Category Archives: Datenschutzrecht

Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen (aktualisiert)

Posted on by

Der Bundesgesetzgeber hat es (zumindest teilweise) bereits hinter sich: die Anpassung des nationalen Datenschutzrechts an die ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO). Am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (pdf) in Kraft. Die Aufgabe ist nur teilweise erledigt, da der Bundesgesetzgeber noch eine Vielzahl von Bundesgesetzen und auch Verordnungen anpassen muss. Aus der Antwort von Staatssekretär Engelke vom 12.9.2017 (pdf, S. 10) auf eine Anfrage von Konstantin von Notz ergibt sich ein durchaus noch umfassender Anpassungsbedarf. Demnach wird derzeit auch an einem Arbeitsentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) gearbeitet. Der Prozess der Anpassung der Bundesvorschriften an die DSGVO sei zudem noch nicht abgeschlossen.

Auch die Bundesländer müssen ihre Datenschutzregeln, vor allem die Landesdatenschutzgesetze, an die Vorgaben der DSGVO anpassen. Erst seit Mitte August gelangen allmählich die ersten offiziellen Entwürfe ans Tageslicht:

Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)

Sachsen: Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf) (Sächsisches Datenschutzdurchführungsgesetz)

Sachsen-Anhalt: Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz (pdf) (wobei dieser Gesetzentwurf nur einen sehr kleinen Teilbereich der Vorgaben der DSGVO abdeckt und sich auf die Stellung und Aufgaben des Landesdatenschutzbeauftragten beschränkt; vglö hierzu meinen älteren Blogbeitrag)

Update vom 4.10.2017:

Bayern: Gesetzentwurf der Staatsregierung für ein Bayerisches Datenschutzgesetz (pdf) (derzeit zunächst in der Verbandsanhörung)

Auffällig ist, dass sich die Landesgesetzgeber sehr stark an dem neuen BDSG und den Vorschriften für nicht öffentliche Stellen orientieren. Zum Teil sind jedoch auch ganz individuelle Abweichungen vorgesehen. Nachfolgend möchte ich einige Gesetzentwürfe und dort enthaltene Regelungen vorstellen und kritisch kommentieren.

Brandenburg:

In § 3 soll der Begriff des „Anonymisieren“ ergänzend zu Art. 4 DSGVO definiert werden. Der Ausdruck bezeichnet das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Aufgrund der bindenden Wirkung der DSGVO und ihres grundsätzlich abschließenden Regelungscharakters wird man aber die Frage stellen müssen, ob der nationale Gesetzgeber den Begriff des „Anonymisierens“ legal definieren darf. Laut der Gesetzesbegründung ergebe sich die Regelungsbefugnis hierfür aus Art. 6 Abs. 2 und 3 DSGVO (diese beiden Vorschriften nutzt der Gesetzentwurf aus Brandenburg im Übrigen sehr extensiv für verschiedenste Regelungen). Danach dürfen Mitgliedstaaten Regelungen einführen oder beibehalten, die spezifischen Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. In ErwG 26 erwähnt die DSGVO anonyme Informationen. Dies sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO nutzt folglich zum einen eine andere Umschreibung als § 3. Zum anderen dürfte die nationale Regelung an sich schon nicht zulässig sein, da die DSGVO (zumindest in einem ErwG) den Begriff abschließend umschreibt.

In § 4 Abs. 3 sieht der Gesetzesentwurf, abweichend von Art. 30 Abs. 4 DSGVO, vor, dass das Verzeichnis der Verarbeitungstätigkeiten von jedermann eingesehen werden kann. Auch diese Regelung stützt der Gesetzesentwurf auf Art. 6 Abs. 2 und 3 DSGVO, da es um eine Vorgabe zur Transparenz der Datenverarbeitung geht. Auch hier stellt sich aber die Frage, ob der nationale Gesetzgeber die Vorgaben der DSGVO (hier Art. 30 Abs. 4 DSGVO) insoweit aufbrechen darf, dass die Pflicht zur Offenlegung des Verzeichnisses auf jedermann erweitert wird.

Extensiv nutzt der Gesetzesentwurf in § 6 Abs. 1 Nr. 1 bis 8 die Erlaubnis nach Art. 6 Abs. 4 iVm Art. 23 Abs. 1 DSGVO, eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu schaffen. Jedoch ergibt sich aus der Gesetzesbegründung nicht, welche in Art. 23 Abs. 1 DSGVO abschließend benannten Ziele die jeweilige Erlaubnis in § 6 Abs. 1 Nr. 1 bis 8 nutzt. So soll die zweckändernde Verarbeitung nach Nr. 8 etwa zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt. Es bleibt unklar, welche in Art. 23 Abs. 1 DSGVO benannte Ziel mit dieser Regelung verfolgt. Eine Möglichkeit zur Weiterverarbeitung von Daten aus allgemein zugänglichen Quellen listet Art. 23 Abs. 1 DSGVO aber nicht auf. Auch hier besteht also das Risiko einer Europarechtswidrigkeit.

Sachsen:

Anders als die finale Fassung des neuen BDSG sieht § 22 Abs. 1 die Möglichkeit vor, dass auch Mitarbeiter öffentlicher Stellen ordnungswidrig handeln und als Folge mit einem Bußgeld von bis zu 50.000 EUR (Abs. 2) geahndet werden können. Eine solche Regelung dürfte jedoch europarechtswidrig sein.

Denn nationale Bußgeldtatbestände, die Sanktionen gegen Mitarbeiter öffentlicher Stellen vorsehen würden, sind nicht mit Art. 83 DSGVO vereinbar. Art. 83 Abs. 7 DSGVO enthält zwar eine Öffnungsklausel für Bußgeldtatbestände, die öffentliche Stellen adressieren. Dem ausdrücklichen Wortlaut nach bezieht sich die Regelungsbefugnis der Mitgliedstaaten aber allein darauf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Art. 83 Abs. 7 DSGVO erwähnt nicht die Mitarbeiter der öffentlichen Stellen.

Weitere Landesdatenschutzgesetze sind derzeit in Arbeit bzw. liegen in Referentenentwürfen vor. Man darf gespannt sein, ob jedes Bundesland bis zum 25.5.2018 ein angepasstes Landesdatenschutzgesetz vorweisen kann.

Mecklenburg-Vorpommern:

Auch für Mecklenburg-Vorpommern liegt nun ein Gesetzentwurf (pdf), u.a. auch für ein neues Landesdatenschutzgesetz, vor. Wie der Entwurf aus Sachsen, will auch der Landesgesetzgeber Bußgeldtatbestände für die direkte Sanktionierung von Mitarbeitern der öffentlichen Stellen schaffen. Auch hierzu lässt sich meines Erachtens feststellen, dass eine solche Regelung europarechtswidrig wäre.

Hessen:

In Hessen wurde am 5.12.2107 ein Gesetzentwurf (pdf) für ein Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit vorgelegt. Mit diesem Gesetz möchte der Landesgesetzgeber zudem einen gesetzlichen Anspruch auf Informationszugang für Bürger schaffen (ab §§ 80 ff.). Anders als in den übrigen Bundesländern, möchte der hessische Gesetzgeber die Vorgaben der JIRL nicht (nur) im speziellen Fachrecht (etwa im Polizeirecht), sondern allgemein im Hessischen Landesdatenschutzgesetz umsetzen (ab §§ 40 ff.). Mit Blick auf die Anpassung des Hessischen Landesdatenschutzgesetzes an die DSGVO, orientiert sich der Gesetzgeber zu einem großen Teil an dem neuen BDSG. Meines Erachtens mit dem bestehenden Risiko der Schaffung europarechtswidrigen Rechts, wie etwa § 4 Abs. 1 HDSIG zur Videoüberwachung.

