Sehr geehrte Damen und Herren,

im nächsten Monat feiert die DSGVO Ihren „ersten Geburtstag“! Seit dem 25. Mai 2018 gilt europaweit das neue, überwiegend vereinheitlichte Datenschutzrecht. In unserem Newsletter haben wir seit März 2017 jeden Monat in einem Schwerpunktthema über unterschiedliche Aspekte der DSGVO berichtet. In diesem Monat befasst sich unser Schwerpunktthema mit der Aufbewahrung, Archivierung und Löschung von Daten unter der DSGVO. Daneben berichten wir natürlich wie gewohnt über die wichtigsten Neuigkeiten der vergangenen Wochen zum Thema Datenschutz.

Unser Anspruch an das Schwerpunktthema war stets, dass wir uns mit aktuellen und grundlegenden Themen des Datenschutzes befassen. An diesem Anspruch werden wir auch zukünftig festhalten. Da die Zahl der Themen, die für Schwerpunktthemen in Frage kommen, aber begrenzt ist, werden wir zukünftig auch andere Formen der Schwerpunktthemen wählen. Wir möchten daher demnächst stärker auf verschiedene Einzelfragen zur Anwendung des Datenschutzrechts eingehen und somit einen Einblick in unsere tägliche Beratungspraxis geben sowie auf offene Rechtsfragen hinweisen. Einen Eindruck, wie solch ein Schwerpunktthema aussehen kann, können Sie gewinnen, indem Sie unser Schwerpunktthema des Juli 2018 anschauen. In der dortigen Ausgabe mit dem Titel „Praxischeck DSGVO“ hatten wir bereits verschiedene kleinere Themen erörtert, anstatt auf ein einziges großes Thema einzugehen. Wir hoffen, dass diese neue Gestaltung Ihr Interesse weckt und freuen uns auf Ihr Feedback.

Wie immer gilt: Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Aufbewahrung und Archivierung von Daten unter der DSGVO

Im Hinblick auf die Speicherung und Löschung von Daten gibt es die Redewendung „Gelöschte Daten sind die sichersten Daten“, die häufig im Zusammenhang mit der Festlegung von Aufbewahrungsfristen zitiert wird. Tatsächlich ist das Prinzip Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO einer der zentralen Grundsätze des Datenschutzrechts. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die verfolgten Zwecke erforderlich ist. Sobald die Daten nicht länger benötigt werden, sind sie zu löschen. Die Regelung zur Löschung von Daten gem. Art. 17 Abs. 1 lit. a) DSGVO greift diese Vorgabe explizit auf. Durch diese Vorgabe soll unter anderem verhindert werden, dass personenbezogene Daten in die Hände unberechtigter Dritter gelangen oder anderweitig missbraucht werden können.

Für Unternehmen stellt sich insoweit die Frage, in welchem Verhältnis diese Pflicht zur Löschung personenbezogener Daten zu den eigenen Unternehmensinteressen steht. Aus der Perspektive des Unternehmens kann es dabei durchaus berechtigte Interessen geben, die für eine möglichst lange Aufbewahrung der vorhandenen Daten sprechen. In jedem Fall gibt es für Unternehmen die Notwendigkeit, zumindest die verschiedenen gesetzlichen Aufbewahrungsfristen zu erfüllen und auf diese Weise den Compliance-Anforderungen nachzukommen

Im Grundsatz gilt, dass personenbezogene Daten nur solange gespeichert werden dürften, wie sie benötigt werden. Dies ergibt sich aus den Grundsätzen der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO), dem Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) DSGVO) sowie dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). In den Erwägungsgründen der DSGVO werden diese Anforderungen weiter konkretisiert: Die Speicherdauer soll auf das unbedingt erforderliche Mindestmaß beschränkt werden (ErwG 39 DSGVO) und Verantwortliche sollen sicherstellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden (ErwGr 39).

