Category Archives: Gesetze

Bundesverwaltungsgericht Österreich wendet EDSA-Leitlinien zur Berechnung von Geldbußen an

Posted on by

Datenschutzbehörden verwenden zur Berechnung von Geldbußen bekanntlich die EDSA-Leitlinien 04/2022 vom 24.5.2023. Gleichzeitig wissen wir, dass Leitlinien des EDSA keine unmittelbare rechtliche Bindungswirkung für Verantwortliche, Auftragsverarbeiter oder auch nationale Gerichte haben. Der EDSA selbst stellte dazu bereits 2021 fest: „In dieser Hinsicht spiegeln die Leitlinien und Empfehlungen des EDPB, obwohl sie an sich nicht verbindlich sind, den gemeinsamen Standpunkt und das gemeinsame Verständnis wider, das die Behörden einheitlich anwenden wollen“. (Stellungnahme des EDSA).

Dennoch stellen die Leitlinien des EDSA in der Praxis, aber auch in gerichtlichen Verfahren, eine wichtige Ansicht dar, die auch von Generalanwälten am EuGH zur Auslegung der DSGVO verwendet werden (vgl. etwa Rz. 28 in der Rs. C-307/22, zu den Leitlinien 01/2022).

Für die Wirkung und auch rechtliche Bedeutung von Leitlinien relevant ist daher eine neuere Entscheidung des Bundesverwaltungsgerichts (BVwG) aus Österreich vom 26.3.2024 (Gz. W137 2241630-1).

In dem Verfahren ging es um eine Geldbuße der österreichischen Behörde auf Grundlage von Art. 83 DSGVO. Hiergegen wurde Beschwerde eingelegt. Das Bundesverwaltungsgericht setzte das Verfahren dann zunächst aus, bis der EuGH in der Rechtssache Deutsche Wohnen (C-807/21) entschieden hatte. Danach wurde das Verfahren inhaltlich fortgesetzt.

Das BVwG teilte den Parteien nach der Fortsetzung der Verhandlung mit, dass das Gericht bei der Frage der Bemessung der Geldbuße die Leitlinien 04/2022 zumindest mit heranziehen wird.

Dabei wurde den Verfahrensparteien bekannt gegeben, dass sich der Senat bei der allfälligen Strafbemessung an den Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO des Europäischen Datenschutzausschusses, Version 2.1; angenommen am 24. Mai 2023 (auch „Guidelines“ des EDPB) orientieren werde.“

Hiergegen scheint keine der Verfahrensparteien Einwände gehabt zu haben oder rechtliche Argumente gegen die Anwendung der Kriterien des EDSA vorgebracht zu haben.

Bei der konkreten Berechnung der Geldbuße hat das BVwG die Leitlinien des EDSA auch verwendet – wohl aber nicht allein die Leitlinien, da das Gericht davon spricht, dass es diese „ergänzend…herangezogen“ hat.

Das Bundesverwaltungsgericht hat ergänzend die Leitlinien 04/2022 des Europäischen Datenschutzausschusses  als Berechnungsgrundlage herangezogen, die bei – hier gegebenem geringem Schweregrad („low level of seriousness“) – und der oben festgehaltenen Umsatzgröße einen statischen Strafrahmen von bis zu EUR 500.000 annehmen, wobei der konkrete Umsatz im unteren Drittel der Bandbreite (100 Millionen bis 250 Millionen Euro) liegt“.

Was lässt sich aus dieser Entscheidung des BVwG ableiten?

Das Gericht scheint zum einen keinerlei rechtliche Bedenken hinsichtlich der Anwendung der Leitlinien zur Berechnung von Geldbußen zu haben. Zum anderen wird die dort vorgeschlagene Berechnungsmethode vom BVwG verwendet (was für das betroffene Unternehmen im Übrigen auch nicht immer „schlecht“ sein muss). Daher scheint das Gericht also auch die vorgeschlagene Berechnung des EDSA auf Basis des Art. 83 DSGVO als schlüssig anzusehen. Zumindest ergeben sich aus der Entscheidung des BVwG keine Hinweise darauf, dass das Gericht die Vorschläge des EDSA inhaltlich als unzulässig oder mit der DSGVO nicht vereinbar ansieht. Im Ergebnis wird man die Entscheidung des BVwG daher auch als eine Art „Bestätigung“ der vom EDSA vorgeschlagenen Berechnungsmethode ansehen können.

Neuer Referentenentwurf: Recht (Pflicht) auf Verschlüsselung bei Telemedien? Unklare Vorschläge und Risiko der Europarechtswidrigkeit

Posted on by

Das Bundesministeriums für Digitales und Verkehr (BMDV) hat mit Stand 07.02.24 einen Referentenentwurf für ein erstes Gesetz zur Änderung des Telekommunikation- Telemedien-Datenschutz-Gesetzes (TTDSG) erarbeitet (netzpolitik.org hat den Entwurf veröffentlicht). Ziel der vorgeschlagenen Regelungen (zumindest laut der Begründung): sog. nummernunabhängige interpersonelle Telekommunikationsdienste (also etwa E-Mail- Dienste, Messengerdienste und Chat-Dienste) sollen dazu verpflichtet werden, als Standard eine Ende-zu-Ende-Verschlüsselung anzubieten. Also eine Pflicht zur Verschlüsselung.

Für die breitere Praxis relevant, weil Telemedien (also insbesondere Online-Angebote) erfasst sind: „das Gleiche“ soll für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten gelten. Das betrifft aber (anders als man meinen mag) nicht nur die „Großen“ wie AWS, Azure oder Apple.

Nachfolgend möchte ich kritisch auf einige Aspekte des Entwurfs konkret bezogen auf Cloud-Dienste eingehen.

Geplante Vorgabe, § 19 Abs. 6 TTDSG
Es soll ein neuer § 19 Abs. 6 TTDSG eingefügt werden:

(6) „Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Te- lemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“

Adressiert werden hier gerade nicht nur die (kleinere) Gruppe von nummernunabhängige interpersonelle Telekommunikationsdiensten, sondern allgemein Anbieter von Telemedien (etwa Webseiten und Apps), die aber zusätzlich noch als Leistung das Speichern von Informationen anbieten müssen. Diese Fallgruppe kann aber ziemlich umfassend sein, wenn man etwa Angebote (B2B und auch B2C) in den Blick nimmt, die für ihre Nutzer z.B. Rechnungen und Belege zum Abruf bereithalten, das Hochladen von Fotos und Videos ermöglichen oder Kundenkonten und dort enthaltene Angaben speichern etc.

