Update Datenschutz 7

Update Datenschutz 7

Es sind Sommerferien und du wartest wahrscheinlich schon auf das nächste Update Datenschutz, oder vielleicht auch nicht. Na ja, hier kommt es trotzdem.

Inhaltsverzeichnis

Datenschutz-Goodie

Bevor es so richtig mit dem Datenschutz losgeht, möchte ich ein neues kleines Projekt vorstellen. Ich nenne es das Datenschutz-Goodie. Beim Datenschutz-Goodie habt ihr euch die Möglichkeit und euer Unternehmen kurz vorzustellen und ein kleines Goodie für die anderen Empfänger des Newsletters zu präsentieren. Ich denke, das kann eine Win-win-Situation für alle beteiligten werden. Das Ganze ist natürlich freiwillig. Meldet euch einfach bei mir, wenn ihr Lust dazu habt. Wir versuchen mit jedem Newsletter ein Goodie vorzustellen. Selbstverständlich bekomme ich keine Provision oder Ähnliches!

Und weil es so gut zum Datenschutz passt, fangen wir diesmal mit der Enginsight GmbH an. Die Enginsight GmbH bietet eine All-In-One Cybersecurity-Lösung an, u. a. mit Schwachstellen-Scans, Netzwerk- und Anwendungssicherheitsanalysen, Risikobewertungen, Compliance-Checks oder Datenanalyse. Und da kommen wir auch schon zum Goodie und das kann sich sehen lassen. Enginsight bietet euch ein Security-Audit mit satten 50 % Rabatt an für statt 5.000 € nur 2.500 € zzgl. USt. Ich denke, das kann sich sehen lassen. Wenn ihr das Angebot wahrnehmen möchtet, meldet euch einfach bei Max Tarantik (sales@enginsight.com) mit dem Stichwort „Datenschutz Goodie Landgraf Datenschutz“.

Und jetzt steigen wir in die Datenschutznews ein.

Zertifizierung für EU-US-Data Privacy Framework

Im letzten Newsletter hatten wir schon berichtet, dass der neue Angemessenheitsbeschluss für die Verarbeitung von personenbezogene Daten durch US-Unternehmen in Kraft ist. Damit ihr euch auf diesen Beschluss berufen könnt, muss das jeweilige US-Unternehmen, mit dem du arbeitest, für das EU-US-Data Privacy Framework zertifiziert sein. Das U.S. Department of Commerce veröffentlicht seit letzter Woche eine Liste der US-Unternehmen, die sich unter dem neuen EU-US-Data Privacy Framework haben zertifizieren lassen. Die Liste findest du hier: https://www.dataprivacyframework.gov/s/participant-search.

1 MIO. EUR Bußgeld für Einsatz von Google Analytics

In diesem Zusammenhang möchte ich dir eine neue Entscheidung nicht vorenthalten, auch wenn die Entscheidung aktuell eher ein bisschen Geschichtsunterricht ist. Im Zusammenhang mit einer unerlaubten Datenübermittlung in die USA im Rahmen der Nutzung von Google Analytics hat nämlich die schwedische Datenschutzbehörde ein Bußgeld in Höhe von 1 MIO. EUR verhängt: https://noyb.eu/de/noyb-win-first-major-fine-eu-1-million-using-google-analytics. Wie gesagt, ist die Entscheidung eher historisch, da mit dem Angemessenheitsbeschluss eine Übermittlung von personenbezogene Daten in die USA wieder möglich ist. NOYB hatte aber bereits angekündigt, gegen den Beschluss vor den EuGH zu ziehen. Und da war NOYB bisher auch schon zweimal erfolgreich.

