Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Februar 2020 hat der Hamburgische Datenschutzbeauftragte seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt und dabei interessante Informationen zur Tätigkeit der Datenschutz-Aufsichtsbehörde in Hamburg veröffentlicht. Dem Bericht ist etwa zu entnehmen, dass von den zum Zeitpunkt der Drucklegung bereits statistisch ausgewerteten 3.405 Vorgängen bei der Behörde 2.359 Vorgänge Beschwerden von Betroffenen waren. Die Zahl hat sich damit im Vergleich zu 1.898 Beschwerden im Vorjahr um 24,3 Prozent erhöht. Die Anzahl der Meldungen von Datenschutzverletzungen ist sogar noch deutlicher angestiegen, nämlich um 191 % von 210 auf 611. In dem Bericht wird auch beschrieben, dass sich trotz einer zwischenzeitlich erfolgten Verstärkung des Personals der Behörde im Jahr 2019 ein Rückstand von 555 Vorgängen aufsummiert hat. Rechnet man die noch offenen Eingänge aus 2017 und 2018 hinzu, ergibt sich aktuell ein Rückstand von insgesamt 1.200 Vorgängen.

Die Zahlen zeigen beispielhaft, dass Betroffene unter der Datenschutz-Grundverordnung (DSGVO) zunehmend ihre Rechte wahrnehmen und sich an die Aufsichtsbehörden wenden. Unternehmen sollten daher im Datenschutz tätig werden und ihre Datenverarbeitungsprozesse stets kritisch überprüfen, um Datenschutzverletzungen bereits im Vorhinein auszuschließen.

Wir berichten in diesem Monat deshalb wieder über aktuelle Geschehnisse aus dem Datenschutzrecht, etwa über ein Bußgeld in Höhe von 51.000 Euro gegen Facebook wegen der unterlassenen Meldung des neuen Datenschutzbeauftragten. In unserem Schwerpunktthema können Sie sich über die Rechenschaftspflicht der DSGVO informieren.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Die Rechenschaftspflicht der DSGVO

Die datenschutzrechtliche Dokumentation hat unter der Datenschutz-Grundverordnung (DSGVO) an Bedeutung gewonnen. Nach Art. 5 Abs. 2 DSGVO muss die verantwortliche Stelle die Einhaltung der Grundsätze der Datenverarbeitung nachweisen können. Dieses Prinzip der „Rechenschaftspflicht“ führt dazu, dass sich Unternehmen unter der DSGVO bei dem Vorwurf eines Datenschutzverstoßes selbst entlasten müssen und nicht umgekehrt der Datenschutzverstoß dem Unternehmen nachgewiesen werden muss. Der Nachweis der Einhaltung von datenschutzrechtlichen Vorgaben wird ohne eine umfangreiche datenschutzrechtliche Dokumentation nicht möglich sein.

Es ist deshalb jedem Unternehmen zu empfehlen, eine strukturierte Dokumentation der eigenen datenschutzrechtlichen Aktivitäten zu erarbeiten. Um einen Überblick über die Rechenschaftspflicht zu geben, haben wir das Thema in unserem Newsletter vertieft für Sie aufbereitet. Wir beschreiben im Folgenden Dokumentationspflichten, die in der DSGVO geregelt werden, und benennen darüber hinaus weitere mögliche Dokumentationen, die den Nachweis datenschutzrechtlicher Aktivitäten im Unternehmen erleichtern können. An geeigneter Stelle geben wir Tipps für die praktische Umsetzung. Zudem geben wir einen Überblick über die möglichen Konsequenzen bei Nichterfüllung der Rechenschaftspflicht.

Zum vollständigen Schwerpunktthema

Erste Abmahnung wegen einer Fanpage bei Facebook

Der Europäische Gerichtshof (EuGH) hat bereits am 05.06.2018 entschieden, dass die Betreiber von Facebook-Fanseiten gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten ihrer Seitenbesucher verantwortlich sind (EuGH, Urteil vom 05.06.2018, Az. C-210/16). Die Aufsichtsbehörde in Schleswig-Holstein hatte in dem Fall der dortigen Wirtschaftsakademie untersagt, eine Facebook-Seite zu betreiben, weil sie den Datenschutz bei Facebook nicht ausreichend sicherstellen könne. Die Wirtschaftsakademie ist gegen die Anordnung vorgegangen und das Bundesverwaltungsgericht hat dem EuGH die Angelegenheit zur Klärung von Streitfragen vorgelegt.

