Mehr Infos

Die betriebliche Weihnachtsfeier zu Zeiten von Corona – Neue Probleme, alte Lösungen

 
 
 

 

 

 

Das Ende des Jahres naht und für viele Arbeitgeber drängt sich die Frage auf, ob bzw. unter welchen Voraussetzungen, eine betriebliche Weihnachtsfeier möglich ist.

Vorwegnehmend muss betont werden, dass eine absolut zuverlässige Bewertung nicht möglich ist. Einerseits ist derzeit ein enormer Anstieg der Fallzahlen zu verzeichnen, sodass ein Lockdown nicht ausgeschlossen werden kann, andererseits bahnt sich momentan die Bildung einer neuen Regierung an, deren angehörenden Parteien nun einen Gesetzesentwurf vorgelegt haben, welcher u.a. eine 3G-Pflicht am Arbeitsplatz vorsieht.

Vorausgesetzt, dass eine betriebliche Weihnachtsfeier grundsätzlich stattfinden darf, stellt sich die Frage, ob die Teilnahme an der Weihnachtsfeier von einer Immunisierung des jeweiligen Mitarbeiters oder einem negativen (PCR-)Test abhängig gemacht werden kann.

Eine gesetzliche Regelung hierzu besteht derzeit nicht. Die SARS-CoV-2-Arbeitsschutzverordnung sieht lediglich vor, dass der Arbeitgeber ein hinreichendes Schutzkonzept (u.a. mit einem freiwilligen Testangebot oder Kontaktbeschränkungen im Betrieb) umsetzen soll. Jedoch liegt der Sinn und Zweck einer Weihnachtsfeier gerade im geselligen Beisammensein, sodass etwaige Kontaktbeschränkungen in direktem Widerspruch zum Veranstaltungszweck stünden. Die Teilnahme an der Weihnachtsfeier von einer Immunisierung abhängig zu machen, birgt jedoch diverse Probleme, die im Nachfolgenden erörtert werden.

 

1. Der arbeitsrechtliche Gleichbehandlungsgrundsatz

Der faktische Ausschluss von nicht immunisierten, insbesondere ungeimpften, Arbeitnehmern könnte einen Verstoß gegen den arbeitsrechtlichen Gleichbehandlungsgrundsatz darstellen, da die Versagung einer Teilnahme eine Anders- bzw. Schlechterbehandlung begründet.

Der arbeitsrechtliche Gleichbehandlungsgrundsatz verbietet es, dass einzelne Mitarbeiter – im Verhältnis zu den anderen Mitarbeitern – eine weniger günstige Behandlung erfahren. Eine Andersbehandlung kann jedoch gerechtfertigt sein, wenn diese im Einzelfall sachlich begründet ist. Das derzeitige Infektionsgeschehen und die Schutzpflichten des Arbeitgebers könnten solch ein Vorgehen durchaus rechtfertigen. Hierbei kommt es auf die Umstände im Einzelfall an, wie insbesondere die Betriebsgröße, den Veranstaltungsort oder bereits bestehende Schutzmaßnahmen. Jedenfalls ist grundsätzlich davon auszugehen, dass die Teilnahme an der Weihnachtsfeier an bestimmte Voraussetzungen, vorliegend die Immunisierung oder einen Negativ-Nachweis, geknüpft werden darf.

 

2. Die datenschutzrechtliche Problematik

Sofern man die Weihnachtsfeier von der Immunisierung oder einem Negativ-Nachweis abhängig machen will, setzt dies zwingend voraus, dass der Arbeitgeber dies auch überprüft, wodurch er auch faktisch sensible (Gesundheits-)Daten seiner Beschäftigten verarbeitet.


Hierbei sieht § 26 Abs. 1, Abs. 3 BDSG vor, dass die Verarbeitung personenbezogener Beschäftigtendaten zur Durchführung des Arbeitsverhältnisses bzw. zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht (zwingend) erforderlich sein muss. Bei wortgetreuer Auslegung ist die Regelung des § 26 BDSG nicht einschlägig, da es sich bei der Weihnachtsfeier um eine freiwillige Veranstaltung handelt, bei der auch keine Teilnahmepflicht für die Arbeitnehmer gilt. Ein gesetzliches Frage- bzw. Auskunftsrecht des Arbeitgebers ist derzeit nicht vorgesehen; der Arbeitgeber kann jedoch einen ihm – in sonstiger Weise – bekannt gewordenen Impf- oder Genesungsstatus der Beschäftigten berücksichtigen.

Daher kommt für die Erfassung des Impf- oder Genesungsstatus allenfalls die Einholung einer Einwilligung gem. § 26 Abs. 2 BDSG. Aufgrund der (sozialen) Abhängigkeit des Arbeitnehmers, ist die Einholung einer Einwilligung grundsätzlich problematisch; der Gesetzgeber geht davon aus, dass ein Arbeitnehmer im bestehenden Arbeitsverhältnis regelmäßig keine freiwillige Einwilligung abgeben kann. Eine Freiwilligkeit kann zugunsten des Arbeitgebers jedoch angenommen werden, soweit der Arbeitnehmer infolge der Einwilligung einen Vorteil erhält. Die Teilnahme an der Weihnachtsfeier könnte solch einen Vorteil begründen, weshalb eine erteilte Einwilligung im Sinne des § 26 Abs. 2 BDSG nicht per se unwirksam sein dürfte.

Dennoch muss beachtet werden, dass die infolge der erteilten Einwilligung erlangten Gesundheitsdaten sehr restriktiv behandelt werden dürfen. Eine nachträgliche Änderung des Zweckes der eingeholten Einwilligung (Teilnahme an der Weihnachtsfeier) dürfte unzulässig sein. Überdies sollten die Daten die verarbeitet wurden, kurzfristig gelöscht werden. Letztendlich hat auch der Arbeitgeber sicherzustellen, dass die Arbeitnehmer, die ihre Einwilligung nicht erteilt haben, tatsächlich keinen – über die untersagte Teilnahme – hinausgehenden Nachteil erleiden.

Insgesamt gilt es dementsprechend festzuhalten, dass die Einwilligungslösung dogmatisch durchaus möglich ist, jedoch die praktische Ausgestaltung problematisch ist. Es kommt insgesamt auf die Umstände des Einzelfalles an.

 
 
 

 

 

 

Deutschland in Zeiten von Corona: Dies bedeutet für viele Berufstätige eine Verlagerung der Tätigkeit in die eigenen vier Wände. Im Zuge der Corona-Pandemie und der damit einhergehenden Kontaktreduzierungen nahm die Anzahl der Beschäftigten im Homeoffice nochmals erheblich zu. Doch wenn Mitarbeiter und Mitarbeiterinnen aus dem Homeoffice arbeiten sollen, muss für angemessene technische und organisatorische Maßnahmen gesorgt sein, um potentiellen Datenschutzverstößen vorzubeugen.

Im Homeoffice sind Daten und IT-Technik der unmittelbaren Kontrolle des Arbeitgebers entzogen. Gleichzeitig steigt die Gefahr unberechtigter Zugriffe durch Dritte. Auch beim Arbeiten im Homeoffice müssen die Vertraulichkeit und Integrität personenbezogener Daten gewährleistet sein.

Um die Verbreitung des Coronavirus zu verlangsamen, ist Homeoffice zwar ein probates Mittel. Allerdings auch eines, das datenschutzrechtliche Herausforderungen mit sich bringt.

 

Das Wichtigste in Kürze

  • In einer Pressemitteilung weist der Datenschutzbeauftragte des Landes Sachsen-Anhalt auf das neue Infopaket zur Sicherheit im Homeoffice hin.

  • Auch im Homeoffice bleibt das Unternehmen „Verantwortliche Stelle“ nach Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten.

  • Es ist zu prüfen, ob Arbeitsabläufe organisatorisch geregelt werden können, um auf die Verarbeitung personenbezogener Daten zu verzichten.

  • Der Anschluss privater Geräte ist mit Sicherheitsrisiken (Befall von Schadsoftware) verbunden. Der Anschluss sowie die grds. Nutzung von dienstlichen Geräten für Privates sollte untersagt werden.

 

Hintergrund und Allgemeines zu Datenschutz im Homeoffice

In vielen Fällen ist die Telearbeit mit der Verarbeitung personenbezogener Daten verbunden, sodass auch im Hinblick auf den Datenschutz besondere Anforderungen zu bedenken sind, die Unternehmen vor der Auslagerung von Datenverarbeitungen zu beachten haben.

Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einer Pressemitteilung vom 23.11.2021 auf das neue Infopaket zur Sicherheit im Homeoffice auf seiner Homepage hingewiesen. In diesem Infopaket finden sich Hinweise und eine Checkliste zur Implementierung der datenschutzrechtlichen Anforderungen für das Homeoffice. Die technischen und organisatorischen Anforderungen an den Homeoffice-Arbeitsplatz richten sich nach dem Schutzbedarf der Daten. Je höher der Schutzbedarf, desto stärkere Maßnahmen müssen ergriffen werden.

Durch die Verarbeitungsauslagerung in den häuslichen Bereich stehen dabei zunächst nicht mehr die Schutzmaßnahmen und Sicherheitsvorkehrungen zur Verfügung wie im Betrieb. Das Unternehmen bleibt daher die „verantwortliche Stelle“ i.S.d Art. 4 Nr. 7 DSGVO für die Verarbeitung der Daten. Die verbindlichen datenschutzrechtlichen Erfordernisse gelten auch für diesen Bereich. Daher sind ergänzende technische und organisatorische Maßnahmen (TOMs) entsprechend Art. 32 DSGVO zu treffen, um ein adäquates Datenschutzniveau zu erreichen.

Auch außergewöhnliche Situationen, wie die Pandemie, oder gar die Homeoffice-Pflicht suspendieren nicht von den datenschutzrechtlichen Vorgaben.

 

Datenschutzrechtlicher Handlungsbedarf im Homeoffice

Bei der Auslagerung von Verarbeitungsvorgängen ist zu berücksichtigen, ob und inwieweit Daten erfasst sind. Infolge des Schutzgebotes und der obliegenden Prüfung der zu treffenden Maßnahmen des Datenschutzes ist vor der Auslagerung eine Betrachtung der vorgesehenen Prozesse durchzuführen. Vorab sollte festgelegt werden, wie und auf welchen Endgeräten Daten verarbeitet werden dürfen.

Bezüglich der Risiken durch die Verlagerung erscheint es geboten, ein den Arbeitsbedingungen angepasstes Sicherheitskonzept zu erstellen. In technischer Hinsicht können hierin etwa Festlegungen zu Hard-und Softwarekomponenten enthalten sein. Dabei kann insbesondere auf die Richtlinien des Bundesamtes für die Sicherheit in der Informationstechnik zurückgegriffen werden. Der Fernzugriff auf betriebliche Server sollte nicht das gesamte Netz der Dienststelle erfassen. Vielmehr sollte eine Anbindung lediglich an einen geschützten Teil der IT-Infrastruktur des Unternehmens erfolgen.

Eine Weiterleitung dienstlicher E-Mails an private Postfächer sollte entfallen. Die Untersagung der Nutzung dienstlicher Geräte für private Zwecke ist stets vorzugswürdig. Erscheint dies jedoch unvermeidbar, so bedarf die Installation betrieblicher Anwendungen auf privaten Geräten der Einwilligung des Betroffenen. Die Anforderungen des Art. 7 DSGVO sind einzuhalten. Hinsichtlich des erhöhten Risikos bei der Nutzung von privaten Geräten sind nicht vermeidbare Speicherungen getrennt von den privaten Daten vorzunehmen. Auf Computern ist dies durch die Einrichtung eines gesonderten, geschützten Kontos möglich.

Über die regelmäßige Schulung zu datenschutzrechtlichen Aspekten der jeweiligen Aufgaben der Beschäftigten hinaus, ist es notwendig, für die hinreichende Sensibilisierung der Beschäftigten zu Belangen des Datenschutzes und der Datensicherheit zu sorgen. Dies betrifft insbesondere die Einrichtung des häuslichen Arbeitsplatzes. Hierbei sollten Beschäftigte insbesondere zum Treffen von Sicherheitsvorkehrungen wie der Gewährleistung eines Sichtschutzes von Bildschirmen, dem Sperren des Gerätes sowie dem Schließen der Fenster oder Türen beim Verlassen des häuslichen Arbeitsplatzes angehalten werden.

Darüber hinaus ist auch im Bereich des Homeoffice auf die bekannten und zunehmenden Gefahren von Phishing-Mails aufmerksam zu machen. Darüber sollte darauf wert gelegt werden, dass Beschäftigte das Unternehmen im Falle von Verdachtsmomenten auf Cyberangriffe hinweisen.

Nach Art. 33 Abs. 1 DSGVO ist im Falle einer Verletzung des Schutzes personenbezogener Daten grundsätzlich eine Meldung an die Aufsichtsbehörde geboten. Demgemäß sollte insbesondere bei längerer Telearbeit berücksichtigt werden, dass im gegebenen Fall kurzfristig eine Reaktion notwendig werden kann.

 

Mobiles Arbeiten und Cloud-Dienste

Die IT-Infrastruktur und räumliche Sicherheit weichen beim mobilen Arbeiten noch stärker von der Lage im Büro ab, da die Arbeit nicht an einem fest eingerichteten Arbeitsplatz in der geschützten Sphäre der eigenen vier Wände ausgeführt wird, sondern grundsätzlich an beliebigen Orten, wie etwa auch im Zug oder in Cafés. Es sollten die Örtlichkeiten beschrieben werden, an denen mobil gearbeitet werden darf.

Datenverarbeitungen mit besonders hohem Schutzbedarf sollten eingeschränkt oder, falls möglich, gänzlich untersagt werden. Überdies muss die Nutzung von Verbindungstechnologien des genutzten Gerätes festgelegt werden (Bluetooth, WLAN). Weiter sind Aussagen notwendig, ob und inwieweit die Einbindung von genutzten Geräten in die Systeme Dritter zulässig sind. Dabei ist zu berücksichtigen, dass die Sicherheit von Systemen Dritter nicht zuverlässig beurteilt werden kann. Des Weiteren kann es bei Homeoffice und mobilem Arbeiten notwendig werden, Cloud-Dienste in Anspruch zu nehmen. Dabei handelt es sich oftmals um Auftragsverarbeitungssituationen (Art. 28 DS-GVO).

Um rechtskonform zu agieren, ist ein entsprechender Auftragsverarbeitungsvertrag zwischen Verantwortlichen und Dienstleister notwendig. Dabei muss der Auftragsverarbeitende hinreichende Gewährleistungen dafür bieten, dass geeignete TOMs zur Verarbeitung personenbezogener Daten bestehen. Die Überprüfung dessen obliegt dem Auftraggeber und muss von diesem nachgewiesen werden können. Der Zugriff auf die in der Cloud gespeicherten Daten bedarf eines starken Passwortschutzes.

In Bezug auf administrative Konten ist mindestens eine Zwei-Faktor-Authentisierung geboten. Für die Übermittlung personenbezogener Daten auf den Server des Cloud-Dienste-Anbieters ist eine sichere Verschlüsselung nach dem Stand der Technik unabdingbar (z. B. HTTPS). Dies gilt auch für die Ruheverschlüsselung.

 

Anforderungen an technische Verfahren und TOMs

§ 28b Abs. 4 IFSG sieht eine Homeoffice-Pflicht für Büroarbeitsplätze vor. Mangelnde technische und organisatorische Voraussetzungen können zwar ein zwingender betrieblicher Grund sein, kein Home Office anzubieten. Arbeitgeber dürfen diesen Grund jedoch nicht vorschieben, sondern müssen schnellstmöglich alle Maßnahmen ergreifen, um geeignete Voraussetzungen für die Durchführung von Homeoffice zu schaffen. Dabei können die Infos des LfDI nützlich sein.


Arbeit im Homeoffice kann sowohl gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen Mindestschutz für die personenbezogenen Daten. Durch eine obligatorische Transportverschlüsselung etwa soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Sie kann über das Protokoll SMTPS oder durch Aufruf des SMTP-Befehls STARTTLS und den nachfolgenden Aufbau eines TLS verschlüsselten Kommunikationskanals realisiert werden, wobei die Anforderungen der TR 02102-2 des Bundesamts für Sicherheit in der Informationstechnik zu erfüllen sind. Weitere Informationen hierfür stellt der LfDI Sachsen-Anhalt bereit.

Weiterhin gewährt eine Transportverschlüsselung unter den folgenden Anforderungen Schutz gegen aktive Angriffe Dritter:

  • Die eingesetzten kryptografischen Algorithmen und Protokolle entsprechen dem Stand der Technik. Sie erfüllen die Anforderungen der Richtlinie BSI TR-02102-2 und garantieren Perfect Forward Secrecy.

  • Der empfangende Server wird im Zuge des Aufbaus der verschlüsselten Verbindung entweder zertifikatsbasiert authentifiziert oder anhand eines öffentlichen oder geheimen Schlüssels, der über einen anderen Kanal zwischen Sender und Empfänger abgestimmt wurde.

  • Erfolgt die Authentifizierung zertifikatsbasiert, so führt der Empfänger die Authentizität des Zertifikats auf ein vertrauenswürdiges Wurzelzertifikat bzw. einen via DANE publizierten Vertrauensanker zurück. Die Einhaltung dieser Anforderungen muss nachgewiesen werden.

