Sehr geehrte Damen und Herren,

in unserem letzten Datenschutz-Newsletter haben wir über den BRANDI Datenschutzrechtstag am 07.05.2021 informiert und sie herzlich dazu eingeladen. Nun steht der Datenschutzrechtstag kurz bevor und wir freuen uns, hoffentlich viele unserer Leser in der Online-Veranstaltung begrüßen zu dürfen. Falls Sie sich bisher noch nicht angemeldet haben, haben Sie auf unserer Homepage in den nächsten Tagen noch die Möglichkeit dazu.

Der aktuelle Datenschutz-Newsletter beschäftigt sich wie gewohnt mit aktuellen Geschehnissen aus dem Datenschutzrecht, unter anderem mit einem Urteil des VG Mainz zu dem Erfordernis einer Ende-zu-Ende-Verschlüsselung der E-Mail-Korrespondenz von Rechtsanwälten sowie mit einem Vermerk der Datenschutz-Aufsichtsbehörde in Hamburg zu der Abdingbarkeit von technischen und organisatorischen Maßnahmen. In unserem Schwerpunktthema informieren wir über datenschutzrechtliche Besonderheiten bei der Durchführung von Corona-Selbsttests in Unternehmen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz bei der Durchführung von Corona-Selbsttests in Unternehmen

Kontakte am Arbeitsplatz und auf dem Arbeitsweg erhöhen für Beschäftigte das Risiko einer Infektion mit dem Corona-Virus. Da regelmäßig nicht alle Mitarbeiter eines Unternehmens die Möglichkeit haben, im Homeoffice zu arbeiten, wird zur Eindämmung des Corona-Virus aktuell verstärkt auf Testmöglichkeiten gesetzt. Dabei werden nun auch Unternehmen stärker in die Pflicht genommen. Aufgrund einer Änderung der SARS-CoV-2-Arbeitsschutzverordnung (SARS-CoV-2-ArbSchV) vom 21.04.2021 müssen Unternehmen ihren Beschäftigten grundsätzlich zwei Corona-Tests pro Woche anbieten.

Für Unternehmen ergeben sich hieraus zahlreiche datenschutzrechtliche Fragestellungen. Es lohnt sich insofern eine genauere Prüfung, ob und gegebenenfalls wie bei der Durchführung von Corona-Selbsttests in Unternehmen personenbezogene Daten verarbeitet werden dürfen und welche datenschutzrechtlichen Besonderheiten dabei zu beachten sind.

Zum vollständigen Schwerpunktthema

Keine Pflicht für eine Ende-zu-Ende-Verschlüsselung

Das Verwaltungsgericht Mainz hat in einem Verfahren entschieden, dass Rechtsanwälte nicht generell verpflichtet sind, ihre E-Mail-Korrespondenz durch eine Ende-zu-Ende-Verschlüsselung abzusichern (VG Mainz, Urteil vom 17.12.2020, Az. 1 K 778/19, BRAK-Mitteilungen 2021, 104). Bisher haben die Aufsichtsbehörden der Länder unterschiedliche Auffassungen zu der Frage vertreten, inwieweit Berufsgeheimnisträger wie Rechtsanwälte aufgrund ihrer besonderen Stellung grundsätzlich bei der Kommunikation per E-Mail eine Verschlüsselung nutzen müssen. Die Aufsichtsbehörde in Rheinland-Pfalz hatte einen Rechtsanwalt verwarnt, weil dieser angeblich gegen die Pflicht zum ausreichenden Schutz der Inhalte von E-Mails verstoßen hatte. Der Rechtsanwalt, der mit einer Verwarnung belegt werden sollte, hatte sich hiergegen gerichtlich zur Wehr gesetzt und u. a. darauf verwiesen, dass die E-Mails standardmäßig ohnehin mit einer Transportverschlüsselung übertragen wurden.

Das zuständige Verwaltungsgericht hat die Entscheidung der Aufsichtsbehörde aufgehoben und dabei insbesondere darauf abgestellt, dass generell gemäß Art. 32 DSGVO angemessene Schutzmaßnahmen von der verantwortlichen Stelle getroffen werden müssen.

