Unser Datenschutz-Update im Juli 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juli 2022.

1. Nachrichten aus der Welt des Datenschutzes

Oracle bringt 2023 DSGVO-konforme Cloud auf den Markt

Es besteht Hoffnung auf eine DSGVO-konforme Cloud eines US-Providers, deren Dienste ansonsten denen der regulären Public-Cloud-Regionen entsprechen. 

Notwendig ist natürlich, dass eine Unabhängigkeit von US-Servern besteht. Oracle kündigt an, dass Daten nicht zwischen Regionen verschoben werden. Vielversprechend ist auch, dass der Support und der operative Betrieb von EU-Mitarbeiter:innen bereitgestellt werden soll. Oracle bietet schon jetzt einen „EU Restricted Access“ an. Mit den souveränen Cloud-Regionen, die ab 2023 an den Start gehen sollen, will Oracle passende Richtlinien und Governance-Werkzeuge den Kund:innen zur Verfügung stellen, um DSGVO-konform das Speichern und den Zugriff auf die Daten zu organisieren. Damit wird hoffentlich auch geregelt, wie mit Regierungsanfragen auf gespeicherte Informationen umgegangen wird. 

Zum Anfang sind zwei Rechenzentren in Deutschland und Spanien geplant. Preislich soll sich nichts im Vergleich zu den normalen OCI-Pendants ändern, die erst einmal weiterhin bestehen bleiben. 

Es besteht also die Chance, dass das Datenschutzniveau bei Diensten von US-Providern mit der Zeit doch den EU-Anforderungen genügen wird – oder zumindest, dass der europäische Markt für diese interessant genug ist, um DSGVO-konforme Angebote bereitzustellen. 

Mehr dazu finden Sie hier: https://blogs.oracle.com/cloud-infrastructure/post/introducing-oracles-sovereign-cloud-regions-for-the-european-union

Europol Massenspeicherung – sind Daten der EU-Bürger:innen in der EU wirklich besser geschützt als in den USA? 

Die umstrittene neue Europol-Verordnung ist am Montag im EU-Amtsblatt veröffentlicht worden und damit am Dienstag in Kraft getreten. 

Schon lange liefern nationale Strafverfolgungsbehörden, u.a. auch das Bundeskriminalamt (BKA), große Datenmengen an Europol. Angeblich umfasst der Europol-Datenspeicher ca. vier Petabyte.

Jetzt trat die neue Europol-Verordnung in Kraft. Im Kampf gegen schwere Kriminalität und Terrorismus darf Europol Big-Data-Analysen vornehmen, um die Mitgliedstaaten zu unterstützen. Die Befugnisse der Behörde wurden durch die neue Verordnung deutlich erweitert.

Datenverarbeitung auch von unverdächtigen Personen

Unter anderem ermöglicht die Verordnung, dass: „Europol in der Lage sei, personenbezogene Daten ohne die Kategorisierung der betroffenen Person zu verarbeiten, solange und wann immer dies für die Unterstützung einer spezifischen laufenden strafrechtlichen Ermittlung erforderlich ist.“

Untersuchung auf eigene Initiative

Weiter kann der Exekutivdirektor von Europol vorschlagen, „eine nationale Ermittlung zu einer bestimmten Straftat einzuleiten, die nur einen Mitgliedstaat betrifft, aber ein gemeinsames Interesse im Rahmen einer Unionspolitik berührt. Es obliegt den nationalen Behörden zu entscheiden, ob sie diesem Ersuchen nachkommen wollen oder nicht.“

Es besteht die Gefahr, dass personenbezogene Daten Unverdächtiger im Rahmen der Ermittlung mit kriminellen Untersuchungen in Verbindung gebracht und diese Daten verarbeitet werden. 

Kritisiert wird auch seit langem, dass über Europol Daten für nationale Behörden verarbeitet werden, die diese selbst aufgrund der Gesetzesregelungen nicht verarbeiten dürfen. 

Dieses Vorgehen kann nun rückwirkend legalisiert werden. EU-Mitgliedstaaten können innerhalb einer Übergangsfrist mitteilen, dass das neue Europol-Mandat auf bereits früher erhobene Daten angewendet werden soll, damit diese Daten auch weiterhin genutzt/gespeichert werden dürfen.

Kooperation mit privaten Unternehmen

Europol darf sich personenbezogene Daten auch von privaten Unternehme holen. Interessanterweise umfasst das natürlich auch die von der EU so stark kritisierten Unternehmen wie Google und Facebook. Natürlich umfasst die Regelung auch die Übermittlung personenbezogener Daten durch Banken und Fluglinien. Soweit Europol angemessene Datenschuztvorkehrungen als gegeben sieht, gilt dies auch für Datenübermittlungen aus Drittländern.

Aufgrund der Kompetenzerweiterungen soll zumindest dem bestehenden Data Protection Officer ein unabhängiger Fundamental Rights Officer zur Seite gestellt werden. Weiter sollen die Überprüfungsrechte des existierenden European Data Protection Supervisor gestärkt werden. 

Mehr dazu finden Sie hier: https://www.heise.de/news/Big-Data-Analysen-Europol-erhaelt-Befugnis-zur-Massenueberwachung-7075023.html

2. Entscheidungen des Monats

Fristlose Kündigung wegen Übermittlung personenbezogener Daten über die Dropbox

In einem Urteil vom 25.3. 2022 – 7 Sa 63/21 erkannte das LAG Baden-Württemberg die fristlose Kündigung eines Betriebsratsmitglieds als rechtmäßig, der seine Prozessakten aus einem arbeitsgerichtlichen Prozess in die Dropbox hochgeladen hatte. Die Akte enthielt personenbezogene Daten, darunter besonders sensible Date, nämlich Gesundheitsdaten anderer Beschäftigter. 

Vorgeschichte: Dem Urteil des LAG Baden-Württemberg ging folgender Rechtsstreit voraus. 

Ein Mitarbeiter der Robert Bosch GmbH hatte eine fristlose Kündigung erhalten wegen Bedrohung anderer Mitarbeiter:innen und Belästigung am Arbeitsplatz. Das Gericht sah zumindest den Vorwurf der Bedrohung anderer Mitarbeiter:innen als erwiesen an, hielt jedoch eine fristlose Kündigung für unrechtmäßig, da keine Abmahnung vorausgegangen war. 

Nach seinem „Erfolg“ lud der Mitarbeiter die Prozessakten in seine Dropbox hoch und verschickte per E-Mail den Zugriffslink und machte die Daten damit der „Betriebsöffentlichkeit“ verfügbar, so das LAG Baden-Württemberg. Außerdem forderte er zur Weiterverbreitung der E-Mail auf. In den hochgeladenen Unterlagen waren keine Namen der Zeugen geschwärzt, die am Prozess beteiligt waren, ebensowenig Informationen über deren psychische Beeinträchtigungen durch das Verhalten des Klägers.

Robert Bosch GmbH kündigte dem Mitarbeiter daraufhin erneut fristlos. Wieder klagte dieser gegen die Kündigung vor dem Arbeitsgericht Stuttgart (Urteil vom 04.08.2021 – Az. 25 Ca 1048/19). Er trug vor, er habe die Dokumente innerhalb eines freundschaftlichen und familiären Kreises gehandelt, so dass die DSGVO nicht anwendbar sei. Es gäbe weiterhin keine Geheimhaltungsvorschrift und er habe ein berechtigtes Interesse gehabt, zu der Angelegenheit Stellung zu nehmen. 

Das Arbeitsgericht stellt fest, dass bei einer Veröffentlichung mit einem derart großen Verteilerkreis keine familiärer bzw. persönlicher Kreis bzw. keine persönliche oder familiäre Tätigkeit angenommen werden könnte. Zudem sah es kein berechtigtes Interesse des Klägers, in dieser Form zum Verfahren Stellung zu nehmen. Selbst wenn eines bestanden hätte, hätte es nicht die Interessen der Zeug:innen insoweit überwogen, als der Kläger die Namen und Gesundheitsdaten der Betroffenen hätte schwärzen können. Die DSGVO war damit anwendbar und die Veröffentlichung der Daten unzulässig. 

Fazit:

Bei einem Verstoß gegen den Datenschutz, der genügend gravierend ist wie in dem vorliegenden Fall ist demnach sogar eine außerordentliche Kündigung eines Betriebsratsmitglieds möglich. Das Berufungsurteil bestätigt damit den Stellenwert des Datenschutzes für personenbezogene Daten. Unternehmen sollten deshalb ihre Mitarbeiter:innen auf einen bewussten Umgang mit personenbezogenen Daten sensibilisieren. Denn Verletzungen, auch des Datenschutzes und damit der Persönlichkeitstrechte der eigenen Mitarbeiter:innen, können hohe Schadensersatzklagen nach sich ziehen.

Die Klage wurde abgelehnt und die darauf eingelegte Berufung vor dem LAG Baden-Württemberg blieb erfolglos.

Mitgründer der Datenschutz-Suchmaschine Qwant wegen Ausspähen von Email-Daten verurteilt

Qwant ist eine Suchmaschine, die mit besonders datenschutzfreundlichen Einstellungen wirbt und eine Alternative zu Google werden sollte. 

Nun ist der Mitgründer Éric Leandri wegen Verstoß gegen den Datenschutz verurteilt worden. Er ließ das E-Mail-Konto seines schweizerischen Qwant-Mitgründers Jean-Manuel Rozan ausspionieren. Leandri verdächtigte seinen Mitgründer der Weitergabe von internen Informationen, die dem Unternehmen schadeten. Er veranlasste daraufhin die heimliche Durchsuchung dessen E-Mail Postfachs durch IT-Mitarbeiter:innen. Der Ausspionierte erfuhr davon und sprach den Vorfall an. Leandri leugnete sein Vorgehen nicht, sondern hielt es für berechtigt. Rozan klagte daraufhin.

Das Tribunal judiciaire de Paris verurteilte Leandri wegen Verletzung des Briefgeheimnisses zu 5.000 Euro Strafe an den Staat und 1.500 Euro Schadenersatz an Rozan. (Das Urteil ist noch nicht rechtskräftig). 

Fazit: 

Interessant an dem Urteil ist, dass nicht nur für Arbeitnehmer:innen der Datenschutz zu beachten ist und Verletzungen von Gerichten ernst genommen werden, sondern auch Geschäftsführer:innen untereinander die Datenschutzrechte nicht ignorieren dürfen. Gleiches gilt natürlich auch für ein Vorgehen unter Konkurrent:innen. 

Mehr dazu finden Sie hier: https://www.heise.de/news/Qwant-Mitgruender-wegen-Ausspaehen-von-E-Mails-verurteilt-7177734.html

3. Unser Tipp: Sichern Sie Ihre Daten im Unternehmen!

Die oben zitierten Urteile zeigen mal wieder, wie wichtig es ist, im eigenen Unternehmen die Datensicherheit zu optimieren und Mitarbeitende auf den Datenschutz zu sensibilisieren. 

Hier deshalb unsere Kurz-Checkliste mit den 7 wichtigsten Punkten:

• Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter im Datenschutz.
• Aktualisieren Sie Ihre Software regelmäßig und führen Sie Backups durch.
• Nutzen Sie sichere VPN-Verbindungen (besonders bei Remote-Arbeit).
• Verzichten Sie auf private Arbeitsgeräte (Laptop/Handy) im Team.
• Bewahren Sie Daten offline (Aktenschrank, abschließbare Schubladen etc.) und online (Passwortverschlüsselung, Zugriffsrechte usw.) sicher auf.
• Nutzen Sie eine Firewall, täglich aktualisierte Virenscanner und Spamfilter.
• Seien Sie besonders vorsichtig beim Auslagern von internen oder personenbezogenen Daten in die Cloud.

4. Das schreiben die Anderen zum Datenschutz

• Weisungswidrige Datenbankabrufe: Berliner Polizei ermittelt in eigenen Reihen (heise online, 24.07.2022)
• Sonderkündigungsschutz für Datenschutzbeauftragte europarechtskonform (Datenschutz-Notizen, 12.07.2022)
• Heimliches GPS-Tracking von Mitarbeitern: Verstoß gegen DSGVO? (Dr. Datenschutz, 20.07.2022)

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.