Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

das kürzlich von der Landesbeauftragten für den Datenschutz in Niedersachsen gegen die notebooksbilliger.de AG ausgesprochene Bußgeld in Höhe von 10,4 Mio. Euro wegen einer unzulässigen Videoüberwachung ist das höchste Bußgeld, das die Datenschutzaufsichtsbehörde unter Geltung der Datenschutz-Grundverordnung (DSGVO) bisher ausgesprochen hat. Der Fall verdeutlicht, dass bei Videoüberwachungsmaßnahmen die datenschutzrechtliche Zulässigkeit ein wichtiger Aspekt ist, der von Unternehmen beachtet werden sollte. Über Einzelheiten zu dem Fall und weitere aktuelle Geschehnisse im Datenschutzrecht informieren wir in diesem Newsletter.

In unserem Schwerpunktthema berichten wir in diesem Monat über verschiedene Möglichkeiten, Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzrechtliche Schulung von Mitarbeitern

Für die Einhaltung der datenschutzrechtlichen Vorschriften in einem Unternehmen ist die Vermittlung von Kenntnissen im Datenschutzrecht unerlässlich. Damit Mitarbeiter sich datenschutzkonform verhalten können und in Zweifelsfällen Rücksprache mit der Geschäftsführung oder dem Datenschutzbeauftragten halten, müssen sie mit den rechtlichen Vorgaben vertraut sein und datenschutzrechtliche Problemfelder erkennen können.

Der folgende Beitrag soll Unternehmen als Orientierungshilfe bei der datenschutzrechtlichen Schulung ihrer Beschäftigten dienen. Schwerpunktmäßig werden dabei mögliche Schulungsziele und -inhalte behandelt sowie Hinweise für die praktische Umsetzung unterschiedlicher Schulungsmaßnahmen gegeben.

Zum vollständigen Schwerpunktthema

LfD Niedersachsen: Bußgeld in Höhe von 10,4 Mio. Euro gegen notebooksbilliger.de

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gegenüber der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro ausgesprochen. Dem Unternehmen wird vorgeworfen, über mindestens zwei Jahre seine Mitarbeiter mit Videokameras überwacht zu haben, ohne dass dafür eine ausreichende Rechtsgrundlage bestand.

Nach Angaben der LfD hätten die unzulässigen Kameras unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst. Mit der intensiven Videoüberwachung habe das Unternehmen massiv gegen die Rechte seiner Beschäftigten verstoßen.

Die notebooksbilliger.de AG hatte sich darauf berufen, durch die Videoüberwachung Straftaten verhindern und aufklären zu wollen sowie den Warenfluss in den Lagern nachverfolgen zu müssen. Die LfD weist in diesem Zusammenhang darauf hin, dass ein Unternehmen zunächst prüfen müsse, ob mildere Mittel zur Verhinderung von Diebstählen, zum Beispiel stichprobenartige Taschenkontrollen, gegeben seien. Eine Videoüberwachung zur Aufdeckung von Straftaten sei nur rechtmäßig, wenn ein begründeter Verdacht gegen konkrete Personen bestehe. In diesem Fall könne eine zeitlich begrenzte Videoüberwachung zulässig sein. In dem konkreten Fall war die Videoüberwachung jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Die Aufzeichnungen seien in vielen Fällen 60 Tage und damit länger als erforderlich gespeichert worden.

Von der Videoüberwachung seien auch Kunden betroffen gewesen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum ausgerichtet gewesen seien. Nach Ansicht der LfD hätten Betroffene hohe schutzwürdige Interessen in Bereichen, die typischerweise für eine längere Aufenthaltsdauer bestimmt seien – etwa in den Sitzbereichen, in denen die angebotenen Geräte ausgiebig getestet werden können. In diesen Fällen sei die Videoüberwachung deshalb nicht verhältnismäßig gewesen.

Das Bußgeld ist das höchste, das die LfD unter Geltung der DSGVO bisher ausgesprochen hat. Die Verhängung des Bußgeldes ist noch nicht rechtskräftig. Nach Angaben der LfD hat das Unternehmen die Videoüberwachung mittlerweile rechtmäßig ausgestaltet. Die notebooksbilliger.de AG hat sich in einer Pressemitteilung zu dem Bußgeldbescheid geäußert und die Bußgeldhöhe als unverhältnismäßig kritisiert. Sie hat Einspruch gegen den Bußgeldbescheid eingelegt.

