießen. Die DSK ist der Ansicht, dass nach dem Urteil des EuGH bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Schutzmaßnahmen grundsätzlich nicht ausreichen.

Die Wertungen des Urteils seien auch auf andere Garantien nach Art. 46 DSGVO anwendbar, zum Beispiel auf verbindliche interne Datenschutzvorschriften („binding corporate rules“, „BCR“). Es seien daher auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen zu vereinbaren, sofern die Rechte der betroffenen Personen in dem Drittstaat nicht ein gleichwertiges Schutzniveau wie in der EU genießen. Obwohl verbindliche interne Datenschutzvorschriften durch die zuständige Aufsichtsbehörde genehmigt werden, sollten Unternehmen darauf achten, sich nicht allein auf die Genehmigung im Sinne einer unbeschränkten Freigabe einer Datenübermittlung zu verlassen, sondern bei Bedarf zusätzliche Maßnahmen zu treffen.

Die DSK kündigte an, dass sich die deutschen Aufsichtsbehörden in ihrem Vorgehen und ihren weiteren Entscheidungen über Datenübermittlungen in Drittstaaten mit dem Europäischen Datenschutzausschuss (EDSA) abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten würden. Sie befürworte zudem die Positionierung des EDSA, der auf seiner Internetseite Antworten auf häufige Fragen zu den Konsequenzen des Urteils veröffentlicht hat.

Die Stellungnahmen der DSK haben keinen verbindlichen Rechtscharakter. Sie zeigen aber, wie sich die Datenschutzbehörden zu bestimmten Themen positionieren, und können deshalb für Unternehmen wertvolle Hinweise für die Umsetzung datenschutzrechtlicher Anforderungen liefern.

Aufsichtsbehörden: Überprüfung von Zeitungsverlagen

Die Aufsichtsbehörden haben angekündigt, die Online-Auftritte von Zeitungsverlagen verstärkt darauf zu prüfen, inwieweit die neuen Vorgaben zum Einsatz von Cookies korrekt umgesetzt werden. Begründet wird die Fokussierung auf Zeitungsverlage mit dem besonderen Vertrauen, das der Presse von der Öffentlichkeit entgegengebracht wird. Wir wissen bereits von einem konkreten Fall, bei dem die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) die Internetseite eines Zeitungsverlags genauer prüft und Nachbesserungen verlangt, wobei Anlass für diese Überprüfung eine Bürgerbeschwerde war.

Bei ihrer Überprüfung hat die LDI NRW insbesondere untersucht, ob für das Setzen von Trackingcookies wirksame Einwilligungen der Nutzer eingeholt wurden. Hinsichtlich der technischen Umsetzung wurde darauf geachtet, ob Tracking-Cookies tatsächlich erst gesetzt werden, nachdem der Nutzer seine entsprechende Einwilligung erteilt hat. Auf die bei der Überprüfung aufgetauchten Mängel weist die Aufsichtsbehörde in einem Schreiben hin.

Der Fall zeigt, dass die datenschutzrechtlichen Anforderungen an das Setzen von Tracking- und Werbecookies von der LDI NRW ernstgenommen werden. Unternehmen sollten bei der Umsetzung auf ihren Internetseiten darauf achten, Tracking- und Werbecookies erst zu setzen, nachdem der Nutzer seine entsprechende Einwilligung erteilt hat. Es ist davon auszugehen, dass die Aufsichtsbehörden perspektivisch die Kontrollen auch auf weitere Branchen ausdehnen werden.

Datenschutzverletzungen bei Corona-Kontaktverfolgung

Angesichts der Corona-Pandemie sind Restaurants und Cafés sowie andere Gewerbebetriebe verpflichtet, die Kontaktdaten ihrer Gäste zu erheben. Dass diese Daten besonders geschützt werden sollten, zeigt ein aktueller Fall, bei dem Sicherheitslücken bei einem Dienstleister für Restaurants dazu geführt haben, dass Millionen persönliche Daten frei im Internet abrufbar gewesen sind. Darunter waren auch mehr als 87.000 Einträge, die der Kontaktverfolgung im Falle einer Corona-Infektion dienen sollten. Die „Corona-Gästelisten“ sind nun auch Gegenstand von Überprüfungen der Datenschutzaufsichtsbehörden.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat mehrere Bußgeldverfahren gegen Gaststätten-Betreiber eingeleitet, weil diese die Kontaktdaten von Gästen nicht vertraulich behandeln. Darüber informiert er in einer Pressemitteilung.