 

Der Arbeitgeber muss dem Beschäftigen also eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzgerechte Tätigkeit im Homeoffice gewährt ist. Werden Notebooks herausgegeben, sollte deren Festplatte verschlüsselt werden. Das gilt auch für die vom Arbeitgeber bereitgestellten USB-Sticks. Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen. Die elektronische Datenübermittlung (also z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein.

Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über ein VPN möglich sein. Dieses VPN sollte auf seine Belastbarkeit geprüft werden, bevor Beschäftigte schließlich in großer Zahl darauf zugreifen. Es sollte ein Konzept zum Umgang und zur Vernichtung von sensiblen Unterlagen und Ausdrucken konzipiert werden. Der Arbeitgeber sollte den Beschäftigten auch im Homeoffice Shredder oder Datentonnen zur Verfügung stellen.

 

 

Ausblick

Von einem baldigen Ende der Corona-Pandemie ist nicht auszugehen. Es ist eher mit weiteren Einschränkungen hinsichtlich des Arbeitsalltags zu rechnen. Dies birgt erhebliches datenschutzrechtliches Gefahrenpotential, da die Tätigkeit im Homeoffice besonders anfällig für Hacker-Angriffe und folgenschwere Datenschutzpannen ist.

Die Einbindung spezialisierter Berater im Bereich des Datenschutzes ist dabei empfehlenswert, um in Bezug auf die vielfältigen Risiken im Homeoffice für Sensibilisierung zu sorgen. Darüber hinaus können diese die konkreten Arbeitsabläufe feststellen, die verschiedenen Risiken in Bezug auf den Datenbestand und die eingesetzten Verfahren bewerten und konkrete Empfehlungen zur Verbesserung des Datenschutzniveaus aussprechen.

Weiterhin finden Sie auf der Internetseite des LfDI Sachsen-Anhalt eine ausführliche Checkliste für die besondere datenschutzrechtliche Schwierigkeit des Homeoffices, anhand derer Sie die Datenschutzkonformität Ihrer Systeme ermitteln können und welche Schritte bei potentiellen Defiziten zu unternehmen sind.

 
 
 

 

 

 

Es ist ein altbewährter, nahezu prähistorischer, aber dennoch fest integrierter Bestandteil der Büroausstattung vieler Behörden, Gerichte, Kanzleien und Praxen: Das Faxgerät. Obwohl sich die digitale Kommunikation angesichts neuer Cloud-Technologien und größerer Speicherkapazität zunehmend beschleunigt, halten viele Institutionen weiterhin an der klassischen Methode der Kommunikation fest.

Dies hat auch seine Gründe, denn das Fax galt lange als mit datenschutzrechtlichen Bestimmungen vereinbar. Hierfür bürgte die Ende-zu-Ende-Verschlüsselung über Telefonleitungen.

Neuerdings werden Stimmen lauter, die den Rückzug des Geräts fordern. Technische Neuerungen sowie die steten Verschärfungen des Datenschutzrechts enttarnen zunehmend Defizite der Faxgeräte hinsichtlich der Datensicherheit. Jüngst äußerte der hessische Datenschutzbeauftragte Alexander Roßnagel Besorgnis bei Nutzung des Faxgeräts und forderte eine Prüfung und Implementierung anderer Kommunikationswege.

Das Fax – ein Auslaufmodell?

 

Das Wichtigste in Kürze

  • Landesweit fordern Datenschutzbeauftragte den Abzug von Faxgeräten aus dem Alltag und die Implementierung geeigneter Kommunikationsmedien

  • Eine sichere Übertragung kann durch das Fax mangels Kenntnis des Absenders von der Technologie auf Empfängerseite und der zumeist fehlenden Ende-zu-Ende-Verschlüsselung nicht gewährleistet werden

  • Für den Versand besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO ist die Nutzung von Faxgeräten generell unzulässig

  • Aus gegebenem Anlass ist es ratsam, auf inhaltsverschlüsselte E-Mails, Portallösungen, DE-Mail-Nutzung oder Briefverkehr zurückzugreifen

 

Datenschutzrechtliche Bedenken bei einem Fax

Galt ein Telefax noch vor einigen Jahren als sichere Methode, um sensible personenbezogene Daten zu übertragen, so änderte sich nun die Situation grundlegend. Der Digitalverband bitkom stellte dazu jüngst die Ergebnisse einer neuen Umfrage vor.

Danach nutzen im Jahr 2021 immer noch 43 Prozent der Unternehmen das Fax. Zwar ist hier im Vergleich zu den Vorjahren – 2020 waren es 49 Prozent, 2018 sogar noch 62 Prozent – ein stetiger Rückgang zu verzeichnen. Dennoch bemüht fast die Hälfte aller Unternehmen in Deutschland weiterhin das Fax als gängigste Kommunikationsmethode.

 Im Zentrum der datenschutzrechtlichen Problematik steht „die Gegenseite“, die am anderen Ende auf das jeweilige Fax wartet. Absender:innen können sich nämlich nicht sicher sein, welche Technologie auf der Empfangsseite verwendet wird. Handelt es sich noch um ein normales, reales Faxgerät?

Oder kommen hier bereits Telefax-Dienste zur Anwendung, die die Informationen z. B. in eine E-Mail umwandeln und weiterversenden oder auf einen Server oder in eine Cloud hochladen? Gerade das kann zu einem erheblichen Problem werden: Der Absender kann indes nicht wissen, ob die Daten so über einen datenschutzkonformen Fax-Dienst oder verschlüsselt weiterübertragen werden.

Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie etwa eine unverschlüsselte E-Mail. Diese wird als digitales Pendant zur einsehbaren Postkarte angesehen, wie die Datenschutzbeauftragte Bremens, Dr. Imke Sommer, den Sicherheitsgrad eines Faxes kommentiert.

Fax-Dienste enthalten in der Regel keine, oder wenn, nur unzureichende Sicherungsmaßnahmen um die Vertraulichkeit der Daten und die generelle Datensicherheit zu gewährleisten. Sie sind demzufolge grundsätzlich nicht für die Übertragung personenbezogener Daten geeignet. Die Übermittlung personenbezogener Daten über dieses Medium sei daher „mit dem Risiko des Verlustes der Vertraulichkeit“ behaftet wie der Hessische Datenschutzbeauftragte Roßnagel feststellte.

Auch die Bremische Verwaltung geht davon aus, bis Ende 2022 alle Faxgeräte durch sicherere Technologien abgelöst zu haben. So auch das Urteil der Datenschutzbeauftragten des Landes Bremen, die die Nutzung von Fax-Diensten zur Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der DSGVO als vollkommen unzulässig erachtet.

 

Funktionsweise der Datenübertragung via Fax

Wie der Datenschutzbeauftragte Hessens ausführt, habe die Kommunikation zwischen Faxgeräten zuvor auf einem Verbindungsaufbau per Kanal, eher gesagt Leitungsvermittlung, basiert. „Dabei waren Absender und Empfänger – identifiziert durch ihre jeweiligen Faxnummern – die beiden Endstellen, zwischen denen eine direkte Verbindung aufgebaut wurde.“ Großes Defizit sei aber schon immer gewesen, „dass der Absender in der Regel keine Informationen zur Empfängerseite hat“.

So habe etwa in Frage gestanden, wer letztlich Zugang zu einem Empfangsgerät habe. Mit der Errungenschaft des Internets würden die zu übertragenden Daten über den TCP/IP-Standard auf einzelne Pakete verteilt und „über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen“ geschickt, legt der Datenschutzbeauftragte Roßnagel weiter dar. Die genutzten Verbindungen seien dabei nicht mehr für die beiden Endstellen reserviert.

So sei es denkbar, „dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden“. Diese hätten so tatsächlich auch die Möglichkeit, „auf die von ihnen vermittelten Pakete Zugriff zu nehmen“.

Ohne eine entsprechende Verschlüsselungstechnik – beispielsweise der Ende-zu-Ende-Verschlüsselung – beim Absender als auch beim Empfänger, lässt sich also nicht gewährleisten, dass während der Übertragung keine Daten abgegriffen werden. So urteilte ebenfalls die Bremische Landesbeauftragte für Datenschutz.

Grund für die datenschutzrechtliche Besorgnis sind eben die geänderten technischen Bedingungen, unter denen das Faxen heute stattfindet: „Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt.

Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen“. Vielmehr würden heutzutage vorwiegend Systeme genutzt (FoIP – „Fax over IP“), die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten.

Das Fazit der Datenschutzbeauftragten ist daher ebenfalls vernichtend: „Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet“.

