Unser Datenschutz-Update im Oktober 2022

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Oktober 2022.

1. Nachrichten aus der Welt des Datenschutzes

Interessenkonflikt der betrieblichen Datenschutzbeauftragten 

Datenschutzbeauftragte sollen so unabhängig wie möglich sein in ihrer Tätigkeit. Dies kann bei internen Datenschutzbeauftragten problematisch werden, vor allem, wenn es zu Rollenüberschneidungen kommt. 

Natürlich können Datenschutzbeauftragte auch andere Aufgaben übernehmen, sie dürfen sie jedoch nicht in der Rolle als Datenschutzbeauftragte oder Datenschutzbeauftragter einschränken. Dass es zu solch einer Überschneidung nicht kommt, dafür haben die Verantwortlichen oder Auftragsverarbeiter:innen zu sorgen, so steht es in Art 38 Abs. 6 DSGVO. Diese Formulierung allein legt schon nahe, dass es Probleme geben kann, wenn die Verantwortlichen (Unternehmerinnen, Geschäftsführer etc.) selbst auch gleichzeitig Datenschutzbeauftragte sind. 

Es sollte also immer genau geprüft werden, ob die Rollen unabhängig voneinander ausgeführt werden können, ohne einander zu beeinträchtigen. Fallen zum Beispiel Entscheidungskompetenz (Geschäftsführung) und Kontrollkompetenz (Datenschutz) in einer Person zusammen, sind Interessenkonflikte praktisch vorprogrammiert.

Denn wem fällt es schon leicht, sich selbst auf die Finger zu schauen? Wem gibt man in dieser Doppelrolle mehr Gewicht: Dem wirtschaftlichen Nutzen oder der datenschutzrechtlichen Sicherheit einer Maßnahme?

Aktuelles Bußgeld: 

Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) verhängte gegen die Tochtergesellschaft eines Berliner Konzerns ein Bußgeld in Höhe 525 Millionen Euro. Denn: Der Geschäftsführer war gleichzeitig auch Datenschutzbeauftragter. 

„Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden“, heißt es in der Pressemitteilung des BInBDI. Hierin läge ein Verstoß gegen die DSGVO.

Vor Verhängung des Bußgeldes war bereits eine Verwarnung gegen das Unternehmen ausgesprochen worden, in der man diese Konstellation gerügt hatte. Nachdem auch ein Jahr später keine Änderung vorgenommen wurden, verhängte der BInBDI nun das oben genannte Bußgeld. Negativ wurde dabei die vorsätzliche Fortführung des Rechtsverstoßes ab Verwarnung ausgelegt, positiv berücksichtigt wurde wiederum die trotzdem stattgefundene Zusammenarbeit mit der Aufsichtsbehörde. Das Bußgeld orientierte sich am Unternehmensumsatz des Vorjahres.

Fazit: Es empfiehlt sich bei der Bestellung interner Datenschutzbeauftragter zu prüfen, ob diese in der Lage sind, in ihrer Rolle wirklich unabhängig zu agieren und die in Art. 39 DSGVO beschriebenen Aufgaben zu erfüllen.

Mehr dazu finden Sie hier: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf

Neues EU-Daten Transfer Abkommen – kommt Schrems III?

Am 07.10.2022 hat US-Präsident Joe Biden die Executive Order für das US Data Privacy Framework unterzeichnet. 

Laut Präsident Biden sind die vom EuGH im „Schrems II“-Urteil aufgeworfenen Fragen zum Privacy Shield vollständig berücksichtigt worden. Mit Urteil vom 16.07.2021 hatte der EuGH den Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt. Vor allem kritisierte der EuGH, dass die auf die Rechtsvorschriften gestützten Überwachungsprogramme in den USA „nicht auf das zwingend erforderliche Maß beschränkt“ seien und auch Daten von EU-Bürger:innen einbezögen. Die Beschwerdemöglichkeiten für EU-Bürger:innen wurden ebenfalls als unzureichend angesehen.

Nun haben die USA reagiert und eine Executive Order ausgearbeitet, die das vom EuGH geforderte Datenschutzniveau sicherstellen soll. Mit, wie Joe Biden sagt, „neuen robusten Verpflichtungen“. 

• Unter anderem gibt es einen neuen zweistufigen Rechtsbehelfsmechanismus, einschließlich eines unabhängigen Datenschutzprüfungsgerichts „Data Protection Review Court“, vor dem EU-Bürger:innen Entscheidungen der ersten Ebene, des „Civil Liberties Protection Officer“ anfechten können. 
• Vor allem aber sollen ein neues Regelwerk und verbindliche Schutzmaßnahmen den Zugriff der US-Nachrichtendienste beschränken. Ein Zugriff darf nur dann erfolgen, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten der Einzelnen unverhältnismäßig beeinträchtigt werden.
• Eine wirksame Aufsicht dieser neuen Standards soll gewährleistet werden. 
• Weiter gilt eine Verpflichtung für US-Unternehmen durch eine Selbstzertifizierung die Einhaltung der Grundsätze gegenüber dem US-Handelsministerium zu bestätigen.

Die EU-Kommission muss nun die Executive Order prüfen und gegebenenfalls einen Angemessenheitsbeschluss fassen. 

Ist damit das Problem der Datenübermittlung an die USA gelöst?

