Unser Datenschutz-Update im November 2024
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den November 2024.
1. Nachrichten aus der Welt des Datenschutzes
Referentenentwurf zum Beschäftigtendatengesetz
Der Beschäftigtendatenschutz bedarf noch immer in vielen Bereichen detaillierter Regelung und Klärung. Jetzt erschien ein Referentenentwurf zum Beschäftigtendatenschutzgesetz (RefE-BeschDG). Grund genug, einen Blick darauf zu werfen. In unserem Artikel wollen wir die Schwerpunkte des Gesetzesentwurfs herausarbeiten.
1. Anwendungsbereich
Das Gesetz umfasst die Verarbeitung personenbezogener Daten:
- im Bewerbungsverfahren,
- während des Arbeitsverhältnisses,
- und nach dessen Beendigung.
Dabei stehen die Erforderlichkeit und Freiwilligkeit der Datenverarbeitung im Fokus. Daten dürfen nur für festgelegte Zwecke genutzt werden, eine Zweckänderung unterliegt strengen Hürden.
2. Strengere Kontroll- und Dokumentationspflichten
Arbeitgeber:innen müssen schon vor der Verarbeitung präzise dokumentieren, warum Daten verarbeitet werden. Zusätzlich sind sie verpflichtet:
- Interessenabwägungen vorzunehmen und diese verständlich darzulegen, wenn die Datenverarbeitung auf berechtigten Interessen beruht.
- Nachweise, wie z. B. zur Datenlöschung, detailliert einzuholen und zu dokumentieren.
3. Einwilligung der Beschäftigten
Die Einwilligung in die Datenverarbeitung muss freiwillig sein, was durch das Abhängigkeitsverhältnis im Arbeitsverhältnis erschwert wird. Der Entwurf konkretisiert Beispiele, bei denen eine Freiwilligkeit angenommen werden kann, etwa:
- Einwilligung in Geburtstagslisten,
- Nutzung von Fotos im Intranet,
- biometrische Daten zur Identifikation, wenn alternative Optionen bestehen.
4. Überwachung und Schutz privater Bereiche
Der Entwurf regelt Überwachungsmaßnahmen detailliert:
- Videoüberwachung, Ortung und verdeckte Maßnahmen sind nur in bestimmten Fällen zulässig.
- Daten aus Überwachungsmaßnahmen dürfen nicht zur Leistungskontrolle verwendet werden.
- Private Rückzugsräume, etwa im Homeoffice, sind ausdrücklich geschützt.
Transparenz wird durch Pflicht zur Löschung von Überwachungsdaten innerhalb von 72 Stunden und sichtbare Hinweisschilder sichergestellt.
5. Einsatz von Künstlicher Intelligenz (KI)
KI-Systeme, die Beschäftigtendaten verarbeiten, müssen transparent gemacht werden. Arbeitgeber:innen müssen erklären:
- wie die Systeme funktionieren,
- welche Daten verarbeitet werden,
- und welche Schutzmaßnahmen getroffen wurden.
6. Beweisverwertungsverbot
Daten, die unrechtmäßig verarbeitet wurden, dürfen nicht in Gerichtsverfahren verwendet werden. Das schafft neue Hürden für Arbeitgeber:innen.
Was bedeutet dieser Entwurf für Arbeitgeber:innen?
Der Entwurf bringt mehr Transparenz und stärkt den Schutz von Beschäftigten. Gleichzeitig erhöht er unzweifelhaft den bürokratischen Aufwand für Arbeitgeber:innen. Denn sie müssen:
- umfassend dokumentieren und Nachweise erbringen,
- detaillierte Interessenabwägungen vornehmen,
- und ihre Datenschutzmaßnahmen regelmäßig überprüfen.
Natürlich steht damit noch nicht fest, in welcher Form die Regelungen dieses Entwurfs sich letztendlich im Gesetz wiederfinden werden und ob das Gesetz tatsächlich, wie anvisiert, im Sommer 2025 in Kraft treten kann.