Neues Datenschutzrecht in der Schweiz

Ab dem 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Das Bundesgesetz über den Datenschutz ist ein wenig lockerer als die DSGVO, orientiert sich aber in großen Teilen an dieser. Wenn du Waren oder Dienstleistungen in der Schweiz anbietest, musst du unter Umständen einen Vertreter in der Schweiz benennen (Art. 14 DSG). Ansonsten die Pflichten in vielen Bereichen der DSGVO nachempfunden. Wenn du also bisher DSGVO-compliant bist, musst du eigentlich nichts weiter unternehmen. Manche Dokumente, wie die Datenschutzhinweise für deinen Shop in der Schweiz, solltest du ggf. redaktionell auf das DSG anpassen, viel mehr muss es aber fast schon nicht sein.

Neues aus dem Bußgeldland

Ein anderes Bußgeld wurde durch die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit verhängt (Pressemitteilung) gegen die DKB verhängt. Diese musste saftige 300.000 EUR wegen automatisierter Entscheidungen zahlen. Von einer automatisierten Entscheidung sprechen wir, wenn ein IT-System die Entscheidung nur auf Basis von Algorithmen trifft, ohne dass ein Mensch beteiligt ist. Solche Entscheidungen sind aus datenschutzrechtlicher Sicht nur in engen Grenzen erlaubt. Von einer automatisierten Entscheidung spricht man, wenn Betroffenen Personen müssen in der Lage sein, die Art und Weise der Datenverarbeitung nachvollziehen zu können. Außerdem haben Sie einen Anspruch auf Erläuterung der getroffenen Entscheidung. Wenn die betroffene Person eine Auskunft beim Verantwortlichen verlangt, muss dieser aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen. Das hatte die DKB so nicht eingehalten.

Noch etwas höher fiel ein Bußgeld wegen der Verwendung von Google Analytics aus. Die schwedische Datenschutzbehörde verhängte Bußgelder von umgerechnet ca. 1.000.000 EUR und 26.000 EUR gegen zwei schwedische Telekommunikationsabieter. Die Anbieter verwendeten Google Analytics in einer Version von 2020 und stützten die Datenübertragung in die USA lediglich auf die sogenannten Standardvertragsklauseln. Weitere Garantien waren nicht vereinbart. Dei Entscheidung ist mit dem neuen ANgemessenheitsbeschluss zwar „rechtshistorisch“. Mittlerweile ist eine Datenübertragung in die USA wieder leichter möglich. Aber, ob das so bleibt, darf erst mal bezweifelt werden. Zudem sind das nicht die einzigen Baustellen beim Einsatz von Google Analytics.

OLG Hamm Herausgabe von Vereinsdaten (Datenschutz als Ermöglichungsrecht)

Eine interessante Entscheidung – wenn auch aus dem Vereinsrecht – kommt vom OLG Hamm (Urteil vom 26.04.2023 – Az. 8 U 94/22). Dort ging es um die Herausgabe von Vereinsdaten, konkret um die Herausgabe einer Mitgliederliste mit Kontaktdaten durch einen Verein mit ca. 5.500 Mitgliedern. Der Kläger, ein Vereinsmitglied, wollte mit anderen Mitgliedern in Kontakt treten, um eine Opposition gegen das Vorgehen des Vereinsvorstands zu organisieren und auf die Meinungsbildung im Verein Einfluss zu nehmen. Der Vorstand lehnte die Herausgabe ab. Das Mitglied Klage. Das Landgericht hatte die Klage noch abgewiesen, das OLG gab dem Kläger aber dann recht.

Nach Auffasung des OLG hat der Kläger als Vereinsmitglied grundsätzlich einen aus der Mitgliedschaft folgenden Anspruch auf die begehrten Informationen und die Übermittlung der Mitgliederlisten ist auch mit dem Datenschutz vereinbar ist. Das interessante dabei, ist die Begründung des Gerichts: Das Gericht stellte nämlich klar – was leider oft übersehen wird – dass es der Zweck des Datenschutzes (hier konkret Art. 6 Abs. 1 lit. b) DSGVO) ist, die privatautonome Gestaltung der Datenverarbeitung durch die Vertragsparteien zu ermöglichen und nicht einzuschränken. Datenschutz als Ermöglichungsrecht, nicht als Verbotsrecht. Das ist ein Punkt, den man bedauerlicherweise immer wieder vergisst.