Trotz der noch ausstehenden Entscheidung des Bundesverwaltungsgerichts auf Basis der Stellungnahme des EuGH liegt uns aktuell zu diesem Thema eine Abmahnung vor, in der sich Herr Wolf Weichbrodt und sein Rechtsanwalt Andreas G. Stephan aus Dresden unter anderem auf das Urteil des EuGH beziehen. Mit der Abmahnung wird versucht, gegen die Datenverarbeitung im Rahmen der Facebook-Fanpage eines Unternehmens vorzugehen und eine Unterlassungserklärung sowie eine Kostenerstattung zu erwirken. Es wird dabei argumentiert, über die Facebook-Fanpage würden ohne Rechtsgrundlage und ohne eine ausreichende Information des Nutzers personenbezogene Daten verarbeitet. Für den Fall, dass die Unterlassungserklärung nicht fristgerecht abgegeben wird, wird angedroht, den Vorfall der Aufsichtsbehörde zu melden und weitere Betroffenenrechte geltend zu machen.

Die Gestaltung der Abmahnung spricht dafür, dass es sich um eine massenhaft versandte Abmahnung handelt, mit der primär finanzielle Interessen verfolgt werden. Empfänger einer derartigen Abmahnung sollten jedenfalls nicht vorschnell Zahlungen leisten oder die geforderten Erklärungen abgeben. Unabhängig davon sollten verantwortliche Stellen aber stets darauf achten, die Nutzer der Fanpage im Rahmen der durch Facebook vorgegebenen Möglichkeiten ausreichend über die stattfindende Datenverarbeitung zu informieren.

Bußgeld in Höhe von 51.000 Euro gegen Facebook wegen unterlassener Mitteilung des Datenschutzbeauftragten

In seinem Tätigkeitsbericht für 2019 hat der Hamburgische Datenschutzbeauftragte mitgeteilt, dass die Datenschutz-Aufsichtsbehörde in Hamburg gegen die Facebook Germany GmbH ein Bußgeld in Höhe von 51.000 Euro verhängt hat. Nach Art. 37 Abs. 7 DSGVO haben verantwortliche Stellen ihren Datenschutzbeauftragten und dessen Kontaktdaten der Aufsichtsbehörde mitzuteilen. Der Aufsichtsbehörde in Hamburg ist nach eigenen Angaben im Jahr 2017 zwar von Facebook mitgeteilt worden, dass die damalige Datenschutzbeauftragte das Amt nicht weiter ausführe, eine Mitteilung des neuen Datenschutzbeauftragten ist jedoch nicht erfolgt. Facebook hatte die Unterlassung der Mitteilung zwar bestätigt, allerdings Zweifel daran geäußert, dass es sich dabei um einen bußgeldbewehrten Verstoß gehandelt habe. Die Argumente Facebooks betrafen zum Beispiel die Frage, ob die deutsche Pflicht zur Benennung eines Datenschutzbeauftragten ab 10 beziehungsweise 20 Beschäftigten überhaupt wirksam ist.

Das verhängte Bußgeld ist nach Angaben der Behörde als empfindlich anzusehen, wenn man beachtet, dass es sich nicht gegen den Mutterkonzern richtet, sondern gegen die deutsche Tochtergesellschaft, deren Schwerpunkt nicht in der Verarbeitung personenbezogener Daten liegt, es einen ausschließlich in Deutschland begangenen fahrlässigen Verstoßes betrifft, Facebook den Verstoß sofort abgestellt hat und durchgehend ein Datenschutzbeauftragter bestellt war.

In dem Tätigkeitsbericht der Behörde heißt es, dass dieser Fall anderen Unternehmen als Warnung dienen soll. Die Benennung und Mitteilung des Datenschutzbeauftragten seien ernstzunehmende Pflichten, ein Verstoß könne zu nicht unerheblichen Geldbußen führen. Unternehmen ist deshalb zu raten, ihrer Benennungs- und Mitteilungspflicht ordnungsgemäß nachzukommen.

Dänische Datenschutz-Aufsichtsbehörde zur Gestaltung von Cookie-Bannern

Die dänische Datenschutz-Aufsichtsbehörde hat sich in einer am 11.02.2020 veröffentlichten Entscheidung zu der Gestaltung von Cookie-Bannern geäußert. In dem Fall ging es um das Cookie-Banner auf der Homepage des Dänischen Meteorologischen Instituts (DMI). Die ursprüngliche Beschwerde richtete sich noch gegen ein Banner mit vorab ausgewählter Einwilligung. Das DMI überarbeitete in der Zeit danach diese Gestaltung. Das neue Cookie-Banner gab dem Nutzer bei dem erstmaligen Besuch der Internetseite zwei Möglichkeiten. Er konnte „OK“ auswählen und damit alle Cookies akzeptieren oder auf „Cookie Einstellungen“ klicken. Nach Auswahl der Einstellungen öffnete sich ein Menü, in dem die Präferenzen zu dem Einsatz von Cookies nach den Zwecken „Notwendig“, „Funktionell“, „Statistik“, „Marketing“ und „Nicht klassifiziert“ ausgewählt werden konnten.