Wie in dem Entwurf aus Brandenburg soll in Hessen eine gesetzliche Definition der „anonymen Informationen“ eingeführt werden. Auch hier wird man durchaus darüber streiten können, ob der nationale Gesetzgeber im Anwendungsbereich der DSGVO überhaupt befugt ist, diesen Begriff landesgesetzlich zu definieren. Zwar enthält die DSGVO keine Begriffsbestimmung der „Anonymisierung“ in ihrem verfügenden Teil; jedoch kennt sie den Begriff und umschreibt ihn in ErwG 26.

In § 19 Abs. 5 HDSIG wird, richtigerweise, die Möglickeit des Insichprozesses aufgenommen. Nach der DSGVO dürfen die Aufsichtsbehörden ihre Befugnisse, also etwa auch den Erlass untersagender Verwaltungsakte, gegenüber öffentlichen Stellen ausüben. Mit § 19 Abs. 5 wird klargestellt, dass in Zukunft der Hessische Datenschutzbeauftragte auch gegenüber Landesbehörden Verwaltungsakte erlassen kann und es hierüber eventuell auch zu einem gerichtlichen Verfahren kommt. Entweder kann die Landesbehörde gegen die Entscheidung des Hessischen Datenschutzbeauftragten klagen oder aber der Hessische Datenschutzbeauftragte darf selbst die Rechtmäßigkeit seiner Entscheidung feststellen lassen.

Leider wird auch mit dem Entwurf auf Hessen wieder deutlich, wie unterschiedlich die einzelnen Landesgesetzgeber an die Anpassung des Landesrechts an die DSGVO und die Umsetzung der JIRL herangehen. Die Entwürfe unterscheiden sich zum Teil erheblich und dürften, wenn sie in dieser Form Gesetz werden, für zusätzliche Rechtsunsicherheit sorgen.

Update vom 28.12.2017:

Auch in Nordrhein-Westfalen wurde nun ein Gesetzentwurf (pdf) zur Anpassung an die DSGVO und zur Umsetzung der JIRL veröffentlicht und in die Verbändeanhörung gegeben.

Update vom 23.1.2018:

Mit Datum vom 16.1.2018 wurde nun auch in Thüringen der Entwurf eines Omnibusgesetztes zur Anpassung des Landesdatenschutzes veröffentlicht (pdf). Mit dem Entwurf wird nicht nur das Landesdatenschutzgesetz angepasst, sondern viele weitere Landesgesetze, die datenschutzrechtliche Vorgaben enthalten.

U.a. soll auch in Thüringen die Möglichkeit der Verhängung von Bußgeldern gegen öffentliche Stelle (soweit diese nicht am Wettbewerb teilnehmen) ausgeschlossen werden. Zudem werden Regelungen zum Rechtsschutz für öffentliche Stellen gegen Entscheidungen des Landesbeauftragten für Datenschutz, entsprechend den Vorgaben der DSGVO, vorgesehen. Verpflichtend sieht der Gesetzentwurf zudem die Bestellung eines Datenschutzbeauftragten bei öffentlichen Stellen für einen Zeitraum von 4 Jahren vor. Hieran ist interessant, dass diese Pflicht zur Bestellung eigentlich bereit in Art. 37 Abs. 1 a) DSGVO vorgesehen wird und daher im Landesrecht nicht mehr erforderlich ist. Jedoch dürfte es sich um eine Umsetzung des Art. 31 JIRL handeln. Zudem kann man darüber diskutieren, ob der fixe 4-Jahres-Zeitraum so mit den Vorgaben der DSGVO vereinbar ist. Denn die DSGVO macht zu dem Zeitraum überhaupt keine Angaben und der Entwurf sieht die 4 Jahre auch nicht etwas als Untergrenze vor.

Interessant finde ich auch eine Regelung in § 19 Abs. 2 des Entwurfs für ein neues Landesdatenschutzgesetzes. Dort wird festgelegt, dass den Auftrag für eine Auftragsverarbeitung auch die Fachaufsichtsbehörde für andere Behörden erteilen kann. Der Gesetzgeber möchte hierdurch die Fachaufsichtsbehörde per Gesetz zum Vertragsschluss für die ihr unterstehenden Behörden bevollmächtigen. Hier stellt sich die Frage, ob eine solche Regelung mit Art. 28 DSGVO vereinbar ist. Denn zumindest sieht Art. 28 DSGVO eine solche Konstruktion nicht ausdrücklich vor. In der Praxis dürfte diese Variante der Auftragserteilung freilich den Aufwand für nachgeordnete Behörden reduzieren. Zu beachten ist aber, dass die nachgeordneten Behörden weiterhin Verantwortlicher sind.

Auch die Zulässigkeit der Videoüberwachung soll geregelt werden. Auch hier fällt einmal wieder auf, wie unterschiedlich in Zukunft die verschiedenen Landesdatenschutzgesetze ausgestaltet sein sollen. So sind die Zulässigkeitstatbestände in § 30 dieses Entwurfs weniger umfassend als etwa jene des § 27 im Entwurf aus Brandenburg.

Update vom 25.2.2018:

Auch in Hamburg liegt nun ein Gesetzentwurf (pdf) für ein Gesetz zur Anpassung des Hamburgischen Datenschutzgesetzes sowie weiterer Vorschriften an die Verordnung (EU) 2016/679 veröffentlicht.

Zudem hat auch Bremen einen Gesetzentwurf  (pdf) für die Anpassung an die DSGVO veröffentlicht. Auch dort sollten Mitarbeiter öffentlicher Stellen, die entgegen der DSGVO und den Vorgaben des neuen LDSG Daten verarbeiten mit Geldbußen (bi szu 25.000 EU) belegt werden können.

 

Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht

Posted on by

Eigentlich ist die EU Datenschutz-Grundverordnung (DSGVO) erst ab 25. Mai 2018 anwendbar (Art. 99 Abs. 2 DSGVO). Die DSGVO ist zwar bereits am 24.5.2016 in Kraft getreten. Sie gilt jedoch erst ab dem 25.5.2018. Erst ab diesem Datum sind die Vorgaben der DSGVO verbindlich anzuwenden und durch die Aufsichtsbehörden durchsetzbar.

Sachverhalt

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 offenbar anders. Mit Urteil vom 6.7.2017 (Az. 10 K 7698/16, pdf) hob das Verwaltungsgericht Karlsruhe (VG) nun einen Bescheid des LfDI vom 25.11.2016 auf, mit dem eine Auskunftei verpflichtet werden sollte, Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Auskunftei in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.5.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Der LfDI stützte den Verwaltungsakt unter anderem darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei unterbunden werden, jedoch Missstände verhindert werden sollten, die nach dem 24.5.2018 zu erwarten seien. Hintergrund ist, dass der noch geltende § 35 Abs. 2 S. 2 Nr. 4 BDSG, der bestimmte Fristen zur Prüfung für die Löschung von Daten vorsieht, keine Entsprechung in der DSGVO und auch nicht im neuen BDSG findet.

Die Auskunftei hatte zuvor im Schriftverkehr nicht verbindlich zugesichert, ihre Datenspeicherungspraxis ab dem 24.5.2018 entsprechend zu ändern. Zwar hatte die Auskunftei angekündigt, ihre Datenlöschkonzeption zum 25.5.2018 der DSGVO anpassen zu wollen. Bei der Ankündigung handelte es sich nach Ansicht des LfDI aber lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung.

Daher, so der LfDI, seien künftige Datenschutzverstöße nicht auszuschließen. Zudem sei ungewiss, ob die Auskunftei den Zeitraum bis zur Geltung der DSGVO nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen.

Urteil des VG

Völlig zurecht gab das VG der Anfechtungsklage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde statt. Für die datenschutzrechtliche Verfügung liegt nämlich bereits keine Ermächtigungsgrundlage vor.

Zum einen liegen festgestellte Datenschutzverstöße durch die Auskunftei, welche seitens der Aufsichtsbehörde gerügt worden wären, der Verfügung nicht zugrunde. Dies wäre jedoch nach § 38 Abs. 5 S. 1 BDSG erforderlich; in jedem Fall müsste das künftige Verhalten durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet sein.