Im konkreten Fall war für das Gericht aber nicht ersichtlich, dass die standardmäßig aktivierte Transportverschlüsselung nicht ausreichen würde und eine zusätzliche Absicherung als Ende-zu-Ende-Verschlüsselung erforderlich gewesen wäre. Für die Argumentation hat das Gericht u. a. darauf abgestellt, dass bei der fraglichen Korrespondenz zwar geschützte Informationen betroffen waren, es sich aber nicht um besonders sensible Daten im Sinne von Art. 9 DSGVO gehandelt hätte.

Nachdem in der Vergangenheit diskutiert wurde, ob Berufsgeheimnisträger bei der Nutzung von E-Mail als Kommunikationsmittel generell höheren Anforderungen unterliegen, dürfte hiervon unter Berücksichtigung der gerichtlichen Entscheidung nicht mehr auszugehen sein. Im Umkehrschluss dürfte dann von anderen Organisationen und Einrichtungen erst recht nicht verlangt werden, dass diese zwingend eine Ende-zu-Ende-Verschlüsselung einsetzen. Umgekehrt sollte allerdings jede verantwortliche Stelle prüfen, ob zumindest eine Transportverschlüsselung vorgenommen wird, da dies dem Stand der Technik entsprechen dürfte.

(Dr. Sebastian Meyer)

Vorlage an den EuGH: Darf ein Datenschutzbeauftragter Vorsitzender des Betriebsrats sein?

Das Bundesarbeitsgericht (BAG) hat dem Europäischen Gerichtshof (EuGH) die Frage zur Entscheidung vorgelegt, ob eine Person sowohl Datenschutzbeauftragter als auch Vorsitzender des Betriebsrats sein darf (BAG, Beschl. v. 27.04.2021, Az. 9 AZR 383/19 (A)), vgl. die Pressemitteilung des BAG Nr. 9/2021).

In dem Verfahren ist der Kläger Vorsitzender des Betriebsrats des beklagten Unternehmens. Außerdem ist er zum betrieblichen Datenschutzbeauftragten des Unternehmens und drei weiterer Konzernunternehmen bestellt. Nach Inkrafttreten der DSGVO im Jahr 2018 hat das beklagte Unternehmen den Kläger als Datenschutzbeauftragten abberufen und dies mit drohenden Interessenkonflikten zwischen den beiden Positionen begründet. Hiergegen geht der Kläger gerichtlich vor.

Das deutsche Datenschutzrecht sieht für einen verpflichtend benannten Datenschutzbeauftragten gem. § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 1 BDSG vor, dass die Abberufung eines Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig ist. Danach ist für die Abberufung ein wichtiger Grund erforderlich. Die Anforderungen in Art. 38 Abs. 3 S. 2 DSGVO sind demgegenüber weniger streng. Hiernach darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

Das BAG hat dem EuGH die Frage vorgelegt, ob die Regelung der DSGVO einer nationalen strengeren Regelung wie § 38 Abs. 1, Abs. 2 i. V. m. § 6 Abs. 4 S. 1 BDSG entgegensteht. Es hat den EuGH unter anderem auch gefragt, ob ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 S. 2 DSGVO vorliegt, wenn der Datenschutzbeauftragte zugleich Vorsitzender des Betriebsrats der verantwortlichen Stelle ist.

Die von dem BAG vorgelegten Fragen sind nun von dem EuGH in dem Vorabentscheidungsverfahren zu klären. Das Revisionsverfahren vor dem BAG wird bis dahin ausgesetzt.

(Johanna Schmale)

BAG zum Auskunftsanspruch entlassener Mitarbeiter

Das BAG hat in einer aktuellen Entscheidung aus dem April 2021 über die Klage eines Wirtschaftsjuristen gegen seinen ehemaligen Arbeitgeber entschieden, dass nicht ohne Weiteres ein Anspruch auf Überlassung einer Kopie seines E-Mail-Verkehrs sowie der E-Mails, in denen er namentlich erwähnt wird, besteht (BAG, Urt. v. 27.04.2021, Az. 2 AZR 342/20).