Im Juni 2020 sind in Hamburg stichprobenartig 100 Gewerbe- und Gaststättenbetriebe hinsichtlich der datenschutzkonformen Kontaktdatenerhebung überprüft worden. Der Schwerpunkt lag damals auf der Sensibilisierung und Beratung vor Ort. In einem Drittel der Fälle wurden unzulässige, offen zugängliche Listen gefunden, die nicht ausreichend vor der Kenntnisnahme unbefugter Dritter geschützt gewesen waren. Die Gastronomen sind dann jeweils über die Unzulässigkeit und die daraus resultierenden Missbrauchsgefahren informiert worden. Die Unternehmen haben ausführliches Informationsmaterial inklusive eines Musterformulars erhalten, das auch auf der Internetseite des Hamburgischen Datenschutzbeauftragten heruntergeladen werden kann. Die Aufsichtsbehörde hatte seinerzeit erklärt, dass Sanktionen in diesem ersten Schritt nicht zu befürchten seien, da die Branche aufgrund der Corona-Pandemie ohnehin schon schwere Nachteile erleiden müsse.

Bei den Gaststätten, bei denen in der ersten Überprüfung Mängel festgestellt worden waren, haben zwischenzeitlich Nachkontrollen stattgefunden. In den meisten Fällen wurden nach Angaben der Datenschutzbehörde die Beanstandungen abgestellt. In vier Fällen wurden jedoch Bußgeldverfahren eingeleitet, da die Mängel nicht behoben worden sind. Die Gaststättenbetreiber hatten nicht plausibel darlegen können, woran die datenschutzkonforme Umsetzung gescheitert ist. Sie haben sich nach Einschätzung der Aufsichtsbehörde auch in der Nachkontrolle nicht einsichtig gezeigt. Die pandemiebedingten erheblichen wirtschaftlichen Schwierigkeiten der Gastronomiebranche würden es nicht rechtfertigen, wenn nach direkter Ansprache durch die Datenschutzbehörde weiter daran festgehalten würde, die Anschriften und Telefonnummern der  Besucher öffentlich auszulegen.

In ähnlicher Weise berichtet auch die LDI NRW von der stichprobenartigen Überprüfung von 30 Gastronomie- und Friseurbetrieben in Nordrhein-Westfalen. Sie habe bei ihrer Überprüfung jedoch keine erheblichen Verstöße festgestellt.

Unternehmen, die Kontaktdaten ihrer Gäste erheben, sollten auf eine datenschutzkonforme Umsetzung achten. Die Vorgehensweise der Aufsichtsbehörden zeigt, dass insbesondere bereits erteilte Hinweise der Datenschutzbehörden nicht ignoriert, sondern umgesetzt werden sollten, um Bußgeldverfahren zu vermeiden.

LAG Berlin-Brandenburg: Zeiterfassungssystem mittels Fingerabdruck nur mit Einwilligung des Arbeitnehmers

Das Landesarbeitsgericht Berlin-Brandenburg hat entschieden, dass ein Arbeitgeber ein Zeiterfassungssystem, das auf Basis von Fingerabdrücken funktioniert, nur mit der ausdrücklichen Einwilligung der Arbeitnehmer betreiben darf (LAG Berlin-Brandenburg, Urt. v. 04.06.2020, Az. 10 Sa 2130/19).

In dem Fall hatte ein Arbeitgeber für eine lückenlose und korrekte Zeiterfassung ein System eingeführt, bei dem eine Identifikation der Arbeitnehmer über einen biometrischen Fingerabdruck erfolgte. Das System speicherte nicht den Fingerabdruck „als Ganzes“, sondern dessen Minutien, die Koordination der Schnittpunkte eines Fingerabdrucks, die in einen Zahlencode umgewandelt wurden.

Der klagende Arbeitnehmer hatte sich geweigert, das Zeiterfassungssystem zu nutzen, und seine Arbeitszeiten weiterhin in der bisherigen Form erfasst. Der Arbeitgeber sprach ihm daraufhin mehrere Abmahnungen aus.