Unverständlicherweise wollte der LfDI seine Verfügung zudem auf § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 DSGVO stützen, nach dem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen soll, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden. Aus Erwägungsgrund 39 DSGVO ergibt sich aber nicht, dass die Verantwortliche bereits vor Geltung DSGVO verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit DSGVO durch die Aufsichtsbehörde verpflichtet werden könnte.

Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

Diese Feststellung des VG ist für Unternehmen bis zum Stichtag am 25.5.2018 durchaus relevant. Denn hierdurch stellt das VG richtigerweise klar, dass eine Aufsichtsbehörde keine Vorschriften durchsetzen darf, die noch gar nicht anwendbar sind.

Der LfDI hatte zur Begründung zudem auf Art. 58 Abs. 2 lit. d) DSGVO verwiesen. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Wie die gesamte DSGVO, so ist aber natürlich auch Art. 58 DSGVO erst anwendbar und durchsetzbar, wenn die DSGVO Anwendung findet. Also erst ab dem 25.5.2018.

In dem Urteil äußert sich das VG zudem auch implizit zu einigen Vorschriften der DSGVO in Bezug auf die Löschung von personenbezogenen Daten.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG wird mit Neufassung des Bundesdatenschutzgesetz nicht fortbestehen. Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Lediglich aus Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat. Das VG ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war. Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Frist, wonach Forderungen und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.

Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

Anpassung an die DSGVO: Sachsen-Anhalt reformiert Stellung des Landesdatenschutzbeauftragten

Posted on by

Als soweit ersichtlich erstes Bundesand ist nun ein Gesetzentwurf der Landesregierung Sachsen-Anhalt zur Anpassung des geltenden Landesdatenschutzgesetzes (DSG LSA) veröffentlicht worden (LT-Drs. 7/1736, 15.08.2017, pdf).

Mit dem „Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz“ soll die Organisation des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt an die Vorgaben der EU Datenschutz-Grundverordnung (DSGVO) angepasst werden.

Lau der Begründung zum Entwurf ist dieser Teil eines zweistufigen Verfahrens zur Anpassung des DSG LSA an das EU-Recht. In dem vorliegenden Entwurf sollen die organisationsrechtlichen Fragestellungen behandelt werden. Dabei ist es das Ziel, zum 1. Januar 2018 eine arbeitsfähige Aufsichtsstruktur zu schaffen. In der zweiten Stufe sollen die materiell-rechtlichen Anpassungen an die neuen europarechtlichen Vorgaben vorgenommen werden. Dies betrifft z. B. die Neuregelung von sogenannten Betroffenenrechten in einem die DSGVO ausfüllenden Landesgesetz.

Momentan ist die Geschäftsstelle des Landesbeauftragten für den Datenschutz ist noch bei der Präsidentin des Landtags angesiedelt. Die Beibehaltung dieses Status quo scheidet jedoch als europarechtlich nicht zulässig in Zukunft aus. Hierzu wird § 21 Abs. 3 DSG LSA neu gefasst. Mit der Änderung soll der gesetzgeberische Auftrag aus Art. 52 DSGVO umgesetzt werden. Nach Art. 52 Abs. 1 DSGVO handelt jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Um diese „völlige“ Unabhängigkeit herzustellen, wird die Geschäftsstelle aus der Landtagsverwaltung herausgelöst und verselbständigt.

Ganz interessant ist, dass Sachsen-Anhalt laut der Gesetzesbegründung auch darüber nachgedacht hatte, eine große Datenschutzbehörde für die Bundesländer Sachsen, Sachsen-Anhalt und Thüringen zu schaffen. Diese Idee wird aber nicht weiter verfolgt, die entsprechende Bereitschaft von Sachsen und Thüringen nicht signalisiert worden ist.

Nachfolgend noch ein kurzer Überblick zu ein paar Neuerungen im DSG LSA.

In § 20 Abs. 1 S. 2 DSG LSA werden die Anforderungen an den Landesdatenschutzbeauftragten neu gefasst und der DSGVO angeglichen. So wird der Tatbestand der besonderen Sachkunde für das Mitglied der Aufsichtsbehörde aus Art. 53 Abs. 2 DSGVO übernommen und als Ernennungserfordernis für den Landesbeauftragten für den Datenschutz normiert. Nach der Gesetzesbegründung wird diese ein Berufsanfänger nicht haben. Zudem wird die Altersdiskriminierung hinsichtlich der Vollendung des 35. Lebensjahres wird gestrichen.

Der Landesbeauftragte wird durch eine entsprechende Regelung in § 21 DSG LSA sowohl Aufsichtsbehörde im Sinne der DSGVO als auch Aufsichtsbehörde für den Bereich von Polizei und Justiz bis hin zur Strafvollstreckung im Sinne der RL (EU) 2016/680.

Die Möglichkeit, Bußgelder gegenüber öffentlichen Stellen des Landes zu verhängen, soll in § 22 Abs. 1 DSG LSA ausgeschlossen werden. Diese Möglichkeit eröffnet Art. 83 Abs. 7 DSGVO. Nach dem geplanten § 22 Abs. 1 DSG LSA erfüllt der Landesbeauftragte für den Datenschutz gegenüber allen öffentlichen Stellen die Aufgaben aus Art. 57 DSGVO und dazu stehen ihm die Befugnisse aus Art. 58 DSGVO, also auch gegenüber öffentlichen Stellen, zu. Geldbußen können durch den Landesbeauftragten gegenüber öffentlichen Stellen aber nicht verhängt werden. Nach Auffassung der Landesregierung sollten die europarechtlich normierten Befugnisse (Art. 58 DSGVO) der Aufsichtsbehörde ausreichen, hier zu rechtmäßigem Verhalten bei den Behörden anzuhalten. Ob das in der Praxis tatsächlich der Fall sein wird, muss man wohl abwarten.

Klarstellend ist jedoch anzumerken, dass gegen öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, wie auch derzeit Bußgelder nach den für nicht-öffentliche Stellen geltenden Vorschriften verhängt werden können.

Der neue § 31b Abs. 1 S. 1 DSG LSA konzentriert die Zuständigkeit für Streitigkeiten in Datenschutzangelegenheiten aus allen Verwaltungsgerichtsbezirken des Landes beim Verwaltungsgericht Magdeburg. Nach § 31b Abs. 3 DSG LSA kann auch eine Landesbehörde gegen eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz Anfechtungsklage erheben. Diese Regelung ist, aufgrund der Befugnisse des Datenschutzbeauftragten nach Art. 58 DSGVO, erforderlich. Soweit sich auf der Klägerseite das Land bzw. eine Landesbehörde und auf der Beklagtenseite der Landesbeauftragte gegenüberstehen, handelt es sich um einen Insichprozess. Diese sind u. a. dann statthaft, wenn der Gesetzgeber die Zulassung des Insichprozesses ausdrücklich normiert, was mit Abs. 3 geschieht.

Saarländische Datenschutzbehörde: SmartHome nur mit Einwilligung der Mieter?

Posted on by

Am 21. Juni 2017 hat das Unabhängige Datenschutzzentrum Saarland seinen 26. Tätigkeitsbericht der saarländischen Landesbeauftragten für Datenschutz und Informationsfreiheit für die Jahre 2015/2016 vorgestellt (PDF).

In dem Tätigkeitsbericht informiert die Behörde auch über einen interessanten Fall aus dem Bereich des „Smart Home“, also der vernetzen bzw. mit Sensoren ausgestatteten Wohnung (ab S. 169).

Ein Unternehmen wandte sich mit der Frage an die Datenschutzbehörde, unter welchen datenschutzrechtlichen Bedingungen von dem Unternehmen angebotene Klimasensoren in Mietwohnungen im Saarland auf Wunsch der Vermieter dauerhaft angebracht werden können.