Zum vollständigen Schwerpunktthema

LAG Baden-Württemberg zum datenschutzrechtlichen Auskunftsanspruch von Mitarbeitern

Das Landesarbeitsgericht (LAG) Baden-Württemberg hat entschieden, dass Mitarbeitern das Recht zur Einsicht in ihre Personalakte auch bezüglich solcher Daten zusteht, die Informationen über abgeschlossene interne Untersuchungen über den Mitarbeiter enthalten (Az. 17 Ca 4075/17, Volltext noch nicht veröffentlicht).

Dem Kläger, eine Führungskraft bei Daimler, war aufgrund von Hinweisen aus dem Mitarbeiterkreis gekündigt worden. Nachdem er vor dem Arbeitsgericht Stuttgart seine Weiterbeschäftigung erstritten hat, änderte er in der zweiten Instanz seine Klage und forderte Einsicht in seine Personalakte unter Verweis auf das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO. Mit seiner Klage begehrte der Kläger insbesondere die Gewährung von Einsicht in alle gespeicherten Leistungs- und Verhaltensdaten des Unternehmens. Daimler verweigerte die Einsicht in den Teil der Unterlagen, der Informationen zu den geführten Untersuchungen gegen den Kläger enthielt. Zur Begründung verwies Daimler darauf, dass anderenfalls die Identität der Hinweisgeber offengelegt würde.

Das LAG Baden-Württemberg folgte dieser Argumentation nicht. Nach Auffassung des Gerichts verarbeitet Daimler personenbezogene Daten des Klägers, die dem Auskunftsanspruch des Art. 15 DSGVO unterliegen. Insoweit stehe dem Kläger ein Auskunftsrecht zu, das auch die Hinweise über die Identität der Hinweisgeber umfasse.

Diese Auffassung des LAG Baden-Württemberg ist aus datenschutzrechtlicher Sicht nicht zwingend. In Erwägungsgrund 63 DSGVO heißt es ausdrücklich, dass das Auskunftsrecht „die Rechte und Freiheiten anderer Personen […] nicht beeinträchtigen“ solle. Zwar heißt es weiter, dieses dürfe nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird, dies müsse aber auch nicht die Folge einer inhaltlich reduzierten Auskunftspflicht sein.

Richtig an der Entscheidung des LAG Baden-Württemberg dürfte  allerdings sein, dass der Kläger einen Anspruch darauf hat, nach Abschluss der arbeitsrechtlichen Untersuchungsmaßnahmen über die Durchführung der Untersuchung und das Untersuchungsergebnis informiert zu werden. Dies gebietet bereits der Grundsatz der Transparenz aus Art. 5 Abs. 1 S. 1 a) DSGVO. Zweifelhaft erscheint unterdessen, dass dieser Auskunftsanspruch auch die Identität der Hinweisgeber und unzählige weitere Einzelheiten der Untersuchungen einschließlich aller gespeicherten Daten zur Leistung und zum Verhalten des Betroffenen enthalten muss.