Noch nicht. Schon jetzt hat Max Schrems und das europäische Zentrum für digitale Rechte „noyb“ angekündigt, gegen einen Angemessenheitsbeschluss, sollte er von der Kommission gefasst werden, vorzugehen. Man sieht noch immer Defizite in dem neuen Vorschlag der USA.

Die Executive Order löse immer noch nicht das Problem der Verhältnismäßigkeit des staatlichen Zugriffs. Allein schon, weil die USA bisher nicht dasselbe Verständnis von Verhältnismäßigkeit haben wie sie gemäß der Grundrechtecharta verstanden wird.

Weiter zweifelt noyb auch den effektiven Rechtsschutz durch das eingerichtete Gericht, den Data Protection Review Court, an.

Zunächst einmal steht die Entscheidung der Kommission aus. 

Mehr dazu finden Sie hier: US-Sicherheit im Spannungsfeld zur DSGVO

2. Entscheidungen des Monats

Kündigung wegen Arbeitszeitbetruges – Beweisverwertungsverbot wegen datenschutzrechtlicher Betriebsvereinbarung

Arbeitszeitbetrug ist ein schwerer Vertrauensbruch und kann die außerordentliche, fristlose Kündigung zur Folge haben. Allerdings muss der Arbeitszeitbetrug bewiesen werden. 

Da liegt es nahe, an Viedoüberwachungsanlagen zu denken, die in einem Unternehmen installiert sind, oder auch die Nachverfolgung der Daten einer Zugangskontrollanlage. 

Doch Vorsicht: Bei derartigen Datenerhebungen und Verarbeitungen kommt es immer darauf an, zu welchem Zweck sie erfolgen und ob eine Rechtsgrundlage greift.

In einem Kündigungsschutzprozess scheiterte ein Arbeitgeber mit genau diesen Beweismitteln.

Im Berufungsurteil hatte das LAG Hannover vom 2022 über den Fall einer außerordentlichen, einer hilfsweise ordentlichen Kündigung zu entscheiden, sowie über die Erteilung eines Zwischenzeugnisses. Dem Arbeitnehmer war Arbeitszeitbetrug zur Last gelegt worden. Bewiesen wurde dies mit Videoüberwachungsaufnahmen und Daten des elektronischen Zugangserfassungssystems. 

Der Arbeitgeber hatte sich jedoch in einer Betriebsvereinbarung verpflichtet, eine personenbezogene Auswertung von Daten, die er durch den Einsatz von Kartenlesegeräten gewonnen hat, nicht vorzunehmen. 

Auf eine derartige Verpflichtung, so das LAG Hannover, könne sich auch der einzelne Arbeitnehmer berufen. 

Der Betriebsrat hatte zudem keine Kenntnis davon, dass die Videoüberwachung zur Aufzeichnung und Überprüfung von Mitarbeiter:innen dienen solle. Ihm sei, so wurde vorgetragen, vielmehr mitgeteilt worden, dass die Installation dazu bestimmt sei, Dienstfremden und Mitarbeiter:innen, die Probleme mit ihrer Karte hätten, die Möglichkeit zu geben, über eine Klingel den Werkschutz zu kontaktieren, damit dieser nach visueller Kontrolle über die Kamera das Tor aus der Ferne öffnen könne. 

Später angebrachte Hinweisschilder wiesen auf eine Videoüberwachung und Videoaufnahme hin und erklärten ausdrücklich, dass die Aufzeichnung 96 Stunden vorrätig gehalten werde.

Das LAG Hannover entschied hierzu: „Erklärt der Arbeitgeber in einem Betriebskonzept oder auf einer Beschilderung einer Videoüberwachungsanlage, die hieraus gewonnenen Daten nur 96 Stunden lang aufzubewahren, kann ein Arbeitnehmer hierauf die berechtigte Privatheitserwartung stützen, dass der Arbeitgeber nur auf Videodateien Zugriff nehmen wird, die – bei erstmaliger Sichtung – nicht älter als 96 Stunden sind.“

Damit unterlagen Videoaufnahmen, die mehr als ein Jahr zurücklagen im Kündigungsschutzprozess einem Beweisverwertungsverbot. 

Außerdem entschied das Gericht: „Zur Kontrolle geleisteter Arbeitszeiten ist eine Videoüberwachungsanlage an den Eingangstoren eines Betriebsgeländes in der Regel weder geeignet noch erforderlich.“

Fazit: Erheben Arbeitgeber:innen Mitarbeiterdaten über Zugangssysteme oder Videoüberwachungen, ist genau auf den Zweck der Erhebung und Verarbeitung zu achten, über den ausdrücklich informiert werden muss. Die Daten können nicht für andere Zwecke verarbeitet werden. Darüberhinaus ist darauf zu achten, dass die Verarbeitung zu dem angegeben Zweck geeignet und erforderlich ist.

Mehr dazu finden Sie hier: Kündigung wegen Arbeitszeitbetruges – Beweismittel…

4. Das schreiben die Anderen zum Datenschutz

• Texas verklagt Google: Gesichtserkennungsfunktion sei wie Saurons Auge (heise.de, 21.20.2022)
• Datenschutzkonforme Personaleinsatzplanung (Datenschutz-Notizen, 20.10.2022)
• Dark Data reduzieren – Wie weniger Datenmüll die Umwelt schützt (Datenschutz-Notizen, 30.09.2022)