Mehr dazu hier:https://efarbeitsrecht.net/wp-content/uploads/2024/10/RefE-BeschaeftigtendatenG_08_10_2024.pdf
2. Entscheidungen des Monats
Headset-System und betriebliches Mitbestimmungsgesetz
Ein wichtiges Thema in Unternehmen ist die Frage, bei welchen IT-Sicherheitsfragen, Einführungen neuer Tools etc. der Betriebsrat ein Mitbestimmungsrecht hat.
Technische Überwachung am Arbeitsplatz ist ein sensibles Thema. Betriebsräte haben nach § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) ein Mitbestimmungsrecht, wenn technische Einrichtungen eingesetzt werden, die dazu geeignet sind, das Verhalten oder die Leistung von Arbeitnehmer:innen zu überwachen. Doch was bedeutet das in der Praxis? Dies zeigt ein neues Urteil des Bundesarbeitsgerichts (Az. 1 ABR 16/23) recht deutlich.
Warum ist Mitbestimmung wichtig?
Der Schutz der Persönlichkeitsrechte der Arbeitnehmer:innen steht im Mittelpunkt des Mitbestimmungsrechts. Überwachungstechnologien können tief in die Privatsphäre eingreifen. Oft ist den Betroffenen nicht bewusst, dass oder wie sie überwacht werden, da technische Prozesse unsichtbar ablaufen. Dies kann zu einem Gefühl von Kontrollverlust und Abhängigkeit führen, was die freie Entfaltung der Persönlichkeit beeinträchtigen kann.
Das Mitbestimmungsrecht soll sicherstellen, dass der Einsatz solcher Technologien nicht einseitig durch die Arbeitgeber:innen erfolgt, indem die Betriebsratsmitglieder überprüfen können, ob die Überwachung verhältnismäßig ist und die Interessen der Arbeitnehmer:innen gewahrt bleiben.
Was zählt als „Überwachung“?
Laut BAG-Rechtsprechung liegt eine Überwachung vor, wenn durch technische Mittel Informationen über Verhalten oder Leistung der Arbeitnehmer:innen erhoben und gespeichert werden. Entscheidend ist dabei, dass die technische Einrichtung die Überwachung selbst ermöglicht – etwa durch automatische Datenerfassung oder Verarbeitung. Ebenso wichtig und oft von Unternehmen übersehen ist: Die subjektive Absicht der Arbeitgeber:innen, die Daten zur Kontrolle zu nutzen, spielt keine Rolle. Selbst, wenn eine Nutzung zur Kontrolle ausdrücklich nicht erfolgen soll, schließt das ein Mitbestimmungsrechts des BR nicht aus. Es genügt, wenn die Technik objektiv zur Überwachung geeignet ist.
Praxisbeispiel: Headsets am Arbeitsplatz
In dem hier zitierten Fall hatte ein Unternehmen ein Headset-System eingeführt, das durch digitale Übertragung Gespräche innerhalb des Teams ermöglicht. Vor Gericht wurde vom BAG unter anderem die Frage geklärt, ob ein Mitbestimmungsrecht überhaupt diesem Fall ergreift. Grundsätzlich ist das System geeignet, die Mitarbeiter:innen zu überwachen.
Warum war das Headset-System problematisch?
- Automatische Datenerfassung: Das System erfasste automatisch Daten wie die Registrierung der Headsets und die Verbindungszeiten. Diese Informationen wurden im firmeneigenen Portal gespeichert.
- Mithören von Gesprächen: Führungskräfte konnten jederzeit Gespräche der Arbeitnehmer:innen mithören, ohne dass diese es verhindern konnten. Dies erzeugte einen Überwachungsdruck, selbst wenn keine Daten gespeichert wurden.
- Indirekte Identifikation: Auch ohne direkte Zuordnung der Headsets zu einzelnen Mitarbeiter:innen war es möglich, Gesprächsinhalte bestimmten Personen zuzuordnen – etwa durch die Stimme oder den Gesprächskontext.