Anspruch auf Entfernung einer Abmahnung aus Personalakte

Das LAG Sachsen mit der Frage beschäftigen, ob nach Beendigung des Arbeitsverhältnisses ein Anspruch des Arbeitnehmers auf Entfernung einer Abmahnung aus der Personalakte besteht. Das lehnte das Arbeitsgericht ab (Sächsisches Landesarbeitsgericht, Urteil vom 31. März 2023 – 4 Sa 117/21).

Videoüberwachung am Arbeitsplatz

Beim Thema Arbeitsrecht: Die Videoüberwachung am Arbeitsplatz ist immer wieder mal Thema. Wenn du eine Videoüberwachung DSGVO-compliant einsetzen willst, musst du ein paar Voraussetzungen beachten. Was aber passiert, wenn du diese Voraussetzungen nicht beachtest und die Aufzeichnung dein einziger Beweis für ein rechtswidriges Verhalten deiner Mitarbeiter:innen ist? Hier wird schnell das Beweisverwertungsverbot in den Raum gestellt. Was illegal erlangt ist, darf nicht vor Gericht verwendet werden. Man das auch die Frucht des verbotenen Baumes. Das gilt in Deutschland nicht immer und wie jetzt auch das Bundesarbeitsgericht in Erfurt klarstellte, nicht im Arbeitsprozess (Bundesarbeitsgericht, Urteil vom 29. Juni 2023 – 2 AZR 296/22). Nach Auffassung des Gerichts besteht in einem Kündigungsschutzprozess „grundsätzlich kein Verwertungsverbot in Bezug auf solche Aufzeichnungen aus einer offenen Videoüberwachung, die vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen. Das gilt auch dann, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts steht.“

Aber Obacht: Das gilt nur für das Beweisverwertungsverbot für die Aufnahme. Das Urteil bedeutet nicht, dass eine illegale Videoüberwachung plötzlich legal wird. Es kann also gut sein, dass man zwar das Video verwerten darf, aber sich selbst noch einem Bußgeldverfahren der Datenschutzbehörde gegenübersieht. Wie man eine Videoüberwachung rechtmäßig gestaltet, erklären wir euch in einem der nächsten Blogbeiträge.

Weil ich den Blog weiter oben schon mal angesprochen habe: Wir haben zwischenzeitlich natürlich auch neue Beiträge auf dem Cookie-Blog veröffentlicht. Einmal geht es die Einwilligung im Sinne der DSGVO als Rechtsgrundlage für Datenverarbeitungen und warum diese aus unternehmerischer Sicht gar nicht mal so optimal ist als Rechtsgrundlage. Demgegenüber steht das berechtigte Interesse als Rechtsgrundlage. Das berechtigte Interesse wird oft missverstanden, mal zu salopp angewandt und mal zu vorsichtig. Im Beitrag erklären wir, was es damit auf sich hat. Außerdem haben wir uns mal ein paar Gedanken gemacht, warum es besser ist einen externen Datenschutzbeauftragten zu bestellen als einen eurer Mitarbeiter. Auch wenn ich hier sicherlich nicht ganz neutral bin, können sich die Argumente sehen lassen, finde ich.

Und das wars auch mit dem Update 7. Ich hoffe, ihr genießt die Ferien und euren Urlaub und habt ein bisschen besseres Wetter als ich hier in Jena. Für mich geht es übrigens Ende August für zwei Wochen in den Urlaub, nur damit ihr schon mal vorgewarnt seid.

Interner Datenschutzbeauftragter? - 10 Gründe für einen externen Datenschutzbeauftragten
Interner Datenschutzbeauftragter? – 10 Gründe für einen externen DatenschutzbeauftragtenDSGVO
Datenschutz für Agenturen
Datenschutz für AgenturenAgenturen, DSGVO, Ratgeber