Die Dänische Aufsichtsbehörde stellte fest, dass diese Lösung keine wirksame Einwilligung in die Verarbeitung personenbezogener Daten darstellt. Sie führte aus, dass für Datenverarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden muss. Diesem Erfordernis werde das Cookie-Banner des DMI nicht gerecht, da der Nutzer bei der Auswahl von „OK“, gleichzeitig in Datenverarbeitungen zu verschiedenen Zwecken einwillige. Dies gebe dem Besucher keine ausreichend freie Wahl, die Zwecke zunächst zu identifizieren und danach granular für jeden Zweck einzeln zu entscheiden. Dass die verschiedenen Zwecke erst nach Auswahl des Buttons „Cookie Einstellungen“ einsehbar waren und ausgewählt werden konnten, sei unzureichend, da diese Option einen Klick entfernt sei und das Setzen bestimmter Cookies nicht direkt bei der ersten Interaktion mit dem Cookie-Banner abgewählt werden könne.

Dass es dem Nutzer nicht möglich ist, das Setzen von Cookies direkt abzulehnen, sondern die Ablehnung über den Button „Cookie Einstellungen“ einen Klick mehr entfernt ist, verstößt nach Ansicht der Behörde zudem gegen den Grundsatz der Transparenz. Es müsse ebenso leicht sein, die Einwilligung in eine Datenverarbeitung abzulehnen, wie sie zu erteilen. Indem die Möglichkeit zur Ablehnung der Cookies nicht so klar kommuniziert werde wie die Möglichkeit zur Erteilung der Einwilligung, werde die betroffene Person indirekt dazu gedrängt, ihre Einwilligung abzugeben. Dies sei nicht mit dem Datenschutzrecht vereinbar.

Die Behörde führte außerdem aus, das Banner des DMI informiere nicht ausreichend über die Identität der Anbieter von auf der Internetseite verwendeten Tools. Das DMI hatte in seiner Information zwar die Namen der zum Einsatz kommenden Produkte genannt, nicht jedoch Google als Anbieter dieser Produkte. Dies sei intransparent, da die Produktnamen den Betroffenen nicht unbedingt geläufig seien.

Die dänische Aufsichtsbehörde stellt in ihrer Entscheidung hohe Anforderungen an die Einholung von Einwilligungen für das Setzen von Cookies. Folgt man ihrer Auffassung, werden wohl viele der derzeit auf Internetseiten eingesetzten Cookie-Banner als rechtswidrig anzusehen sein. Unternehmen ist zu raten, bei der Gestaltung von Cookie-Bannern auf Internetseiten großen Wert auf eine transparente Information der Nutzer zu legen und ihnen die freiwillige Entscheidung zu ermöglichen, die Nutzung von Cookies zu erlauben oder abzulehnen.

Urteile zur Verarbeitung von Arbeitnehmerdaten durch Softwareanwendungen

Bereits im Jahr 2016 hatte das Bundesarbeitsgericht in einem Fall zu entscheiden, in dem ein Busfahrer sich gegenüber seinem Arbeitgeber geweigert hatte, ein elektronisches System zur Auswertung von Fahrten mit dem Dienstfahrzeug zu akzeptieren (BAG, Urt. v. 17.11.2016, Az. 2 AZR 730/15). Das BAG hatte in dem damaligen Fall eine Kündigung des Arbeitgebers als begründet angesehen. Das Arbeitsgericht Heilbronn und das Arbeitsgericht Berlin haben sich nun mit ähnlichen Fällen beschäftigt.

In dem Fall vor dem Arbeitsgericht Heilbronn weigerte sich ein Außendienstmitarbeiter, seine Einwilligung in den Einbau einer Telematik-Box in sein Dienstfahrzeug zu erteilen. Die Telematik-Box sollte eine Echtzeit-Ortung des Fahrzeugs ermöglichen, wobei das Drücken eines „Privat-Buttons“ dazu führte, dass eine Ortung nicht möglich war. Im weiteren Verlauf des Geschehens sprach der Arbeitgeber dem Mitarbeiter eine fristlose, hilfsweise eine ordentliche Kündigung aus.