Es gibt aber trotzdem eine Möglichkeit, wie das Fax und der Datenschutz miteinander vereinbar sein können. Dies ist dann der Fall, wenn der Absender des Faxes absolut sicher sein kann, dass eine ausreichende Verschlüsselung auf Absender- und Empfängerseite sowie auf dem sonstigen Übertragungswege besteht.

In Frage kommen würde beispielsweise das sogenannte Session Initiation Protocol kombiniert mit Transport Layer Security. Jedoch steht die ganze Angelegenheit unter dem Vorbehalt, dass der Absender sich explizit versichern muss, dass die technischen Erfordernisse auf der Seite des Empfängers ebenfalls stimmen. Dabei sind zwei wichtige Fragen zu klären:

  • Sind die über FoiP („fax over IP“ – Fax über Internet, virtuelles Fax) Inhalte auf dem gesamten Übertragungsweg und auch beim Empfänger sicher verschlüsselt?
  • Sodann: Sind die Systeme, die Faxe in E-Mails umwandeln, sicher und weisen keine Sicherheitslücken auf?

Je sensibler die personenbezogenen Daten, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahme zugrunde zu legen ist. Hierauf ist bei der Übermittlung sensibler Daten zu achten.

 

Alternative Kommunikationsmedien

Das Fax ist demnach als unsicheres Kommunikationsmedium nach datenschutzrechtlichen Standards zu qualifizieren. Gerade durch die Versendung personenbezogener Daten mittels Faxgeräte entstünden „neue Probleme, die man mit einem Anruf und der Bitte, sich neben das Faxgerät zu stellen, nicht lösen kann“, gibt der Datenschutzbeauftragte zu bedenken.

Gemäß Art. 5 DSGVO müssten ja persönliche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleisten.

Verantwortliche hätten angesichts des „Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen“, um ausreichend für Datensicherheit und datenschutzkonforme Datenweiterleitungen zu sorgen.

Als optionales, sichereres Kommunikationsmedium empfiehlt der Datenschutzbeauftragte Roßnagel den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME), die DE-Mail und Portallösungen, „bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können“. In Frage kämen auch „bereichsspezifische digitale Kommunikationsdienste“ wie die „Kommunikation im Medizinwesen“ (KIM) sowie die „Infrastruktur des elektronischen Rechtsverkehrs“.

Bei dem darin enthaltenen besonderen elektronische Anwaltspostfach (beA), für den Verkehr zwischen Anwält:innen und den Gerichten etwa, ist jedoch umstritten, ob dies ausreichend Sicherheit gewährleistet, da keine Ende-zu-Ende-Verschlüsselung erfolgt.

Um datenschutzkonformes Verhalten zu demonstrieren, führt zum Beispiel die hessische Datenschutzbehörde Faxnummern nicht mehr auf ihrer Homepage, dem Briefkopf, Visitenkarten oder sonstigen Mails an. Hiermit will der Datenschutzbeauftragte Roßnagel „auf die technischen Probleme aufmerksam machen, vorerst jedoch ohne Aufsichtsmaßnahmen zu ergreifen“.

In Ausnahmefällen, beispielsweise wenn die besondere Eilbedürftigkeit dies erforderlich mache und sichergestellt sei, dass die Sendung nur dem richtigen Empfänger zugeht (beispielsweise gespeicherte Zielnummern), könne auch die Versendung besonders schutzbedürftiger personenbezogener Daten mittels Fax rechtmäßig sein.

Dies gelte aber nur dann, wenn kein alternatives, datenschutzkonformes Kommunikationsmittel genutzt werden könne und dem Verantwortlichen insofern kein alternatives Kommunikationsmittel zur Verfügung stehe. Denkbar sei darüber hinaus auch, dass Verantwortliche auf die bestehenden Risiken beim Faxversand hinweisen und sich für etwaige Übermittlungsvorgänge eine den Anforderungen der DSGVO entsprechende Einwilligung der hiervon betroffenen Personen einholen.

 

Ausblick

Das Telefax lässt sich also nicht mit der DSGVO vereinen. Dies liegt daran, dass bei der heutzutage weit überwiegend genutzten paketvermittelten Übertragungsmethode als Fax over IP (FoIP) über das Internet, oder bei der Nutzung von Diensten, die Faxe automatisiert in E-Mails umwandeln, die Daten in der Regel nicht verschlüsselt und damit ungeschützt übertragen werden.

Im Ergebnis sei die Übermittlung von personenbezogenen Daten per Fax daher mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet. Personenbezogene Daten, die einen besonderen Schutzbedarf aufweisen, sollten daher grundsätzlich nicht per Fax übertragen werden, wenn keine zusätzlichen Schutzmaßnahmen bei den Versendern und Empfängern implementiert seien, so die zuständige Behörde.

Wollen Sie beim Versenden personenbezogener Daten sichergehen, dass der Datenschutz eingehalten wird, sollten Sie aufgrund der bestehenden, dargestellten Unsicherheiten besser auf den verschlüsselten E-Mail-Verkehr (Ende-zu-Ende-Verschlüsselung) oder den postalischen Weg (Briefgeheimnis) zurückgreifen. Insbesondere sollte von der Übersendung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO, wie etwa Gesundheitsdaten oder genetische und biometrische Daten, die der eindeutigen Identifizierung dienen, Abstand genommen werden und das altbewährte Fax besser durch genannte Alternativen ersetzt werden.

 
 
 

 

 

Im Zuge des Impfangebots zur Bekämpfung der Corona-Pandemie spaltet die Frage nach der rechtlichen Zulässigkeit einer Impfstatusabfrage seitens des Arbeitgebers die Gemüter. Solang eine behördliche Quarantäne angeordnet war, erhielten Arbeitnehmende eine Entschädigung. Dies galt unabhängig vom Impfstatus.

Die Lage ist seit dem 22. September anders. Das Gesundheitsministerium von Bund und Ländern versagt nun ab November 2021 die Erstattung des Verdienstausfalls für Ungeimpfte. Eine Begründung hierfür sieht man in der flächendeckenden Möglichkeit, ein Impfangebot wahrzunehmen.

Aktuell führen die Gesundheitsämter keine Prüfung der Erfordernisse für einen Anspruch auf Entschädigungszahlung im Falle einer behördlichen Quarantäneanordnung durch. Dies stellt Arbeitgeber vor eine Reihe von arbeitsrechtlichen Fragstellungen rund um die Thematik der Lohnfortzahlung sowie der Impfstatusabfrage.

 

Das Wichtigste in Kürze

  • Einen Entschädigungsanspruch nach § 56 Abs. 1 Satz 4 und Satz 5 IfSG besteht nicht, wenn der Beschäftigte die Quarantäne durch Inanspruchnahme einer allgemein empfohlenen Schutzimpfung hätte vermeiden können

  • Klärungsbedürftig, mangels eindeutiger Rechtslage, bleiben Fragen, die die praktische Umsetzung der Lohnfortzahlung nach § 56 IfSG betreffen

  • Der Arbeitgeber darf nicht generell, sondern nur im Beschäftigungsverhältnis in der Gesundheitsbranche den Immunisierungsstatus der Beschäftigten abfragen

  • Der LfDI BaWü stellte einen Punkteplan zusammen, der als Leitlinie für die Verarbeitung personenbezogener Daten gilt. Hier besteht Konfliktpotential mit zuständigen Behörden

 

Impfstatusabfrage nach dem Infektionsschutzgesetz

Mit der fortschreitenden Impfkampagne gehen nicht nur gesundheitsrechtliche, sondern auch arbeitsrechtliche Fragen einher. So steht auch ein potentielles Recht des Arbeitgebers, den Impfstatus seiner Beschäftigten zu erfragen, im Zentrum juristischer Diskussion. Nach §§ 23a, 36 IfSG kann der Arbeitgeber, soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 IfSG erforderlich ist, personenbezogene Daten eines Beschäftigten über dessen Impfstatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses zu entscheiden.

Das Pflichtenprogramm des § 23 Abs. 3 IfSG besagt, dass die Leiter medizinischer Einrichtungen, wie Krankenhäusern, Arztpraxen oder Pflegediensten, sicherzustellen haben, dass die nach dem Stand der medizinischen Wissenschaft erforderlichen Maßnahmen getroffen werden, um Infektionen zu verhüten und die Weiterverbreitung von Krankheitserregern zu vermeiden.

Dies stellt den gesetzlichen Erlaubnistatbestand für medizinische Berufsgruppen dar, handelt es sich doch bei den Impfdaten um Gesundheitsdaten gemäß Art. 4 Nr. 15 DSGVO, die mithin besonders schützenswert nach Art. 9 DSGVO sind. Ferner ist Art. 9 Abs. 2 lit. b) DSGVO für alle anderen zu beachten.