In der Sache ging es um die Reichweite des datenschutzrechtlichen Auskunftsanspruchs aus Art. 15 DSGVO. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche dem Betroffenen eine Kopie der ihn betreffenden personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Nicht geklärt war bisher, wie weit dieser Anspruch reicht. Der Kläger in dem Verfahren hat insoweit argumentiert, ihm stünde ohne nähere Konkretisierung ein genereller Anspruch auf die gesamte E-Mail-Kommunikation unter seiner Beteiligung sowie seiner namentlichen Erwähnung zu. Die entsprechende Klage war aber erstinstanzlich ohne Erfolg.

Die Revision des Klägers hatte vor dem BAG ebenfalls keinen Erfolg. Die Frage, ob das Recht auf Überlassung einer Kopie gem. Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie der hier angeforderten E-Mails umfassen kann, konnte das BAG allerdings im Ergebnis offenlassen. Ein solcher Anspruch müsse jedenfalls entweder mit einem im Sinne von § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Diese Voraussetzung sei in dem vorliegenden Fall nicht erfüllt. Das Gericht teilte in einer Pressemitteilung mit, dass der Klageantrag auf Überlassung einer Kopie des E-Mail-Verkehrs des Klägers sowie von E-Mails, die ihn namentlich erwähnen, nicht hinreichend bestimmt sei, wenn die E-Mails, von denen eine Kopie zur Verfügung gestellt werden soll, nicht so genau bezeichnet sind, dass im Vollstreckungsverfahren unzweifelhaft ist, auf welche E-Mails sich die Verurteilung bezieht.

Die Klärung des Umfangs des Auskunftsanspruchs hat für Unternehmen eine hohe Relevanz. Eine umfassende Auskunft sowie die vorherige Prüfung auf vertrauliche Informationen, die möglicherweise nicht herausgegeben werden dürfen, ist für Unternehmen unter Umständen mit einem großen Zeit- und Kostenaufwand verbunden. Es bleibt abzuwarten, wie die Gerichte die Reichweite des Auskunftsanspruchs zukünftig weiter konkretisieren werden.

(Johanna Schmale)

HmbBfDI: Dringlichkeitsverfahren gegen Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Verfahren gegen die Facebook Ireland Ltd. eröffnet, das auf eine sofort vollziehbare Anordnung mit dem Inhalt, keine Daten von WhatsApp-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten, abzielt. Dies gab die Datenschutz-Aufsichtsbehörde in einer Pressemitteilung vom 13.04.2021 bekannt.

Anlass für das Verfahren besteht nach Angaben der Behörde aufgrund der aktualisierten Nutzungsbedingungen und der Datenschutzrichtlinie von WhatsApp. Die Nutzer werden aktuell aufgefordert, den neuen Bestimmungen bis spätestens Mitte Mai 2021 zuzustimmen, anderenfalls könnten sie WhatsApp nicht mehr nutzen. Die Behörde führt dazu aus, in den WhatsApp-Bestimmungen würde sich der Dienst das Recht einräumen, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen. Auch die Datenschutzrichtlinie von Facebook sehe eine allgemeine unternehmensübergreifende Nutzung und Auswertung von Daten verbundener Unternehmen vor. Der HmbBfDI befürchtet, dass WhatsApp mit den neuen Bestimmungen neben den bereits bestehenden Austauschmöglichkeiten mit Facebook für die Bereiche Produktverbesserung, Analyse und Network/Security künftig weitere für Marketingzwecke und Direktwerbung schaffe.

Der HmbBfDI ist in Deutschland für Facebook zuständig, da die deutsche Niederlassung von Facebook ihren Sitz in Hamburg hat. Nach eigenen Angaben sieht die Behörde vorliegend außergewöhnliche Umstände gegeben, die sie auf der Grundlage von Art. 66 DSGVO dazu berechtigten, ein Verfahren auch gegen Facebook in Irland zu eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen.

Facebook wird nun zunächst im Rahmen einer Anhörung Gelegenheit zur Stellungnahme gegeben. Nach Angaben der Behörde ist das Ziel, vor dem 15.05.2021 zu einer Entscheidung in dem Dringlichkeitsverfahren zu kommen.

