Unser Datenschutz-Update im April 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den April 2022.

1. Nachrichten aus der Welt des Datenschutzes

Kundendaten sind keine private Kontaktbörse

Beim Unabhängigen Landeszentrum für Datenschutz Schleswig Holstein (ULD) gingen 2021 mehrere Beschwerden von Betroffenen ein, deren beruflich herausgegebenen Handynummern genutzt wurden, um sie privat zu kontaktieren und um näheres Kennenlernen oder auch persönliche Treffen zu bitten.

„Einer der Grundsätze für die Verarbeitung personenbezogener Daten sieht vor, dass diese in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung (Integrität und Vertraulichkeit)“, so das ULD in seinem Tätigkeitsbericht für das Jahr 2021. Aufgrund dessen braucht es für jede Art der Datenverarbeitung eine Rechtsgrundlage entweder aus speziellen gesetzlichen Regelungen oder gem. Art 6 (1) DSGVO. In Kundenbeziehungen ist die Rechtsgrundlage zumeist der Zweck der Vertragsabwicklung gem. Art 6 (1) lit. b DSGVO. Auch das berechtigte Interesse gem. Art 6 (1) lit. f DSGVO kann als Auffang-Rechtsgrundlage dienen, z.B. das berechtigte Interesse des Unternehmens oder seiner Mitarbeiter:innen, wenn dieses die Interessen der Betroffenen überwiegen. Mit dieser Rechtsgrundlage ist Vorsicht geboten, wird sie doch gerade von Unternehmen allzu schnell für sich bejaht.

In vorliegenden Fällen kommt keine dieser Rechtsgrundlagen in Betracht, da zweifelsfrei nicht die privaten Interessen der Mitarbeiter:innen an Kundenkontakten darunter fallen.

Die Verantwortlichen müssen gem. Art 5 DSGVO bei der Verarbeitung personenbezogener Daten eine angemessene Sicherheit gewährleisten, einschließlich des Schutzes vor unbefugter Verarbeitung. Geeignete Maßnahmen sind u.a. auch die Belehrung und Schulung der Mitarbeiter:innen hinsichtlich der datenschutzrechtlichen Bestimmungen im Umgang mit Kundendaten sowie das Aufzeigen von Konsequenzen bei Verstößen gegen diese.

Das ULD erteilte den Verantwortlichen einen Hinweis gem. Art 58 (1) lit d DSGVO, weil in den vorliegenden Fällen die Arbeitgeber:innen ihre Beschäftigten hinsichtlich der datenschutzrechtlichen Anforderungen belehrt hatten.

Die Mitarbeiter:innen wurden nochmal belehrt und geschult, teilweise folgten auch personalrechtliche Konsequenzen.

Mehr dazu finden Sie hier: TB 40: Datenschutz in der Wirtschaft

Datenschutzfallen beim Versenden von Personaldaten per E-Mail

Von noch einem interessanten Bereich weiß das ULD in seinem Tätigkeitsbericht für das Jahr 2021 zu erzählen. In mehreren Fällen kam es zu Datenschutzpannen, weil sensible personenbezogene Daten aus der Personalakte, wie Verdienstabrechnungen, Auflösungsverträgen und Beurteilungen der Arbeitsleistungen an falsche Empfänger:innen versandt worden waren.

Das Versehen lag jedoch nicht immer nur bzw. ausschließlich an schusseligen Absender:innen, sondern beruhte zusätzlich auf technischen Tücken. Mal kam es zu Fehlern in der Steuerzeile für die Adressierung in der Software. Ein andermal wurden in einer Standardsoftware Anpassungen vorgenommen. Diese wurden jedoch nicht im Patch- und Update Bereich berücksichtigt. Beim nächsten Update wurden die individuellen Anpassungen überschrieben. In wieder einem anderen Fall steckte der Teufel in der automatischen Vervollständigung der Emailadressen. Ähnlich wie bei unschönen Erfahrungen mit der Autokorrektur unserer Smartphones, kam es hier zur Eingabe falscher EMail-Empfänger:innen.

Ein vergewissernder Blick vor Absenden der Email kann also viel datenschutzrechtlichen und arbeitsrechtlichen Ärger ersparen. Besonders wenn es zu einer Beschwerde kommt und die Aufsichtsbehörde dann in der Überprüfung feststellt, dass geeignete technische und organisatorische Maßnahmen fehlen, um solche Irrläufer rechtzeitig zu entdecken.

Einen amüsanten Fall teilt das ULD in seinem Bericht: Ein Verantwortlicher sandte der Landesbeauftragten für Datenschutz bei seiner Stellungnahme zu einer Anhörung (einen Datenschutzvorfall betreffend) als Anlage die Gewährung eines Arbeitgeberzuschusses für ein Leasingfahrrad einer Beschäftigten – dies hatte mit dem Vorfall leider gar nichts zu tun und begründete sogleich einen neuen Datenschutzvorfall.

Mehr dazu finden Sie hier: TB 40: Datenschutz in der Wirtschaft

Jetzt Corona-Daten in Unternehmen prüfen – und löschen

In einer Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 19.04.2022 werden Unternehmen und öffentliche Stellen aufgefordert zu prüfen, welche personenbezogene Daten im Zusammenhang mit der Pandemiebekämpfung gespeichert wurden. Da die meisten der gesetzlichen Verpflichtungen jetzt weggefallen sind, gibt es in den meisten Fällen – wie z.B. die 3G-Zutrittskontrolle am Arbeitsplatz – auch keine Rechtsgrundlage mehr für eine weitere Speicherung. Diese Daten müssen gelöscht werden. Die Landesbeauftragte für Datenschutz nimmt diese Angelegenheit sehr ernst. „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“ Es ist zumindest nicht unwahrscheinlich, dass andere Datenschutzbehörden dies ähnlich sehen.