Dieser ist nur dann zulässig, wenn die Angabe erforderlich ist, damit der Arbeitgeber oder die beschäftigte Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.

Von einer Erforderlichkeit kann nur dann ausgegangen werden, wenn die Daten für die Aufgabenerfüllung im Rahmen der Tätigkeit unabdingbar sind.

Dies ist wiederum der Fall, wenn die Aufgabe ohne die Kenntnis der Information nicht, nicht rechtzeitig oder nur mit unverhältnismäßigem Aufwand erfüllt werden kann. Um im vorliegenden Fall eine Erforderlichkeit bejahen zu können, dürfte der Arbeitgeber also ohne die Information über den Impfstatus schlechterdings nicht in der Lage sein, seinen Betrieb zu organisieren oder seinen Verpflichtungen nachzukommen.

 

Entschädigung nach dem Infektionsschutzgesetz

In § 56 IfSG heißt es: „Wer auf Grund dieses Gesetzes als Ausscheider, Ansteckungsverdächtiger, Krankheitsverdächtiger oder als sonstiger Träger von Krankheitserregern im Sinne von § 31 Satz 2 Verboten in der Ausübung seiner bisherigen Erwerbstätigkeit unterliegt oder unterworfen wird und dadurch einen Verdienstausfall erleidet, erhält eine Entschädigung in Geld.

Eine Entschädigung in Geld kann auch einer Person gewährt werden, wenn diese sich bereits vor der Anordnung einer Absonderung nach § 30 oder eines beruflichen Tätigkeitsverbots nach § 31 vorsorglich abgesondert oder vorsorglich bestimmte berufliche Tätigkeiten ganz oder teilweise nicht ausgeübt hat und dadurch einen Verdienstausfall erleidet, wenn eine Anordnung einer Absonderung nach § 30 oder eines beruflichen Tätigkeitsverbots nach § 31 bereits zum Zeitpunkt der vorsorglichen Absonderung oder der vorsorglichen Nichtausübung beruflicher Tätigkeiten hätte erlassen werden können.“

Eine Entschädigung kann einer Person nach den Sätzen 1 und 2 nicht ausgezahlt werden, wenn die Inanspruchnahme einer Schutzimpfung, die gesetzlich vorgeschrieben ist oder im Bereich des gewöhnlichen Aufenthaltsorts des Betroffenen öffentlich empfohlen wurde, oder durch Nichtantritt einer vermeidbaren Reise in ein bereits zum Zeitpunkt der Abreise eingestuftes Risikogebiet ein Verbot in der Ausübung seiner bisherigen Tätigkeit oder eine Absonderung hätte vermeiden können. Ergeht gegenüber einem Beschäftigten eine Quarantäne-Anordnung, so leistet der Arbeitgeber zunächst die Lohnfortzahlung für bis zu sechs Wochen.

Der Arbeitgeber nimmt diese Zahlung stellvertretend „für die zuständige Behörde“ vor. In einem zweiten Schritt kann der Arbeitgeber von der zuständigen Behörde dann die Erstattung der ausgezahlten Beträge verlangen. Ein Anspruch besteht jedenfalls dann nach § 56 Abs. 1 Satz 4 und Satz 5 IfSG nicht, wenn die Quarantäne vermeidbar gewesen wäre.

Reisen Arbeitnehmende in Länder, die eine mögliche Quarantäne zur Folge haben können, handeln sie schuldhaft im Sinne der Entgeltfortzahlungsbestimmungen, wenn sie sich bei der Rückkehr tatsächlich in Quarantäne begeben müssen. Als Folge eines solchen Verhaltens seitens des Arbeitnehmenden entsteht eine vorübergehende Verhinderung der Erbringung der Arbeitsleistung gemäß § 616 BGB. Dementsprechend existiert in einem solchen Fall kein Entgeltfortzahlungsanspruch.

Falls der Arbeitnehmende die Möglichkeit hat, während der Quarantänephase seine Arbeitsleistung aus dem Homeoffice zu erbringen, bleibt sein Anspruch auf Zahlung des Arbeitsentgelts natürlich bestehen.

 

Einlassungen des Landesbeauftragten für Datenschutz Baden-Württemberg

Die Gesundheitsministerkonferenz beschloss, dass Ungeimpfte in der Quarantäne keine Entschädigung mehr verlangen können. Da die Abwicklung von Entschädigungszahlungen nach § 56 Abs. 5 S. 1 IfSG zunächst über den Arbeitgeber erfolgt, stellt sich nun die Frage, ob der Arbeitgeber nach dem Impfstatus fragen darf, um einschätzen zu können, wie er sich verhalten muss.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg äußerte sich hierzu. Jedoch besteht in nicht allen Punkten Einigkeit mit den zuständigen Behörden: „Grundsätzlich ist dem Arbeitgeber bereits die Frage nach privaten oder besonders geschützten Daten nach Art. 9 DSGVO (Gesundheitsdaten gemäß Art. 4 Nr. 15 DSGVO in etwa) verboten.

Im Zusammenhang mit der Auszahlung einer Entschädigung nach § 56 IfSG liegen jedoch genügend gesetzliche Hinweise vor, dass dem Arbeitgeber hierbei eine Rolle zugewiesen wird, die eine solche Frage rechtfertigen kann.“ Der Arbeitgeber darf zwar im Rahmen der Lohnerstattung nach dem Impfstatus des Beschäftigten fragen, der Beschäftigte muss ihm aber seine sensiblen Daten nicht offenbaren, wenn er das nicht möchte.

Laut LfDI kann der Beschäftigte beispielsweise auch über das zuständige Regierungspräsidium die Lohnfortzahlung sicherstellen, ohne dass der Arbeitgeber Kenntnis von den Gesundheitsdaten erlangt. Das sehen die zuständigen Behörden anders. „Solch unterschiedliche Auffassungen sind für Arbeitgeber wie Beschäftigte misslich, letztlich kann nur der Gesetzgeber für Klarheit sorgen.“

 

Datenverarbeitung bei einer Quarantäneanordnung

Was letztlich bei einer Datenverarbeitung im Zusammenhang mit einer Quarantäne zu beachten ist, stellt der LfDI BaWü in einem Katalog zusammen. Dieser verweist auf Punkte, die bei der Verarbeitung personenbezogener Daten in Bezug auf die Entschädigungszahlung zu beachten sind:

  • Der Arbeitgeber darf den Impfstatus der Beschäftigten erfragen, wenn er die Entschädigung für die Behörde auszahlt.

  • Der Beschäftigte ist nicht verpflichtet gem. Art. 9 Abs. 2 lit. b) DSGVO, dem Arbeitgeber seinen Impfstatus oder andere Gesundheitsdaten offen zu legen. Hier ist lediglich die Rede von Verarbeitungsbefugnissen des Arbeitgebers, allerdings nicht von etwaigen Auskunftspflichten des Beschäftigten. Er kann zwar frei entscheiden, ob er dem Arbeitgeber die persönlichen Informationen für den Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG mitteilen will, läuft jedoch das Risiko, mangels Mitwirkung Nachteile zu erleiden.

  • Wenn der Beschäftigte dem Arbeitgeber die personenbezogenen Daten für den Erstattungsanspruchs nach § 56 Abs. 5 Satz 3 IfSG offenlegt, geschieht dies im Rahmen einer ausdrücklichen Einwilligung nach der DSGVO. Die Angaben müssen auf freiwilliger Grundlage seitens des Beschäftigten gemacht werden. Freiwilligkeit setzt in diesem Zusammenhang voraus, dass der Arbeitgeber dem Beschäftigten jederzeit die Wahl lässt, die erforderlichen Angaben ihm gegenüber zu machen. Er muss dazu gut über die Verwendungszwecke durch den Arbeitgeber (Art. 4 Nr. 11 DSGVO) und über die Möglichkeit eines Widerrufs der Einwilligung in die Verwendung seiner Daten (Art. 7 Abs. 3 Satz 3 DSGVO) informiert sein.

  • Die Angaben unterliegen einer strengen Zweckbindung. Nach deren Verwendung zur Erlangung der Erstattung seiner Entschädigungszahlung hat der Arbeitgeber diese Daten unverzüglich zu löschen.

  • Nach LfDI bleibt dem Beschäftigten in jedem Fall die Möglichkeit, anstelle einer Auskunft gegenüber seinem Arbeitgeber die Entschädigung nach § 56 Abs. 5 Satz 4 IfSG selbst bei der zuständigen Behörde zu verlangen. Die zuständigen Behörden verneinen jedoch eine eigene Antragsbefugnis des Beschäftigten. Der Beschäftigte müsse seinen Impfstatus, nicht aber die gegen eine Impfung sprechenden Gründe dem Arbeitgeber preisgeben. Die Behörden vertreten die Auffassung, dass der Beschäftigte erst für Absonderungszeiträume ab der 7. Woche einen eigenen Antrag stellen kann. Solche langen Absonderungen kommen regelmäßig bei Corona nicht vor.