Der Nutzen dieser Sensoren lag darin, dass das Unternehmen ein Sensorsystem anbieten würde, welches in „gefährdeten“ Räumen einer Mietwohnung die relative Luftfeuchtigkeit, die Temperatur, den Luftdruck sowie den CO- und CO2-Gehalt permanent erfasst. Die Daten würden dann von dem einzelnen Sensor an das Unternehmen übermittelt und dort gespeichert. Bei der Feststellung eines den Schimmel begünstigenden Raumklimas sollte der Mieter über eine automatisch durch das System erzeugte Meldung informiert werden, damit dieser Gegenmaßnahmen ergreifen kann.

Gleichzeitig sollte auch der Vermieter informiert werden. Sowohl Mieter als auch Vermieter sollten zudem auf die gespeicherten Daten zugreifen können.

Nach Auffassung der Datenschutzbehörde werde im Rahmen des Einsatzes des Sensorsystems mit personenbezogenen Daten von Mietern umgegangen, da gerade eine Personenbeziehbarkeit der systemseitig im Wohnraum erfassten und gespeicherten Werte intendiert wird.

Zudem ging die Behörde davon aus, dass der Vermieter als „verantwortliche Stelle“ agieren würde. Das Unternehmen würde als Auftragsdatenverarbeiter nach § 11 BDSG fungieren.

Beide Auffassungen der Behörde kann man sicherlich nachvollziehen und gut begründbar vertreten. Interessant wäre jedoch die Frage, inwiefern der Zugriff der Mieter auf die Daten im System Einfluss auf die Verantwortlichkeitsverhältnisse hat. Dies würde wohl auch davon abhängen, was genau die Mieter überhaupt mit den Daten machen könnten. Dazu enthält der Bericht leider keine Informationen.

Doch nun kommt die Behörde zum entscheidenden Teil ihrer Prüfung. Nach ihrer Ansicht ist Grundlage für den Datenumgang

allenfalls die Einwilligung des betroffenen Mieters.

Auf andere Erlaubnistatbestände des Datenschutzrechts geht die Aufsichtsbehörde unverständlicherweise überhaupt nicht ein. Dabei könnte man hier, im Verhältnis zwischen Vermieter und Mieter, doch daran denken, dass die im System durchgeführte Datenverarbeitung erforderlich ist, um das bestehende Vertragsverhältnis durchzuführen (§ 28 Abs. 1 S. 1 Nr. 1 BDSG). Denn der Mieter wird vertraglich dazu verpflichtet sein, die Mietsache nicht zu beschädigen und damit z.B. auch der Schimmelbildung entgegenzuwirken. Gerade hierfür dient ja das System.

Auch der Erlaubnistatbestand des § 28 Abs. 1 S. 1 Nr. 2 BDSG (die Interessabwägung) käme zur Legitimation der Verarbeitungen in Betracht. Danach ist die Verarbeitung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Berechtigte Interessen des Vermieters bestehen in jedem Fall. Er möchte verhindern, dass sein Eigentum Schaden nimmt. Gerade auf Seiten des Mieters bestehen aber auch schutzwürdige Interessen, die für die Datenverarbeitung sprechen. Dem Mieter wird, gerade aus Gesundheitsaspekten, daran gelegen sein, eine Schimmelbildung zu verhindern. Wenn der Mieter zudem noch angemessen über die Datenverarbeitung informiert ist, sprechen meines Erachtens durchaus gute Argumente dafür, hier eine Zulässigkeit der Verarbeitung in Betracht zu ziehen.

Die Behörde hielt an ihrer Auffassung zur Einwilligung als einzige Möglichkeit fest und kommunizierte dies dem Unternehmen. Seitdem erfolgte keine Rückmeldung des Unternehmens.

German Data Protection Authority publishes questionnaire for GDPR implementation

Posted on by

The Bavarian Data Protection Authority for the Private Sector (DPA) has published a questionnaire for the GDPR implementation (pdf) in companies. This questionnaire has already been published a while ago in German (pdf), but the DPA now translated this helpful set of questions into English.

Why is this of help to you? One has to know that the questionnaire is fictional and the DPA in fact sent it out to companies but did not except answers. The purpose of the questionnaire is to help companies and offer them the possibility to examine the status quo of the GDPR implementation by answering the questions.

However, this set of questions to some extent reveals the focus of a data protection authority when it comes to the question of GDPR compliance. Of course, these questions may in the end be altered and companies (especially in Bavaria) might be faced with other questions by the DPA. But companies should have a proper look at this catalogue, because in my opinion, these questions really form the very basis of topics companies must address in the time remaining till 25th May 2018.

The questions by the DPA concern (among other topics) overview of processing activities, the involvement of third parties and accountability and risk management.

How German Data Protection Authorities interpret the GDPR

Posted on by

The German Data Protection Authorities (DPAs) have published three papers with their interpretation of certain Articles of the forthcoming EU General Data Protection Regulation (GDPR) (Paper 1, Paper 2, Paper 3; all in German). In sum, the views of the DPAs are not very surprising. However, this is the first time that all German authorities speak with one voice concerning the interpretation of the GDPR.

The papers cover the following topics:

Paper 1: Records of processing activities

Paper 2: Powers of DPAs and sanctions

Paper 3: Processing of personal data for marketing purposes

In the first paper the DPAs explain the obligation of Art. 30 GDPR. The DPAs note that the record of processing activities must be kept by the controller and (this is new) by the data processor. Furthermore, the DPAs highlight that the record must be made available to the supervisory authority on request. Keeping this record does not suffice to fulfill all documentation obligations under the GDPR. The DPAs point to Art. 5 para 2 GDPR and for example the obligation in Art. 24 para 1 GDPR, according to which the controller must be able to demonstrate that processing is performed in accordance with the GDPR.

In the second paper the DPAs shed some light on their interpretation of Art. 58 and Art. 83 GDPR. The DPAs explain that besides making use of an investigative or corrective power according to Art. 58 GDPR, the authorities may take action against a controller or processor and issue fines according to Art. 83 GDPR. In the view of the DPAs, the term “undertaking” in Art. 83 para 4, 5 and 6 GDPR must be interpreted broader than the definition of “enterprise” in Art. 4 (18) GDPR. The DPAs refer to Recital 150 GDPR to justify this understanding. Recital 150 GDPR specifies that “an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU”. This is a reference to the broad definition of “undertaking” in antitrust and competition law by the ECJ. The concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed.

This means that according to the German DPAs “undertaking” in Art. 83 GDPR does not only encompass one single undertaking but also a group of undertakings.

One may of course oppose this view with good arguments, since the notion of “group of undertakings” is legally defined in Art. 4 (19) GDPR but explicitly not used in Art. 83 GDPR.

In the third paper the German DPAs turn to questions of the processing of personal data for marketing purposes. According to the DPAs, under the GDPR the processing for marketing purposes will mainly be based on Art. 6 para 1 (f) GDPR and therefore require the weighing of interests (of course, consent is also another possible legal basis). The DPAs specifically refer to Recital 47 GDPR which explains that “the processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest”. Furthermore, data controllers must take note of the requirement established in Recital 47 that “the reasonable expectations of data subjects” must be taken into consideration. The DPAs highlight that it is not clear when these reasonable expectations are actually rightly taken into account. However, the DPAs explain that information will play a crucial role for data controllers in order to shape the “reasonable expectations”. According to the DPAs, if the controller informs the data subjects in a clear and transparent manner about the marketing purpose of the processing, the reasonable expectation of the natural person will expect this kind of processing. But the DPAs also mention the right of data subjects to object at any time to processing of personal data for marketing (Art. 21 para 2 GDPR). Furthermore, special categories of personal data (Art. 9 GDPR) may only be processed for marketing purposes if valid consent has been obtained, since Art. 9 GDPR does not foresee a possibility like Art. 6 para 1 (f) GDPR. Lastly, the DPAs rightly refer to special rules for e-mail marketing. According to Sec. 7 of the Act Against Unfair Competition (transposing Art. 13 of Directive 2002/58/EC), marketing via e-mail requires consent except where a company obtains from its customers their electronic contact details for electronic mail in the context of the sale of a product or a service, uses the electronic contact details for direct marketing of its own similar products or services and provided that customers clearly and distinctly are given the opportunity to object.