(Johanna Schmale)

Angemessenheit von Bußgeldern bei Datenschutzverstößen

In regelmäßiger Folge veröffentlichen die Aufsichtsbehörden in Deutschland und anderen EU-Staaten Pressemitteilungen über extrem hohe Bußgelder, die gegen Unternehmen wegen Datenschutzverstößen verhängt werden. Alleine die Höhe der Bußgelder führt regelmäßig dazu, dass die betroffenen Unternehmen gegen die verhängten Bußgelder gerichtlich vorgehen müssen. In einem Editorial für die Zeitschrift für Vertriebsrecht setzt sich Dr. Sebastian Meyer daher mit der Frage auseinander, ob die aktuelle Bußgeldpraxis tatsächlich sinnvoll ist oder korrigiert werden muss.

(Johanna Schmale)

Schlussanträge des Generalanwalts im EuGH-Verfahren gegen Facebook: Zuständigkeit von Datenschutz-Aufsichtsbehörden bei grenzüberschreitenden Sachverhalten

Im September 2015 leitete die belgische Datenschutzbehörde vor den belgischen Gerichten ein Verfahren gegen mehrere Unternehmen der Facebook-Gruppe ein, nämlich gegen Facebook Inc., Facebook Ireland Ltd, das die Hauptniederlassung der Gruppe in der EU ist, und Facebook Belgium BVBA. In diesem Verfahren beantragte die Datenschutzbehörde, Facebook zu verpflichten, das Platzieren bestimmter Cookies und das Erstellen bestimmter Nutzerprofile zu unterlassen. Das fragliche Verfahren ist derzeit in Belgien beim Hof van beroep te Brussel (Berufungsgericht Brüssel) anhängig, betrifft aber nur noch Facebook Belgium, nachdem das genannte Gericht zuvor befunden hat, für Klagen gegen Facebook Inc. und Facebook Ireland nicht zuständig zu sein. In diesem Zusammenhang trägt Facebook Belgium vor, dass die belgische Datenschutzbehörde ab dem Zeitpunkt, zu dem die DSGVO anwendbar geworden sei, die Zuständigkeit dafür verloren habe, das fragliche Gerichtsverfahren gegen Facebook weiter zu betreiben. Nach der DSGVO sei lediglich die Datenschutzbehörde desjenigen Staates, in dem sich die Hauptniederlassung von Facebook in der EU befinde (die sogenannte „federführende“ Datenschutzbehörde in der EU für Facebook), nämlich die Irish Data Protection Commission, befugt, wegen Verstößen gegen die DSGVO im Zusammenhang mit grenzüberschreitender Datenverarbeitung ein gerichtliches Verfahren gegen Facebook zu betreiben.

Der Hof van beroep te Brussel hat den Fall dem EuGH vorgelegt (Entsch. v. 08.05.0219, Az. 2018/AR/410). In seinen Schlussanträgen hat der Generalanwalt nun Stellung zu den aufgeworfenen Rechtsfragen im Rahmen des EuGH-Verfahrens genommen (EuGH, Az. C-645/19). Danach ist bei grenzüberschreitenden Sachverhalten zunächst primär die allgemeine Zuständigkeit der federführenden Datenschutzbehörde gegeben, wenn die DSGVO nicht ausnahmsweise eine andere Zuständigkeit vorsieht. Eine solche „andere Zuständigkeit“ sei insbesondere möglich, wenn die nationalen Datenschutzbehörden I) außerhalb des sachlichen Anwendungsbereichs der DSGVO tätig würden, II) sie Untersuchungen zu grenzüberschreitender Datenverarbeitung anstellten, die durch Behörden, im öffentlichen Interesse, in Ausübung öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der Union hätten, III) bei Dringlichkeit Maßnahmen ergriffen oder IV) tätig würden, nachdem die federführende Datenschutzbehörde beschlossen habe, sich nicht selbst mit dem Fall zu befassen.

Die irische Datenschutzbehörde wird gegenwärtig vielfach dafür kritisiert, nicht ausreichend aufsichtsbehördliche Maßnahmen gegen Facebook und andere US-Konzerne einzuleiten. Insoweit ist die Klärung der Frage, wann auch Aufsichtsbehörden aus anderen Mitgliedsstaaten in grenzüberschreitenden Sachverhalten tätig werden dürfen, von großer datenschutzrechtlicher Relevanz für die Durchsetzung der Anforderungen der DSGVO in Europa. Der EuGH ist an die Schlussanträge des Generalanwalts nicht gebunden, folgt der Auffassung des Generalanwalts aber meistens. Eine abschließende Entscheidung des EuGH wird bis zum Sommer erwartet.