Der Europäische Gerichtshof (EuGH) hatte bereits im Jahr 2014 unter Geltung der Datenschutz-Richtlinie entsprechend differenzierend entschieden (verbundene Rechtssache Az. C-141/12 und C-372/12). In den Verfahren ging es um Drittstaatenangehörige, denen eine Aufenthaltserlaubnis in Deutschland verwehrt worden war. Die Antragssteller machten daraufhin ihren datenschutzrechtlichen Auskunftsanspruch geltend und baten um Einsicht in die sie betreffenden Akten der zuständigen Einbürgerungsbehörden. Die Behörden verweigerten die Auskunft und die Fälle gingen bis vor den EuGH. Dieser entschied sich für eine vergleichsweise restriktive Sichtweise, nach der es der vornehmliche Zweck des Auskunftsanspruchs sei, dem Betroffenen die Kontrolle zu ermöglichen, ob seine personenbezogenen Daten richtig und in zulässiger Weise verarbeitet werden. Durch das Auskunftsrecht soll der Betroffene die notwendigen Informationen erhalten, um die weiteren Betroffenenrechte auf Löschung, Berichtigung oder Sperrung der Daten gegebenenfalls geltend machen zu können. Unter Zugrundelegung dieser Argumentation hat der EuGH einen Auskunftsanspruch auf die der Entscheidung zugrundeliegenden Tatsachen (Name, Nationalität, etc.) bewilligt, einen Anspruch auf Auskunft über die rechtliche Würdigung aber verneint. Insoweit ergänzt der EuGH, es sei Ziel der (früheren) Datenschutz-Richtlinie, den Schutz der Privatsphäre sicherzustellen, nicht aber ein Recht auf Zugang zu Verwaltungsdokumenten zu sichern und somit eine gute Verwaltungspraxis zu fördern. Allein aus dem Umstand, dass ein Text personenbezogene Daten enthält, lässt sich somit nicht zwingend folgern, dass auch sämtliche weitere in dem Text enthaltenen Informationen zu personenbezogenen Daten werden. Dies ist auch nur logisch, denn anderenfalls wäre unter dem Auskunftsanspruch jeder vollständige Text vorzulegen, der nur irgendein personenbezogenes Datum des Anfragenden enthält.

Diese Wertung zur Datenschutz-Richtlinie dürfte auf die DSGVO zu übertragen sein. Den Schutz der Privatsphäre des Klägers dürfte auch dann genüge getan sein, wenn dieser über die Tatsache, dass Überprüfungsmaßnahmen durchgeführt wurden, über den Anlass („Hinweise anderer Mitarbeiter“) und über das Ergebnis der Überprüfung informiert wird. Auch über die Art und Weise der Überprüfung, also beispielsweise „die Auswertung der dienstlichen Korrespondenz“, muss wohl hingewiesen werden. Andere Einzelheiten, wie beispielsweise die Identität des Hinweisgebers und die konkrete Korrespondenz zwischen der Führungsebene und den Revisionsmitarbeitern, dürften dagegen nicht von dem Auskunftsanspruch umfasst sein. Hinsichtlich dieser Daten hat der Betroffene nämlich ohnehin keinen Anspruch auf Löschung, Berichtigung oder Sperrung. Auch ist es nicht das verfolgte Ziel der DSGVO, den Betroffenen ein Recht auf Zugang zu unternehmensinterner Korrespondenz mit arbeitsrechtlichem Einschlag oder zur Identität von Dritten zu gewähren. Eine derartig weitgehende Ausstrahlungswirkung der verarbeiteten personenbezogenen Daten, wie sie das LAG Baden-Württemberg angenommen hat, dürfte deswegen durchaus als kritisch anzusehen sein.

Der Kläger hat bereits Revision zum Bundesarbeitsgericht eingelegt. Bis zur abschließenden Klärung dieses Falls, die ohne die Einschaltung des Europäischen Gerichtshofs nicht möglich sein dürfte, ist Unternehmen zu empfehlen, sich auf etwaige Auskunftsansprüche von Mitarbeitern vorzubereiten. Hierbei ist auch zu beachten, dass gemäß Art. 12 Abs. 3 S. 1 DSGVO eine Frist von einem Monat zur abschließenden Bearbeitung derartiger Betroffenenanfragen einzuhalten ist.

EuGH-Generalanwalt zum Cookie-Recht in Deutschland

Im Verfahren der Verbraucherzentrale Bundesverband (vzbv) gegen einen Gewinnspielbetreiber hat der Generalanwalt des EuGH in einem Schlussantrag Stellung zur Rechtmäßigkeit deutscher Gesetze genommen. Dabei vertritt er die Auffassung, dass die Anforderungen der ePrivacy-Richtlinie (RL 2002/58/EG) nicht vollständig in das deutsche Recht umgesetzt wurden.