 

 

 

Europäische Datenschutzbehörden veröffentlichen Leitlinien zum Beschäftigtendatenschutz

Posted on by

Mit ihrer Stellungnahme 2/2017 vom 8. Juni 2017 (PDF) haben sich die europäischen Datenschutzbehörden, die in der Art. 29 Datenschutzgruppe versammelt sind, zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Interessant und für die Praxis besonders relevant ist, dass sich die Datenschutzbehörden in ihrer Stellungnahme nicht nur zur aktuellen Rechtslage (also zur europäischen Datenschutzrichtlinie 95/46/EG) äußern, sondern auch ein Ausblick auf die Auslegung der EU Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten geben.

Die nun veröffentlichte Stellungnahme ist nicht die erste, die sich mit dem Beschäftigtendatenschutz befasst. Bereits im Jahre 2001 und 2002 hat die Art. 29 Datenschutzgruppe Stellungnahmen hierzu veröffentlicht. Die nun vorliegende Stellungnahme ist jedoch nach Ansicht der Datenschützer insbesondere deshalb erforderlich, da sich seit Veröffentlichung der vorherigen Stellungnahmen die technischen Gegebenheiten und Möglichkeiten zur Verarbeitung personenbezogener Daten gerade auch im Beschäftigungsverhältnis geändert haben. Aus diesem Grund möchten die Datenschützer auch hier neue Leitlinien veröffentlichen.

Die vorliegende Stellungnahme befasst sich daher insbesondere auch mit neuen Verarbeitungsmöglichkeiten, etwa im Rahmen von Social Media Plattformen. Insgesamt behandelt Stellungnahme hierzu neun beispielhafte Szenarien und die Datenschützer stellen dar, inwiefern Datenverarbeitung in diesen Szenarien ihrer Auffassung nach zulässig sind. Hier bereits der Hinweis: die Stellungnahme der Art. 29 Datenschutzgruppe ist kein Gesetz und nicht bindend, für die Praxis aber natürlich durchaus von Relevanz.

Wer ist Beschäftigter?

Ganz zu Beginn ihrer Stellungnahme weisen die Datenschützer darauf hin, dass der Begriff des „Beschäftigten“ im Rahmen ihrer Stellungnahme nicht zu eng zu verstehen ist und insbesondere nicht unbedingt den klassischen festen Anstellungsvertrag voraussetzt. Die Datenschützer erwähnen etwa auch freie Mitarbeiter, die ihrer Ansicht nach unter den Begriff des Beschäftigten im Rahmen dieser Stellungnahme fallen. Den Datenschützern geht es gerade nicht darum, nur solche Szenarien abzudecken, in denen tatsächlich ein Arbeitsvertrag besteht.

Möglichkeiten der Verarbeitung im Beschäftigungsverhältnis

Zunächst befasst sich die Stellungnahme mit den Verarbeitungsmöglichkeiten auf der Grundlage der noch geltenden EU Datenschutzrichtlinie. Zudem weisen die europäischen Datenschutzbehörden darauf hin, dass sie sich wünschen würden, dass in dem derzeit diskutierten Vorschlag für eine ePrivacy-Verordnung eine spezifische Ausnahme für den Zugriffs auf Endgeräte von Arbeitnehmern aufgenommen wird. Diese Möglichkeit wurde kürzlich im Entwurf eines Berichts des LIBE-Ausschusses im Europäischen Parlament vorgesehen. Meines Erachtens nach ergeben sich mit Einführung einer solchen Spezifizierung hinsichtlich des Zugriffs auf Endgeräte im Arbeitsverhältnis jedoch schwierige Fragen der Abgrenzung zur DSGVO und auch dem neuen BDSG. Hierzu mein Blogbeitrag.

Einwilligung

Nach Auffassung der Datenschutzbehörden stellt die Einwilligung der Beschäftigten für die überwiegende Mehrheit von Datenverarbeitungsvorgängen zumeist nicht die passende Grundlage dar. Diese Auffassung der Datenschutzbehörden (gerade auch in Deutschland) ist nicht unbedingt neu. Gerne wird auch pauschal die Möglichkeit verneint, dass Beschäftigte eine datenschutzrechtliche Einwilligung gegenüber ihrem Arbeitgeber abgeben könnten. In Deutschland hat das Bundesarbeitsgericht (Urt. v. 11.12.2014 – 8 AZR 1010/13) völlig zu Recht entschieden, dass natürlich auch im Beschäftigungsverhältnis die Möglichkeit einer datenschutzrechtlichen Einwilligung per se erst einmal gegeben ist. Es kommt dann freilich immer stets auf die Umstände an, ob die Anforderungen der Einwilligung tatsächlich auch erfüllt sind, wie etwa die Freiwilligkeit der Abgabe der Einwilligungserklärung. Die Datenschutzbehörden gehen davon aus, dass eine Einwilligung im Beschäftigungsverhältnis insbesondere dann nicht wirksam ist, wenn sich an die Weigerung der Abgabe einer Willenserklärung durch den Beschäftigten eine negative Folge für diesen knüpfen würde. In diesem Fall fehlt es an der Freiwilligkeit der Abgabe der Einwilligungserklärung.

Durchführung des Arbeitsvertrages

Viele Datenverarbeitungen im Beschäftigungsverhältnis können in der Praxis auf der Grundlage des Arbeitsvertrages und zu dessen Durchführung vorgenommen werden. Dieser Auffassung sind auch die Datenschützer und verweisen beispielhaft etwa auf Datenverarbeitung im Rahmen von Gehaltszahlungen.

Interessenabwägung

Die in der Praxis jedoch wohl wichtigste Grundlage für eine Verarbeitung personenbezogener Daten von Beschäftigten stellt die Möglichkeit einer Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Arbeitnehmers dar (Art. 7 f) EU Datenschutzrichtlinie). Nach Auffassung der Datenschutzbehörden muss die Datenverarbeitung in diesem Fall in jedem Fall angemessen und verhältnismäßig sein. Zudem sollten Datenverarbeitungen im Arbeitsverhältnis stets die am wenigsten einschneidende Maßnahme in Bezug auf die Rechte des Arbeitnehmers darstellen. In jedem Fall, so die Datenschutzbehörden, ist es erforderlich, das durch den Arbeitgeber bestimmte Maßnahmen umgesetzt sind, um die Risiken für die Arbeitnehmer zu minimieren und die schutzwürdigen Interessen der Arbeitnehmer gebührend zu berücksichtigen. Am Beispiel der Überwachung von Arbeitnehmern stellen die Datenschützer dar, dass solche Maßnahmen etwa eine geographische Begrenzung der Überwachung darstellen können, die Begrenzung kann sich aber auch auf bestimmte Datenkategorien beziehen oder aber auch auf bestimmte Zeitintervalle erstreckt werden. Dies wären nach Auffassung der Datenschutzbehörden solche angemessenen Maßnahmen, um die schutzwürdigen Interessen der betroffenen Arbeitnehmer zu berücksichtigen.

DSGVO

Des Weiteren befassen sich die Datenschutzbehörden auch mit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis unter den Vorgaben der DSGVO. Zumindest wird in der Stellungnahme kurz auf einige Besonderheiten der DSGVO hingewiesen. Zum einen auf die Anforderungen des Art. 25 DSGVO, dem Prinzip des Datenschutzes durch Technikgestaltung und durch Voreinstellungen. Nach Auffassung der Datenschutzbehörden bedeutet dies für die Arbeitgeber, dass, wenn sie Endgeräte an ihre Arbeitnehmer herausgeben, diese Endgeräte mit datenschutzfreundlichen Voreinstellungen bestückt sein müssen und das Prinzip der Datenminimierung auf der technischen Ebene beachtet werden muss.