Das BAG entschied, dass das System dazu geeignet und bestimmt war, Arbeitnehmer:innen zu überwachen. Eine Speicherung der Daten war für die Annahme der Überwachung nicht erforderlich. Bereits die Möglichkeit, Gespräche live mitzuhören, reichte aus, um das Mitbestimmungsrecht des Betriebsrats auszulösen.
Es war unerheblich, dass praktisch keine Gespräche gespeichert wurden und durch die Handhabung der Headsets sogar eine Identifizierung einzelner Mitarbeiter:innen kaum möglich war. Trotz alledem greift nach Meinung des BAG das Mitbestimmungsrecht.
Bei jedem Fall ist zusätzlich zu klären – gerade, wenn es einen Gesamtbetriebsrat gibt -, ob der Gesamtbetriebsrat mitbestimmungsberechtigt ist, oder aber der Betriebsrat eines bestimmten Standorts.
Fazit: Bei Einführung technischer Maßnahmen ist immer sorgfältig zu prüfen, inwieweit ein Mitbestimmungsrecht des Betriebsrats greift. Dies ist vor allem immer dann der Fall, wenn die Maßnahmen geeignet sind, die Mitarbeiter:innen und deren Leistung zu kontrollieren/überwachen. Das Mitbestimmungsrecht entfällt nicht schon deshalb, weil die Arbeitgeber:innen die technischen Möglichkeiten zur Kontrolle praktisch nicht nutzen wollen.
Mehr dazu finden Sie hier: Bundesarbeitsgericht, Az. 1 ABR 16/23, Beschluss vom 16.07.2024
Datenschutzvorfall: Kontrollverlust kann Schadensersatz begründen
Der Bundesgerichtshof (BGH) hat in einem viel beachteten Urteil zum Daten-Skandal bei Facebook wichtige Leitlinien zum Schutz personenbezogener Daten und zu Entschädigungen bei Datenschutzverstößen festgelegt. Im Fokus stand die Frage, ob und in welchem Umfang Nutzer:innen Anspruch auf Schadensersatz haben, wenn ihre Daten unrechtmäßig verarbeitet wurden. Wir fassen die wichtigsten Punkte des Falls und die Entscheidung für Sie zusammen.
Zum Sachverhalt
Im Jahr 2021 wurden Daten von rund 533 Millionen Facebook-Nutzer:innen aus verschiedenen Ländern durch sogenannte „Scraping“-Techniken öffentlich zugänglich gemacht. Dabei hatten Dritte eine Schwachstelle im System von Facebook ausgenutzt: Über die Suchfunktion des Netzwerks konnten Telefonnummern bestimmten Profilen zugeordnet und die dazugehörigen öffentlichen Informationen gesammelt werden. Betroffen waren auch sensible Daten wie Namen, Geschlecht und Arbeitsstellen.
Ein Kläger, dessen Daten ebenfalls betroffen waren, warf Facebook vor, unzureichende Sicherheitsmaßnahmen getroffen zu haben. Er verlangte Schadensersatz für den Kontrollverlust über seine Daten sowie für den daraus resultierenden Ärger. Zusätzlich forderte er, dass Facebook künftige Schäden ersetzt, seine Telefonnummer nicht weiter nutzt und ihm weitere Auskünfte erteilt.
In erster Instanz gab das Landgericht der Klage teilweise statt, das Berufungsgericht wies die Klage insgesamt ab. Der BGH hatte schließlich durch Urteil über die Revision des Klägers zu entscheiden (diese Darstellung ist stark vereinfacht, da es auf die Besonderheiten des Verfahrens hier nicht ankommt).
Es stellten sich insbesondere folgende rechtliche Fragen
- Schadensersatz für Kontrollverlust: Reicht der bloße Verlust der Kontrolle über personenbezogene Daten aus, um einen immateriellen Schaden geltend zu machen oder sind konkrete negative Folgen erforderlich?