Pflicht zur Verschlüsselung?
Unklar ist aber bereits, ob für diese Anbieter

  • eine Pflicht zur Verschlüsselung,
  • eine Pflicht zum Vorhalten der Möglichkeit der Verschlüsselung oder
  • nur eine Pflicht zur Information über eine mögliche Verschlüsselung
    geschaffen werden soll.

§ 19 Abs. 6 TTDSG spricht eher für eine reine Informationspflicht. „informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, …“ Dies würde dann aber auch kein „Recht auf Verschlüsseung“ für Betroffene schaffen.

So wird auch in der Begründung zu § 19 Abs. 6 TTDSG (S. 12 des Entwurfs) ausgeführt: „In § 19 Absatz 6 wird eine Informationspflicht hinsichtlich der Möglichkeiten einer sicheren und durchgehenden Verschlüsselung der bereitgestellten Informationen bei der Nutzung von Cloud-Speichern eingeführt“.

Ganz anders lautet dagegen die Begründung in Teil A des Entwurfs (S. 7): „Das Recht auf Verschlüsselung wird hier für solche Clouddienste geregelt, die als Speicherdienste fungieren, die von den meisten Unternehmen, aber auch von Bürgerinnen und Bürgern zunehmend genutzt werden…“ und „Anbieter von Clouddiensten sollten zur Gewährleistung des Datenschutzes und der Cybersicherheit im Rahmen ihrer technischen und organisatorischen Vorkehrungen gewährleisten, dass die Nutzer solcher Dienste die gespeicherten Informationen mit einer sicheren und durchgängigen Verschlüsselung schützen können“.

Hier wird vorgegeben, dass Anbieter zumindest die Verschlüsselung „gewährleisten“ müssen.

Danach wird aber wieder einschränkend erläutert: „Das Recht auf Verschlüsselung ist hier eine Informationspflicht des Anbieters, da die Verschlüsslung in den Händen des jeweiligen Nutzers liegt.“

Mir ist daher aktuell nicht klar, welche konkreten Pflichten für die betroffenen Anbieter von Telemedien mit dem Entwurf vorgesehen werden sollen.

Welche Art der Verschlüsselung?
Doch die Unklarheiten des Vorschlags gehen weiter.

§ 19 Abs. 6 TTDSG spricht von einer „durchgehenden und sicheren Verschlüsselung“. Das ist etwas anderes, als die in dem vorgeschlagenen § 2 Abs. 2 Nr. 7 TTDSG eingefügte Legaldefinition der „sicheren Ende-zu-Ende-Verschlüsselung“.

Hätte der Entwurfsverfasser auch in § 19 Abs. 6 TTDSG eine Ende-zu-Ende-Verschlüsselung gemeint, hätte man dies dort erwähnen können (bzw. müssen). Denn an anderer Stelle des Entwurfs wird der Begriff ja sogar gesetzlich definiert. Da in Abs. 6 aber gerade diese Art der Verschlüsselung nicht erwähnt wird, muss es sich um eine andere Form der Verschlüsslung handeln. Eventuell „nur“ eine Transportverschlüsselung? Der Entwurf lässt potentielle Adressaten hierüber im Unklaren.

Widersprüchlich ist leider auch erneut die Begründung des Entwurfs. Auf S. 1 heißt es: „sollen nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüs- selung anzubieten. Das Gleiche gilt für die Speicherung von Informationen im Rahmen der Nutzung von Cloud-Diensten,…

Hier wird also auf eine Ende-zu-Ende-Verschlüsselung abgestellt – die im vorgeschlagenen Normtext aber gerade fehlt.

Fehlende Regelungskompetenz – Verstoß gegen die DSGVO
Neben diesen inhaltlichen Mängeln des Vorschlags, schwebt über der angedachten Regelung in § 19 Abs. 6 TTDSG aber meines Erachtens ohnehin das Damoklesschwert der Europarechtswidrigkeit (wie im Übrigen über dem ganzen § 19 TTDSG).

Nach der Begründung des Entwurfs und auch des Textes zu § 19 Abs. 6 TTDSG sollen „bereitgestellt Informationen“ verschlüsselt werden.

Personenbezogene Daten erfasst? DSGVO anwendbar
Aufgrund der weite dieses Begriffs, dürften hiervon natürlich auch personenbezogene Daten (z.B. Bilder, Videos, Rechnungen in Kundenkonten etc.) erfasst sein. Oder anders ausgedrückt: wenn der Vorschlag aus dem BMDV überhaupt nicht personenbezogene Daten beim „Recht auf Verschlüsselung“ umfassen würde, könnte man die Initiative im Bereich Cloud-Dienste wohl gleich wieder beerdigen, da es nur wenige Anwendungsbereiche gäbe.

Wenn aber § 19 Abs. 6 TTDSG auch personenbezogene Daten umfasst, wird sich hinsichtlich der Stoßrichtung des Vorschlags eine ganz entscheidende Frage stellen:

  • ist mit der Regelung eine Pflicht zur Verschlüsselung oder
  • mindestens eine Pflicht zum Vorhalten von Verschlüsselungsmöglichkeiten vorgesehen?

Kollision mit Vorgaben des Art. 32 DSGVO
Sollte eine dieser Fragen mit „ja“ beantwortet werden, kollidiert die Regelungen mit den unmittelbar geltenden Vorgaben der DSGVO, insbesondere Art. 32 DSGVO, der gerade keine Pflicht zur Verschlüsselung vorsieht. Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 32 Abs. 1 a) DSGVO sieht beispielhaft die Verschlüsselung vor – aber nicht verpflichtend.

§ 19 Abs. 6 TTDSG würde also, wenn man hier eine Pflicht schaffen will, von den Vorgaben des Art. 32 DSGVO abweichen. Wohl im Sinne einer „strengeren“ Regelung.