Zu dem für den Beschäftigtendatenschutz relevanten Art. 88 DSGVO (umgesetzt im neuen § 26 BDSG) verhalten sich die Datenschutzbehörden nicht besonders ausführlich. Sie geben allein den Inhalt des Artikels wieder. Jedoch weisen die Datenschutzbehörden darauf hin, dass die Anforderungen des Art. 88 Abs. 2 DSGVO, dass Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umzusetzen sind, im Rahmen der in der vorliegenden Stellungnahme dargestellten Szenarien beachtet wurden. Die in der Stellungnahme entwickelten Leitlinien erläutern den zulässigen Einsatz von neuen Technologien und stellen dabei die erforderlichen Anforderungen dar, die nach Art. 88 Abs. 2 DSGVO bei der Datenverarbeitung zu erfüllen sind. Dies bedeutet in der Praxis, dass die in der Stellungnahme der Datenschutzbehörden dargestellten Sachverhalte und vorgeschlagenen Lösungsvarianten aus Sicht der Datenschutzbehörden die Anforderungen der DSGVO erfüllen.

Datenverarbeitung aus sozialen Netzwerken

In einem dargestellten Sachverhalt befassen sich die Datenschutzbehörden mit der Situation, das ein potenzieller Arbeitgeber sich vor oder nach einem Vorstellungsgespräch im Rahmen einer Suche im Internet und in Profilen von sozialen Netzwerken ein eigenes Bild über den Kandidaten machen will. Die Datenschutzbehörden weisen jedoch darauf hin, dass nur weil Informationen in einem Profil in einem sozialen Netzwerk öffentlich abrufbar sind, die Arbeitgeber diese Information nicht auch unbedingt für eigene Zwecke nutzen können. Stets ist für jede Datenverarbeitung ein gesetzlicher Erlaubnistatbestand zu erfüllen. Sie weisen jedoch darauf hin, dass, bevor ein Arbeitgeber ein Profil eines Sozialen Netzwerkes genauer untersucht, zunächst zu prüfen ist, um was für eine Art von sozialem Netzwerk es sich handelt. Um ein berufliches Netzwerk oder ein Netzwerk mit privatem Hintergrund. Insbesondere im Rahmen der Interessenabwägung als Erlaubnistatbestand kann dieser Umstand eine Rolle spielen. Zudem, so die Datenschutzbehörden, dürfen potentielle Arbeitgeber Daten nur in dem Umfang erheben und verarbeiten, wie dies für den Bewerbungsprozess tatsächlich absolut notwendig ist. Nach Auffassung der Datenschutzbehörden müssen zudem alle im Rahmen des Bewerbungsprozesses erhobenen und gespeicherten Daten unverzüglich gelöscht werden, sobald deutlich wird, dass den Kandidaten kein Job angeboten wird. Hier lässt sich zumindest kritisch anmerken, dass insbesondere auch in Deutschland die Datenschutzbehörden nicht direkt nach Ende des Auswahlverfahrens die Löschung der Daten verlangen. Insbesondere aufgrund der Möglichkeit des abgelehnten Kandidaten, noch gegen den ablehnenden Arbeitgeber rechtlich vorzugehen (AGG), gestehen auch in Deutschland die Datenschutzbehörden den Unternehmen eine Frist zur Speicherung der Daten zur abgelehnten Bewerbern von einigen Monaten zu.

Überwachung des Datenverkehrs

Ein weiteres Szenario was von den Datenschutzbehörden angesprochen wird, ist die Überwachung und Analyse des Datenverkehrs in das Netzwerk eines Unternehmens und hinaus. Insbesondere aus Sicherheitsgesichtspunkten und zum Schutz der Systeme gestehen die Datenschutzbehörden den Arbeitgebern eine solche Analyse und damit zusammenhängende Datenverarbeitung auch von Arbeitnehmern bis zu einem gewissen Grad zu. Sie weisen jedoch darauf hin, dass eine Überwachung in der Form der Aufzeichnung jeglicher Onlineaktivität von Arbeitnehmern ihrer Auffassung nach eine unverhältnismäßige Maßnahme darstellen würde, insbesondere mit Blick auf das Fernmeldegeheimnis. Interessant ist hierbei, dass die Datenschutzbehörden davon auszugehen scheinen, dass für den Arbeitgeber die Vorgabe der Einhaltung des Fernmeldegeheimnisses per se zu beachten ist. In Deutschland ist diese Frage jedoch umstritten, insbesondere im Rahmen der gestatteten oder nicht gestatteten privaten Nutzung das Onlinezugangs am Arbeitsplatz.

Weitere Szenarien

Auch zum Thema Bring Your Own Device äußern sich die Datenschutzbehörden in ihrer Stellungnahme. Neben weiteren Szenarien erläutern die Datenschutzbehörden auch, was es im Rahmen des Transfers personenbezogener Daten in das Ausland zu beachten gilt. Hier bleiben die Hinweise der Datenschutzbehörden jedoch recht allgemein. Sie weisen allein darauf hin, dass die Anforderungen des Art. 25 der geltenden EU Datenschutzrichtlinie einzuhalten sind. Nach Auffassung der Datenschutzbehörden sollten sich Arbeitgeber in Fällen der Übermittlung von personenbezogenen Daten der Arbeitnehmer in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes insbesondere auf die Mechanismen des Angemessenheitsbeschlusses durch die Europäische Kommission (Bsp: EU US Privacy Shield) verlassen. Daneben können auch die EU Standardvertragsklauseln eine Möglichkeit zum Datentransfer in Drittstaaten sein. Weniger geeignet halten die europäischen Datenschutzbehörden die Ausnahmen für besondere Übermittlungssituationen, wie etwa die ausdrückliche Einwilligung des Arbeitnehmers.

Fazit

Insgesamt ist die doch recht umfangreiche Stellungnahme der Datenschutzbehörden durchaus lesenswert und insbesondere, da sie auch schon die DSGVO im Blick hat, besonders praxisrelevant. Wie immer gilt natürlich, dass man auch hier nicht jegliche Meinung teilen muss. Die Stellungnahme gibt jedoch einen guten Überblick dazu, wie die europäischen Datenschutzbehörden insbesondere in Grenzfällen das Gesetz auslegen bzw. aus ihrer Sicht anwenden.

Arbeitnehmerdatenschutz: Strenge Vorgaben zur Überwachung im Arbeitsverhältnis durch Änderungsvorschläge zur ePrivacy-VO

Posted on by

Heute hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) im Europäischen Parlament den Vorschlag für eine neue ePrivacy-Verordnung durch die Europäische Kommission beraten. Der Entwurf des Berichts des LIBE-Ausschusses stammt vom 9. Juni 2017 (PDF). Im Entwurf werden teilweise umfassende Änderungen am ursprünglichen Entwurf der Kommission vorgeschlagen. Die Abstimmung über den Entwurf für den Bericht im Europäischen Parlament steht noch aus.

Ganz konkret möchte ich hier kurz auf einen interessanten Vorschlag des LIBE-Ausschusses hinweisen. Mit Änderungsantrag 82 soll der ursprüngliche Art. 8 Abs. 1 ePrivacy-VO um einen Buchstaben d b erweitert werden. In Art. 8 Abs. 1 geht es um den Schutz der Endeinrichtungen von Nutzern und in diesen Endeinrichtungen gespeicherten Informationen. Ganz praktisch geht es also insbesondere um Endgeräte, in denen sich entweder digital Information ablegen lassen oder die auch selbst Informationen erzeugen und aus diesen Informationen ausgelesen werden können. Beispielhaft seien hier etwa Mobiltelefone oder auch Computer, die ans Internet angeschlossen sind, genannt. In Art. 8 Abs. 1 ePrivacy-VO werden recht strenge Anforderungen daran gestellt, wann Informationen aus den Endeinrichtungen überhaupt erhoben werden dürfen. Nach Art. 8 Abs. 1 ist eine solche Erhebung von Informationen grundsätzlich untersagt, außer einer der in Abs. 1 genannten Gründe liegt vor.

