Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

das Bundesarbeitsgericht (BAG) hat im vergangenen Monat entschieden, dass die Verwendung von Aufnahmen einer Videoüberwachung in einem arbeitsgerichtlichen Kündigungsverfahren selbst dann möglich ist, wenn die Aufzeichnungen längerfristig gespeichert wurden und dies nicht den datenschutzrechtlichen Anforderungen entsprochen hat. Die arbeitsgerichtliche Entscheidung gibt weiteren Anlass zur Diskussion, unter welchen Voraussetzungen und in welchem Umfang eine Videoüberwachung erfolgen darf. Wir möchten uns vor dem Hintergrund dieser Entscheidung im Schwerpunktthema dieses Monats mit der Videoüberwachung unter der Datenschutz-Grundverordnung (DSGVO) genauer beschäftigten und gehen dabei insbesondere auf die Speicherdauer bei der Videoüberwachung ein. Daneben berichten wir Ihnen wie gewohnt über andere aktuelle Urteile, Aktivitäten der Aufsichtsbehörden und weitere Neuigkeiten aus der Welt des Datenschutzes.

Bei Rückmeldungen oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Videoüberwachung

Mit Hilfe der Videoüberwachung lässt sich – sofern die Aufnahmen gespeichert werden – auch rückwirkend noch das Verhalten einzelner Personen genau analysieren. Die Aufzeichnung im Rahmen der Videoüberwachung ist daher regelmäßig ein erheblicher Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Verhalten dauerhaft erfasst wird und später ausgewertet werden kann. Die Eingriffsintensivität ist dabei umso höher, je länger die Daten aufbewahrt werden und je umfangreichere Aufzeichnungen existieren. Nach den datenschutzrechtlichen Bestimmungen ist die Videoüberwachung nicht generell verboten, sondern unter Beachtung der vorgesehenen Beschränkungen zulässig.

Die maßgeblichen Regelungen zur Videoüberwachung fanden sich im alten Datenschutzrecht in § 6b Abs. 1 BDSG-alt. Seit dem 25. Mai 2018 richtet sich die Zulässigkeit einer Videoüberwachung vor allem nach § 4 BDSG-neu, der durch die allgemeinen Maßgaben der DSGVO, z. B. den Grundsatz der Zweckbindung, ergänzt wird. Daneben spricht vieles dafür, dass eine Videoüberwachung auch auf die allgemeinen Rechtsgrundlagen des Art. 6 DSGVO, insbesondere eine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO sowie eine Interessenabwägung in Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann.

Zum Schwerpunktthema

LfD Niedersachsen: Querschnittsprüfung zur DSGVO

Die Landesbeauftragte für Datenschutz Niedersachsen (LfD Niedersachsen) hat im Rahmen einer branchenübergreifenden Querschnittsprüfung 50 Unternehmen unterschiedlicher Größe zur Umsetzung der Anforderungen der DSGVO befragt. Die Anfrage der LfD Niedersachsen erfolgte in Form eines Fragebogens, der unter anderem die Vorbereitung auf die Anwendung der Regelungen der DSGVO, den Umgang mit Betroffenenrechten und die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten thematisiert.

Der vollständige Fragebogen kann hier als PDF heruntergeladen werden. Inwieweit auch die Aufsichtsbehörden in anderen Bundesländern vergleichbare Überprüfungen durchführen, bleibt abzuwarten. In der Vergangenheit haben aber häufig die Aufsichtsbehörden erfolgreiche Aktionen übernommen und in ihrem Bereich ebenfalls durchgeführt.

Bayern stellt eigene Regelungen zur Anwendung der DSGVO auf

Nach Österreich hat nun auch das deutsche Bundesland Bayern ergänzende Vorschriften zur Anwendung der Regelungen der DSGVO erlassen. Der knapp eine halbe Seite umfassende „Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung" genannte Ministerratsbeschluss regelt unter anderem, dass Sportvereine und ehrenamtliche Vereine keinen Datenschutzbeauftragten mehr bestellen müssen. Zugleich wird festgelegt, dass bei erstmaligen Datenschutzverstößen „im Dickicht der Datenschutzregeln“ keine Bußgelder drohen. 

Die Vereinbarkeit dieser neuen bayerischen Regeln mit EU-Recht kann bezweifelt werden. Zumindest mittelfristig werden die Regelungen aber vermutlich für eine datenschutzrechtliche Entlastung der Unternehmen und Vereine in Bayern sorgen.

VG Bayreuth: Datenschutz bei Facebook

Das Verwaltungsgericht Bayreuth (VG Bayreuth) hat entschieden, dass das Übermitteln von gehashten E-Mail-Adresslisten an Facebook zur Durchführung von Überschneidungsanalysen zwischen den hochgeladenen Daten und Daten von Facebook zur Erstellung einer Zielgruppe für Werbemaßnahmen nach dem BDSG-alt rechtswidrig ist, wenn keine Einwilligung der Betroffenen vorliegt (Beschluss vom 8. Mai 2018, Az. B 1 S 18.105). Bei den gehashten E-Mail-Adressen handle es sich weiterhin um personenbezogene Daten, da das Hashen keine Anonymisierung darstelle. Da die übermittelten Daten von Facebook mit einem eigenen Wertungs- und Entscheidungsspielraum verarbeitet werden, liege insbesondere auch kein Fall der Auftragsverarbeitung vor. Auch eine Rechtfertigung der Datenübermittlung aufgrund einer Interessenabwägung käme nicht in Betracht, da die Einholung einer Einwilligung vorliegend ein zumutbares milderes Mittel darstelle.