(Johanna Schmale)

HmbBfDI zur Abdingbarkeit von TOM

Der HmbBfDI hat auf seiner Internetseite einen Vermerk veröffentlicht, in dem er sich mit der Abdingbarkeit von technischen und organisatorischen Maßnahmen beschäftigt. Es geht dabei um die Frage, ob betroffene Personen bezüglich ihrer personenbezogenen Daten in ein niedrigeres als das rechtlich geforderte Schutzniveau einwilligen können.

Die Datenschutz-Aufsichtsbehörde kommt in ihrem Vermerk zu dem Ergebnis, dass Verantwortliche und Auftragsverarbeiter die nach Art. 32 DSGVO erforderlichen Maßnahmen zwingend umzusetzen und vorzuhalten haben. Betroffene Personen könnten aber in die Herabsetzung dieses Schutzniveaus bezogen auf ihre eigenen Daten im Einzelfall einwilligen. Die Einwilligung müsse freiwillig im Sinne des Art. 7 DSGVO erfolgen. Voraussetzung hierfür sei, dass der Verantwortliche die nach Art. 32 DSGVO erforderlichen Schutzvorkehrungen grundsätzlich vorhalte und der betroffenen Person auf Verlangen zur Verfügung stelle, ohne dass ihr Nachteile dadurch entstehen.

Zur Begründung verweist die Aufsichtsbehörde unter anderem darauf, dass das Grundrecht auf Datenschutz aus Art. 8 der Grundrechtecharta grundsätzlich zur Disposition des Grundrechtsträgers, also der betroffenen Person, stehe. Auf dieser Basis muss dann eine betroffene Person grundsätzlich frei entscheiden können, in Datenverarbeitungen auch dann einzuwilligen, wenn diese möglicherweise von Außenstehenden als für die betroffene Person schädlich wahrgenommen würden. Dem stünden auch nicht die Regelungen der Art. 6, 7 DSGVO entgegen. Diese würden nicht den Rechtskreis des Betroffenen, sondern allein den des Verantwortlichen vergrößern, indem sie neben der Einwilligung weitere Rechtsgrundlagen vorsehen, auf deren Grundlage personenbezogene Daten überhaupt erst verarbeitet werden dürfen. Es könne aus diesen Regelungen daher lediglich der Schluss gezogen werden, dass die Dispositionsfreiheit der betroffenen Person nur soweit eingeschränkt werden kann, wie dies durch diese Normen vorgesehen ist. Der gegenteilige Schluss, dass Art. 6 und 7 DSGVO die Reichweite der Dispositionsfreiheit der betroffenen Person bestimmen, lasse sich der Gesetzessystematik nicht entnehmen.

(Johanna Schmale)

Datenleck bei Facebook

Aufgrund eines Datenlecks bei Facebook wurden Daten von mehr als 530 Millionen Facebook-Nutzern im Netz veröffentlicht. Berichten zufolge wurden unter anderem Namen, Geburtsdaten, E-Mail-Adressen, Telefonnummern und der Beziehungsstatus von Nutzern veröffentlicht. Entdeckt wurden die Daten Anfang April 2021 von dem IT-Sicherheitsunternehmen Hudson Rock. Facebook zufolge würden die Daten noch aus einer alten Sicherheitslücke aus dem Jahr 2019 stammen. Das Problem sei im August 2019 entdeckt und behoben worden.

Da die Daten teilweise aber noch aktuell sein dürften, besteht insoweit durch ihre Veröffentlichung weiterhin ein Risiko für die Nutzer. Sind zu einer E-Mail-Adresse weitere Daten ihres Inhabers bekannt, können etwa gefälschte E-Mails authentischer gestaltet werden. Insofern sollten betroffene Nutzer eingehende E-Mails besonders sorgfältig auf ihre Echtheit überprüfen. In den Medien wird außerdem davon ausgegangen, dass die extreme Zunahme von betrügerischen SMS, unter anderem angebliche Paketzustellbenachrichtigungen (sog. „Smishing“), dadurch begünstigt wurde, dass durch das Datenleck bei Facebook auch in großem Umfang Mobilfunknummern bekannt wurden, die eigentlich der besseren Absicherung des Facebook-Kontos mittels Zwei-Faktor-Authentifizierung dienen sollten.

(Johanna Schmale / Dr. Sebastian Meyer)