Ausblick

Die Rechtslage ist insoweit unklar und umstritten. Dies sorgt für erhebliches Konfliktpotential und Rechtsunsicherheit. Aus Sicht des Datenschutzes hat der Arbeitgeber grundsätzlich keinen Zugang zu Gesundheitsdaten seiner Beschäftigten.

Finanzielle Nachteile sind bislang durch den Arbeitgeber unweigerlich hinzunehmen. Die datenschutzrechtlichen Aufsichtsbehörden haben im Verlauf der Pandemie zwar eine Bereitschaft gezeigt, die Besonderheiten der Pandemie bei datenschutzrechtlichen Beurteilungen zu beachten.

Ob der Arbeitgeber überhaupt Informationen über den Impfstatus seiner Mitarbeiter einholen darf, die sich nicht im gesundheitlichen Bereich befinden, ist gerichtlich bislang nicht geklärt. Eine Erforderlichkeit nach Art. 9 Abs. 2 lit. b) DSGVO ist in den meisten Fällen zu verneinen.

Die im Zusammenhang mit Entschädigungsleistungen wegen einer Quarantäne verfügbaren Stellungnahmen sind zu spärlich, um eindeutige Aussagen über eine Zulässigkeit des Impfstatusabfrage für die Klärung der Entschädigungszahlung zu treffen. Es bleibt in diesem Punkt weiterhin auf Rechtsprechung zu warten.

 
 
 

 

 

 

Lange Zeit regelte das Gesetz gegen unlauteren Wettbewerb (UWG) in Deutschland den Schutz von Betriebs- und Geschäftsgeheimnissen. Letztlich trat 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft. Für die Personalabteilungen und Unternehmen bedeutet dies, Verschwiegenheitsklauseln in den Arbeitsverträgen anzupassen und Geheimhaltungspolicen sowie Maßnahmen zur Sicherung Know-hows zu novellieren.

Das GeschGehG ist Antwort auf gesetzgeberische Bemühungen, Spionage im Wirtschaftsbereich stärker zu sanktionieren. Gerichte gehen nun härter gegen Wirtschaftskriminalität und Diebstahl wirtschaftsrelevanten Humankapitals vor.

Das OLG Düsseldorf entschied kürzlich einen solchen Fall, indem es um die unbefugte Verwendung von Konstruktionszeichnungen durch einen ursprünglichen Arbeitnehmer in seinem neuen Beschäftigungsverhältnis ging. Im Vordergrund stand die Fragestellung, ob Konstruktionszeichnungen ein Geschäftsgeheimnis darstellen können.

 

Das Wichtigste in Kürze

  • Bei § 2 Nr. 1 lit. c) GeschGehG handelt es sich gegenüber § 17 Abs. 2 UWG a. F. um eine neue Obliegenheit des Geschäftsgeheimnisinhabers

  • Bei in CAD-Konstruktionszeichnungen enthaltenen technischen Informationen handelt es sich um ein Geschäftsgeheimnis im Sinne von § 2 Nr. 1 GeschGehG

  • Rechtsnachfolger und somit Inhaber des Geschäftsgeheimnisses i.S.d § 2 Nr. 2 GeschGehG wird der Erwerber desselben. Der Erwerb kann auch mit Kauf des Unternehmens erfolgen

  • Dem Stand der Technik entsprechende, in der Fachliteratur gängige Verfahren und Informationen schließen die Zuordnung unter das Geschäftsgeheimnis grundsätzlich nicht aus

 

Hintergrund des Urteils

Streitgegenstand vor dem OLG Düsseldorf ist die unrechtmäßige Nutzung eines Geschäftsgeheimnisses der Klägerin durch die Beklagte. Bei der Klägerin handelt es sich um eine 1989 gegründete Unternehmung, die Zentrifugen herstellt und in dem Zusammenhang Serviceleistungen anbietet, wie Herstellung von Ersatzteilen.

Der Geschäftsführer der Beklagten war bis 2016 als Servicemanager bei der Klägerin angestellt. Ihm wurden zur Erfüllung seiner Tätigkeiten auch Konstruktionszeichnungen der Klägerin bereitgestellt. Im Falle seines Ausscheidens aus dem Betrieb wurde Verschwiegenheit vereinbart.

Nach seinem Ausscheiden aus dem Betrieb der Klägerin arbeitete dieser als Geschäftsführer für die Beklagte, welche ebenfalls Wartungen und Ersatzteile für Zentrifugen anbietet. Im Jahre 2017 bewarben sich die Klägerin und die Beklagte beide auf den gleichen Auftrag einer Zuckerherstellerin, der 1987 produzierte Zentrifugen der Klägerin betraf und die Fertigung von Ersatzteilen vorsah.

Der Beklagten wurde der Auftrag letztlich zugesagt. Die Klägerin führt an, die Beklagte habe ihre Konstruktionszeichnungen rechtswidrig genutzt. Der Beklagten wurde der Auftrag nur aus dem Grund zugesprochen, weil sie über Konstruktionszeichnungen der Klägerin durch das ehemalige Beschäftigungsverhältnis des Geschäftsführers verfügte. In diesem Zuge konnte die Beklagte auch eine günstigere und schnellere Lieferung zusagen. Die Konstruktionszeichnungen unterfallen aber dem Betriebs- und Geschäftsgeheimnis.

 

Das Geschäftsgeheimnis nach dem GeschGehG

Nach § 2 Nr.1 GeschGehG ist ein Geschäftsgeheimnis eine Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und bei der ein berechtigtes Interesse an der Geheimhaltung besteht. Bei § 2 Nr. 1 lit. c) GeschGehG handelt es sich gegenüber § 17 Abs. 2 UWG a. F. um eine neue bzw. zusätzliche Obliegenheit des Geschäftsgeheimnisinhabers.

Allgemein bekannt ist eine Information, wenn sie zum gängigen Wissenstand der breiten Öffentlichkeit oder einer dem maßgeblichen Fachkreis angehörenden durchschnittlichen Person gehört. Dies wäre gegeben, wenn die Information einem interessierten Kreis der Öffentlichkeit durch Veröffentlichung oder Ausstellung, bekannt gemacht wurde. Leicht zugänglich sind Informationen, von denen sich jede Person bzw. Fachkreise ohne besondere Schwierigkeiten Kenntnis verschaffen können.

Die betreffende Information muss sich ohne größeren Zeit- und Kostenaufwand erschließen und damit nutzbar gemacht werden können. Inhaber eines Geschäftsgeheimnisses ist nach § 2 Nr. 2 GeschGehG jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat. Rechtmäßige Kontrolle bedeutet dabei, dass die Person nicht nur die tatsächliche Dispositionsbefugnis innehat, sondern auch rechtmäßig die Informationsherrschaft ausübt.

Dieser Person ist das Geheimnis zugeordnet und sie muss zur Ausübung des Geheimnisses befugt sein. Diese Zuordnung kann durch eigene Generierung der Information entstehen oder abgeleitet werden, wenn das Geschäftsgeheimnis von demjenigen, der seinerseits die Kontrolle rechtmäßig innehatte, wirksam durch ein Rechtsgeschäft oder durch Gesetz auf eine andere Person übergeht.

Welche Maßnahmen für eine Geheimhaltung letztlich als angemessen angesehen werden können, bestimmt sich anhand eines objektiven Maßstabs. Das Gesetz verlangt keinen „optimalen Schutz“ oder „extreme Sicherheit“. Zu beachten ist ein Bündel an Indikatoren für die Bestimmung der Geheimhaltungsmaßnahmen:

Die Art des betreffenden Geschäftsgeheimnisses, die konkreten Umstände der Nutzung, der Wert des Geschäftsgeheimnisses, dessen Entwicklungskosten, die Natur der Informationen, die Bedeutung für das Unternehmen, die Größe des Unternehmens, vereinbarte vertragliche Regelungen mit Arbeitnehmern sowie die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen.

 

Konstruktionszeichnungen als Geschäftsgeheimnis

Das LG Düsseldorf entschied in der ersten Instanz, dass es sich bei der Konstruktionszeichnung um ein Geschäftsgeheimnis im Sinne des § 17 Abs. 2 Nr. 2 a) UWG a. F. handelt. Daran vermochte auch der Vortrag der Klägerseite nichts zu ändern. Zwar sind die konkreten Schweißprozesse im vorliegenden Fall unstreitig seit langem als gängige Verfahren allgemeiner Wissensstand.

Dies steht der Einordung der Konstruktionszeichnungen als Geschäftsgeheimnis aber ebenso so wenig entgegen wie der Einwand, dass die angewandten Prozesse in der Fachliteratur branchenbekannt sind. Es ist nicht erforderlich, dass jede in einer Konstruktionszeichnung verkörperte Information für sich genommen ein Geschäftsgeheimnis darstellt.

Ausreichend ist, dass die Konstruktionszeichnung als Ganzes ein Geschäftsgeheimnis darstellt. Nur weil ein Verfahren dem Stand der Technik entsprechend vielfach angewandt wird, heißt dies nicht, dass sie dem Geschäftsgeheimnis nicht zugänglich sind. Ein Geschäftsgeheimnis muss nicht „neu“, „originell“ oder „eigentümlich“ sein.

Der in den CAD-Konstruktionszeichnungen verkörperte Inhalt ist überdies auch nicht allgemein bekannt oder ohne Weiteres zugänglich nach § 2 Nr. 1 lit. a) GeschGehG. Zwar behauptete die Beklagte, dass die Bauteile und Maße der Trommel durch das schlichte Vermessen der Zentrifuge, also auch ohne Baupläne, leicht zugänglich waren.

Hierauf kommt es laut Vortrag des Gerichts aber nicht an. Maßgeblich ist nicht, ob die Trommel auch ohne die Konstruktionszeichnungen der Klägerin hätte konstruiert werden können, sondern ob die streitgegenständlichen Konstruktionszeichnungen in ihrer konkreten Erscheinungsform leicht zugänglich waren. Dies waren sie jedenfalls innerhalb des Unternehmens nicht. Die Zeichnungen waren nicht frei zugänglich und durch verschiedene Maßnahmen gesichert. Abnehmern wurden die Zeichnungen nicht überlassen.

Ebenfalls trug die Beklagte vor, dass die vorgenommenen Messungen als Reverse Engineering nach § 3 Abs. 1 Nr. 2 GeschGehG erlaubt seien. Das mittlerweile zulässige Reverse Engineering bezeichnet die Erlangung eines Geschäftsgeheimnisses, durch „Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands“.

Voraussetzung für die Zulässigkeit ist aber, dass das Produkt selbst rechtmäßig an die Öffentlichkeit gelangt ist (lit. a) oder es sich im rechtmäßigen Besitz des Beobachtenden befindet (lit. b). Angemessene Geheimnisschutzmaßnahmen, die letztlich den „subjektiven Geheimhaltungswillen“ sowie die „Ernsthaftigkeit des Schutzinteresses“ untermauern, liegen nach Rechtsauffassung des Gerichts aber vor. Der Einwand des Reverse Engineering gehe auch deshalb ins Leere, da die Beklagte die Vermessung nie durchführte.

Gem. § 2 Nr. 1 GeschGehG handelt es sich bei den Konstruktionszeichnungen ebenso um Informationen wirtschaftlichen Wertes. Die Klägerin verwendete die Zeichnungen für verschiedene Geschäftsfelder, verfügte über internationale Klienten und zählt zu den Experten für industrielle Misch- und Trennprozesse. Ein Bekanntwerden der Zeichnungen würde zu wirtschaftlichen Nachteilen führen. Die Klägerin zeichnet sich durch die zügige Unterbreitung von Angeboten gerade wegen der bereits vorhandenen Konstruktionszeichnungen aus. Diesen „strategischen Wissensvorsprung“ konnte sie nicht nutzen.

 

Entscheidung des OLG

Die Beklagte reichte Berufung ein, welche am 15. Januar 2020 durch das OLG Düsseldorf als zulässig, aber unbegründet zurückgewiesen wurde. Im Ergebnis habe das LG Düsseldorf die Beklagte zurecht auf Unterlassung nach §§ 6 S. 1, 4 Abs. 3 GeschGehG und Auskunft verurteilt und ihre Schadenersatzpflicht festgestellt.

Die Gesetzesänderung des GeschGehG am 26. April 2019 trat zwar während des Verfahrens ein, allerdings erfassen neue Gesetze auch schwebende Verfahren.

Der Vortrag der Beklagten, die Klägerin übe die tatsächliche Kontrolle als Rechtsnachfolgerin nicht rechtmäßig aus, konnte nicht überzeugen. Zwar scheidet eine originäre Inhaberschaft des Geheimnisses der Klägerin aus, da diese 1987 noch nicht existierte. Die Klägerin beruft sich vielmehr auf eine abgeleitete Inhaberschaft.

Diese ist darauf zurückzuführend, dass die Klägerin 1989 errichtet wurde und das vorhergehende Unternehmen als Gesellschafter die Stammeinlage übernahm. Der Einigungsvertrag sah vor, dass die Rechte am technischen Erfahrungsgut übergehen.

Die Beklagte nutzte also das Geschäftsgeheimnis nach § 4 Abs. 3 GeschGehG, obwohl der Arbeitsvertrag mit dem Geschäftsführer der Beklagten eine dem § 4 Abs. 2 Nr. 2 GeschGehG angelehnten Regelung enthielt, wonach ein Geschäftsgeheimnis nach Beendigung des Angestelltenverhältnisses, mit ehemals berechtigtem Zugang, nicht (mehr) für eigene oder fremde Zwecke genutzt werden darf.

Dem Geschäftsführer der Beklagten war es verwehrt, Kenntnisse nach Beendigung des Beschäftigungsverhältnisses unbegrenzt zu verwenden oder diese gar an sich zu nehmen und weitestgehend identisch zu übernehmen.

 

Ausblick

Um einen europaweiten Mindeststandard an Know-how-Schutz zu gewährleisten, verabschiedete der europäische Gesetzgeber im Juni 2016 die Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung. Zur Umsetzung wurde das GeschGehG beschlossen, das wichtige Implikationen für das Recruiting enthält.

Auf die Einhaltung angemessener Geheimhaltungsmaßnahmen muss im Bereich HR vor allem bei der Erstellung von Arbeitsverträgen und im Bereich des Informationsaustauschs mittels eines einzuführenden Geheimnisschutzsystems geachtet werden.

Dabei dürften die Unternehmen, die bereits im Rahmen der Umsetzung der DSGVO TOMs ergriffen, wertvolle Vorarbeit geleistet haben. Auch im Bereich des Geheimnisschutzes kommen alse allgemeinen datenschutzrechtlichen Vorgaben zum Tragen. Bei der Errichtung geeigneter Vorkehrungen für ihren Geheimnisschutz sollten Sie abermals Ihre Datenschutzbeauftragten konsultieren.

 
 
 

 

 

 

Werbenachrichten gehören gemeinhin zu den beliebtesten Marketing-Instrumentarien, um Produkte bei Empfänger:innen zu bewerben. Gerade die niedrigen Werbungskosten, die sekundenschnelle Versendung sowie die Reichweite derartiger Werbenachrichten, bergen gewisse Vorzüge für Unternehmen. Solche für den Verbraucher oft als unliebsam empfundenen Werbe-E-Mails werden vielfach ignoriert.

Kaum ein Empfänger hinterfragt letztlich, woher das betreffende Unternehmen die private Mail-Adresse herbekam. Lange wogen sich Absender von Werbenachrichten in Sicherheit, verschickten unbedarft Mails und sahen sich oftmals keinerlei rechtlicher Konsequenzen ausgesetzt. Jedoch ist für die Absender von Werbung inzwischen Vorsicht geboten.

Empfänger können sich nämlich wehren. In einem aktuellen Urteil sprach das Amtsgericht Pfaffenhofen a.d. Ilm dem Empfänger ungewollter E-Mail-Werbung ein Schmerzensgeld in Höhe von 300 Euro zu. Die Richterin stütze ihre Entscheidung auf das „ungute Gefühl“ beim Empfang von Werbemails und widersetzt sich mit der Verneinung einer generellen Erheblichkeitsschwelle eines Schadens somit der oberinstanzlichen Spruchpraxis.

 

Das Wichtigste in Kürze

  • Der Empfänger einer unerlaubt zugesandten E-Mail-Werbung hat einen DSGVO-Schadensersatzanspruch aus Art. 82 DSGVO.

  • Nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO und § 7 Abs. 2 Nr. 3 UWG bedarf es einer Einwilligung seitens des Betroffenen zur Verarbeitung der Daten.

  • Ein Schaden kann bereits durch das „ungute Gefühl“ des Beobachtetwerdens und der Hilflosigkeit vorliegen, dadurch dass personenbezogene Daten Unbefugten bekannt wurden.

  • Erwägungsgrund 75 der DSGVO stuft ebenfalls den persönlichen Kontrollverlust explizit als Schaden ein.

  • Die Schadensbemessung und der Umfang des Schadens sind weiterhin in der Rechtsprechungspraxis uneinheitlich definiert. Abzuwarten bleibt das Urteil des EuGH zu Art. 82 DSGVO.