Einleitend ist zudem darauf hinzuweisen, dass Art. 8 Abs. 1 einen sehr weiten Anwendungsbereich hat, da es in diesem nicht etwa (wie sonst überwiegend in der ePrivacy-VO) um Kommunikationsdaten geht, sondern ganz allgemein von „Informationen“ gesprochen wird. Einen ähnlich weiten Anwendungsbereich hat derzeit auch der Art. 5 Abs. 3 der noch geltenden ePrivacy-Richtlinie (sogenannte Cookie-Richtlinie).

Mit dem Änderungsantrag 82 schlägt nun der Entwurf des Berichts vor, dass eine neue gesetzliche Erlaubnis in Art. 8 Abs. 1 aufgenommen wird, wann Informationen aus Endgeräten erhoben werden dürfen. Nach Art. 8 Abs. 1 Buchstabe d b soll dies der Fall sein, wenn es im Rahmen von Arbeitsverhältnissen nötig ist, wenn erstens der Arbeitgeber bestimmte Einrichtungen bereitstellt, zweitens der Arbeitnehmer der Nutzer dieser Einrichtung ist und drittens der Eingriff für die Funktionsweise der Einrichtung für den Arbeitnehmer zwingend notwendig ist. Die Regelung gilt also nicht für „Bring Your Own Device“ Konstellationen.

Zunächst liest sich diese Ausnahme so, als ob sie Arbeitgebern grundsätzlich eine Überwachung der Tätigkeiten der Arbeitnehmer im Hinblick auf die Nutzung von bereitgestellten Endgeräten, wie etwa PCs und Mobiltelefon, erlauben würde. Betrachtet man sich diese vorgeschlagene Regelung jedoch genauer, ist zu beachten, dass der „Eingriff“ (gemeint ist hier wohl der Zugriff auf die Endeinrichtungen der Arbeitnehmer als Nutzer; vgl. diesbezüglich etwa Erwägungsgrund 20) für die Funktionsweise der Endeinrichtung für den Arbeitnehmer zwingend notwendig ist. Der Eingriff bzw. der Zugriff auf die Endeinrichtungen und dort gesammelte Informationen darf also ausschließlich dann erfolgen, wenn die so mögliche Erhebung von Informationen für die Funktionsweise der technischen Einrichtung zwingend notwendig ist und dies auch nur, wenn dies für den Arbeitnehmer zwingend notwendig ist. Es geht also hier nicht darum, dass der Arbeitgeber argumentieren könnte, er müsse Zugriff auf die Endeinrichtungen seine Arbeitnehmer haben, um etwa die Nutzung der von ihm bereitgestellten Endgeräte überprüfen zu können. Denn diesen Zugriff könnte man als nicht zwingend notwendig für die Funktionsweise der Einrichtung ansehen. Dies ist zumindest eine mögliche Auslegung des Änderungsantrags.

Sollte man den Änderungsantrag so lesen, so würde dies aber gleichzeitig bedeuten, dass andere Optionen zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis ausgeschlossen sind (außer natürlich, ein anderer Erlaubnistatbestand in Art. 8 Abs. 1 wäre erfüllt, wie etwa die Einwilligung des Arbeitnehmers).

Insbesondere brisant ist die Aufnahme dieses Erlaubnistatbestandes zum Zugriff auf Endgeräte im Arbeitsverhältnis und der Erhebung von Informationen aus den Endgeräten auch deshalb, weil man sich noch vor Augen halten muss, dass die derzeit verhandelte die ePrivacy-VO Spezialregelungen gegenüber der 25 Mai 2018 unmittelbar anwendbaren Datenschutz-Grundverordnung (DSGVO) bereithält. Soweit also ein Sachverhalt von den Regelungen der die ePrivacy-VO abgedeckt ist, wird die DSGVO verdrängt. Und hier noch einmal der Hinweis: Art. 8 Abs. 1 gilt schon bei der Erhebung von „Informationen“. Es müssen keine personenbezogenen Daten vorliegen (wie im Rahmen der DSGVO).

Nimmt man nun, wie in Änderungsantrag 82 vorgesehen, eine spezielle Situation aus dem Arbeitsverhältnis in die ePrivacy-VO auf und regelt dort, was in Bezug auf Informationen in Endgeräten für den Arbeitgeber gestattet ist, bedeutet dies gleichzeitig, dass ein Rückgriff auf Erlaubnistatbestände der DSGVO nicht mehr möglich ist. Dies betrifft insbesondere auch Art. 88 der DSGVO, in dem es um die Datenverarbeitung im Beschäftigungsverhältnis geht und der im Rahmen des neuen BDSG in Deutschland in ähnlicher Weise wie der bisher geltende § 32 BDSG umgesetzt werden soll. Art. 8 Abs. 1 lit. d b ePrivacy-VO würde Art. 88 DSGVO und damit auch dem BDSG vorgehen. Man könnte sich als Arbeitgeber also nicht auf eine Interessenabwägung zur Verarbeitung personenbezogener Daten von Arbeitnehmern berufen, wie dies in § 26 BDSG (neu) vorgesehen ist, soweit die ePrivacy-VO den Sachverhalt abschließend und spezieller regelt.

Man wird abwarten müssen, ob der hier dargestellte Änderungsantrag tatsächlich in dieser Form zum einen im in der finalen Stellungnahme des Europäischen Parlaments Niederschlag findet. Zum anderen wird dann auch noch der Rat der Europäischen Union seine Stellungnahme zum Entwurf der Verordnung verhandeln und beschließen. Inwiefern also tatsächlich die hier dargestellte Regelung zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis am Ende Realität wird, lässt sich derzeit noch nicht mit absoluter Gewissheit abschätzen. Im Hinterkopf sollte man jedoch zumindest behalten, dass im Europäischen Parlament der Wunsch besteht, diese Situation in der ePrivacy-VO zu regeln.

EU Mitgliedstaaten einigen sich auf Regeln für die Bereitstellung digitaler Inhalte

Posted on by

Am 8. Juni 2017 hat der Rat der Europäischen Union seinen Standpunkt zur Richtlinie für Verträge über die Bereitstellung digitaler Inhalte und digitale Dienstleistungen festgelegt (pdf).

Diese Richtlinie soll für Verträge zwischen Unternehmen und Verbrauchern gelten und unter anderem Vorschriften für die Bereitstellung digitaler Inhalte oder auch digitaler Dienstleistungen und über die Vertragsmäßigkeit solcher digitalen Inhalte oder digitale Dienstleistungen und auch die Rechte von Verbrauchern bei Vertragswidrigkeit oder fehlerhaften digitalen Inhalten festlegen.

Der ursprüngliche Entwurf der Europäischen Kommission zu der Richtlinie stammt aus Dezember 2015. Bereits in diesem Entwurf hatte die Europäische Kommission als Neuerung vorgesehen, dass in Zukunft nicht nur Geld als eine Gegenleistung für digitale Inhalte angesehen werden kann, sondern dass vermehrt auch personenbezogene Daten als Gegenleistung in Betracht kommen und hierfür Regelungen aufgestellt werden müssen bzw. die Bereitstellung des Zugangs zu personenbezogenen Daten als gleichwertige Gegenleistung in Betracht kommt.

„Integrierte digitale Inhalte“ und das Internet der Dinge

Im Rahmen der Verhandlungen zwischen den Mitgliedstaaten im Rat war in der Vergangenheit insbesondere umstritten, welche Vorgaben für sogenannte eingebettete digitale Inhalte (oder auch „integrierte digitale Inhalte“) gelten sollen (vgl. die Orientierungsaussprache aus Dezember 2016, pdf). Unter integrierten digitalen Inhalten (vgl. Art. 2 Nr. 12 der Allgemeinen Ausrichtung) verstehen die Mitgliedstaaten solche digitalen Inhalte, die in Produkten enthaltenen sind (also insbesondere auch Anwendungen und Software) und zur Funktionsweise des Produktes beitragen. In dem Dokument zur Orientierungsaussprache werden als Beispiele für solche waren etwa auch Geräte im Internet der Dinge, intelligente Produkte, intelligente Fahrzeuge oder auch intelligente Wohnungen benannt.