Abweichung möglich? Keine Öffnungsklausel
Die DSGVO gilt als EU-Verordnung unmittelbar in Deutschland. Soweit ihr Anwendungsbereich betroffen ist, also personenbezogene Daten verarbeitet werden, soll die DSGVO nach Ansicht des EuGH (vgl. etwa C-319/20, Rz. 57) eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen. Verordnungen nach Art. 288 AEUV haben sowie aufgrund ihrer Rechtsnatur und ihrer Funktion im Rechtsquellensystem des Unionsrechts im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären (Rz. 58).

Von dieser Regel gibt es in der DSGVO aber Ausnahmen. Der EuGH hat hierzu geurteilt, dass einzelne Bestimmungen der DSGVO den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“). Mitgliedstaaten dürfen nur unter den Voraussetzungen und innerhalb der Grenzen eben dieser Bestimmungen von den Vorgaben der DSGVO abweichen (Generalanwalt, C-319/20, Rz. 52).

Das Problem: für das Thema der zwingenden Verschlüsselung personenbezogener Daten bei Telemedien sieht die DSGVO gar keine Öffnungsklausel vor.

  • Art. 32 DSGVO enthält eine solche Ausnahme bzw. Öffnungsklausel für Mitgliedstaaten gerade nicht.
  • Die Einschränkungsmöglichkeiten des Art. 23 DSGVO sind auf Art. 32 DSGVO nicht anwendbar.
  • Öffnungsklauseln aus Kapitel IX dürften hier auch nicht einschlägig sein.

Fazit
Ich bin gespannt, wie sich der nun vorliegende Referentenentwurf inhaltlich entwickelt. Derzeit sehe ich aber sowohl konkret inhaltliche Probleme bzgl. der einzelnen Vorgaben, als auch abstrakt strukturelle Risiken hinsichtlich des Verhältnisses zur DSGVO.

Mitbestimmungsrecht des Betriebsrates beim Einsatz von ChatGPT & Co? Arbeitsgericht Hamburg sagt „nein“ – im konkreten Fall

Posted on by

Seit einiger Zeit erfahren Systeme mit künstlicher Intelligenz und vor allem das Tool ChatGPT reges Interesse. Viele Unternehmen möchten ihren Mitarbeitenden ermöglichen, diese Tools zu verwenden. In einem nun entschiedenen Fall hatte das Arbeitsgericht (ArbG) Hamburg die Frage zu beantworten, ob der Betriebsrat vor dem Einsatz von ChatGPT und ähnlichen Programmen zu beteiligen ist und eventuell auch ein Verbot des Einsatzes dieser Systeme erzwingen kann (Beschl. v. 16.01.2024 – 24 BVGa 1/24).

Sachverhalt
Im Rahmen des einstweiligen Rechtsschutzes begehrte der Konzernbetriebsrat von einem Unternehmen u.a., dass dieses seinen Mitarbeitern den Einsatz von ChatGPT und anderen Systemen der Künstlichen Intelligenz verbietet.

Das Unternehmen wollte für die Mitarbeitenden generative Künstliche Intelligenz als neues Werkzeug bei der Arbeit zur Unterstützung nutzbar machen. Es veröffentlichte dafür auf der Intranetplattform „Guidelines for Generative Al Utilization“, eine Generative KI-Richtlinie Version 1 und ein Handbuch „Generative al Manual ver.1.0.“, die den Arbeitnehmern Vorgaben machen, wenn diese bei der Arbeit IT-Tools mit künstlicher Intelligenz bei der Arbeit nutzen. Gleichzeitig veröffentlichte das Unternehmen im Intranet eine Erklärung an die Mitarbeiter, in der über die KI-Leitlinien informiert wird.

ChatGPT und auch andere KI-Systeme werden im konkreten Fall nicht auf den Computersystemen der Arbeitgeberin installiert. Die Nutzung der Tools erfolgt mittels Webbrowser und erfordert lediglich die Anlegung eines Accounts auf dem Server des jeweiligen Anbieters. Wollen die Mitarbeiter ChatGPT nutzen, müssen diese eigene, private Accounts anlegen.

Der Betriebsrat ging davon aus, dass sowohl ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG als auch nach § 87 Abs. 1 Nr. 6 und Nr. 7 BetrVG bestehe. Die Arbeitgeberin habe durch die Entsperrung von ChatGPT verbunden mit der Veröffentlichung von Richtlinien zur Nutzung generativer Künstlichen Intelligenz die Mitbestimmungs- und Mitwirkungsrechte des Betriebsrates grob verletzt.

Entscheidung
Das ArbG lehnte die Anträge des Betriebsrates zum Teil als unzulässig und auch als unbegründet ab.

Der Antrag, Guidelines, Handbuch und KI-Richtlinie vom Intranet zu entfernen, sei unbegründet.

§ 87 Abs. 1 Nr. 1 BetrVG (Verhalten der Arbeitnehmer im Betrieb)
Nach § 87 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen.

Nach Ansicht des ArbG hat die Arbeitgeberin mit ihren Maßnahmen, die zur Gestattung der Nutzung von ChatGPT und vergleichbarer Konkurrenzprogramme durch die Mitarbeiter geführt haben, § 87 Abs. 1 Nr. 1 BetrVG aber nicht verletzt.

Mitbestimmungsfrei sind danach Maßnahmen, die das so genannte Arbeitsverhalten der Beschäftigten regeln. Darum handele es sich, wenn der Arbeitgeber kraft seines arbeitsvertraglichen Weisungsrechts näher bestimmt, welche Arbeiten auszuführen sind und in welcher Weise das geschehen soll.

Nach Ansicht des ArbG

„fallen die Vorgaben zur Nutzung von ChatGPT und vergleichbarer Tools unter das mitbestimmungsfreie Arbeitsverhalten“.

Ergänzend sollte man sicher anfügen: im konkreten Fall.

Das Gericht begründet seine Ansicht weiter, dass die Arbeitgeberin ihren Arbeitnehmern ein neues Arbeitsmittel unter bestimmten Bedingungen zur Verfügung stellt. Richtlinien, Handbuch usw. sind somit Anordnungen, welche die Art und Weise der Arbeitserbringung betreffen, weshalb kein Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 1 BetrVG bestehe.

§ 87 Abs. 1 Nr. 6 BetrVG
Nach dieser Norm hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.

Auch dieses Mitbestimmungsrecht habe die Arbeitgeberin hier nach Ansicht des ArbG nicht verletzt.