Eine ähnliche Auffassung vertritt seit geraumer Zeit auch die Datenschutzkonferenz (DSK), der Zusammenschluss der Datenschutzaufsichtsbehörden des Bundes und der Länder. In einem entsprechenden Positionspapier aus dem April 2018 kommt die DSK zu einem ähnlichen Ergebnis wie der EuGH-Generalanwalt.

Für Unternehmen wächst damit die Unsicherheit in Bezug auf den Einsatz von Cookies. Dennoch ist in dieser umstrittenen Rechtslage nicht zwingend zu empfehlen, dass alle Unternehmen auf den Einsatz von Cookies verzichten oder zunächst umständlich eine ausdrückliche Einwilligung der Homepagebesucher einholen. Denn auch wenn die DSK und der EuGH-Generalanwalt die deutschen Regelungen des Telemediengesetzes (TMG) für nicht ausreichend erachten, haben dies deutsche Gerichte in der Vergangenheit anders gesehen. So urteilte z.B. das OLG Frankfurt (Urteil vom 17.12.2015, Az. 6 U 30/15), dass für die Nutzung von Cookies auch ein Opt-Out genügt. Auch die Bundesregierung vertritt die Auffassung, dass die Anforderungen der ePrivacy-Richtlinie eingehalten werden. Es ist nicht ersichtlich, dass diese Sichtweise unter Geltung der DSGVO zwingend revidiert werden müsste.

Zudem ist zu berücksichtigen, dass die ePrivacy-Richtlinie ohnehin bald durch die ePrivacy-Verordnung abgelöst werden soll. Die ePrivacy-Verordnung wird aktuell auf europäischer Ebene ausgestaltet. Sobald sie beschlossen wird, sind ohnehin alle Datenverarbeitungen an das neues Recht anzupassen. Insoweit mag es sich auch unter wirtschaftlichen Erwägungen empfehlen, zunächst die weitere Entwicklung des europäischen Gesetzgebers abzuwarten, auch wenn vermutlich nicht vor 2022 mit der Geltung der neuen ePrivacy-Verordnung zu rechnen sein dürfte.

Facebook: Hunderte Millionen Passwörter im Klartext gespeichert

Wie das soziale Netzwerk Facebook bekannt gab, hat es im Zuge einer internen Sicherheitsrevision festgestellt, dass zahlreiche Nutzerpasswörter versehentlich in Log-Files im Klartext im Unternehmen aufgerufen werden konnten. Die Passwörter seien nicht für Dritte sondern „nur“ für ca. 20.000 Mitarbeiter von Facebook sichtbar gewesen. Betroffen seien mehrere Millionen Passwörter für Facebook und Hunderte Millionen Passwörter für Facebook Lite. Bei Facebook Lite handelt es sich um eine vereinfachte Form von Facebook für Staaten, die nicht über ausreichend schnelle Internet-Verbindung verfügen.

Datenschutzrechtlich gilt das Gebot der Sicherheit der Verarbeitung aus Art. 32 DSGVO. Dieses besagt, dass ausreichende Schutzmaßnahmen getroffen werden müssen, damit personenbezogene Daten geschützt bleiben. Hierzu gehört auch, dass die „nach dem Stand der Technik“ erforderlichen Maßnahmen getroffen werden. Passwörter können heutzutage vergleichsweise einfach verschlüsselt gespeichert werden, wobei regelmäßig Hash- und Salt-Methoden zum Einsatz kommen. Dies hat den Vorteil, dass die Übereinstimmung von Passwörtern überprüft werden kann, ohne dass die Passwörter von Unternehmensmitarbeitern zur Kenntnis genommen werden können. Facebook verwendete solche Methoden zur Verschlüsselung, speicherte die Passwörter aber im Klartext in Log-Files, sodass kein effektiver Schutz der Passwörter sichergestellt war. Der Bundesbeauftragte für Datenschutz hat bereits angekündigt, dass dieser Fall im europäischen Datenschutzausschuss diskutiert werden wird.