(Robert Bommel)

Gesichtserkennung: Facebook zahlt 650 Mio. US-Dollar an betroffene Nutzer im US-Staat Illinois

Facebook hat sich in einem Sammelklagen-Gerichtsverfahren auf die Zahlung einer Vergleichssumme von insgesamt 650. Mio. US-Dollar an Facebook-Nutzer aus dem US-Bundesstaat Illinois verständigt (US App. (9th Cir.), 18-15982). Durch die Vergleichszahlung sollen Nutzer entschädigt werden, die durch Facebook in ihren Datenschutzrechten aus dem „Biometric Information Privacy Act“ des Bundesstaats Illinois verletzt worden sind. Hintergrund ist eine von Facebook bereits 2015 eingeführte Funktion, bei der Nutzern beim Speichern von Fotos angeboten wird, Freunde zu erkennen und zu markieren. Hierfür wurden von Facebook neben dem hochgeladenen Foto auch andere Fotos und Profile durchsucht, um die Genauigkeit der Identifizierung zu verbessern. Dieses Vorgehen verstößt gegen die im Vergleich zu den anderen US-Bundesstaaten strengen Vorgaben des „Biometric Information Privacy Act“ aus Illinois. Jeder der an der Sammelklage beteiligten Kläger wird rechnerisch ungefähr 350 US-Dollar erhalten.

In Deutschland unterbreitet Facebook aufgrund der Aktivitäten der deutschen Datenschutz-Aufsichtsbehörden schon seit Jahren keine automatischen Vorschläge, Personen auf Fotos zu markieren. Nutzer können diese Funktion aber in ihrem Nutzerprofil für sich selbst per Einwilligung aktivieren.

(Robert Bommel)

OVG Hamburg: Zwecke einer Fahrtenbuchauflage sind öffentliche Interessen im Sinne der DSGVO

Das OVG Hamburg hat entschieden, dass die mit einer Fahrtenbuchauflage verfolgten Zwecke der Gefahrenprävention öffentliche Interessen im Sinne von Art. 6 Abs. 1 S. 1 lit. e) DSGVO sind (OVG Hamburg, Beschl. v. 01.12.2020, Az. 4 Bs 84/20).

Die Antragstellerin betreibt bundesweit eine gewerbliche Autovermietung. Da bei einem Verkehrsverstoß die Fahrerin nicht festgestellt werden konnte, wurde für das vermietende Unternehmen eine Fahrtenbuchauflage angeordnet. Gegen diese wehrte sich das Unternehmen mit dem Argument, es verstoße gegen die DSGVO, wenn es die geforderten Daten über die Fahrzeugnutzung von jedem Mieter erheben müsse.

Das OVG Hamburg wies die Beschwerde zurück. Die Datenverarbeitung sei gem. Art. 6 Abs. 1 S. 1 lit. e) DSGVO gerechtfertigt, da sie für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege. Die Fahrtenbuchauflage sei eine Maßnahme zur vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs. Durch sie sei künftig die Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften einfach möglich. Das Gericht stufte die Fahrtenbuchauflage deshalb als DSGVO-konform ein.

(Johanna Schmale)

Server für den Trojaner Emotet abgeschaltet

In einer von der europäischen Polizeibehörde EUROPOL abgestimmten Aktion haben Behörden aus verschiedenen Staaten die Kontrolle über die Infrastruktur des Trojaners Emotet übernommen und so die Schadsoftware unschädlich gemacht. Emotet war nach Einschätzung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) schon seit Jahren eine der größten Bedrohungen durch Schadsoftware weltweit. Die Verbreitung von Emotet erfolgte vor allem über manipulierte Word-Dokumente. Nach einer Infizierung konnte weitere Schadsoftware nachgeladen werden, außerdem boten die Betreiber die Zugänge zu infizierten Systemen auch Dritten an (Malware as a Service). Nach Angaben von EUROPOL haben die Behörden Zugriff zu der Infrastruktur erlangt und dann eine weitere Verbreitung sowie einen Zugriff auf infizierte Systeme verhindert.

(Dr. Sebastian Meyer)

Europäischer Datenschutztag 2021

Seit 2007 wird jährlich am 28. Januar der Europäische Datenschutztag begangen. Das Datum erinnert an die Unterzeichnung der Europäischen Datenschutzkonvention am 28.01.1981. Die Datenschutzkonvention fällt zwar mittlerweile hinter die strengen Vorgaben der Datenschutz-Grundverordnung in der Europäischen Union zurück, ist aber weiter von Bedeutung, weil auch zahlreiche Nicht-EU-Staaten dem völkerrechtlichen Vertrag beigetreten sind. Angedacht ist perspektivisch eine Anpassung an das aktuelle Datenschutzniveau.

(Dr. Sebastian Meyer)