Zweck des Mitbestimmungsrechts ist es, Arbeitnehmer vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Einsatz technischer Überwachungseinrichtungen zu bewahren. Zwar sind technische Einrichtungen bereits dann zur Überwachung „bestimmt“, wenn sie objektiv geeignet sind, dass der Arbeitgeber Verhaltens- oder Leistungsinformationen über den Arbeitnehmer erheben und aufzuzeichnen kann.

Vorliegend stellte das ArbG u.a. darauf ab, dass ChatGPT und die vergleichbaren Konkurrenzprodukte nicht auf den Computersystemen der Arbeitgeberin installiert wurden. Will ein Arbeitnehmer diese Tools nutzen, muss er diese wie jede andere Homepage auch, mittels eines Browsers aufrufen. Zudem erhalte die Arbeitgeberin keine Meldung oder Information, wann welcher Arbeitnehmer wie lange und mit welchem Anliegen ChatGPT genutzt hat.

Zwar werde der Browser die Nutzung des Tools regelmäßig aufzeichnen.

„Dies stellt aber keine Besonderheit von ChatGPT dar, sondern ergibt sich aus den Funktionsmöglichkeiten des Browsers, der den Surfverlauf des Nutzers abspeichert“.

Der Browser selbst sei zwar somit eine technische Einrichtung, die geeignet ist, Leistungs- und Verhaltensinformationen der Arbeitnehmer aufzuzeichnen. Jedoch haben die Parteien hier zur Nutzung von Browsern eine Konzernbetriebsvereinbarung abgeschlossen, weshalb der Betriebsrat sein Mitbestimmungsrecht aus § 87 Abs. 1 S. 1 BetrVG bereits ausgeübt hat.

Zweitens begründet das ArbG seine Ansicht damit, dass der Anbieter des Tools, etwa von ChatGPT, die vorgenannten Daten wohl aufzeichnet.

„Dies führt aber nicht zur Mitbestimmung, denn der dadurch entstehende Überwachungsdruck wird nicht vom Arbeitgeber ausgeübt.“

Denn die Arbeitgeberin könne auf die vom Hersteller gewonnenen Informationen nicht zugreifen.

Fazit
Wie oben angesprochen, ist diese Entscheidung konkret bezogen auf die Gegebenheiten des Einzelfalls erfolgt – was auch völlig richtig ist. Insbesondere hat das ArbG hier etwa auf die bestehende Betriebsvereinbarung zu Browsern verweisen können. In anderen Konstellationen mag die Entscheidung eines Gerichts daher aber auch anders ausfallen. Interessant für die Praxis sind die Erwägungen des ArbG aber in jedem Fall.

BDSG-Reform: Bundesregierung verabschiedet Entwurf zur Änderung des BDSG (Videoüberwachung, Auskunftsanspruch, gemeinsame Verantwortliche und Scoring)

Posted on by

Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.

Die DSK wird im BDSG verankert

In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.

Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.

Wegfall der Regelung zur Videoüberwachung für private Stellen

§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.

Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.

Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.

Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen

Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“

Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.

Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.

Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.

Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen

Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.

Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,

dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.

Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.

Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.

Vorgaben zum Scoring

Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.

Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.

Geplante EU-Verordnung zur besseren Durchsetzung der DSGVO – Weitergabe von Informationen aus behördlichen Datenschutzverfahren an andere nationale Aufsichtsbehörden (z. B. Wettbewerb, Finanzen) vorgeschlagen

Posted on by

Derzeit wird in Brüssel über den Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 (2023/0202(COD)) verhandelt. Im Europäischen Parlament ist der LIBE-Ausschuss federführend zuständig und dieser hat mit Datum vom 14. Dezember 2023 seine Änderungsvorschläge zu dem Berichtsentwurf vom 9. November 2023 vorgelegt.

Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO

Ich hatte hier im Blog schon vor einiger Zeit einen Beitrag zu einer möglichen geänderten Fristenberechnung bei der Meldung von Datenschutzverletzungen verfasst. Die vorgeschlagene Verordnung fliegt meines Erachtens immer noch sehr unter dem „Radar“ der betroffenen Kreise, hat dabei extrem viele (potentiell) relevante Änderungen zur Folge.

Kurz zur Einordnung: die Verordnung soll Verfahrensregeln im Fall von grenzüberschreitenden Verarbeitungen und darauf basierenden aufsichtsbehördlichen Verfahren etablieren. Die Regelungen der Verordnung würden nationalen Verfahrensvorgaben als Spezialvorschriften vorgehen.

Heute möchte ich auf einen aus meiner Sicht für betroffene Unternehmen und öffentliche Stellen beachtenswerten Vorschlag aus dem LIBE-Ausschuss hinweisen.

Weitergabe von Informationen aus aufsichtsbehördlichen Verfahren an andere nationale Stellen

Nach einem neu vorgeschlagenen Art. 7 Abs. 2a (Änderungsantrag 311 in dem Dokument vom 14. Dezember 2023) sollen die Aufsichtsbehörden anstreben, die im Rahmen der in dieser Verordnung festgelegten Verfahren erhaltenen Informationen an die für den Datenschutz und andere Bereiche zuständigen nationalen und Unionsaufsichtsbehörden, einschließlich der Wettbewerbs-, Finanzdienstleistungs-, Energie-, Telekommunikations- und Verbraucherschutzbehörden, weiterzuleiten, wenn die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden.

Hier noch das englische Original:

Supervisory authorities shall strive to communicate the information obtained in the context of the procedures set out in this Regulation to national and Union supervisory authorities competent in data protection and other areas, including competition, financial services, energy, telecommunications and consumer protection authorities, where the information is deemed relevant to the tasks and duties of those authorities.”

Der Vorschlag bedeutet im Grunde, dass Datenschutzbehörden dazu angehalten sind, Informationen aus einem Aufsichtsverfahren gegen einen Verantwortlichen oder Auftragsverarbeiter auch an andere nationale Stellen zu geben, die ebenfalls in ihrem jeweiligen Rechtsbereich für die Überwachung des Verantwortlichen oder Auftragsverarbeiters zuständig sind.

Interessant ist, dass der Vorschlag wohl keine Pflicht zur Weitergabe der Informationen vorsieht. Andererseits sollen die Aufsichtsbehörden zur Informationsweitergabe angehalten werden. Für die Frage, ob Informationen aus dem Verfahren weitergegeben werden sollen, kommt es nach dem Vorschlag wohl allein auf die Einschätzung der Datenschutzbehörde an. Die Weitergabe soll erfolgen, wenn „die Informationen für die Aufgaben und Pflichten dieser Behörden als relevant erachtet werden“ – aus Sicht der Datenschutzbehörde.