Damals war zwischen den Mitgliedstaaten umstritten, welche Regeln gelten sollen, wenn ein vernetztes Produkt ein Fehler aufweist bzw. defekt ist. Sollen hier etwa die Regeln über das Kaufrecht Anwendung finden oder aber Regelungen aus dem Mietrecht oder soll vielleicht ein komplett neues Regelwerk erdacht werden? In der Allgemeinen Ausrichtung legt nun der Rat der Europäischen Union fest, dass die Mehrheit der Mitgliedstaaten sich dafür ausspricht, dass für diese integrierten digitalen Inhalte die derart ein fester Bestandteil der Ware sind, dass das Fehlen des digitalen Inhalts die Ware unbrauchbar machen würde oder verhindern würde, dass die Ware ihre wichtigsten Funktionen erfüllen kann, den Regelungen des Kaufrechts unterfallen soll.

Nach den Mitgliedstaaten im Rat würde in Zukunft auf eventuell fehlerhafte Produkte im Internet der Dinge (auch wenn der Fehler in der Software selbst liegt) das Kaufrecht mit seinen Gewährleistungsansprüchen und nicht die nun diskutierte Richtlinie Anwendung finden.

Verhältnis zur EU Datenschutz-Grundverordnung

Des Weiteren haben sich die Mitgliedstaaten darüber verständigt, dass jegliche Überschneidung zwischen der nun diskutierten Richtlinie und den Vorschriften der EU Datenschutz-Grundverordnung (DSGVO) vermieden werden muss. Daher wird nun vorgesehen, dass die Richtlinie nicht für eine Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen gelten soll, für die der Verbraucher keinen Preis zahlt oder sich zu keiner solchen Zahlung verpflichtet, dem Anbieter (also dem Verkäufer) keine personenbezogenen Daten bereitstellt oder sich nicht zu einer solchen Bereitstellung personenbezogener Daten verpflichtet.

In dem Text zur Allgemeinen Ausrichtung des Rates findet sich zudem der Entwurf für einen noch einzufügenden Erwägungsgrund zu dieser Thematik. Dort wird vorgeschlagen, dass in dem Erwägungsgrund aufgenommen wird, dass die Richtlinie nicht in Fällen gelten soll, in denen der Verkäufer lediglich Metadaten, die IP-Adresse oder sonstige automatisch generierte Informationen wie durch Cookies gesammelte und übermittelte Informationen erhebt. Die Richtlinie soll also dann nicht gelten, wenn Daten durch das Verhalten des Betroffenen automatisch generiert werden.

Zudem dürfte in der Praxis ebenfalls von starker Relevanz sein, dass in dem Entwurf für den Erwägungsgrund festgelegt wird, dass die Richtlinie auch nicht in Fällen gelten soll, in denen der Verbraucher ausschließlich Zwecks Erlangung des Zugangs zu digitalen Inhalten oder zu einer digitalen Dienstleistung Werbung ausgesetzt ist, ohne dass er mit dem Verkäufer ein Vertrag geschlossen hat.

Des Weiteren legen die Mitgliedstaaten in ihrer Allgemeinen Ausrichtung im Hinblick auf das Verhältnis der nun diskutierten Richtlinie zur DSGVO fest, dass das Unionsrecht (inklusive DSGVO) für alle personenbezogenen Daten gilt, die im Zusammenhang mit den von dieser Richtlinie erfassten Verträgen verarbeitet werden. Auch dies soll in später noch zu erstellenden Erwägungsgründen für die Richtlinie aufgenommen werden (vgl. Art. 3 Abs. 8 der Allgemeinen Ausrichtung). Dort soll auch ausdrücklich klargestellt werden, dass diese Richtlinie die Bestimmungen der DSGVO unberührt lässt. Im Zweifel, also bei einer Kollision der Bestimmung, hat die DSGVO Vorrang.

Eine Verarbeitung personenbezogener Daten richtet sich also auch in Zukunft, wenn diese Richtlinie anwendbar ist, allein nach der DSGVO. Auch dies soll ausdrücklich klargestellt werden, insbesondere, was die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten betrifft. Die Mitgliedstaaten erläutern in dem Entwurf für einen Erwägungsgrund, dass eine Verarbeitung personenbezogener Daten im Zusammenhang mit einem Vertrag, der in den Anwendungsbereich dieser nun diskutierten Richtlinie fällt, nur rechtmäßig ist, wenn Sie mit Art. 6 Abs. 1 DSGVO im Einklang steht. Zudem wird erläutert und klargestellt, dass die vorliegende Richtlinie wieder die Gültigkeit einer datenschutzrechtlichen Einwilligung noch die Folgen des Widerrufs einer Einwilligung regelt.

Rechtsnatur der Verträge – Sache der Mitgliedstaaten

Interessant ist zudem auch der Hinweis der Mitgliedstaaten in ihrer Allgemeinen Ausrichtung darauf, dass zu einem späteren Zeitpunkt in einem Erwägungsgrund der Richtlinie geregelt werden soll, dass in der Richtlinie nicht die Rechtsnatur der Verträge für die Bereitstellung digitaler Inhalte oder digitaler Dienstleistung geregelt wird und dass die Frage, ob derartige Verträge etwa Kaufverträge, Dienstleistungsverträge oder Mietverträge sind, Sache des nationalen Rechts der Mitgliedstaaten ist.

Kaum beachtet: Bundestag beschließt Anpassungen vieler Spezialgesetze an die Datenschutz-Grundverordnung

Posted on by

In den letzten Monaten wurde öffentlich vor allen Dingen über die Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung im Zuge der Schaffung eines neuen BDSG berichtet und diskutiert. Relativ geräuschlos hat der Bundestag jedoch zudem am 1. Juni über einen Änderungsantrag (BT Drs. 18/12611, pdf) von CDU/CSU und SPD im Ausschuss für Arbeit und Soziales abgestimmt und weitreichende Änderungen in vielen Spezialgesetzen zur Anpassung bestehender gesetzlicher Vorgaben an die Datenschutz-Grundverordnung beschlossen.

Die durch den Änderungsantrag betroffenen Gesetze sind die folgenden:

  • Handelsgesetzbuch
  • Genossenschaftsgesetz
  • Patentgesetz
  • Gebrauchsmustergesetz
  • Markengesetz
  • Halbleiterschutzgesetz
  • Urheberrechtsgesetz
  • Verwertungsgesellschaftengesetz
  • Designgesetz
  • Finanzverwaltungsgesetz
  • Abgabenordnung
  • Zehntes Buch Sozialgesetzbuch

Insbesondere werden durch die Änderungen die Betroffenenrechte in den Artikel 12 – 22 Datenschutz-Grundverordnung beschränkt. Diesbezüglich ausdrücklich festzustellen, dass der deutsche Gesetzgeber nach Artikel 23 Datenschutz Grundverordnung zu einer solchen Beschränkung befugt ist. Die jeweilige Beschränkung muss aber der Sicherstellung eines der in Artikel 23 Abs.1 lit) a bis j) Datenschutz-Grundverordnung genannten Schutzzwecke dienen. Ob die nun beschlossenen Gesetzesänderungen in Gänze den die Vorgaben der Datenschutz-Grundverordnung erfüllen, wird sich erst in Zukunft zeigen. Viele der Änderungen betreffen insbesondere öffentliche Register, in denen personenbezogene Daten enthalten sein können. In diesen Fällen betreffen viele der nun beschlossenen Änderungen die Beschränkung des Auskunftsrechts betroffener Personen.

Die nun durch den Bundestag verabschiedeten Anpassungen sind aber nur ein kleiner Ausschnitt jener spezialgesetzlicher Regelungen in Deutschland, die aufgrund der Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 geprüft und ggf. angepasst werden müssen.