Unternehmen sollten diese gespeicherten Daten kurzfristig auf Rechtsgrundlagen für eine Speicherung überprüfen. Lediglich im Gesundheitsbereich gelten besondere Regelungen (mehr dazu Beschluss der DSK).

Mehr dazu finden Sie hier: Corona-Daten spätestens jetzt löschen | Die… ; Corona-Daten spätestens jetzt löschen – Virtuelles Datenschutzbüro

2. Entscheidungen des Monats

Auskunftsersuchen einschränken – nicht so einfach!

Wenn ein Unternehmen einem Auskunftsersuchen nicht nachkommen will, sollte es immer eine gute Begründung parat haben. Sich dabei auf schützenswerte Interessen Dritter zu berufen, reicht zum Bespiel nicht unbedingt aus. Dies hat der BGH entschieden. Vielmehr kommt es auf den Einzelfall an.

Ein Mieter war von einem Hinweisgeber beim Vermieter in Verdacht geraten, Urheber starker Gerüche und Ungeziefer im Treppenhaus zu sein. Es folgte eine Begehung und anschließende Entrümpelung und Reinigung der Wohnung. Als der Kläger Auskunft verlangte, wer denn den Hinweis gegeben hatte, gab die Vermietungsfirma keine Auskunft.

Der BGH urteilte nun, dass die Interessen der Hinweisgeber:innen an der Vertraulichkeit der Behauptung nicht überwiege, wenn die Richtigkeit der Angaben nicht aufgeklärt werden könne. So sah der BGH es in diesem Fall.

Daraus folgt, dass jede Einschränkung, die ein Unternehmen bei einem Auskunftsbegehren der Betroffenen vornehmen möchte, sehr genau begründet sein muss.

Mehr dazu finden Sie hier: BGH: Reichweite des Auskunftsanspruchs bei Interessen Dritter

Schmerzensgeld-Risiko: berufliche Interna via Social Media versenden

Ein Xing-Nutzer klagte gegen einen potentiellen Arbeitgeber, eine Privatbank, auf Schmerzensgeld und Schadensersatz. Während seines Bewerbungsverfahrens hatte eine Mitarbeiterin eine Nachricht der eigentlich dem Bewerber gebührte, versehentlich an einen falschen Empfänger geschickt. Inhalt der Nachricht:

„Lieber Herr …, ich hoffe es geht Ihnen gut! Unser Leiter ‑ Herr … ‑ findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, …“ (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20)

Unglaublich, aber wahr: Der Empfänger kannte den richtigen Empfänger und leitete es an diesen weiter. Nachdem der Bewerber aus dem Prozess ausgeschieden war, verklagte er schließlich die Privatbank auf Schadensersatz und Schmerzensgeld wegen Verstoßes gegen die DSGVO gem. Art 82 DSGVO.

Der Vorwurf des Klägers lautete, dass der falsche Empfänger ebenfalls Bewerber in derselben Branche sei und die Nachricht weitergeleitet, und so die Chancen des Klägers bei weiteren Bewerbungen verschlechtert haben könnte. Der Vorwurf konnte letztlich nicht bewiesen werden, grundsätzlich ist die Argumentation aber durchaus realistisch.

Das LG Darmstadt (Urteil vom 26.05.2020 – 13 O 244/19) erkannte deshalb dem Kläger einen Schmerzensgeldanspruch in Höhe von 1000,00 € zu. Hiergegen legte die Privatbank – zu Recht – Berufung ein, da kein Schaden nachgewiesen worden war.

Das OLG Frankfurt lehnte entsprechend eine Anspruchsgrundlage des Klägers ab: „Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan.“

Aus dem Urteil des OLG Frankfurt kann man unter anderem zwei interessante Punkte mitnehmen:

1. Wieder einmal wurde gerichtlich bestätigt, dass es keinen Schadensersatz- oder Schmerzensgeldanspruch gibt, wenn kein konkreter (materieller oder immaterieller) Schaden nachgewiesen werden kann.
2. Man sollte sich genau überlegen, ob Social Media Plattformen wirklich die richtige Umgebung sind, um geschäftliche Details und arbeitsrechtliche, vertrauliche Informationen auszutauschen. Das Risiko der willkürlichen Weiterleitung an Konkurrent:innen ist nirgendwo höher als auf diesen Plattformen, wo böswilligen Versender:innen die Kontaktdaten gebündelt präsentiert werden.

Mehr dazu finden Sie hier: OLG Frankfurt, 02.03.2022 – 13 U 206/20 – dejure.org; Wenn der XING-Kandidat zum Kläger wird

3. Das schreiben die Anderen zum Datenschutz

• Landesbehörden müssen rechtskonformen Betrieb von Facebook-Fanpages nachweisen (Virtuelles Datenschutzbüro, 13.04.2022)
• Überwachung am Arbeitsplatz: Arbeitszeiterfassung und der Datenschutz (Dr. Datenschutz, 21.04.2022)
• Ende-zu-Ende-Verschlüsselung von E-Mails (Datenschutz-Notizen, 06.04.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.