Das Gericht sah die Minutien als biometrische Daten an, die nur unter den strengen Voraussetzungen des Art. 9 DSGVO verarbeitet werden dürfen. Das biometrische Zeiterfassungssystem sei jedoch nicht nach Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG erforderlich, damit der Arbeitgeber oder der Betroffene die ihnen aus dem Arbeitsrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können. Der Kläger sei nicht verpflichtet, das Zeiterfassungssystem mit seinen biometrischen Daten zu nutzen. Er habe deshalb keine Pflichtverletzung begangen. Die Erforderlichkeit des Zeiterfassungssystems könne aber anders zu bewerten sein, wenn konkrete Umstände im Einzelfall, etwa Nachweise über Missbräuche des bisherigen Zeiterfassungssystems in nicht unerheblichem Umfang, die Erforderlichkeit einer solchen Maßnahme begründen würden. Dies sei hier jedoch nicht gegeben.

Das Landesarbeitsgericht Berlin-Brandenburg bestätigte mit seinem Urteil die Auffassung der Vorinstanz. Diese hatte die Beklagte zur Entfernung der Abmahnungen verurteilt.

OVG Lüneburg: Übermittlung von personenbezogenen Daten per Fax kann einen Datenschutzverstoß darstellen

Nach einem Beschluss des Oberverwaltungsgerichts Lüneburg kann eine Übermittlung personenbezogener Daten per Telefax einen Datenschutzverstoß darstellen (OVG Lüneburg, Beschl. v. 22.07.2020, Az. 6 A 211/17).

In dem Fall, der sich noch auf die Zeit vor der DSGVO bezieht, war der Kläger Inhaber eines Unternehmens, das explosionsgefährliche Stoffe vertreibt. Im Rahmen einer gerichtlichen Auseinandersetzung mit einer Behörde sendete die Behörde per Telefax bestimmte personenbezogene Daten des Klägers an ihren Anwalt, unter anderem dessen Namen, Anschrift und KFZ-Kennzeichen.

Das OVG Lüneburg sah in der Datenübermittlung per Fax eine Datenschutzverletzung, da dabei die Datenübermittlung ohne ausreichende Sicherheitsvorkehrungen erfolgt sei. Die Daten würden per Fax unverschlüsselt übertragen und könnten leichter durch unbefugte Dritte wahrgenommen werden. Da der Kläger in dem vorliegenden Fall berufsbedingt mit explosionsgefährlichen Sprengstoffen zu tun habe und damit einem erhöhten Angriffsrisiko von Personen, die auf die Sprengstoffe zugreifen wollen, ausgesetzt sei, seien seine Daten besonders schutzbedürftig. Die Daten hätten deshalb auf anderem Wege, beispielsweise per Post, übermittelt werden müssen.

Das Gericht hat den Datenschutzverstoß bei der Übermittlung personenbezogener Daten per Fax nur für den vorliegenden Fall festgestellt. Es ist deshalb nicht jede Datenübermittlung per Fax grundsätzlich als rechtswidrig anzusehen. Vielmehr ist stets eine Interessenabwägung vorzunehmen, wobei umso mehr Sicherheitsmaßnahmen getroffen werden müssen, je stärker die Rechte des Einzelnen betroffen sind.

In eigener Sache: Vorstellung von Frau Dr. Laura Schulte

Frau Dr. Laura Schulte unterstützt seit April 2020 das BRANDI-Team in Bielefeld als Anwältin im Bereich Datenschutz und IT-Recht. Sie hat an der Universität Bielefeld studiert und dort anschließend im Bereich des Datenschutzschutzrechts promoviert. Im Rahmen der Arbeit an einer Vielzahl von Publikationen im Kontext des Datenschutzrechts sowie des IT-Sicherheitsrechts und eines Forschungsaufenthalts an der Queen Mary School of Law (London) konnte Sie bereits vertiefte Kenntnisse im Hinblick auf ihren aktuellen Tätigkeitsschwerpunkt gewinnen. Während ihres Referendariats absolvierte sie u.a. eine Station bei dem Bundesamt für Sicherheit in der Informationstechnik (Bonn). Im Datenschutz-Team von BRANDI steht Frau Dr. Schulte für alle Fragen des Datenschutzrechts sowie insbesondere für sicherheitsrechtliche Aspekte zur Verfügung.