In einem ähnlichen Fall hatte der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit ein Bußgeld in Höhe von 20.000 Euro gegen das Social-Media-Portal „Knuddels.de“ verhängt. Bei einem Hackerangriff im Juli 2018 hatten unbekannte Angreifer sich Zugriff auf personenbezogene Daten von über 330.000 Nutzern verschafft. Die erlangten Nutzerdaten umfassten unter anderem den Namen und die E-Mail-Adressen der Kunden. Knuddels hatte außerdem die Passwörter der Kunden im Klartext gespeichert. Der Vorfall wurde von Knuddels selbst Anfang September 2018 an die zuständige Aufsichtsbehörde gemeldet.

Da Facebook seinen Sitz in Irland hat, ist zunächst die irische Datenschutzaufsichtsbehörde für den Fall zuständig.

Bodycam-Aufnahmen auf Amazon-Servern

Nach einer Anfrage eines FDP-Abgeordneten an das Bundesinnenministerium wurde Anfang März bekannt, dass die Bundespolizei Server von Amazon verwendet, um Bodycam-Aufnahmen zu speichern.

Der Bundesdatenschutzbeauftragte hat gegenüber der Neuen Osnabrücker Zeitung erklärt, er halte die Speicherung von Bodycam-Aufnahmen auf den Servern des US-Anbieters Amazon für datenschutzwidrig. Hierauf habe er die Bundespolizei und das Bundesinnenministerium bereits 2018 hingewiesen. Da es sich bei Amazon um ein US-Unternehmen handle, das unabhängig vom Serverstandort dem amerikanischen „Cloud-Act“ unterliegt, könnten US-Behörden auf die Bodycam-Aufnahmen zugreifen.

Das Innenministerium verteidigte sich mit der Aussage, nur Amazon hätte die für die Technologie erforderliche Zertifizierung des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Später wurde die Aussage dahingehend korrigiert, dass es zwar andere – auch deutsche - Anbieter gäbe, aber nur die Amazon Web Services zur Verwendung mit den Motorola-Geräten der Polizei geeignet seien.

Aus datenschutzrechtlicher Sicht wäre die Wahl eines gleichermaßen sicheren deutschen oder europäischen Anbieters vorzugswürdig gewesen. Soweit aber eine vergleichbare Sicherheit nicht gewährleistet werden kann, können durchaus Argumente für den Einsatz des US-Anbieters sprechen. Mit Hinblick auf den Schutz der Daten ist insoweit eine Risikoabwägung unter Beachtung der unterschiedlichen Angriffsvektoren vorzunehmen. Im Gesamtergebnis kann es durchaus vertretbar sein, die Daten auf Amazon-Servern zu speichern, wenn damit das Risiko des Zugriffs durch unberechtigte Dritte reduziert werden kann. Jedenfalls dürfte die Wahl eines amerikanischen Anbieters mit europäischen Servern nicht von vornherein datenschutzwidrig sein.

In eigener Sache: Vorstellung von Herrn Malte Stakowski

Herr Stakowski unterstützt ab April 2019 das BRANDI-Team in Bielefeld und wird als Rechtsanwalt im Bereich Datenschutz und IT-Recht tätig sein. Er hat mit Stipendien der Studienstiftung des Deutschen Volkes und der Konrad-Adenauer-Stiftung an der Universität Osnabrück Rechtswissenschaften mit einer wirtschaftswissenschaftlichen Zusatzausbildung studiert. Anschließend absolvierte er sein Referendariat im Bezirk des OLG Oldenburg unter anderem mit Stationen bei einer internationalen Wirtschaftskanzlei und einer großen Gebietskörperschaft, bei der er an der Umsetzung der DSGVO beteiligt war. Im Datenschutz-Team von BRANDI wird er für alle Fragen des Datenschutzrechts zur Verfügung steht.