An welche Aufsichtsbehörden in anderen Rechtsbereichen die Informationen weitergegeben werden sollen, wird nicht abschließend benannt („einschließlich“). Beispielhaft werden etwa Behörden aus dem Bereich Wettbewerb, Energie, Telekommunikation oder auch Verbraucherschutz.

In Deutschland könnte man also an die Weitergabe von „relevanten“ Informationen an die BaFin oder das Bundeskartellamt denken. Ziemlich klar ist der Zweck des Vorschlags, anderen Aufsichtsbehörden ebenfalls die Durchführung von entsprechenden Verfahren zu ermöglichen.

Jedoch soll die Weitergabe nach dem Vorschlag wohl tatsächlich nur an Behörden, also öffentliche Stellen, erfolgen.

Der Sinn und Zweck des Vorschlags ergibt sich recht klar aus der Begründung im Berichtsentwurf (Änderungsantrag 117, Dokument vom 9. November 2023; inoffizielle Übersetzung):

In der Erkenntnis, dass die Untersuchung von Verstößen im Bereich des Datenschutzes Beweise für Verstöße in anderen Bereichen liefern können. Dies ist eine Forderung vieler zivilgesellschaftlicher Organisationen

Keine Pflicht zur Vertraulichkeit?

Man wird die Frage stellen können, wie eine solche Vorgabe bzw. ein solches Recht mit der Vertraulichkeitsverpflichtung der Datenschutzbehörden einhergeht.

Nach Art. 54 Abs. 2 DSGVO sind ja die Mitglieder und die Bediensteten jeder Aufsichtsbehörde gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Eventuell mag man über Art. 57 Abs. 1 g) DSGVO hiervon noch eine Ausnahme machen – jedoch allein in Bezug auf andere Datenschutzbehörden.

Sollte aber die neue Verordnung für zusätzliche Verfahrensregeln anwendbar werden, dann gilt diese (als EU-Verordnung) neben der DSGVO und konkretisiert bzw. ändert als Spezialregelung sogar die allgemeinen Regelungen der DSGVO, wie auch Art. 54 Abs. 2 DSGVO.

Auch ein Verweis auf möglicherweise entgegenstehende nationale Verbote würde wohl nicht helfen. Denn auch hierbei ist zu beachten, dass die verschlagene Verordnung unmittelbar in jedem Mitgliedsstaat Anwendung finden würde. So führt etwa die EU-Kommission in der Begründung ihres Entwurfs aus: „Daher ist eine (in den Mitgliedstaaten unmittelbar geltende) Verordnung erforderlich, um die rechtliche Fragmentierung zu verringern und das Maß an Harmonisierung zu gewährleisten“.

Ich werde in Zukunft sicher noch ein paar Beiträge zu der Verordnung veröffentlichen. Wie gesagt, sind dort viele interessante und praxisrelevante Änderungsvorschläge enthalten.

Durchführung des Digital Services Act (DSA): Bundesratsausschüsse gegen Zuständigkeitskonzentration beim BfDI für Verbote zur Online-Werbung

Posted on by

Nach Art. 26 Abs. 3 DSA dürfen Anbieter von Online-Plattformen Nutzern keine Werbung anzeigen, die auf Profiling nach der DSGVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Zudem dürfen nach Art. 28 Abs. 2 DSA Anbieter von Online-Plattformen auf ihrer Schnittstelle keine Werbung auf der Grundlage von Profiling unter Verwendung personenbezogener Daten des Nutzers darstellen, wenn sie hinreichende Gewissheit haben, dass der betreffende Nutzer minderjährig ist.

Zuständigkeitsregelung im Entwurf des DDG

Im Entwurf eines Gesetzes zur Durchführung des DSA (PDF, 15.01.2024, S. 71 f.) hatte die Bundesregierung in § 12 Abs. 3 des Digitale-Dienste-Gesetz (DDG) eigentlich vorgesehen, dass die Zuständigkeit für die Durchsetzung der Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) übertragen wird.

Begründet wurde dies u.a. damit, dass sich die in diesen Regelungen enthaltenen Werbeverbote auf in der Datenschutz-Grundverordnung definierte Begriffe stützen,

für deren Auslegung und Umsetzung in der Praxis die oder der Bundesbeauftragte die einschlägige Erfahrung und Expertise aufweist, wie zum Beispiel, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ein Profiling der Nutzenden stattfindet.“

Veto aus den Ausschüssen des Bundesrates

Mit Datum vom 19.01.2024 haben die beratenden Ausschüsse des Bundesrates nun ihre Empfehlungen zu dem Gesetzentwurf veröffentlicht (PDF). Zu § 12 Abs. 3 DDG wird dort durch den Ausschuss für Innere Angelegenheit eine Anpassung empfohlen – nicht der BfDI soll zuständig sein, sondern die Datenschutzbehörden der Länder.

Begründet wird diese Anpassung u.a. damit, dass Adressaten der Verpflichtungen nach Art. 26 und 28 DSA ausschließlich nicht öffentliche Stellen (Unternehmen als Anbieter von Online-Plattformen) seien,

deren Datenverarbeitung nach § 40 BDSG der Datenschutzkontrolle durch die Datenschutzaufsichtsbehörden der Länder unterliegt.“

Entgegen der Begründung der Bundesregierung für die Zuständigkeitszuweisung an den BfDI, welche auf eine einschlägige Erfahrung und Expertise des BfDI verweist,

muss nach Ansicht des Bundesrates festgestellt werden, dass diesem bislang nicht mehr als eine eingeschränkte sektorale Aufsicht über Telekommunikationsanbieter obliegt.“

Zudem seien bei einer Beschwerdeprüfung auf Grundlage des DSA (bzw. des DDG) Berührungspunkte zu allgemeindatenschutzrechtlichen Fragen,

die der Vollzugsverantwortung der Datenschutzaufsichtsbehörden der Länder vorbehalten sind, regelmäßig vorbestimmt.“

Auch führe eine Zuständigkeitszuweisung an den BfDI

absehbar zur Aufspaltung von datenschutzrechtlichen Beschwerdeverfahren, was den Zielen der Effektivität und Rechtssicherheit widerspricht“.