- Feststellung zukünftiger Schäden: Kann ein:e Nutzer:in verlangen, dass ein Unternehmen auch für mögliche zukünftige Schäden haftet, die aus dem Datenmissbrauch resultieren könnten?
- Verhältnis zu Datenschutzvorgaben: Hat Facebook mit seinen Standardeinstellungen gegen den Grundsatz der Datenminimierung verstoßen?
1. Schadensersatz für Kontrollverlust
Der BGH stellte klar, dass der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne der DSGVO darstellen kann. Es sei nicht erforderlich, dass die Daten konkret missbräuchlich verwendet wurden oder dass spürbare negative Folgen wie psychische Beeinträchtigungen nachweisbar sind. Diese Entscheidung orientiert sich auch an der Rechtsprechung des Europäischen Gerichtshofs (EuGH).
Allerdings begrenzte der BGH den möglichen Schadensersatz: Unter den Umständen des Falls könne der Ausgleich für den Kontrollverlust auf etwa 100 Euro bemessen werden.
2. Ersatz für zukünftige Schäden
Der Kläger konnte sich erfolgreich darauf berufen, dass künftige Schäden durch den Datenmissbrauch nicht ausgeschlossen sind. Der BGH erkannte an, dass ein berechtigtes Interesse bestehe, die Beklagte für potenzielle materielle und immaterielle Schäden haftbar zu machen.
3. Facebooks Voreinstellungen und Einwilligung
Facebook hatte standardmäßig die Suchbarkeit der Profile auf „alle“ gestellt. Der BGH deutete an, dass diese Voreinstellung vermutlich gegen den Grundsatz der Datenminimierung verstößt, wonach Unternehmen nur so viele Daten wie nötig verarbeiten dürfen. Zudem müsse geprüft werden, ob die Nutzer:innen wirksam in diese Verarbeitung eingewilligt haben.
Welche Folge hat diese Entscheidung?
- Schadensersatz bei Datenschutzverstößen: Auch ohne konkrete Folgeschäden können Betroffene einen Schadensersatz für den Kontrollverlust über ihre Daten verlangen. Der Betrag hängt von den konkreten Umständen des Einzelfalls ab.
- Stärkere Haftung von Unternehmen: Unternehmen können nicht nur für vergangene, sondern auch für potenzielle zukünftige Schäden haftbar gemacht werden.
- Mehr Verantwortung für Datenschutz erforderlich: Der Fall zeigt, dass Datenschutz nicht nur eine Frage technischer Sicherheit ist. Vielmehr müssen auch benutzerfreundliche und rechtskonforme (Grund-)Einstellungen berücksichtigt werden, insbesondere die Grundsätze der Datenminimierung.Das Urteil stärkt somit die Rechte von Nutzer:innen und zeigt, dass Unternehmen wie Facebook stärker in die Verantwortung genommen werden können. Der bloße Kontrollverlust über die eigenen Daten ist eine Verletzung, die ernst genommen werden muss – auch wenn die Entschädigungshöhe begrenzt bleibt.
Mehr dazu finden Sie hier: Pressemitteilung Nr. 218/24 vom 18.11.2024
Urteil des Oberlandesgerichts Dresden
Das Urteil des Oberlandesgerichts Dresden vom 15. Oktober 2024 hat wichtige Konsequenzen für Unternehmen, die Auftragsverarbeiter:innen einsetzen. Es zeigt, dass Verantwortliche nicht nur für die Auswahl ihrer Dienstleister:innen verantwortlich sind, sondern auch deren Arbeit aktiv überwachen müssen. Wir erklären die Kernpunkte des Falls und die Konsequenzen für die Praxis.
Haftung des Verantwortlichen für die Löschung von Daten durch den Auftragsverarbeiter
In einem aktuell vom OLG Dresden entschiedenen Fall ging es konkret um die Frage, inwieweit der Verantwortliche haftet, wenn der Auftragsverarbeiter der Pflicht, die Daten zu löschen, nicht nachgekommen ist.