Das Gericht stellte in seinem Urteil (ArbG Heilbronn, Urt. v. 30.01.2019, Az. 2 Ca 360/18) fest, dass das Arbeitsverhältnis durch die Kündigung nicht aufgelöst worden ist. Der Arbeitgeber dürfe ein Telematik-System in seinen Dienstwagen einbauen lassen, jedoch nicht die mithilfe des Systems erfassbaren und speicherbaren Standortdaten des Dienstfahrzeugs erfassen und speichern. Für die Datenverarbeitung sei im vorliegenden Fall keine Rechtsgrundlage gegeben, da sie insbesondere nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich sei. Die verfolgten Zwecke der Auswertung des Nutzungsverhaltes, etwa zur Überprüfung der gefahrenen Kilometer und des Kraftstoffverbrauchs sowie zur Abrechnung von Reisezeiten, könnten vielmehr auch auf andere Weise erreicht werden, beispielsweise durch detaillierte Berichtspflichten.

Das Arbeitsgericht Berlin urteilte in einem vergleichbaren Fall, dass die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint nicht erforderlich für die Durchführung des Beschäftigungsverhältnisses und damit ohne Einwilligung des Betroffenen nicht zulässig ist (ArbG Berlin, Urt. v. 16.10.2019, Az. 19 Ca 5451/19). Begründet wurde dies insbesondere mit der besonderen Sensibilität der biometrischen Daten nach Art. 9 Abs. 1 DSGVO. Die Zeiterfassung könne ebenso händisch erfolgen, ohne dass eine Verarbeitung von Fingerprints erforderlich sei. Etwas anderes könne aber dann gelten, wenn bei der händischen Zeiterfassung ein Missbrauch, etwa durch Mitstempeln der Arbeitszeiten abwesender Mitarbeiter durch Kollegen, nachgewiesen werden könne.

Die Urteile zeigen, dass Unternehmen sich bei der Einführung neuer Softwareanwendungen, die zu einer Verarbeitung von Mitarbeiterdaten führen, Gedanken über die datenschutzrechtliche Zulässigkeit machen sollten. Bestenfalls wird der Datenschutzbeauftragte des Unternehmens bereits vor der Einführung solcher Datenverarbeitungsvorgänge in den Prozess einbezogen.

Datenlecks bei Microsoft und Buchbinder

Berichten zufolge soll es bei Microsoft Ende 2019 zu einem Datenschutzvorfall gekommen sein, bei dem 250 Mio. Supportdaten für zwei Tage öffentlich im Netz verfügbar waren. Mittlerweile habe Microsoft das Datenleck geschlossen. Betroffen gewesen seien zum Beispiel E-Mail-Adressen, IP-Adressen, Informationen zu Support-Fällen und Standortdaten. Nach Angaben der Sicherheitsforscher, die das Datenleck entdeckt hatten, seien unsicher konfigurierte Server die Ursache für den Vorfall gewesen.

Auch bei der Autovermietung Buchbinder war vor Kurzem ein ähnlicher Vorfall bekannt geworden, bei dem 3 Mio. Kundendaten wochenlang im Netz öffentlich zugänglich waren. Betroffen waren dabei unter anderem Mietverträge, Angaben zu Mietern und Fahrern der Autos, Bankverbindungen und Unfalldaten.

Die Vorfälle zeigen, welche Auswirkungen Sicherheitslücken im Unternehmen auf den Schutz personenbezogener Daten haben können. Unternehmen ist dringend zu raten, ihre Pflicht zur Umsetzung von technischen und organisatorischen Maßnahmen zur Datensicherheit ernst zu nehmen und die getroffenen Maßnahmen regelmäßig kritisch zu überprüfen.

Großbritannien will sich vom europäischen Datenschutz lösen

Der britische Premierminister Boris Johnson hat angekündigt, zukünftig beim Datenschutz eine eigenständige und unabhängige Linie zu verfolgen. In einer schriftlichen Erklärung wird beschrieben, dass Großbritannien nach dem Austritt aus der EU seine vollständige wirtschaftliche und politische Unabhängigkeit wiedererlangen möchte. Hohe Standards sollen aber weiterhin eingehalten werden.

Johnsons Vorgängerin Theresa May hatte sich dagegen noch dafür eingesetzt, die DSGVO in das nationale Recht einzubringen. So wurde in einer Pressemitteilung der britischen Regierung im Jahr 2017 über eine Gesetzesnovelle berichtet, die die DSGVO in das britische Recht einbringen und Großbritannien „bei der Vorbereitung auf einen erfolgreichen Brexit“ helfen sollte.

Wie sich der Datenschutz in Großbritannien nun nach der Ankündigung von Boris Johnson entwickelt, bleibt abzuwarten. Soweit die Vorgaben der DSGVO zukünftig für Großbritannien nicht mehr gelten, ist nach den allgemeinen Kriterien von Art. 44 DSGVO zu prüfen, ob ein Datenaustausch mit einem in Großbritannien ansässigen Unternehmen durch geeignete Garantien abgesichert ist; Großbritannien wird damit wie jedes andere Drittland bewertet und beurteilt.