Einen vermittelnden Vorschlag legen der federführende Verkehrsausschuss und der Wirtschaftsausschuss vor.

Ihrer Ansicht nach sollten der BfDI und die Landesdatenschutzbehörden zuständig sein. Nach Ansicht dieser Ausschüsse würde mit § 12 Abs. 3 DDG eine Aufsichtsstruktur eingeführt,

die eine nicht gebotene nationale Zuständigkeitszersplitterung und weitere Abstimmungsbedarfe in der Praxis nach sich zöge und einheitliche Lebens- und Prüfvorgänge aufspalten würde“.

Daher schlagen sie vor, dass die Landesdatenschutzbehörden für die Webseiten, für die sie ohnehin zuständig sind, auch bezüglich der Vorgaben in Art. 26 Abs. 3 und Art. 28 Abs. 2 DSA zuständig werden.

Welche Variante am Ende im Bundesrat Zustimmung findet, muss man abwarten. Klar ist aber die Tendenz der Ausschüsse, die Zuständigkeit nicht allein dem BfDI zu übertragen.

Arbeitsgericht: Datenschutzverstöße des Betriebsrates können ein Grund für dessen Auflösung sein

Posted on by

Das Arbeitsgericht Elmshorn (ArbG) hat sich in seinem Beschluss vom 23.08.2023 (Az. 3 BV 31 e/23) unter anderem mit der Frage befasst, inwiefern Datenschutzverstöße eines Betriebsrates nach § 23 Abs. 1 BetrVG wegen grober Verletzung seiner gesetzlichen Pflichten zu dessen Auflösung führen können (die Beschwerde gegen den Beschluss ist beim Landesarbeitsgericht Schleswig-Holstein, Az. 5 TaBV 16/23 anhängig).

Sachverhalt

Über ein Viertel der Belegschaft sowie die Arbeitgeberin beantragten gem. § 23 Abs. 1 BetrVG die Auflösung des Betriebsrates. Es lägen grobe Verletzungen gesetzlicher Pflichten durch den Betriebsrat und einzelne Mitglieder vor. (Ich beschränke mich hier auf datenschutzrechtlich relevante Themen; daneben wurden auch noch andere Verstöße geltend gemacht)

Der Betriebsrat druckte jeweils einzeln pro Mitarbeiter per E-Mail verschickte Dienstpläne aus, sichtet, kontrolliert und bearbeitet diese. Sie werden jeweils in einem DIN A 4-Ordner für jeden einzelnen Mitarbeiter abgeheftet. Daneben werden alle Urlaubsanträge von allen Mitarbeitern durch die Arbeitgeberin per E-Mail an den Betriebsrat geschickt, welche dieser ebenfalls ausdruckt, sichtet und einsortiert. Zudem habe der Betriebsratsvorsitzende in einer Betriebsversammlung Gesundheitsdaten zweier Mitarbeiter veröffentlicht.

Die Antragsteller sind der Ansicht, der Betriebsrat verstoße mit einer umfassenden Speicherung von Personendaten im Rahmen der Dienstplannachkontrollen gegen den Datenschutz. Zudem stelle die Bekanntgabe von Gesundheitsdaten auf der Betriebsversammlung einen erheblichen Datenschutzverstoß dar.

Entscheidung

Das ArbG ging von mehreren Pflichtverletzungen aus und beschloss die Auflösung des Betriebsrates. 

Prüfungsmaßstab des Gerichts waren die Anforderungen des § 23 Abs. 1 BetrVG. Ein zur Auflösung des Betriebsrats führender grober Verstoß gegen gesetzliche Pflichten liegt dann vor, wenn die Pflichtverletzung objektiv erheblich und offensichtlich schwerwiegend ist. Dies kann nur unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere den betrieblichen Gegebenheiten und des Anlasses der Pflichtverletzung beurteilt werden.

Unter anderem begründete das ArbG seine Entscheidung auch mit datenschutzrechtlichen Verstößen.

Mit der Mitteilung von Gesundheitsdaten von Arbeitnehmern wie auch der massenhaften Lagerung von Mitarbeiterdaten verstößt der Betriebsrat massiv gegen Geheimhaltungspflichten und die Verpflichtung zum Datenschutz.“

Nach Ansicht des ArbG ist der Betriebsrat zur Geheimhaltung von persönlichen Daten verpflichtet.

Zudem stelle die Verletzung von Datenschutzverpflichtungen zugleich eine Verletzung von Pflichten aus § 23 Abs. 1 BetrVG dar.

Mit der Mitteilung von Gesundheitsdaten von zwei Mitarbeitern auf einer Betriebsversammlung verletze der Betriebsrat das allgemeine Persönlichkeitsrecht dieser Mitarbeiter.

Der Betriebsrat verteidigte sich damit, dass auf der Betriebsversammlung keine Gesundheitsdaten bekannt gemacht worden seien. Denn die Erkrankungen seien bereits betriebsöffentlich bekannt gewesen und die Äußerungen seien zudem jedenfalls nicht protokolliert worden.

Diese Argumente ließ das ArbG nicht gelten. Auch wenn die Vorfälle bereits anderweitig im Betrieb „die Runde gemacht“ haben sollten bzw. sich als Arbeitsunfälle ereigneten, stehe dem Betriebsratsvorsitzende eine Äußerung über den Gesundheitszustand einzelner Arbeitnehmer in der Betriebsversammlung nicht zu.

Zudem bemängelte das ArbG, dass der Betriebsrat mit dem Ausdruck und der Ablage von allen Dienstplänen, Krankheitsmitteilungen und Urlaubsanträgen quasi eine doppelte Personalakte führe. Er lege Unterlagen doppelt an, deren Zweck der Speicherung mehr als zweifelhaft sei.

Auch der Betriebsrat ist grundsätzlich zur sog. Datensparsamkeit angehalten“.

Ein permanenter Lesezugriff örtlicher Betriebsräte auf die elektronischen Personalakten der Arbeitnehmer zu Kontrollzwecken im Rahmen einer Gesamtbetriebsvereinbarung zur Regelung eines elektronischen Ablagesystems für Personalakten wäre unwirksam, da hiermit unverhältnismäßig in das allgemeine Persönlichkeitsrecht der Arbeitnehmer eingegriffen wird.