Nach Beendigung der Auftragsverarbeitung im Jahr 2019 bestätigte der Dienstleister (Auftragsverarbeiter) dem Auftraggeber ( Verantwortlichen) die tatsächliche Löschung der übermittelten Kund:innendaten erst 2023, nachdem ein Datenleck bekannt geworden war. Ein Betroffener des Datenlecks verklagte den Auftraggeber/Verantwortlichen.
Das OLG Dresden entschied, dass der Verantwortliche (das Unternehmen) grundsätzlich für Datenschutzverstöße seines Auftragsverarbeiters haftet, selbst wenn dieser und nicht er selbst gegen Vorgaben des Unternehmens verstößt. Im vorliegenden Fall konnte der Kläger zwar keinen konkreten Schaden nachweisen, doch das Gericht stellte wichtige Prinzipien für die Überwachungspflichten nach der DSGVO klar:
1. Sorgfältige Auswahl ist nicht genug – Überwachung ist Pflicht
Das Gericht erklärte, dass die reine Auswahl einer bzw. eines vertrauenswürdigen und etablierten Dienstleisterin bzw. Dienstleisters nicht ausreiche, um den Pflichten als Verantwortliche:r nachzukommen. Unternehmen müssen sicherstellen, dass vereinbarte Maßnahmen, wie die Löschung von Daten, tatsächlich durchgeführt werden.
2. Risikobasierter Ansatz
Das Gericht erkannte an, dass die Anforderungen an die Kontrolle von Dienstleister:innen sich am Risiko orientieren sollten. Unternehmen müssen nicht jede Kleinigkeit überwachen, aber bei der Verarbeitung großer Datenmengen oder sensibler Daten gelten strengere Maßstäbe. Für besonders kritische Vorgänge wie die Löschung von Daten ist eine detaillierte Bestätigung erforderlich.
3. Ankündigungen seitens der Auftraggeber:innen reichen im Zweifel nicht
Nach Auffassung des Gerichts darf sich das Unternehmen nicht auf bloße Zusicherungen und Aussagen ihrer/seiner Auftragsverarbeiter:innen verlassen. Eine schriftliche Bestätigung über die tatsächliche Löschung aller Daten ist in jedem Fall erforderlich. Diese Bestätigung muss konkret darlegen, welche Daten gelöscht wurden und in welchem Umfang.
Praktische Konsequenzen für Unternehmen
Für Verantwortliche, die Auftragsverarbeiter:innen einsetzen, ergeben sich klare Handlungspflichten:
- Sorgfältige Auswahl: Wählen Sie nur Dienstleister:innen aus, die zuverlässig und DSGVO-konform arbeiten.
- Regelmäßige Überwachung: Überprüfen Sie fortlaufend, ob die Dienstleister:innen die vertraglichen und gesetzlichen Vorgaben einhalten.
- Nachweise einfordern: Verlassen Sie sich nicht auf Ankündigungen. Bestehen Sie auf detaillierte Bestätigungen für sensible Vorgänge wie Datenlöschungen.
- Risikobasierte Kontrollen: Passen Sie den Umfang der Überwachung an die Sensibilität der Daten und die Risiken an. Große Datenmengen oder sensible Daten erfordern intensivere Kontrollen.
- Dokumentation: Halten Sie alle Schritte der Auswahl und Überwachung schriftlich fest, um im Ernstfall Nachweise zu haben.
Von diesen Pflichten kann das Unternehmen auch nicht vertraglich auf die Auftragsverarbeiter:innen abwälzen, wie in manchen Klauseln in Auftragsverarbeitungsverträgen versucht wird.
Mehr dazu finden Sie hier: de lege data | OLG Dresden: Haftung des Verantwortlichen…
3. Das schreiben die Anderen zum Datenschutz
- Verantwortliche müssen ihren DSB unterstützen
- Was bedeuten Quantencomputer eigentlich für die IT-Sicherheit
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich