Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Umsetzung der DSGVO-Löschpflicht durch Anonymisierung

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

 
 
 

 

 

 

Der Versand von E-Mails gehört heute sowohl in der privaten Kommunikation als auch im unternehmerischen Geschäftsverkehr zum Alltag. Doch gerade beim Versenden von E-Mails kann es recht schnell zu einer Datenpanne kommen. Bereits ein Tippfehler im Adressfeld kann dazu führen, dass die Nachricht an eine falsche Person zugestellt wird. Aber auch beim Versenden vom Massen-E-Mails kann das Eintragen der Empfänger-Adressen in das falsche Feld einen Datenschutzverstoß begründen. In diesem Zusammenhang führte erst kürzlich die Versendung einer solchen Massen-E-Mail an einen größeren Personenkreis durch ein Impfzentrum zu einer schwerwiegenden Datenschutzpanne.

 

Das Wichtigste in Kürze

  • Impfzentrum veröffentlichte in einer Massen-E-Mail versehentlich knapp 1.500 Mailadressen
  • Nutzung offener E-Mail-Verteiler für das Versenden von Rundmails kann einen Verstoß gegen die DSGVO begründen
  • Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen
  • Für den datenschutzkonformen Versand von Rundmails sollte das Feld für die Blindkopie „Bcc“ verwendet werden

 

 

Personenbezogene Daten nach Impfterminabsage einsehbar

Nachdem im Kampf gegen das Corona-Virus das Impfen mit dem Vakzin AstraZeneca in Deutschland vorübergehend ausgesetzt wurde, verursachte eine Mitarbeiterin des Impfzentrums im Ennepe-Ruhr-Kreis bei der kurzfristigen Absage der Impftermine eine schwerwiegende Datenpanne.

Im Rahmen der Terminabsagen wurde eine Rundmail an alle knapp 1500 Impfkandidaten versendet. In der E-Mail waren für alle Empfänger neben dem Kommunikationsinhalt die Mailadressen sämtlicher Impfkandidaten, die bereits einen Impftermin vereinbart hatten, sichtbar.  Die Mitarbeiterin hatte sämtliche Adressen in das falsche Feld des Mailprogramms kopiert.

Auch bei E-Mail-Adressen handelt es sich regelmäßig um personenbezogene Daten. Somit stellt dieser Sachverhalt einen klaren Datenschutzverstoß dar, auch wenn keinerlei Gesundheitsdaten offengelegt wurden.

 

Nutzung offener E-Mail-Verteiler

Immer wieder kommt es auch im geschäftlichen Alltag vor, dass Rundmails, beispielsweise im Rahmen vom Newslettern versandt werden und zahlreiche E-Mail-Adressen offengelegt werden, weil der Absender die Adressen in das An- oder Cc-Feld des E-Mail-Programms einfügt. In einem solchen Fall ist für Empfänger erkennbar, welche E-Mail-Adressen dieselbe Nachricht erhalten haben.

Die Nutzung offener E-Mail-Verteiler für das Versenden von Massen-E-Mails kann grundsätzlich immer einen Verstoß gegen die DSGVO begründen.

Gemäß der Datenschutzgrundverordnung handelt es sich bei Vernichtung, Verlust oder, wie im vorliegenden Fall, der unbefugten Offenlegung von Daten um eine Verletzung des Schutzes personenbezogener Daten.

Sofern die Mail-Adressen mit dem Namen personalisiert sind, kann unter Umständen mit geringem Aufwand die Identität der dazugehörigen Person ermittelt werden. Enthalten demnach die im Verteiler aufgelisteten E-Mail-Adressen den eindeutigen Namen einer Person, liegen personenbezogene Daten vor. Wird die E-Mail-Adresse, die einen Namen enthält und somit einer natürlichen Person zuordenbar ist an Dritte weitergegeben, liegt darin ein meldepflichtiger Verstoß gegen die DSGVO vor. Denn personenbezogene Daten dürfen nur dann an Dritte übermittelt werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Grundlage gegeben ist.

Da im vorliegenden Fall keine Einwilligung der Betroffenen für die Offenlegung ihrer E-Mail-Adresse vorlag, wäre eine andere gesetzliche Grundlage erforderlich gewesen, die ebenso wenig vorhanden war.

Eine Ausnahme offener E-Mail-Verteiler ist nur für den privaten Bereich vorgesehen.

 

Datenschutzkonformer Versand von Rundmails

Grundsätzlich dürfen personenbezogene E-Mail-Adressen bei mehreren E-Mail-Empfängern nicht ohne deren Einwilligung in die Felder „An“ oder „Cc“ der E-Mail-Programme eingegeben werden. Insoweit sollte das Feld für die Blindkopie „Bcc“ verwendet werde. Adressen die in „Bcc“ aufgeführt sind, sind für andere Empfänger nicht sichtbar.

 

Sanktionen

Da es sich bei dem Impfzentrum um eine behördliche Einrichtung handelt, gegen die gem. § 43 Abs. 3 BDSG grundsätzliche kein Bußgeld verhängt werden kann, werden die Verantwortlichen lediglich auf den vorliegenden Datenschutzverstoß hingewiesen.

Demgegenüber kann der Versand von E-Mails mit offenen Verteilerlisten durch Privatpersonen oder Unternehmen schwerwiegende Folgen haben und mit empfindlichen Bußgeldern sanktioniert werden.

Grundsätzlich werden Bußgelder der Behörden lediglich gegenüber Unternehmen als für die Datenverarbeitung Verantwortliche ergehen. Kommt es trotz Schulungsmaßnahmen, Richtlinien und klarerer Vorgaben der Unternehmensleitung dennoch durch Verhalten eines Mitarbeiters zu einer Datenpanne, kann ausnahmsweise auch dieser mit einem Bußgeld belegt werden.

 

Ausblick

Derartige Fehler beim Versand von E-Mails, wie sie dem Impfzentrum unterlaufen sind, sind unbedingt zu vermeiden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter auch in diesem Bereich für den Datenschutz sensibilisieren. Dies gilt vor allem für Angestellte, die häufig per E-Mail nach außen kommunizieren, um beispielsweise Angebote oder Newsletter an Kunden zu versenden. Insoweit bedarf es der Schaffung klar definierter Prozesse sowie der Anweisung und Schulung sämtlicher Mitarbeiter, die im geschäftlichen Verkehr E-Mails versenden.

 
 
 

 

Bußgeld i.H.v. 475.000 € wegen verspäteter Meldung einer Datenschutzpanne

Spätestens seit der Einführung der Datenschutzgrundverordnung im Mai 2018 sollten Unternehmen die DSGVO und die dort benannten Pflichten ernst nehmen. Immer wieder verhängen die Datenschutzbehörden hohe Bußgelder wegen Missachtung datenschutzrechtlicher Grundsätze. So wurde das niederländische Portal für die Buchung von Unterkünften Booking.com mit einem Bußgeld in Höhe von 475.000 € für die verspätete Meldung einer Datenschutzpanne sanktioniert.

 

Das Wichtigste in Kürze

  • Eine Datenpanne liegt dann vor, wenn es zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten kommt oder unbefugte Dritte Kenntnis von den personenbezogenen Daten erlangen.

  • Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.

  • Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

  • Die Verletzung der Meldepflicht kann mit einer Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes sanktioniert werden.

 

Die Datenpanne

Der Bußgeldbescheid der niederländischen Datenschutzbehörde erging infolge einer schweren Datenpanne, die sich bei dem internationalen Online-Portal für die Buchung von Übernachtungsmöglichkeiten Booking.com abgespielt hat. Im Dezember 2018 verschafften sich Cyber-Kriminelle Zugang zu personenbezogenen Daten von über 4.000 Kunden.

Dafür sollen sie sich Zugangsdaten für die Booking.com-Konten von ca. 40 Hotel-Mitarbeitern in den Vereinigten Arabischen Emiraten beschafft haben.

Über die anschließende Nutzung der Plattform, konnten die Hacker auf die personenbezogenen Daten der Kunden zugreifen.

Gestohlen wurden komplette Datensätze mit Namen, Adressen sowie Zahlungsmitteln. Laut Booking.com soll es jedoch zu keiner Kompromittierung  des Codes sowie der Datenbanken gekommen sein.

Darüber hinaus konnten die Hacker telefonisch und per E-Mail, indem sie sich als Mitarbeiter der Plattform ausgaben, Kreditkartendaten abgreifen, wobei teilweise die Sicherheitsnummern einsehbar waren.

 

DSGVO-Verstoß: Verspätete Meldung der Datenpanne

Das Unternehmen mit Sitz in den Niederlanden stellte die Sicherheitsverletzung am 13. Januar 2019 fest. Eine Meldung an die Datenschutzbehörde erfolgte demgegenüber erst 25 Tage später am 7. Februar 2019, nachdem das Unternehmen drei Tage zuvor seine Kunden benachrichtigt hatte. Dieses Vorgehen stellt einen schweren Verstoß gegen die Meldepflicht aus der DSGVO dar.

 

Wann besteht eine Meldepflicht?

Gem. Art. 33 Abs. 1 DSGVO besteht die Pflicht des Verantwortlichen eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden.

Eine Datenpanne liegt gem. Art. 4 Nr. 12 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, die zum Verlust, zur Vernichtung oder zur Veränderung personenbezogener Daten führt oder zur Kenntnisnahme durch unbekannte Dritte.

Unter den Begriff der Datenschutzverletzung sind folgende Situationen zu fassen:

  • Vernichtung

Erfasst sind alle Formen der Datenlöschung, die eine unwiderrufliche Zerstörung von Daten zur Folge hat, ganz gleich, ob dies vorsätzlich oder unbeabsichtigt erfolgt.

  • Verlust

Auch Daten, die unvorhergesehen verloren gehen, ganz gleich, ob nur vorübergehend oder dauerhaft können einen Datenschutzverstoß darstellen.

  • Veränderung

Darunter ist die inhaltliche Umgestaltung von Daten zu verstehen, durch die personenbezogene Daten einen neuen Informationsgehalt aufweisen.

  • Offenlegung/Weitergabe

Insbesondere die Weitergabe von Daten an Dritte oder die Offenlegung gegenüber Dritten kann einen Datenschutzverstoß bedeuten, wenn keine Einwilligung des Betroffenen vorliegt oder eine andere Rechtsgrundlage einschlägig ist.

  • Unbefugter Zugriff

Können sich Dritte aufgrund unzureichender Sicherheitsmaßnahmen unbefugt Zugang zu personenbezogenen Daten verschaffen und von diesen Kenntnis nehmen, stellt auch dies eine Datenschutzverletzung dar.

Tritt eine dieser Situationen ein, liegt in der Regel eine meldepflichtige Datenschutzverletzung im Sinne des Art. 33 Abs. 1 DSGVO vor.

 

Frist zur Meldung einer Datenpanne

Gem. Art. 33 Abs. 1 DSGVO muss eine Datenpanne unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden.

Die Vorgabe der 72 Stunden-Frist soll eine schnelle Meldung sowie damit einhergehende Maßnahmen zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen gewährleisten.

Eine Überschreitung der Frist des Art. 33 Abs. 1 DSGVO ist nur dann zulässig, wenn für eine Meldung zu diesem Zeitpunkt nicht genügend Informationen vorliegen. Ist dies der Fall, muss bei Vornahme der Meldung eine überzeugende Begründung der Verzögerung beigefügt werden.

Sofern die inhaltlichen Mindestanforderungen nicht sofort, sondern nur schrittweise erfüllt werden können, besteht nach Art. 33 Abs. 4 DSGVO die Option, die erforderlichen Informationen nach und nach an die zuständige Behörde herauszugeben.

Für die Einhaltung der verhältnismäßig kurzen Frist ist es von großer Wichtigkeit, Datenschutzverletzungen im eigenen Unternehmen schnellstmöglich feststellen zu können. Aus diesem Grund ist es empfehlenswert, Prozesse für die Meldung von Datenpannen zu etablieren.

 

Meldepflicht des Verantwortlichen

Die Meldepflicht trifft grundsätzlich den für die Datenverarbeitung Verantwortlichen.

Sofern eine gemeinsame Verantwortlichkeit vorliegt, ist eine vorherige Festlegung der Verantwortung für eine Meldung erforderlich. Regelmäßig wird die Person, in deren Zuständigkeit die Datenschutzverletzungen dieser Art fallen, verantwortlich sein.

Kommt es im Rahmen einer Auftragsverarbeitung zu einer Datenschutzpanne, hat der Beauftragte gemäß Art. 33 Abs. 2 DSGVO unverzüglich Meldung an den Verantwortlichen zu machen, sodass dieser sich an die zuständige Aufsichtsbehörde wenden kann. Der Auftragsverarbeiter muss die Datenpanne hingegen nicht an die zuständige Aufsichtsbehörde melden.

 

Ausnahme der Meldepflicht

Eine Ausnahme der Meldepflicht gegenüber der Aufsichtsbehörde kommt dann in Betracht, wenn die Datenschutzverletzung kein oder nur ein geringes Risiko für die Rechte und Freiheiten einer natürlichen Person darstellt.

Zentraler Anknüpfungspunkt ist demnach eine zuvor vorgenommene Risikoprognose. Der Verantwortliche muss eine Bewertung des Risikos vornehmen, bei der das Verhältnis von Schwere und Eintrittswahrscheinlichkeit der Verletzung sowie der Schadenshöhe berücksichtigt wird. Dabei müssen für das Nichtvorliegen des Risikos keine Beweise vorliegen. Eine schlüssige Prognose ist ausreichend.

 

Inhaltliche Anforderungen an die Meldepflicht

Inhaltliche Mindestanforderungen einer Meldung an die Aufsichtsbehörde regelt Art. 33 Abs. 3 DSGVO.

Danach muss die Meldung eine umfassende Beschreibung der Art der Datenschutzverletzung (z.B. Zugriff unbefugter Dritter) haben. Darin muss soweit es möglich ist, eine Angabe der Kategorien (z.B. Kundendaten) und der ungefähren Zahl der Betroffenen sowie die ungefähre Zahl der betroffenen personenbezogenen Datensätze enthalten sein.

Weiterhin muss aus der Meldung der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Konsequenzen der Datenschutzverletzung sowie eine Beschreibung der vom Verantwortlichen ergriffenen oder geplanten Maßnahmen zur Beseitigung der Datenschutzverletzung und gegebenenfalls zur Abmilderung der nachteiligen Auswirkungen hervorgehen.

 

Benachrichtigung Betroffener über eine Datenpanne

Weiterhin enthält die Verordnung eine abgestufte Melde- und Benachrichtigungspflicht.

So müssen Betroffene im Gegensatz zur Aufsichtsbehörde nach Art. 34 Abs. 1 DSGVO immer erst dann benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten birgt.

Anders als gegenüber der Aufsichtsbehörde muss der Verantwortliche dem Betroffenen kein umfassendes Bild der Datenschutzverletzung geben. Aus der Benachrichtigung muss lediglich die Art der Datenschutzverletzung hervorgehen, etwaige Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen sowie der bereits ergriffenen und empfohlenen Maßnahmen.

Trifft der Verantwortliche im Vorfeld geeignete Sicherheitsvorkehrungen, die einen Zugriff Dritter auf die schützenswerten Daten effektiv verhindern (bspw. durch Verschlüsselung), muss der Betroffene entsprechend Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden. Dasselbe gilt für den Fall, dass der Verantwortliche als Reaktion auf die Datenpanne Maßnahmen ergreift, die mit hoher Wahrscheinlichkeit sicherstellen, dass das hohe Risiko für die Daten des Betroffenen nicht mehr besteht.

 

Form der Meldung einer Datenpanne

Auch wenn Art. 33 DSGVO keine Vorgaben hinsichtlich der Form einer Meldung enthält, empfiehlt es sich aus Gründen des Nachweises einen schriftlichen Meldenachweis zu führen.

Denn in diesem Zusammenhang besteht eine allgemeine Dokumentationspflicht des Verantwortlichen aus der DSGVO, die zum einen der aufsichtsbehördlichen Prüfung und zum anderen dem Verantwortlichen als Nachweis dienen soll.

Entsprechende Meldeformulare sind regelmäßig auf den Webseiten der Landesdatenschutzbehörden zu finden.

 

Bußgeld wegen verspäteter Meldung der Datenpanne

Im Fall von Booking.com hat die niederländische Datenschutzbehörde zur Sanktion der zu spät eingegangenen Meldung ein Bußgeld in Höhe von 475.000 Euro verhängt.

Gem. Art. 83 Abs. 4 lit. a) DSGVO kann bei der Verletzung der Pflicht aus Art. 33 DSGVO eine Geldbuße in Höhe von bis zu 10.000.00 Euro oder im Falle eines Unternehmens von bis zu 2 % seines weltweit erzielten Jahresumsatzes gegen den Verantwortlichen verhängt werden.

 

Ausblick

Bußgelder wie im Fall von Booking.com führen deutlich vor Augen, welche Konsequenzen die mangelhafte Umsetzung der DSGVO und der aus ihr resultierenden Pflichten haben kann. Die Aufsichtsbehörden nehmen die DSGVO ernst und prüfen nicht nur, ob Unternehmen ausreichende Maßnahmen zur Prävention von Datenschutzpannen treffen, sondern sanktionieren vielmehr auch den fehlerhaften Umgang mit Datenpannen, insbesondere verspätete Meldung an die zuständige Behörde. Bereiten Sie Ihr Unternehmen jetzt auf den richtigen Umgang mit Datenschutzpannen vor, indem sie interne Richtlinien zum Vorgehen bei Datenschutzverletzungen aufstellen sowie technische Maßnahmen implementieren, um solchen vorzubeugen.

 
 
 

 

Corona-Tests durch den Arbeitgeber: Datenschutzrechtliche und arbeitsrechtliche Perspektive

 

Auch bei der derzeitigen Entwicklung der Corona-Pandemie bleiben Arbeitgeber nach den Ergebnissen des Bund-Länder-Gipfels vom 22.03.2021 von einer Pflicht zum Anbieten von Corona-Tests in ihren Unternehmen verschont. Zuvor wurde darüber diskutiert, ob die Betriebe verpflichtet werden sollten, ihren Beschäftigten, die nach wie vor in Präsenz statt vom Homeoffice aus tätig werden, regelmäßige Testangebote zu machen. Stattdessen wird nun weiter auf die Selbstverpflichtung der Spitzenverbände der Wirtschaft gesetzt: Diese appellieren an die Unternehmen, ihren Beschäftigten Selbsttests und, wenn möglich, PoC-Antigen-Schnelltests anzubieten. Während die Schnelltests von den Mitarbeitern selbst angewendet werden, müssen PoC-Antigen-Schnelltests von medizinisch oder geeignet geschultem Personal durchgeführt werden. Die Kosten der Tests tragen jeweils die Arbeitgeber. Ob die aufgrund der Selbstverpflichtung freiwillig durchgeführten Maßnahmen ausreichen, soll Anfang April überprüft werden und sodann gegebenenfalls die Arbeitsschutzverordnung angepasst werden.

Einzelne Bundesländer sehen in diesem Rahmen schon weitergehende Verpflichtungen vor: In Sachsen sind Arbeitgeber bspw. bereits aufgrund der dort geltenden Corona-Schutz-Verordnung angewiesen, ihren Beschäftigten einmal pro Woche einen kostenfreien Selbsttest anzubieten, unter dem Vorbehalt hinreichender Verfügbarkeit der Tests.

Gleich, ob der Arbeitgeber verpflichtet ist oder freiwillig handelt – in Hinblick auf Corona-Tests am Arbeitsplatz stellt sich zunächst die Frage, ob der Arbeitgeber seinerseits den Arbeitnehmer verpflichten kann, sich testen zu lassen bzw. selbst einen Test durchzuführen. Bei Durchführung der Tests resultieren hieraus weitere datenschutzrechtliche Fragestellungen, die ebenfalls im Folgenden näher beleuchtet werden sollen.

 

Darf der Arbeitgeber verpflichtende Corona-Tests anordnen?

Die grundsätzliche Möglichkeit des Arbeitsgebers, die Durchführung eines Corona-Tests für seine Arbeitnehmer anzuordnen, ergibt sich aus seinem Weisungsrecht nach § 106 GewO. Nach dieser Vorschrift darf der Arbeitgeber die Art der Arbeitsleistung nach „billigem Ermessen“ näher bestimmen, was eine Interessenabwägung voraussetzt. Der Arbeitgeber kann sich als Grundlage für die Weisung hierbei zunächst auf seine Pflicht berufen, während der Corona-Pandemie die erforderlichen Maßnahmen zum Gesundheitsschutz in seinem Betrieb zu treffen, § 618 I BGB, §§ 3, 9 II, III ArbSchG. Auch insoweit müsste eine Verpflichtung der Arbeitnehmer zu einem Selbst- oder Schnell-Test aber verhältnismäßig sein. Voranzustellen ist insofern, dass Selbst- und Schnelltests jedenfalls einen geeigneten Weg darstellen, um eine Corona-Infektion aufzudecken. Anders zu beurteilen kann die Geeignetheit der Maßnahme bspw. bei Temperaturmessungen am Betriebseingang sein, denn es ist nicht nachgewiesen, dass Fieber ein sicherer Indikator für eine Corona-Infektion ist.

Auf Seiten des Arbeitgebers besteht sodann ein allgemeines Interesse am betrieblichen Gesundheitsschutz sowie ein Interesse an der Verhinderung von infektionsbedingten Betriebsschließungen und einem störungsfreien Arbeitsablauf. Auf Seiten der Arbeitnehmer sind das Recht auf körperliche Unversehrtheit sowie sein Persönlichkeitsrecht in die Abwägung einzustellen. Jedoch wird man wohl nur einen leichten Eingriff in die körperliche Unversehrtheit des Arbeitnehmers annehmen können, denn dieser erschöpft sich in einem unangenehmen Gefühl bei Durchführung des Tests ohne weitere Folgen und ist zudem zeitlich stark begrenzt. Vor diesem Hintergrund werden vor allem bei vermehrten Infektionsfällen im Betrieb die vorgenannten Arbeitgeberinteressen überwiegen. Auch ohne auffälliges Infektionsgeschehen im Betrieb kann dies in Hinblick auf die Testung einzelner Arbeitnehmer der Fall sein, wenn diese Krankheitssymptome aufweisen, denn dann haben sie aufgrund Nr. 4.2.11 der SARS-CoV-Arbeitsschutzregel dem Arbeitsplatz fernzubleiben. Im Übrigen kann auch regelmäßig dann von einem Überwiegen der Arbeitgeberinteressen ausgegangen werden, wenn es sich um Arbeitsplätze mit engem Personenkontakt handelt, etwa bei pflegerischen oder anderen körpernahen Dienstleistungen. Zur Anordnung völlig verdachtsunabhängiger, anlassloser Tests ist der Arbeitgeber hingegen nicht berechtigt.

Ein weiterer Gesichtspunkt, der in diesem Kontext insbesondere mit einer zunehmenden Impfquote auch in jüngeren Gesellschaftsgruppen relevant werden kann, ist, dass der Impfschutz dem Verlangen des Arbeitgebers nach einem Schnelltest nicht entgegengehalten werden kann, da noch keine fundierten Erkenntnisse darüber bestehen, inwieweit geimpfte Personen weiter infektiös bleiben.

Hat der Arbeitgeber nach den vorstehend dargestellten Grundsätzen rechtmäßig einen Corona-Test angeordnet, so bietet ein Arbeitnehmer, der den Test verweigert und somit auch kein negatives Testergebnis vorweisen kann, seine Arbeitsleistung nicht ordnungsgemäß an. Der Arbeitgeber muss dieses Arbeitsangebot folglich nicht annehmen und kann dem Arbeitnehmer stattdessen auch den Zutritt zum Betrieb verwehren. Der Arbeitgeber gerät hierdurch nicht in Annahmeverzug i.S.v. § 615 S. 1 BGB, sondern es entfällt vielmehr der Vergütungsanspruch des Arbeitnehmers.

 

Beschäftigtendatenschutz bei Durchführung von Corona-Tests durch den Arbeitgeber

Rechtsgrundlagen der Datenverarbeitung

 

Werden in einem Unternehmen nun arbeitgeberseitig angeordnete Corona-Tests durchgeführt, so müssen hierbei die datenschutzrechtlichen Anforderungen eingehalten werden.

Generell erfolgt die Verarbeitung von Beschäftigtendaten auf Grundlage der § 26 I BDSG sowie Art. 6 I f) DS-GVO. Da es sich bei den im Zusammenhang mit dem Test erhobenen Daten – insbesondere den Testergebnissen – jedoch um Gesundheitsdaten handelt, ist Art. 9 I DS-GVO heranzuziehen. Gesundheitsdaten stellen eine besondere Kategorie personenbezogener Daten dar, die vom Gesetzgeber als besonders schützenswert erachtet wird. Aus diesem Grund ist die Verarbeitung dieser Daten grundsätzlich untersagt. Ausnahmsweise ist die Verarbeitung in den engen Grenzen des Art. 9 II DS-GVO möglich.

Im Rahmen von Beschäftigungsverhältnissen kommt als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten Art. 9 II b) DS-GVO i.V.m. § 26 III BDSG in Betracht: Die Verarbeitung von Gesundheitsdaten ist hiernach zulässig, wenn sie zur Erfüllung rechtlicher Pflichten des Arbeitsgebers aus dem Arbeitsrecht erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die „rechtliche Pflicht des Arbeitgebers“ aus dem Arbeitsrecht stellt hier die Fürsorgepflicht des Arbeitgebers gegenüber seinen Arbeitnehmern aus § 618 I BGB dar. Daneben greift die Verpflichtung des Arbeitgebers nach §§ 3, 9 II, III ArbSchG, Gesundheitsrisiken am Arbeitsplatz so weit wie möglich auszuschließen. Diese Pflichten wurden bereits in Hinblick auf die Frage, ob der Arbeitgeber Corona-Tests überhaupt anordnen darf, bedeutsam, und spielen nun auch hier als Teil des Rechtsgrunds der Datenverarbeitung eine Rolle.

Neben § 26 III BDSG ist auch nach §§ 24 II, 22 I Nr. 1 b) BDSG die Verarbeitung der vorgenannten Daten zum Zweck der Gesundheitsvorsorge und für die Beurteilung der Arbeitsfähigkeit von Beschäftigten zulässig. Dies gilt jedoch nur, wenn die Daten durch ärztliches Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, verarbeitet werden. Bei einem von einem Betriebsarzt durchgeführten Corona-Test wäre diese Voraussetzung erfüllt.

Die Verarbeitung personenbezogener Daten im Zusammenhang mit Corona-Tests kann des Weiteren auf der Rechtsgrundlage des Art. 9 II i) DS-GVO i.V.m. § 22 I Nr. 1 c) BDSG erfolgen, der die Verarbeitung besonderer Kategorien personenbezogener Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren erlaubt. Hiervon wird auch der Schutz vor sich weltweit verbreitenden Pandemien umfasst, denn durch diese wird der Bereich der öffentlichen Gesundheit zweifelsohne betroffen.

Auch im Rahmen besonderer personenbezogener Daten kann die Datenverarbeitung grundsätzlich aufgrund einer Einwilligung der betroffenen Person rechtmäßig sein, die hier jedoch – anders als im Rahmen von Art. 6 I S. 1 a) DS-GVO – nicht konkludent abgegeben werden kann. Ausschließlich auf eine Einwilligung sollte die Verarbeitung von Daten bei der Durchführung von Corona-Tests jedoch besser nicht gestützt werden. Denn zu beachten ist stets, dass eine solche Einwilligung frei und informiert zu erfolgen hat. Insbesondere die Freiwilligkeit einer Einwilligung des Arbeitnehmers könnte aber aufgrund des bestehenden Abhängigkeitsverhältnisses zum Arbeitgeber zweifelhaft sein. Beim Verweigern der Einwilligung müsste der Arbeitnehmer hier befürchten, dass er den Zugang zu seinem Arbeitsplatz verwehrt bekommt und infolgedessen finanzielle Nachteile erleidet.

An möglichen Rechtsgrundlagen für die Datenverarbeitung anlässlich der Durchführung von Corona-Tests fehlt es also grundsätzlich nicht.

 

Weiterer Umgang mit den Daten

 

Führt ein Betriebsarzt oder ein anderer Angehöriger einer Gruppe der Heilberufe einen PoC-Antigen-Schnelltest durch, so hat er ein positives Testergebnis nach § 8 I i.V.m. § 9 IfSG an das jeweils zuständige Gesundheitsamt zu melden. Auch wenn grundsätzlich eine Schweigepflicht des Betriebsarztes besteht, tritt aufgrund der Gefährdungslage für die Gesundheit der anderen Arbeitnehmer und Kunden durch einen mit Corona infizierten Arbeitnehmer dessen Recht auf Vertraulichkeit der Informationen zurück. Ein Betriebsarzt ist daher berechtigt, (neben dem Gesundheitsamt) auch dem Arbeitgeber ein positives Testergebnis mitzuteilen.

Bei einem Selbsttest bestehen hingegen keine Meldepflichten gegenüber dem Gesundheitsamt. Der Arbeitnehmer, der den Test selbst vornimmt, ist jedoch aufgrund seiner nebenvertraglichen Rücksichtnahmepflichten und der Treuepflicht aus § 242 BGB verpflichtet, dem Arbeitgeber ein positives Testergebnis zu melden.

Den Arbeitgeber trifft indes keine Meldepflicht gegenüber dem Gesundheitsamt; im Umkehrschluss ist eine unaufgeforderte Weitergabe der erhobenen Daten an dieses nicht vorzunehmen.

Anders stellt sich die Situation lediglich dar, wenn das Gesundheitsamt eine Offenlegung nach § 16 I, II S. 3 IfSG anordnet.

Die betroffenen Beschäftigten sind spätestens zum Zeitpunkt der Datenerhebung über die Verarbeitung ihrer Daten zu informieren, Art. 13 DS-GVO. Die Information muss sich hierbei unter anderem auf die Rechtsgrundlagen der Verarbeitung, die Verarbeitungszwecke, die Speicherdauer, die für die Datenverarbeitung Verantwortlichen sowie etwaige Empfänger bei Weitergabe der Daten beziehen.

Darüber hinaus muss der Arbeitgeber sorgsam überlegen, wie er betriebsintern mit den gewonnenen Informationen über den positiv getesteten Arbeitnehmer umgeht – er darf diese sensiblen Daten bspw. nicht ohne weiteres an die Belegschaft weitergeben, denn dies würde nach der Erhebung der Gesundheitsdaten eine weitere Datenverarbeitung darstellen, die nicht mehr durch die vorgenannten Rechtsgrundlagen gedeckt ist. Im Einzelfall kann sich eine andere Beurteilung ergeben, wenn der positiv getestete Arbeitnehmer die Tage zuvor am Arbeitsplatz zugegen und war und dort gegebenenfalls andere Personen angesteckt haben könnte. Eine Informationspflicht des Arbeitgebers ergibt sich dann aus seiner bereits angesprochenen Fürsorgepflicht gegenüber den Beschäftigten. Um die in Betracht kommenden Personen zu warnen, kann eine Offenlegung des positiven Testergebnisses und unter Umständen – zu Identifizierungszwecken, jedoch nur, wenn dies ausnahmsweise erforderlich ist, um entsprechende Vorsorgemaßnahmen ergreifen zu können – auch des Namens des betreffenden Arbeitnehmers ihnen gegenüber notwendig sein. Der Schutz der Kontaktpersonen kann insoweit das Geheimhaltungsinteresse des betreffenden Arbeitnehmers überwiegen.

Zuletzt ist einem testenden Arbeitgeber dringend zu empfehlen, den allgemein bei der Datenverarbeitung zu beachtenden Grundprinzipen Rechnung zu tragen; besonders hervorgehoben seien hier der Zweckbindungsgrundsatz aus Art. 5 I b) DS-GVO, der Grundsatz der Datensparsamkeit bzw. Datenminimierung aus Art. 5 I c) DS-GVO sowie der Grundsatz der Speicherbegrenzung aus Art. 5 I e) DS-GVO. Daraus ergibt sich, dass grundsätzlich nur so viele Daten wie nötig erhoben werden dürfen und diese auch nur so lange gespeichert werden sollten, wie sie zur Zweckerreichung erforderlich sind. Dies dürfte in Hinblick auf die Testergebnisse selbst bereits unmittelbar nach Weiterleitung durch das testende Personal an die zuständigen Stellen der Fall sein.

 

 
 
 

 

 

 

Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.

Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten.  In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.

 

1. Hintergrund

Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.

Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.

Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.

In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.

Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten.  Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.

 

2. Verstoß gegen die DSGVO

Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.

Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.

Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.

Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.

Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat

 

3. Berechnung der Höhe des Schadensersatzes

Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.

Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.

Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.

Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.

Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.

 

4. Ausblick

Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.

Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.

Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.

 
 
 

 

Seit der Datenschutz-Grundverordnung (DSGVO) müssen auch Websitebetreiber verstärkt auf den Datenschutz achten. Handelt es sich bei den auf der Internetseite erhobenen und verarbeiteten Daten um personenbezogene Daten natürlicher Personen, sind die Vorgaben der DSGVO zu beachten, unabhängig davon, welche Art von Website betrieben wird. 

 

Das Wichtigste in Kürze: 

  • Unabhängig davon, welche Art von Website betrieben wird sind die Vorgaben der DSGVO einzuhalten 
  • Eine Datenschutzerklärung stellt einen obligatorischen Bestandteil einer jeden Website dar 
  • In einer Datenschutzerklärung sind Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer Daten, sowie ihre damit zusammenhängenden Rechte zu informieren 
  • Lässt ein Websitebetreiber personenbezogene Daten durch einen externen Dienstleister verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich 
  • Bei einer Website, auf der personenbezogene Daten erhoben und verarbeitet werden, muss eine verschlüsselte Datenübertragung gewährleistet werden  

 

Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Darunter fallen im Falle einer Website unter anderem folgende Daten: 

  • IP-Adressen und sonstige User-Daten wie beispielsweise der Bestellverlauf in einem OnlineShop, Daten über das Surfverhalten, Suchanfragen, der Browserverlauf 
  • Name und Anschrift 
  • E-Mail-Adressen 
  • Daten, die mithilfe von Tracking-Software, wie beispielsweise Google-Analytics, oder Matomo erhoben werden 

 

1. Datenschutzerklärung 

Vor allem ist eine rechtskonforme Datenschutzerklärung verpflichtend, die alle nach der DSGVO erforderlichen Angaben enthält. Sie stellt einen obligatorischen Bestandteil einer jeden Website dar, sobald durch diese personenbezogene Daten verarbeitet werden. Durch eine Datenschutzerklärung werden die Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer personenbezogenen Daten, sowie ihre damit zusammenhängenden Rechte unterrichtet. Ohne die ordentliche Umsetzung der Bestimmungen der DSGVO im Zusammenhang mit der Datenschutzerklärung können Websitebetreibern Abmahnungen, Bußgelder oder auch Schadenersatzansprüche drohen.  

 

Eine Datenschutzerklärung sollte demnach mindestens folgende Angaben enthalten:  

  • Benennung des Verantwortlichen für die Datenverarbeitung und des Datenschutzbeauftragten, sofern einer ernannt wurde, sowie Angabe der Kontaktdaten 
  • Beschreibung des Zwecks der Datenverarbeitung 
  • Benennung der Rechtsgrundlage auf welcher die Datenverarbeitung erfolgt: 

Im Datenschutzrecht gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Demnach dürfen personenbezogene Daten nicht erhoben, verarbeitet oder gespeichert werden, es sei denn der Betroffene stimmt dem ausdrücklich zu oder das Gesetz gestattet dies. Im Hinblick auf das Betreiben einer Website ist insbesondere die „Wahrung berechtigter Interessen“ nach Art. 6 Abs.1 S.1 lit. f) DSGVO zu nennen oder die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO, beispielsweise im Falle eines Online-Shops. Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lassen sich insbesondere solche Verarbeitungen stützen, die für die Gewährleistung der Sicherheit der Website erforderlich sind. Darunter fällt beispielsweise die temporäre Speicherung von IP-Adressen. 

  • Angabe über die Speicherung der Daten sowie die Speicherdauer 
  • Angaben über eine eventuelle Übermittlung an Dritte 
  • Angaben über eine eventuelle Übermittlung an Drittstaaten 
  • Aufklärung über Rechte der betroffenen Personen, wie z.B. Widerruflichkeit von Einwilligungen, Auskunft, Berichtigung, Recht auf Löschung,  

 

Je nachdem welche Software oder Tools der Websitebetreiber einsetzt oder ob er mit externen Dienstleistern zusammenarbeitet, kann die Datenschutzerklärung einen erheblichen Umfang haben. Zudem muss die Erklärung in einfacher und verständlicher Sprache abgefasst und dem Websitebesucher leicht zugänglich sein. 


2. Hosting 

Oftmals speichern Unternehmen die Daten die auf ihrer Website erhoben und verarbeitet werden nicht auf eigenen Servern, sondern nehmen einen entsprechenden Service externer IT-Dienstleister, sogenannte IT-Hoster in Anspruch. In diesem Fall ist ein Auftragsverarbeitungsvertrag erforderlichBetreiben Unternehmen ihre Server selbst, lassen diesen allerdings durch externe Dienstleister warten, ist ebenso ein Auftragsverarbeitungsvertrag erforderlich, sofern der Dienstleister im Rahmen der Wartung Zugriff auf personenbezogene Daten hat. 


3. Log-Dateien 

Unter Log-Dateien sind solche Daten zu verstehen, die dem Betreiber der Internetseite ermöglichen die Aktivität der Websitebesucher zu erfassen. Hierbei kommt das berechtigte Interesse des Websitebetreibers für statistische Auswertungen als Rechtsgrundlage in Betracht. Auf dieser Grundlage gilt, dass eine Datenverarbeitung erfolgen darf, sofern sie für die Sicherheit und Funktionsfähigkeit der Internetseite erforderlich ist 


4. Verschlüsselung 

Beim Betreiben einer Website, auf der Daten erhoben und verarbeitet werden, muss eine sichere Datenübertragung zwischen Nutzer und dem Website betreibenden Server gewährleistet werden. Insbesondere, wenn auf einer Website eine Registrierung oder bei einem Bestellvorgang die Angabe von Zahlungs- und Adressdaten erfolgt. Die Verschlüsselung sollte stets dem neusten Stand der Technik entsprechen.  


5. Kontaktformular 

Oftmals stellen Websitebetreiber ein Kontaktformular zur Verfügung, um Seitenbesuchern die Kontaktaufnahme mit dem Websitebetreiber zu erleichtern. Da hierbei personenbezogene Daten wie Name sowie Kontaktdaten abgefragt werden, erfolgt eine Datenerhebung. Grundsätzlich dürfen nur notwendige Daten abgefragt werben. Zudem sollten bei der Datenabfrage optionale Angaben als freiwillig gekennzeichnet werden. 


6. Tracking- und Analyse-Software 

Um den eigenen Internetauftritt zielgruppenorientiert auszurichten, können Tracking- und Analyse-Tools wie Google Analytics und Matomo eingesetzt werden, die dem Websitebetreiber die Möglichkeit geben das Nutzungsverhalten ihrer Besucher zu erfassen. Problematisch ist in diesem Zusammenhang, dass mit der Nutzung solcher Analyse-Tools auf der Website automatisch die IP-Adresse der Websitebesucher verarbeitet wird. Da IP-Adressen personenbezogene Daten im Sinne der DSGVO darstellen sind die Datenschutzbestimmungen einzuhalten. Gegebenenfalls muss vor deAktivierung solcher Tools, eine Einwilligung der Nutzer eingeholt werden. 


7. Social Media Plugins 

Social Media Plugins sind die auf einer Website eingebundenen Elemente, die von den Servern ihrer jeweiligen Anbieter („Drittanbieter“) bezogen werden. Dies können beispielsweise Grafiken, Videos oder interaktive Schaltflächen sein, die es Nutzern unter anderem ermöglichen Websiteinhalte mittels eines Klicks auf Social Media Plattformen, wie Facebook oder Twitter zu teilen oder zu empfehlen. Solche Plugins ermöglichen den Betreibern, die Reichweite der Website zu erhöhen. Problematisch dabei ist, dass Plugins personenbezogene Daten verarbeiten und Drittanbieter dabei Persönlichkeitsprofile erstellen ohne, dass der Nutzer darüber informiert ist. Aus diesem Grund muss eine datenschutzkonforme Einbindung von Social Media Plugins gewährleistet werden.  


8. Cookies 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Dadurch lassen sich Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass beispielsweise nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Grundsätzlich kann der Einsatz von Cookies auf ein berechtigtes Interesse des Websitebetreibers gestützt werden, soweit diese beispielsweise für eine notwendige Funktion erforderlich sind. Abgesehen davon ist für den Einsatz von Cookies stets vorab die Einwilligung des Websitebesuchers einzuholen. 


9. Fazit 

Auch bei der Gestaltung ihres Internetauftritts müssen sowohl Unternehmen als auch Privatpersonen den Bestimmungen der DSGVO Folge leisten. Dies ist oftmals keine leichte Aufgabe und bereitet den Verantwortlichen regelmäßig Schwierigkeiten. Aus diesem Grund empfiehlt es sich stets Experten mit Fachwissen in den Bereichen IT- und Datenschutzrecht mit der Überprüfung oder Gestaltung der eigenen Website und insbesondere der Erstellung einer Datenschutzerklärung zu beauftragen, um Datenschutzverstöße zu vermeiden. 

 
 
 

 

Nachdem seit Dezember 2020 nun bereits der 3. Impfstoff gegen die Sars- Covid 19 Infektion (Corona) in der EU zugelassen wurde, stellen sich insbesondere, aber keineswegs nur in sensiblen Bereichen wie Krankenhäusern, Arzt- und Zahnarztpraxen sowie für den Bereich der sog. „körpernahen“ Dienstleistungen wie Friseure, Beautysalons etc. Arbeitgeber und Arbeitnehmer die Frage, ob von der Arbeitgeber eine Impfung verlangen kann (Impfpflicht) und hiervon möglicherweise sogar den Bestand des Arbeitsverhältnisses abhängig machen kann.

Nach derzeitiger Gesetzeslage scheint dies gegenwärtig schwierig zu sein, da eine entsprechende Verpflichtung eines Arbeitnehmers nicht auf Grund eines Gesetzes derzeit nicht besteht. Dies gilt auch für solche Berufsgruppen, die in § 3 der seit dem 15.12.2020 geltenden Corona-Impfverordnung (https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Verordnungen/CoronaImpfV_-_De_Buette.pdf) als priorisiert bezeichnet werden.

Denkbar wäre auch, dass eine Impfpflicht z.B. aus Tarifvertrag oder Arbeitsvertrag folgt. Gerade im letzteren Falle könnten Arbeitgeber die Aufnahme einer entsprechenden arbeitsvertraglichen Verpflichtung in Erwägung ziehen.

Hierzu würde es aber im Grundsatz der Zustimmung des Arbeitnehmers bedürfen. Bei der Überlegung, eine entsprechende Verpflichtung arbeitsvertraglich zu etablieren, darf jedoch nicht übersehen werden, dass eine Klauselkontrolle gerichtlich erfolgen kann; Gleiches gilt auch dann, wenn in einem relativ jungen Arbeitsverhältnis bereits einer entsprechenden Impfverpflichtung zugestimmt wurde, daher der Arbeitsvertrag bereits abgeschlossen wurde, und hierin eine Impfpflicht  Rechtsprechung existiert hierzu bislang nicht.

 

Impfnachweis

Weiter ist die Frage nach der Kontrolle bzw. dem Impfnachweis relevant. Ein solcher Nachweis könnte allenfalls in Form der Präsentation eines Impfnachweises oder eines Impfpasses erbracht werden. Solange allerdings eine gesetzliche Impflicht nicht besteht, könnten sich ernstzunehmende Bedenken unter dem Gesichtspunkt des Datenschutzes ergeben. Ein besonderes Augenmerk ist hierbei auf den Umstand zu richten, dass es sich bei einem Impfnachweis bzw. dem Impfausweis um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt, die einen besonderen Schutz genießen und deren Verarbeitung besonders hohen Anforderungen unterliegt.

Nach derzeitiger Gesetzeslage ist erscheint eine Verarbeitung derartiger (Arbeitnehmer-)Daten nahezu unmöglich. Ob dies für die in der o.g. Corona- Impfverordnung genannten priorisierten Berufsgruppen gilt, erscheint ebenso zweifelhaft, da sich hieraus auch keine Verpflichtung zu einer Impfung für betroffenen Berufsgruppen gilt.

 


Fazit

Zusammenfassend erscheint es nach gegenwärtiger Rechtlage schwierig, eine Impflicht für Arbeitnehmer zu etablieren. Die Impfung ist eine ärztliche Behandlung, die zugleich einen Eingriff in die körperliche Unversehrtheit des Arbeitnehmers bildet.

Soweit ein Tarifvertrag, Betriebsvereinbarung oder Arbeitsvertrag vorsieht, dass der Arbeitnehmer einer Impfpflicht unterliegt, drängt sich die Frage auf, ob solch eine Bestimmung mit unserer Verfassung, insb. Art. 2 Abs. 2 S. 1 GG, vereinbar ist. Eine „Zwangsimpfung“, d.h. die Impfung unter Anwendung körperlicher Gewalt, ist ausgeschlossen. Nichtsdestotrotz kann in Einzelfällen die Möglichkeit bestehen, dass ein Arbeitgeber den Bestand des Arbeitsverhältnisses von der Impfung abhängig macht und im Falle, dass der Arbeitnehmer sich nicht impfen lässt, eine Kündigung ausspricht. Solch ein Vorgehen bedarf einer umfassenden Interessensabwägung, in der einerseits das Recht auf körperliche Unversehrtheit des Arbeitnehmers, andererseits die (unternehmerischen) Interessen des Arbeitgebers berücksichtigt werden müssen. Tendenziell dürfte das Recht auf körperliche Unversehrtheit des Arbeitnehmers überwiegen.

Daraus folgt, dass auch solche Arbeitnehmer, die eine Impfung ablehnen, gegenwärtig nicht mit arbeitsrechtlichen Konsequenzen rechnen müssen.    

 

 

 
 
 

 

 

 

Ein Update zu Corona und Arbeitsrecht 

In unseren beiden Artikeln vom 17.03.2020 (abrufbar unter https://kolb-blickhan-partner.de/corona-virus-und-arbeitsrecht/ und https://kolb-blickhan-partner.de/corona-virus-kuendigung/) gingen wir auf arbeitsrechtliche Fragestellungen ein, die mit der Corona-Pandemie im Zusammenhang stehen.

Nachdem nunmehr ein Dreivierteljahr vergangen ist, möchten wir Sie über die Entwicklung in der arbeitsgerichtlichen Rechtsprechung der vergangenen Monate informieren. 

Obwohl sich die derzeitige Corona-Pandemie auf viele arbeitsvertragliche Beziehungen niederschlägt, blieb eine Vielzahl an arbeitsrechtlichen Fragestellungen, wie z.B. die Einführung von Kurzarbeit oder Home-Office, die Möglichkeit „coronabedingt“ zu kündigen usw., von den Arbeitsgerichten unbeantwortet.

Selbst wenn einzelne Arbeitsgerichte über bestimmte Fragestellungen urteilten; die Schaffung einer Rechtsklarheit und gefestigten Rechtsprechung ist nicht in Sicht. Nichtsdestotrotz gehen wir auf einige gerichtliche Entscheidungen ein, um Sie über die derzeitige Entwicklung zu informieren: 

 

1. Einseitige Einführung von Kurzarbeit weiterhin ein großer Streitpunkt 

In unserem Artikel über Corona und Kündigung führten wir aus, dass die einseitige Einführung von Kurzarbeit vermutlich nicht zulässig ist; soweit ein Arbeitsvertrag keine entsprechende „Kurzarbeiterklausel enthält, dürfte es auf individualarbeitsvertraglicher Ebene auf den Abschluss einer Änderungs- oder Ergänzungsvereinbarung zwischen dem Arbeitgeber und dem Arbeitnehmer ankommen. Bei dieser Fragestellung scheinen sich die Geister zu scheiden. 

 

 1.1 Ansicht des Arbeitsgerichts Siegburg

Mit Urteil vom 11.11.2020 bestätigte das Arbeitsgericht Siegburg (Az.: 4 Ca 1240/20) diese Auffassung. Der klagende Arbeitnehmer war bei einem Unternehmen als Omnibusfahrer eingestellt. Der ursprünglich abgeschlossene Arbeitsvertrag enthielt keine Regelung über die Einführung von Kurzarbeit; eine gesonderte Vereinbarung über die Einführung von Kurzarbeit schlossen die Parteien nicht ab.

Im Frühjahr 2020 teilte der Arbeitgeber dem Arbeitnehmer mit, dass er Kurzarbeit einführen müsse, wovon auch der Arbeitnehmer betroffen sei. In den darauffolgenden Monaten kürzte der Arbeitgeber einseitig einen Teil des arbeitsvertraglich vereinbarten Gehaltes und bezeichnete die gekürzten Zahlungen in diesen Monaten als Kurzarbeitergeld. Der Arbeitnehmer klagte wiederum die arbeitsvertraglich vereinbarte Vergütung ein. 

Das Arbeitsgericht Siegburg sprach dem Arbeitnehmer die arbeitsvertraglich vereinbarte Vergütung (abzüglich der bereits erhaltenen Zahlungen, die der Arbeitgeber als „Kurzarbeitergeld“ bezeichnete) zu. Es führte aus, dass der Arbeitgeber Kurzarbeit nur dann anordnen darf, wenn diese Möglichkeit individualvertraglich, durch Betriebsvereinbarung oder tarifvertraglich zulässig ist. Soweit solch eine individualarbeitsvertragliche oder kollektiv-rechtliche (d.h. durch Tarifvertrag oder Betriebsvereinbarung) Grundlage fehlt, besteht nicht die arbeitgeberseitige Möglichkeit, Kurzarbeit anzuordnen; zugleich behält ein Arbeitnehmer gegen seinen Arbeitgeber den vollen Lohnanspruch. 

 

1.2 Ansicht des Arbeitsgerichts Stuttgart

Kurz zuvor entschied das Arbeitsgericht Stuttgart jedoch, dass ein Arbeitgeber faktisch einseitig mit dem Ausspruch einer fristlosen, betriebsbedingten Änderungskündigung Kurzarbeit einführen darf. In dem vorliegenden Fall beantragte der Arbeitgeber bei der Agentur für Arbeit Kurzarbeitergeld; die Agentur für Arbeit sah die Voraussetzungen der §§ 95 ff. SGB III als erfüllt an, weshalb sie (befristet) Kurzarbeitergeld gewährte.

Eine Arbeitnehmerin, deren ursprünglicher Arbeitsvertrag die Möglichkeit der Einführung von Kurzarbeit nicht vorsah, stimmte einem arbeitgeberseitigen Angebot bzw. einer Ergänzungsvereinbarung zu dem ursprünglichen Arbeitsvertrag, welche die Einführung von Kurzarbeit vorsah, nicht zu.

Hierauf sprach der Arbeitgeber eine fristlose, betriebsbedingte Änderungskündigung aus; er kündigte den ursprünglichen Arbeitsvertrag und bot der Arbeitnehmerin einen „neuen“ Arbeitsvertrag an, der – nebst der ursprünglich vereinbarten Arbeitsbedingungen – die Einführung von Kurzarbeit vorsah. Das Arbeitsgericht Stuttgart erklärte die Änderungskündigung für sozial gerechtfertigt und mithin für rechtswirksam.  

Gemäß § 1 Abs. 2 S. 1 KSchG ist eine betriebsbedingte Kündigung (im Wesentlichen) dann gerechtfertigt, soweit dringende betriebliche Erfordernisse vorliegen und die (Änderungs-)Kündigung verhältnismäßig ist. Da es sich zeitgleich um eine außerordentliche, d.h. fristlose Kündigung handelte, müssten zudem gemäß § 626 Abs. 1 BGB diese dringenden betrieblichen Erfordernisse so gewichtig sein, dass ein Festhalten an dem Arbeitsvertrag zu unveränderten Bedingungen, d.h. vorliegend ohne die Möglichkeit Kurzarbeit anzuordnen, für den Arbeitgeber schlichtweg unzumutbar ist. 

Das Arbeitsgericht Stuttgart entschied jedoch, dass an den wichtigen Grund im Sinne des §626 Abs. 1 BGB keine hohen Anforderungen zu setzen sind; es konstatierte, dass die Gewährung des Kurzarbeitergeldes durch die Agentur für Arbeit qua Gesetz einen erheblichen Arbeitsausfall im Sinne von § 96 SGB III voraussetze. Diese gesetzliche Wertung würde wiederum die dringenden betrieblichen Erfordernisse begründen, die eine (sogar fristlose) betriebsbedingte Änderungskündigung rechtfertigen würden.  

Letztendlich sei dieses Vorgehen auch verhältnismäßig, so das Arbeitsgericht Stuttgart. Es entschied, dass eine Änderungskündigung zur Einführung von Kurzarbeit dann verhältnismäßig ist, wenn (1) der Arbeitgeber eine gewisse Ankündigungsfrist einhält, wobei eine dreiwöchige Frist als angemessen erscheint, (2) für den betroffenen Arbeitnehmer die Voraussetzungen des Kurzarbeitergeldes nach §§ 95, 96 SGB III vorliegen, (3) die Einführungsmöglichkeit von Kurzarbeit zeitlich begrenzt ist und (4) alle anderen milderen Mittel – insbesondere ein arbeitgeberseitiger Versuch, Kurzarbeit durch einvernehmliche Regelung einzuführen – ausgeschöpft sind. 

Beide Entscheidungen widersprechen sich; während das Arbeitsgericht Siegburg die Einführung von Kurzarbeit von einer vertraglichen Abrede zwischen dem Arbeitgeber und dem Arbeitnehmer abhängig machte, führte das Arbeitsgericht Stuttgart aus, dass auch eine einseitige Einführung möglich ist.

1.3 Fazit

Die Urteile sind eine bildhafte Bestätigung des geläufigen Sprichwortes „Zwei Juristen, drei Meinungen!“ und verdeutlichen, dass die rechtliche Thematik über die Einführung von Kurzarbeit mitnichten abschließend entschieden ist. 

 

2. Home-Office – Ja oder nein? 

Die Tätigkeit im Home-Office ist eine – sowohl für den Arbeitgeber als auch für den Arbeitnehmer – willkommene Möglichkeit, die arbeitsvertragliche Beziehung trotz der corona-bedingten Einschränkungen nahezu unverändert fortzusetzen und zeitgleich die Gefahr einer weiteren exponentiellen Verbreitung des Virus oder der eigenen Ansteckung zu minimieren.

Für Arbeitnehmer mit Kindern eröffnet die Tätigkeit im Home-Office die Möglichkeit ihre Kinder – insb. im Falle einer Schließung der Schule oder Kindertagesstätte – zu betreuen; Arbeitgeber hingegen können oftmals Betriebskosten sparen. Auf den ersten Blick handelt es sich um eine sog. Win-Win Situation; doch auch hier muss darauf geachtet werden, ob und falls ja, unter welchen Voraussetzungen, arbeitgeberseitig Home-Office angeordnet werden darf. 

Der größte Teil der bestehenden Arbeitsverträge dürfte keine Regelung zu Home-Office haben; die Tätigkeit im Home-Office ist tatsächlich ein recht junges Institut, welches in den vergangenen Jahren im Zuge der Digitalisierung des Arbeitsrechts (sog. Arbeitsrecht 4.0) entstanden ist und bis vor ca. einem Jahr nicht weit verbreitet war.

Im Rahmen der corona-bedingten Einschränkungen und Lockdowns ergab sich für viele Betriebe die zwingende Notwendigkeit kurzfristig Home-Office anzuordnen, weil Arbeitnehmer einerseits die Betriebsstätte nicht aufsuchen durften, andererseits bestimmte Tätigkeiten verrichtet werden mussten, da andernfalls der Stillstand und u.U. auch die (vorübergehende) Einstellung des Betriebes drohte. Jedoch stellt sich (weiterhin) die Frage: Wie kann Home-Office eingeführt werden? 

Arbeitsvertragliche (Versetzungs-)Klauseln, deren Wirksamkeit oftmals an dem Verbraucherrecht nach §§ 305 ff. BGB scheitert, außenvorlassend, sieht § 106 GewO vor, dass der Arbeitgeber Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen kann. Die Frage, ob unter „(Arbeits-)Ort“ auch das Zuhause des Arbeitnehmers erfasst werden kann, beantwortete die Arbeitsgerichtsbarkeit grundsätzlich mit einem Nein.

So entschied u.a. das Landesarbeitsgericht Berlin-Brandenburg am 10.10.2018 (Az.: 17 Sa 562/18), dass die einseitige Weisung des Arbeitgebers einen Mitarbeiter ins Home-Office zu „schicken“ nicht von dem Direktionsrecht des § 106 GewO erfasst ist; soweit keine beidseitig vereinbarte Abrede über die Einführung von Home-Office besteht, kann die einseitige Anordnung durch den Arbeitgeber einen Eingriff in den Schutzbereich des Art. 13 GG (Grundrecht auf Unverletzlichkeit der Wohnung) des Arbeitnehmers bilden.

Diese Entscheidung stammte aus dem Jahr 2018 und lässt die weitreichenden Auswirkungen und Folgen der Corona-Pandemie und den hiermit verbundenen Einschränkungen unberücksichtigt; unter Berücksichtigung der derzeitigen Situation könnte gegebenenfalls die einseitige Anordnung (zumindest ausnahmsweise) gerechtfertigt sein; nichtsdestotrotz ist aus Gründen der Rechtssicherheit der Abschluss einer Vereinbarung dringend anzuraten. 

 

3. Home-Office – Wie? 

Selbst wenn die Möglichkeit der Einführung von Home-Office bestehen sollte, muss der Arbeitgeber stets darauf achten, dass er die Rahmenbedingungen für die Tätigkeit im Home-Office schafft, weshalb der Abschluss einer individualarbeitsvertraglichen oder im Falle, dass ein Betriebsrat besteht, einer kollektiven Vereinbarung zwingend geboten ist. 

Bei der Einführung bzw. Umsetzung von Home-Office dürfen Aspekte wie der Datenschutz, Arbeitszeiterfassung, Bereitstellung von Arbeitsmitteln, Regelungen zu den Kosten, Zutrittsrecht des Arbeitgebers usw., nicht vernachlässigt werden. Infolge des Umstandes, dass für die Tätigkeit im Home-Office keine gesetzliche Regelung besteht, zugleich die gesetzlichen Bestimmungen des Arbeitsrechts unverändert fortgelten, sind die Arbeitsvertragsparteien, und insb. der Arbeitgeber, angehalten, die Verhaltensregeln für die Tätigkeit im Home-Office zu definieren. 

Sollten Sie – sowohl als Arbeitgeber als auch als Arbeitnehmer – von den arbeitsrechtlichen Folgen des Corona-Virus betroffen sein, können Sie sich gerne mit uns in Verbindung setzen. Wir können Sie – unter Berücksichtigung der individuellen Umstände und der Natur des Arbeitsverhältnisses – beraten und insbesondere eine einvernehmliche Lösung mit Ihrem Arbeitnehmer bzw. Arbeitgeber anstreben. 

 

 

 

 
 
 

 

Mit dem Urteil vom 28.05.2020 hat der Bundesgerichtshof eine Entscheidung des Europäischen Gerichtshofs bestätigt und damit das Erfordernis einer aktiven Zustimmung des Websitenutzers nach ausführlichem Cookie-Hinweis bejaht. Spätestens seit dieser Entscheidung, die weitrechende Auswirkungen auf die Ausgestaltung von Cookie-Hinweisen hat, sollten Websitebetreiber sich mit diesem Thema umfassend auseinandersetzen, um eine datenschutzkonforme Nutzung ihrer Website zu ermöglichen.  


Das Wichtigste in Kürze: 

  • Cookies sind kleine Textdateien, die eine Website auf dem Rechner des Websitebesuchers ablegt, um diesen beim nächsten Seitenaufruf identifizieren zu können 
  • Auf die Verwendung von Cookies muss vom Websitebetreiber hingewiesen werden  
  • Für eine legitime Verwendung von Cookies, ist grundsätzlich eine Rechtsgrundlage erforderlich 
  • Ist eine Einwilligung des Websitenutzers erforderlich, kann diese mithilfe eines Cookie-Consent-Banners eingeholt werden 
  • Websitebesucher sind in der Datenschutzerklärung umfassend über Art, Umfang, Zwecke sowie Speicherdauer der verwendeten Cookies zu informieren 

 

1. Was sind Cookies? 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Sofern ein entsprechender Cookie gesetzt und die Aktivität des Nutzers dokumentiert wurde, lassen sich dadurch Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Abgesehen davon, dass der Cookie-Einsatz für den Nutzer von Vorteil ist, da dieser nicht bei jedem erneuten Aufruf seine Daten angeben muss, können Websitebetreiber diese zum Erstellen von Besucherprofilen nutzen, die sie anschließend für Marketingzwecke verwenden können. 

Grundsätzlich muss zwischen technisch notwendigen und nicht notwendigen Cookies unterscheiden werden. Technisch notwendige Cookies sind solche, die für die Funktion einer Webseite unabdingbar sind. Demgegenüber sind nicht notwendige Cookies solche, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch für andere Zwecke Daten erheben, wie beispielsweise, Tracking-. Analyse-Cookies oder Cookies von Social-Media-Websites. Darunter fallen beispielsweise Cookies aus Social-Media Plug-ins wie Facebook, Instagram und Tracking- und Analyse-Tools wie zum Beispiel Google Analytics .

 

2. Welche Probleme bestehen im Zusammenhang mit Cookies? 

Problematisch im Zusammenhang mit der Verwendung von Cookies ist, dass die  Erhebung personenbezogener Daten ohne vorherige  Zustimmung der Websitenutzer in den meisten Fällen nicht gestattet ist. Denn mittlerweile werden Cookies nicht nur zwecks angenehmer Bedienbarkeit verwendet, sondern auch als Werbe,-Tracking- oder Analyse-Cookies eingesetzt, die Daten über das Nutzerverhalten sammeln. In diesem Zusammenhang besteht auch die Möglichkeit, dass durch Cookies personenbezogene Daten der Nutzer an Unternehmen und Werbetreibende übermittelt werden können. Sofern Daten wie beispielsweise die Bankverbindung oder eine Telefonnummer gespeichert werden, kann sich für den Nutzer daraus ein Sicherheitsrisiko ergeben. 

 

3. Auf welche rechtliche Grundlage kann der Cookie-Einsatz gestützt werden? 

Bereits seit 2009 existiert die sogenannte Cookie-Richtlinie, die europaweit geltende Bestimmungen im Zusammenhang mit dem Umgang mit Cookies enthält. Diese Richtlinie, wurde vom deutschen Gesetzgeber jedoch nicht umgesetzt, sodass insbesondere die Umsetzung der Cookie-Hinweispflicht als problematisch angesehen wird. Die EU-Kommission verweist in diesem Zusammenhang auf § 13 ff. des Telemediengesetztes (TMG), die die Pflichten eines Dienstanbieters regeln. Allerdings enthält das TMG keine ausdrückliche Regelung im Hinblick auf die Hinweispflicht bei der Verwendung von Cookies. Ohnehin werden die Regelungen des TMG von denjenigen der DSGVO verdrängt 

Da mithilfe von Cookies personenbezogene Daten analysiert, gespeichert, weiterverarbeitet oder an Dritte weitergeleitet werden, ist für eine legitime Verarbeitung entsprechend der DSGVO eine Rechtsgrundlage erforderlich. Grundsätzlich ist der Einsatz von Cookies zulässig und kann auf ein berechtigtes Interesse des Websitebetreibers im Sinne des Art. 6 Abs.1 lit. f) DSGVO gestützt werden, soweit diese beispielsweise für eine notwendige oder nützliche technische Funktion erforderlich sind. Demnach dürfen diese von Anfang an auch ohne vorherige Zustimmung des Nutzers eingesetzt werden.  

Werden demgegenüber über das erforderliche Maß Nutzerdaten gespeichert, ist zwingend eine Einwilligung des Websitebesuchers erforderlich nach Art. 6 Abs. 1 lit. a) DSGVO.  

 

4. Wie kann eine wirksame Einwilligung eingeholt werden? 

Im Übrigen kann für den Einsatz solcher Cookies ein Cookie-Consent-Banner verwendet werden, über den vorab die Einwilligung des Websitebesuchers eingeholt werden kann. Durch den Einsatz eines solchen Banners soll dem Seitenbesucher eine Möglichkeit eingeräumt werden, seine vorherige Zustimmung zur Verwendung bestimmter Cookies zu erteilen oder zu ändern. Insoweit muss die Gestaltung der Cookie-Hinweise mit detaillierten Cookie-Auswahl-Optionen erfolgen, sodass der Nutzer eine Wahl hat nur die erforderlichen Cookies zuzulassen. Das Banner erscheint beim ersten Websitebesuch und blockiert unmittelbar alle weiteren Anwendungen, solange der Nutzer nicht aktiv ausgesucht hat, welche Cookies zugelassen werden sollen. Sobald der Nutzer sein Einverständnis bestätigt, schließt sich der Consent-Banner und die Website kann normal weitergenutzt werden.  

Die Einwilligung des Websitebesuchers muss auf Basis einer freiwilligen, informierten und bewussten Entscheidung erfolgen. Dabei ist ein sogenanntes Opt-in-Verfahren zu verwenden, wobei der Nutzer durch das aktive Anklicken eines Kästchens und damit dem Setzen eines Häkchens oder auch der Bedienung eines Schiebereglers seine Zustimmung gibt. Demgegenüber ist ein Cookie-Banner das bereits voreingestellt ist und nur weggeklickt werden kann nicht ausreichend. Weiterscrollen, Streichen oder das fortgesetzte Surfen auf der Website erfüllt ebenso wenig die DSGVO-Anforderungen für eine eindeutige aktive vorherige Zustimmung. Gleichzeitig darf dem Nutzer infolge einer fehlenden Zustimmung nicht der Besuch der Website verweigert werden.  

In jedem Fall ist bei dem Einsatz von Cookies über Art, Umfang, Zwecke sowie die  Speicherdauer in einer Datenschutzerklärung umfassend zu informieren. Dem Besucher muss klar sein, wozu er konkret seine Zustimmung erteilt. Dafür wird ein Informationstext im Cookie-Banner hinterlegt, der sämtliche Informationen enthält, die transparent und verständlich formuliert sind. Der Informationstext muss zudem einen Hinweis auf die Möglichkeit des Widerrufs seiner Einwilligung, sowie einen Hinweis mit Link auf weitere Informationsmöglichkeit in der Datenschutzerklärung enthalten. In der Datenschutzerklärung muss auf jeden Cookie der gesetzt wird, hingewiesen werden.  

Problematisch sind in insoweit sogenannte Dark Patterns. Dabei wird ein möglichst unklares Webdesign verwendet, um Websitebesuchern eine bestimmte Handlung, wie beispielsweise eine Einwilligung in Marketing-Cookies aufzudrängen.  

 

5. Fazit 

Auch wenn die Rechtslage in Sachen Cookies in Deutschland noch nicht ganz klar ist, steht fest, dass bei der Erhebung und Verarbeitung personenbezogener Daten mithilfe von Cookies zuvor die aktive Zustimmung des jeweiligen Nutzers eingeholt werden muss, sofern es sich nicht um technisch notwendige Cookies handelt. Da es im Hinblick auf die Frage, welche Cookies als notwendig anzusehen sind noch keine eindeutige Antwort gibt, sollte im Zweifel eine Einwilligung eingeholt werden.  

 

 
 
 
 

Mit der Einführung der europäischen Datenschutzgrundverordnung wurde auch das Instrument der Datenschutz-Folgenabschätzung (DSFA) als besondere Form der Risikoanalyse in Art. 35 DSGVO eingeführt. Sie dient der Bewertung potenzieller Risiken und deren Folgen für die Rechte und Freiheiten betroffener Personen. 


Das Wichtigste auf einen Blick: 

  • Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse die vor einer geplanten Datenverarbeitung stattfindet  
  • Sie ist verpflichtend, wenn die Verarbeitung mit einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist  
  • Den Mindestinhalt regelt Art. 35 Abs. 7 DSGVO. Darunter fällt unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Verarbeitungszwecke 
  • Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen durchzuführen 
  • Verstöße gegen Vorgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung können mit Bußgeldern mit bis zu 2 % des Jahresumsatzes sanktioniert werden 

 

1. Was ist eine Datenschutz-Folgenabschätzung? 

Die in Art. 35 DSGVO geregelte DSFA, ist eine besondere Form der Risikoanalyse und dient als Vorabkontrolle der Analyse und Bewertung von Risiken und der daraus resultierenden Folgen für die persönlichen Rechte und Freiheiten der betroffenen Personen. Ihr Ziel ist es, Risiken für Betroffene zu analysieren, indem potenzielle Schäden sowie die dafür möglichen Ursachen identifiziert werden, sodass geeignete Maßnahmen getroffen werden können, um diese Risiken zu minimieren und damit Datenschutzgrundverordnung eingehalten wird.   


2. Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?  

Wann die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist, hängt insbesondere von der jeweiligen Verarbeitungsform ab. Sie ist stets im Vorfeld der jeweiligen Datenverarbeitung durchzuführen und zu dokumentieren, wenn die geplante Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt. Dies ist insbesondere dann der Fall, wenn bei der datenverarbeitenden Tätigkeit neue Technologien verwendet werden,  welche nach Art, Umfang, Umstände und Zwecke ein solches Risiko begründen. 

Art 35 DSGVO enthält eine nicht abschließende Auflistung der Verarbeitungen, für welche eine Datenschutz-Folgenabschätzung verpflichtend sei. Unter anderem dann, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage einer automatisierten Datenverarbeitung erfolgt, die eine Grundlage für Entscheidungen darstellt, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder diese in vergleichbarer Weise antasten.  

Eine Datenschutz-Folgenabschätzung ist auch dann verpflichtend, sobald eine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO stattfindet. Auch im Falle einer systematisch ausgiebigen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung erforderlich.  

Oftmals ist es schwierig zu ermitteln, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Aus diesem hat die Aufsichtsbehörde eine Liste solcher Verarbeitungsvorgänge erstellt, für die eine DSFA verpflichtend ist (sog. „Blacklist“) 


3. Wie sieht eine Datenschutz-Folgenabschätzung aus? 

Den Mindestinhalt einer solche Datenschutz-Folgenabschätzung bestimmt Art. 35 Abs. 7 DSGVO. Zunächst werden die beabsichtigten Verarbeitungsvorgänge erfasst und in Bezug auf die Vorgehensweise sowie den verfolgten Zweck möglichst genau systematisch beschrieben. Es sollte genauestens beschrieben werden, weshalb eine bestimmte Datenverarbeitung erfolgt. Dabei ist unter Umständen das berechtigte Interessen, das vom Verantwortlichen verfolgt wird, zu berücksichtigen. Erfolgen mehrere vergleichbare Vorgänge, so können diese in einer Datenschutz-Folgenabschätzung zusammengefasst werden.  

Anschließend ist eine Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den verfolgten Zweck vorzunehmen. Danach erfolgt eine Betrachtung des Verhältnisses des Verarbeitungszwecks zu den Risiken für die Rechte und Freiheiten der Betroffenen. Erstwenn Verarbeitungsvorgang und Verarbeitungszweck in einem angemessenen Verhältnis zu den Risiken stehen, ist der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen.  

Andernfalls sind Abhilfemaßnahmen zur Bewältigung der erwarteten Risiken, sowie Garantien, Sicherheitsvorkehrungen und Verfahrensweisen festzulegen, die den Schutz personenbezogener Daten gewährleisten und einen Nachweis über die Einhaltung des Datenschutzes erbringen. Diese Risikobehandlungsmaßnahmen müssen an die jeweiligen Risikofaktoren angepasst sein.  

Generell ist die Datenschutz-Folgenabschätzung nicht als einmaliger Vorgang, sondern ein ständiger Prozess. Kommt es zu entscheidenden Änderungen der Datenverarbeitungsabläufe und ergeben sich daraus neue Risiken, muss überprüft werden, ob diese bereits von einer bestehenden Datenschutz-Folgenabschätzung umfasst sind oder gegebenenfalls eine Aktualisierung erforderlich ist.  

Grundsätzlich kann der Verantwortliche im Rahmen datenschutzrechtlicher Mindestanforderungen selbstständig entscheiden, wie und mit welcheMethoden eine solche Risikoanalyse durchgeführt wird. In der Regel empfiehlt es sich eine Richtlinie mit Regeln für die Durchführung einer DSFA zu erstellen, um eine einheitliche und datenschutzkonforme Risikoeinschätzung der unternehmensinternen Datenverarbeitungsvorgänge zu gewährleisten.  


4. Wer ist für die Durchführung einer DSFA verantwortlich? 

Eine Datenschutz-Folgenabschätzung ist stets von dem für die Datenverarbeitung Verantwortlichen durchzuführen, Art. 35 Abs. 1 DSGVO. Zudem ist in Art. 35 Abs. 2 DSGVO festgelegt, dass der Verantwortliche Beratung des Datenschutzbeauftragten in Anspruch nehmen muss, sofern einer benannt wurde. Wann die Benennung eines Datenschutzbeauftragten erforderlich ist, lesen Sie hier (Link).  

Werden Datenverarbeitungen von Auftragsverarbeitern durchgeführt, ist dennoch der Verantwortliche für die Durchführung einer DSFA zuständig. Der Auftragsverarbeiter hat ihn allerdings dabei zu unterstützen. 

Unter Umständen muss die Aufsichtsbehörde vor dem Beginn einer Verarbeitung konsultiert werden, Art. 36 Abs. 1 DSGVO. Dies ist dann der Fall, wenn ein hohes Risiko festgestellt wird, die erforderlichen Schutzmaßnahmen praktisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind.  

Darüber hinaus ist zu beachten, dass gegebenenfalls im Vorfeld der Standpunkt der betroffenen Personen eingeholt werden sollte, Art. 35 Abs. 9 DSGVO. Dieses Erfordernis ist allerdings nur in wenigen Bereichen von praktischer Relevanz.   


5. Welche Konsequenzen hat das Fehlen einer erforderlichen DSFA? 

Ist eine Datenschutz-Folgenabschätzung zwingend erforderlich und wird diese trotzdem nicht durchgeführt, drohen Bußgelder nach Art. 83 ff. DSGVO. Dementsprechend können Verstöße gegen Vorgaben im Hinblick auf die Datenschutz-Folgenabschätzung nach Maßgabe des Art. 83 Abs. 4 DSGVO mit Geldbuße i.H.v. bis zu 10 Mio. Euro oder im Falle eines Unternehmens bis zu 2 % des weltweit erzielten gesamten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem welche Summe höher ist, sanktioniert werden.  


6. Fazit 

Zusammenfassend lässt sich festhalten, dass jeder Datenverarbeitungsprozess  einzelfallbezogen betrachtet und datenschutzrechtlich evaluiert werden muss. Werden Risiken nicht eingedämmt, kann es zu Datenschutzverletzungen kommen. Dies können sowohl für das eigene Unternehmen, als auch für Kunden oder Geschäftspartner, aber vor allem für die Betroffenen gravierende Folgen haben und gegebenenfalls sogar Schadenersatzansprüche oder Bußgelder nach sich ziehen. Es empfiehlt sich daher stets Experten mit Kompetenzen in den Bereichen Datenschutz, Risikoermittlung und Fachprozesse zurate zu ziehen.  

 
 
 
Call Now ButtonKontakt aufnehmen