Eine solche lege der Betriebsrat aber gerade an, wenn er für jeden Mitarbeiter einen Aktenordner führt, aus dem sich die Arbeits- und Abwesenheitszeiten inkl. Urlaub ergeben.

Der Betriebsrat könne gegebenenfalls bei der Arbeitgeberin Einsicht verlangen.

Es ist gerade nicht erforderlich, dass es zu einer Art doppelten Buchführung durch den Betriebsrat kommt. Dies verstößt gegen die erforderliche Sparsamkeit im Umgang mit personenbezogenen Daten.“

EU-Kommission schlägt veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor

Posted on by

Zwischen den Jahren hat man (manchmal) die Zeit, sich mit Themen zu befassen, die während des Jahres zu kurz gekommen sind. Bei mir ist das zum Beispiel der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (COM(2023) 348 final).

Vielen dürfte der Vorschlag vor allem im Hinblick auf die geplanten Anpassungen bei der Zusammenarbeit der europäischen Datenschutzbehörden und auch Vorgaben zum Umgang mit Beschwerden bekannt sein.

Vorschlag der EU-Kommission zur Fristenberechnung

Interessant ist aus meiner Sicht aber ganz allgemein der vorgeschlagene Art. 29. Dieser lautet:

Beginn der Fristen und Definition eines Arbeitstages

(1)Die von den Aufsichtsbehörden nach der Verordnung (EU) 2016/679 festgelegten Fristen bzw. die darin enthaltenen Fristen werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates 17 berechnet.

(2)Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“

Absatz 1 birgt mittlerweile keine große Überraschung mehr. Fristen der DSGVO werden nicht nach nationalem Recht (etwa dem BGB) berechnet, sondern nach europäischem Recht. Konkret, der Verordnung (EWG, Euratom) Nr. 1182/71.

Wichtig ist in Absatz 1 dennoch die Klarstellung, dass dies nicht nur für die vorgeschlagene Verordnung zu den Verfahrensregeln gilt – sondern ausdrücklich auch für „darin enthaltenen Fristen“; darin bezieht sich auf die DSGVO insgesamt.

Jetzt kommen wir aber zu dem viel relevanteren Absatz 2.

Danach sollen Fristen an dem Arbeitstag beginnen, „der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679…bezieht“. Auch diese Vorgabe ist nicht allein auf die vorgeschlagene Verordnung bezogen, sondern ausdrücklich auf alle Fristen aus der DSGVO.

Die Besonderheit an dieser Regelung: sie führt im Vergleich zu den generellen Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 zu einer abweichenden Fristenberechnung für solche Regelungen, die Stundenfristen vorsehen (wie Art. 33 Abs. 1 DSGVO).

Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71

Nach Art. 3 Abs. 1 und Abs. 2 a) gilt eigentlich folgendes.

Wenn für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

Und, eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.

Eine solche nach Stunden bemessene Frist findet sich in Art. 33 Abs. 1 DSGVO. Die Meldung an die Aufsichtsbehörde soll „möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ durch den Verantwortlichen erfolgen.

Das „Bekanntwerden“ ist hier das relevante Ereignis (auch dazu kann man trefflich streiten, soll hier aber nicht Thema sein).

Beispiel des BayLfD zur aktuellen Berechnungsvorgabe

In seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bildet der BayLfD dazu das folgende Beispiel (ab Rz. 77 ff).

Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist um 17.00 Uhr.

Änderung durch den vorgeschlagenen Art. 29 Abs. 2

Sollte aber Art. 29 Abs. 2 der Verordnung zur Festlegung zusätzlicher Verfahrensregeln tatsächlich anwendbar werden, würde die Stundenfrist gerade nicht mit Anfang der nächsten Stunde zu laufen beginnen.

Denn nach Art. 29 Abs. 2 beginnt die Frist „an dem Arbeitstag, der auf das Ereignis folgt“. Die Art. 33-Frist würde also später zu laufen beginnen, als derzeit nach den Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 und wie im Beispiel des BayLfD.

Hier am obigen Beispiel des BayLfD erläutert:

Wird eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist erst um 00.00 Uhr des nächsten Arbeitstages. Man „gewinnt“ als Verantwortliche mithin einige Stunden.

In anderen Situationen kann der Zeitgewinn noch größer ausfallen. Zum Beispiel, wenn das Bekanntwerden der Datenschutzverletzung um 09.45 Uhr vormittags erfolgt. Dann gewinnt man im Vergleich zur aktuellen Berechnung (Frist würde um 10 Uhr starten) 14 Stunden.

Ausblick

Ich bin gespannt, ob der vorgeschlagene Art. 29 Abs. 2 so in kraft treten wird. Der EDSA und der EDSB haben in ihrer Stellungnahme zu dem Vorschlag der EU-Kommission diese Änderung der Fristenberechnung überhaupt nicht angesprochen. Ob bewusst oder unbewusst, ist aber nicht klar.

BAG konkretisiert datenschutzrechtliche Unterstützungspflichten des Betriebsrats

Posted on by

In seinem Beschluss vom 9. Mai 2023 hatte sich das BAG unter anderem mit den Vorgaben von § 79a BetrVG und damit dem datenschutzrechtlichen Verhältnis zwischen Arbeitgeber und Betriebsrat zu befassen. 

Sachverhalt

In dem Verfahren stritten die Parteien um einen Auskunftsanspruch des Betriebsrats. Der Betriebsrat verlangte von der Arbeitgeberin, ihm ein Verzeichnis über alle im Betrieb und Unternehmen beschäftigten schwerbehinderten und diesen gleichgestellten behinderten Menschen zu übermitteln. Die Arbeitgeberin erteilte daraufhin lediglich die Auskunft, der Schwellenwert für die Wahl einer Schwerbehindertenvertretung im Betrieb sei erreicht.

U.a. ging es um die Frage, ob dem Auskunftsanspruch datenschutzrechtliche Gründe entgegenstünden. 

Entscheidung

Das BAG geht davon aus, dass aus dem Datenschutzrecht nichts gegen die Erfüllung des Auskunftsanspruchs spreche. Die Weitergabe der begehrten Daten an den Betriebsrat sei nach § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG zulässig.

In der Begründung befasst sich das BAG auch mit den (relativ neuen) Regelungen des § 79a BetrVG. 

§ 79a BetrVG

Bekanntlich legte der Gesetzgeber in § 79a BetrVG gesetzlich die datenschutzrechtliche Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat fest (wenn auch, aus meiner Sicht, nicht besonders klar).

Nach Satz 1 der Norm hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Gemäß Satz 2 ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Und zuletzt ist in § 79a S. 3 BetrVG vorgesehen, dass Arbeitgeber und Betriebsrat sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.

Ansicht des BAG

Nach Auffassung des BAG bewirkt die Vorschrift des § 79a Satz 2 BetrVG nicht, dass das verlangte Datenschutzniveau nicht mehr gewährleistet wäre. 

Hierbei könne, so das Gericht, dahinstehen, ob die Norm, die die umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat nun ausdrücklich dem Arbeitgeber zuweist im Einklang mit Art. 4 Nr. 7 DSGVO stehe. 

Denn den Betriebsrat treffen datenschutzrechtliche Pflichten unabhängig davon, ob er Teil der verantwortlichen Stelle oder selbst Verantwortlicher ist.

Er hat bei jeder Datenverarbeitung – und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten – die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (sh. schon BAG 7. Mai 2019 – 1 ABR 53/17 – Rn. 45, BAGE 166, 309; nun ausdrücklich in § 79a Satz 1 BetrVG vorgesehen)

Spannend ist die Ansicht des BAG dazu, wie die in § 79a S. 3 BetrVG vorgesehene Unterstützungspflicht in der Praxis umzusetzen ist. 

Das Gericht weist darauf hin, dass die Betriebsparteien nach § 79a S. 3 BetrVG verpflichtet sind, einander bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen.

Dem Betriebsrat obläge es damit nicht nur, dem Arbeitgeber diejenigen Informationen zu übermitteln, die er für die Erfüllung der ihm als verantwortliche Stelle obliegenden Pflichten benötigt, sondern er hätte auch an der Erfüllung einer Pflicht zur Löschung von personenbezogenen Daten mitzuwirken“.

Das BAG formuliert hier ganz konkret die Pflicht des Betriebsrates, den Verantwortlichen (Arbeitgeber) bei der Erfüllung der datenschutzrechtlichen Pflichten zu unterstützen. Dies zum einen durch Bereitstellung von Informationen an den Arbeitgeber. Und zum anderen aber auch in der Form der Umsetzung datenschutzrechtlicher Pflichten im Bereich des Betriebsrates. Hier nennt das BAG etwa die Löschung von personenbezogenen Daten. 

Verwaltungsgerichtshof Österreich: „unbedingt erforderlich“ nach Art. 5 Abs. 3 ePrivacy RL (TTDSG) ist etwas anderes als „erforderlich“ nach Art. 6 Abs. 1 lit. f DSGVO

Posted on by

In der Entscheidung vom 31.10.2023 (Ro 2020/04/0024) ging es um die Genehmigung von Verhaltensregeln gemäß Art. 40 Abs. 5 DSGVO für „Presse- und Magazin-Medienunternehmen“ bei der österreichischen Datenschutzbehörde. Die DSB wies den Antrag auf Genehmigung der vorgelegten Verhaltensregeln teilweise im Hinblick auf mehrere Punkte aus den Verhaltensregeln ab. Ein relevanter Punkt war hierbei Punkte D.1.3 (Zwingend erforderliche datenverarbeitende Cookies). Hinsichtlich Punkt D.1.3 ging es u.a. um die Frage der Auslegung der Wortfolge „unbedingt erforderlich“ in Art. 5 Abs. 3 RL 2002/58/EG und zwar dahingehend, ob davon eine näher beschriebene „wirtschaftliche unbedingte Erforderlichkeit“ umfasst sei. Punkt D.1.3 betrifft die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung der betroffenen Person, wenn der Verarbeitungsvorgang für die Angebotserbringung zwingend erforderlich ist, wobei nach Punkt D.1.3 erster Absatz der Begriff „erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f DSGVO auszulegen sei.

In seiner Entscheidung weist das Gericht (unter Verweis auf die EuGH-Rechtsprechung) darauf hin, dass für die Zulässigkeit der Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. f DSGVO es allein nicht ausreichend ist, dass die Datenverarbeitung zur Verwirklichung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Vielmehr bedarf es zusätzlich einer Abwägung der berechtigten Interessen des Verantwortlichen oder eines Dritten mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person.

Das Gericht unterscheidet hierbei klar zwischen den beiden Schutz- und Anwendungsbereichen der DSGVO und der RL 2002/58/EG. Während sich der Begriff „erforderlich“ in Art. 6 Abs. 1 lit. f DSGVO auf die Verarbeitung [personenbezogener Daten] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten bezieht, betreffe der Begriff „unbedingt erforderlich“ in Art. 5 Abs. 3 zweiter Satz RL 2002/58/EG die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, „damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Im Gegensatz zu Art. 6 Abs. 1 lit. f DSGVO setzt daher Art. 5 Abs. 3 zweiter Satz der Richtlinie 2002/58/EG für die Zulässigkeit der Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, keine Interessensabwägung voraus.“

Auf diese unterschiedlichen Prüfkriterien und auch -umfänge hat in der Vergangenheit etwa auch die DSK in ihrer Orientierungshilfe Telemedien hingewiesen (S. 21 f). Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich danach wesentlich von Art. 6 Abs. 1 lit. f) DSGVO. „Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DS-GVO eine gewisse Abwägungsflexibilität“. Nach Ansicht der DSK ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, daher nicht geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG (bzw. Art. 5 Abs. 3 RL 2002/58/EG zu erfüllen.

Für die Praxis bedeutet diese Auslegung, dass „unbedingt erforderlich“ nach § 25 Abs. 2 Nr. 2 TTDSG gerade nicht eins zu eins wie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zu prüfen ist. Die RL 2002/58/EG sieht keine Abwägungsmöglichkeit in ihrem Wortlaut vor. Dies mag man aus Sicht von Unternehmen positiv oder negativ verstehen. Negativ, da keine Abwägung mit Interessen möglich ist, um so ggfs. ein passendes Ergebnis zu erzielen. Oder auch positiv, da eben keine entgegenstehenden Interessen berücksichtigt werden müssen, jedoch die Erforderlichkeit nachgewiesen werden muss.