Die Entscheidung des VG Bayreuth stellt zumindest eines der Geschäftsmodelle von Facebook, die Durchführung von Überschneidungsanalysen, grundsätzlich in Frage. Durch die Überschneidungsanalysen konnten Unternehmen in der Vergangenheit ihre eigene Kunden- oder Interessentenliste bei Facebook hochladen, damit die dort verzeichneten Personen in dem sozialen Netzwerk beworben werden. Facebook vertrat bislang die Auffassung, durch das Hashen der hochgeladenen Daten sei eine ausreichende Anonymisierung der Nutzer sichergestellt. Dieser Einschätzung folgte das VG Bayreuth ausdrücklich nicht und verwies darauf, dass Facebook sehr wohl identifizieren könne, welcher Nutzer sich hinter welchem Hashwert verberge.

Unternehmen, die entsprechende Werbemaßnahmen auf Basis von Überschneidungsanalysen auf Facebook durchführen möchten, müssen auf Basis der Vorgaben des Verwaltungsgerichts zukünftig eine Einwilligung der Nutzer einholen müssen, was die Praktikabilität derartiger Dienste und die Reichweite stark beeinflussen dürften. Von einer Übermittlung der Daten an Facebook ohne Einwilligung ist mit Hinblick auf das Urteil des VG Bayreuth zukünftig abzuraten.

EuGH: Mündliche Verhandlung zu „Gefällt mir“ steht an

Die rechtliche Zulässigkeit der Einbindung der Funktion „Gefällt mir“ von Facebook auf eigene Internetseiten ist seit Jahren umstritten. Aktuell wird regelmäßig empfohlen, die Funktion allenfalls so einzubinden, dass vor der Nutzung der Funktion eine ausdrückliche Aktivierung durch den jeweiligen Seitenbesucher erfolgen muss (sog. Zwei-Klick-Lösung).

Am Donnerstag wird sich der Europäische Gerichtshof im Rahmen der mündlichen Verhandlung genauer mit der Frage befassen, ob der Seitenbetreiber für die Datenverarbeitung durch Facebook verantwortlich ist und inwieweit eine Einwilligung der Betroffenen zwingend eingeholt werden muss (Rechtssache C-40/17). Das Gerichtsverfahren wird von der Verbraucherzentrale NRW e.V. und uns mit Unterstützung der Aufsichtsbehörde aus NRW betrieben, auf Beklagtenseite wird Fashion ID (Peek & Cloppenburg) von Facebook unterstützt. Die Vorlage des Verfahrens zum EuGH ist durch das Oberlandesgericht Düsseldorf erfolgt, das nach dem Urteil des EuGH auch über die Auseinandersetzung weiter zu entscheiden hat.

OLG Köln: Streitwert eines datenschutzrechtlichen Auskunftsanspruchs beträgt 500 Euro

Das Oberlandesgericht Köln (OLG Köln) hat mit Beschluss vom 5. Februar 2018 entschieden, dass der Streitwert für einen datenschutzrechtlichen Auskunftsanspruch 500 Euro beträgt (Az. 9 U 120/17). Im konkreten Fall hatte der Kläger im Rahmen eines gerichtlichen Verfahrens vom Beklagen seinen datenschutzrechtlichen Auskunftsanspruch gemäß § 34 BDSG-alt geltend gemacht. Da der Streitwert für nichtvermögensrechtliche Ansprüche in Zivilverfahren gemäß § 48 Abs. 2 GKG unter Berücksichtigung aller Umstände des Einzelfalls zu schätzen ist, hatte das LG Köln in erster Instanz einen Streitwert von 500 Euro festgesetzt. Hiergegen legte der Kläger eine Streitwertbeschwerde ein, mit der er einen höheren Streitwert verfolgte. Das OLG Köln wies die Beschwerde nun zurück und erklärte, ein Streitwert von 500 Euro sei im konkreten Fall „angemessen und ausreichend“, da im vorliegenden Fall insbesondere keine wirtschaftlichen Interessen, die über ein allgemeines Auskunftsinteresse hinausgehen, vom Kläger vorgetragen worden seien.

Aus der Begründung des Beschlusses ergibt sich, dass es sich nach Auffassung des OLG um einen gewöhnlichen datenschutzrechtlichen Auskunftsanspruch handelt. Bei Auskunftsansprüchen, die zugleich auch wirtschaftliche Interessen des Antragstellers berühren, kann aber wohl von höheren Streitwerten ausgegangen werden.

Da über datenschutzrechtliche Betroffenenrechte eher selten von Gerichten entschieden werden muss, gibt das Urteil des OLG Köln einen interessanten Einblick in die kostenrechtliche Bewertung derartiger Auseinandersetzungen. Es ist zu vermuten, dass die Wertungen des OLG Köln auch auf den entsprechenden Auskunftsanspruch im neuen Datenschutzrecht aus Art. 15 DSGVO übertragbar sind.

Bundesbeauftragte veröffentlicht Tätigkeitsbericht 2016/2017

Die Bundesbeauftragte für Datenschutz und Informationsfreiheit hat ihren Tätigkeitsbericht für die Jahre 2016 und 2017 veröffentlicht. Auf insgesamt 135 Seiten stellt die Bundesbeauftragte ihre Aktivitäten der vergangenen zwei Jahre sowie ihre Empfehlungen an den deutschen Bundestag dar. Da die Bundesbeauftragte nicht die für Unternehmen zuständige Aufsichtsbehörde ist, finden sich in dem Bericht vornehmlich Informationen zum behördlichen Datenschutz und der Datenverarbeitung in den verschiedenen Bundesministerien. Der Tätigkeitsbericht kann hier heruntergeladen werden.