 

Tatbestand

Am 25. Januar 2021 erhielt der Kläger, ohne vorherige Anfrage und Korrespondenz zwischen den Parteien oder Einwilligung seitens des Klägers, von der Beklagten – einer Unternehmung, die sich der Versorgung mit Schutzartikeln verschrieb – eine Werbe-E-Mail. Die Mail umwarb ein Vorteilspaket FFP 2 Masken für Kinder und Erwachsene und war überschrieben mit „Ihre Anfrage zu Kinder FFP 2 NR Masken“.

Daraufhin bat der Kläger in einer Antwortmail an den Beklagten um Mitteilung, woher diese seine Mail-Adresse erhalten habe und wann seine personenbezogenen Daten gespeichert wurden. Weiterhin bat der Kläger um Übersendung einer strafbewährten Unterlassungserklärung.

Die Beklagte teilte dem Kläger am 6. Februar 2021 mit, sie habe seine Mail Adresse im Zuge einer Recherchearbeit bezüglich einer Rechtsberatung in dem Heimatort des Klägers gefunden. Hierbei sei sie auf die Kontaktdaten des Klägers gestoßen. Grund für eine weitere Kontaktaufnahme bestand nicht.

Die Werbe-Mail sei aufgrund der manuellen Erfassung von Kontaktdaten erfolgt. In der Folgezeit wurde der Kläger mit weiteren Angeboten in seinem Mail-Postfach konfrontiert. Das anwaltliche Postfach habe sich noch mit vielzähligen Mails gefüllt.

Der Kläger wies auf die Notwendigkeit gerichtlicher Klärung hin, da er doch ein besonderes Interesse daran habe, dass die anwaltlich genutzte Adresse nicht mit Werbe-Mails überfrachtet werde, die der Kläger als lästig und ärgerlich empfand. Dieser Fall lag dem AG Pfaffenhofen am 9. September 2021 zur Entscheidung vor.

 

Rechtliche Situation und Entscheidungsgründe

Die Beklagte verarbeitete unstreitig die Mail-Adresse des Klägers nach Art. 4 DSGVO. Hierfür konnte die Beklagte keinen rechtfertigenden Tatbestand nach Art. 6 DSGVO anführen. Art. 6 Abs. 1 S. 1 lit. a) DSGVO nennt die Einwilligung als Rechtmäßigkeitskriterium. Diese erfolgte seitens des Klägers jedenfalls nicht. Er willigte nicht in die Übersendung etwaiger Werbenachrichten in sein anwaltliches Postfach ein.

Auch die Alternative des Art. 6 Abs. 1 S. 1 lit. f) DGSVO ist nicht einschlägig; diese regelt überwiegende berechtigte Interessen des Verantwortlichen an der Verarbeitung. Nach Erwägungsgrund 47 ist bei der Interessenabwägung zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“.

Zu beachten ist also die Branchenüblichkeit der Verarbeitung sowie die Beziehung des Betroffenen zum Verantwortlichen. Im Rahmen besagter Abwägung ist der vom Verantwortlichen verfolgte Zweck mit der Art, dem Inhalt und der Aussagekraft der personenbezogenen Daten gegenüberzustellen.

Die Abwägung führte zum Ergebnis, dass die Interessen des Klägers überwogen. Ihm sei daran gelegen, dass sein Postfach nicht mit derartiger Werbung überschwemmt werde. Nachweislich stand der Kläger in keinerlei Beziehung zu der Beklagten und teilte seine Mail-Adresse auch nicht in einer Weise, die eine solche Verwendung absehbar gemacht hätte, mit.

Auch nach § 7 Abs. 1 UWG dürfen Marktteilnehmer durch Direktmarketing nicht in unzumutbarer Weise belästigt werden. Wann eine unzumutbare Belästigung anzunehmen ist, ergibt sich für den vorliegenden Fall aus § 7 Abs. 2 Nr. 3 UWG. Dieser besagt: „Eine unzumutbare Belästigung ist stets anzunehmen bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt“.

Hiernach ist Werbung via Mail nur zulässig, sofern eine vorherige, ausdrückliche Einwilligung seitens des Kunden vorliegt. Eine Ausnahme nach § 7 Abs. 3 UWG ist ebenfalls nicht einschlägig. Eine unzumutbare Belästigung läge nicht vor, wenn der Unternehmer in Zusammenhang mit dem Verkauf von Ware die Postadresse des Kunden erhielt.

Überdies verstieß die Beklagte gegen die Informationspflichten des Art. 14 DSGVO und gegen das Auskunftsrecht aus Art. 15 DSGVO. Unternehmen müssen aufgrund der gesteigerten Informationspflichten alle von einer Datenverarbeitung Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und verständlichen Sprache darüber informieren, was letztlich mit den Daten geschieht.

Auch dem Auskunftsrecht wurde nicht genügt, hatte die Beklagte dem Kläger doch erst vor Gericht Auskunft über die Herkunft seiner Mail-Adresse erteilt. Die Beklagte machte außergerichtlich lediglich die Angaben, dass die Daten manuell erfasst wurden und sie sich wegen einer Rechtsberatung im Heimatort des Klägers umgesehen habe. Hierbei sei man auf die Mail-Adresse gestoßen. Nach Aussage des Gerichts seien diese Auskünfte allerdings zu ungenau, um dem Auskunfts- und Informationspflicht gerecht zu werden.

Das AG Pfaffenhofen entschied zugunsten des Klägers. Die Beklagte wurde verurteilt, nach Art. 82 DSGVO € 300,- Schmerzensgeld zu zahlen.

 

Konkrete Schadenshöhe und Bemessung des Anspruchs

Fraglich ist in diesem Zuge, wie das Gericht auf die konkrete Schadenshöhe von € 300,- stieß. Nach europäischer Auslegung ist der Schadensbegriff weit zu verstehen, was die Ausführungen zu Erwägungsgrund 146 untermauern. Die Höhe des Anspruchs ist dabei nicht willkürlich, sondern auf der Grundlage der inhaltlichen Schwere und Dauer der Rechtsverletzung zu beurteilen, unter Berücksichtigung des Kontexts und der Umstände eines Verstoßes. Genugtuungs- und Vorbeugungsfunktion können bei der Bezifferung eine Rolle spielen.

Die Meinungen der Gerichte spalten sich bezüglich des Umfangs von Schmerzensgeldansprüchen erheblich. Einerseits darf die Höhe des Schadensersatzes keine Strafwirkung entfalten. Andererseits reicht ein künstlich niedrig bezifferter Betrag mit symbolischer Wirkung nicht aus, um die praktische Wirksamkeit des Unionsrechts sicherzustellen.

So sprach etwa das AG Hildesheim € 800,- zu in einem Fall, in dem auf einem wiederaufbereiteten und weiterveräußerten PC private Daten des ursprünglichen Besitzers noch vorhanden und somit an einen Dritten gelangt waren. Das LG Lüneburg etwa sprach € 1.000 zu in einem Fall eines rechtswidrigen Schufa-Eintrags.

Im vorliegenden Urteil berief sich die Richterin auf das durch die Werbemail hervorgerufene „ungute Gefühl“ des Klägers zur Begründung des angesetzten Betrags. „Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden, auch bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert.“

Den digitalen Kontrollverlust nennt Erwägungsgrund 75 explizit als Schaden. Im Urteil heißt es auch weiter, dass es auf eine etwaige Erheblichkeitsschwelle nicht ankomme, da die DSGVO eine solche auch nicht benenne. Diese Entscheidung widerspricht somit oberinstanzlicher Rechtsprechung. Die Obergerichte verlangten bisher, dass ein datenschutzrechtlicher Schadensersatzanspruch nur bei Überschreitung einer gewissen Erheblichkeitsschwelle in Betracht komme.

Vorliegend berücksichtigt das Gericht, dass der Kläger (der selbst zunächst von der Beklagten € 300,- gefordert hatte, im Rahmen der prozessualen Geltendmachung dann einen Bereich von nicht unter € 100,- für angemessen hielt) nicht nur von einem, sondern von mehreren Verstößen des Beklagten gegen Vorschriften der DSGVO betroffen war. Andererseits blieben die Auswirkungen für den Kläger im „eigenen Bereich“ des Klägers. Es wurde von den Verstößen kein Bereich tangiert, der Beziehungen des Klägers zu anderen Parteien betraf, somit die Gefahr einer Schädigung seines Ansehens, seiner Kreditwürdigkeit o.ä. bot.

 

Ausblick

Das Urteil des AG Pfaffenhofen a.d. Ilm ist in vielerlei Hinsicht bemerkenswert. Die vorliegende Entscheidung widerspricht der bisherigen oberinstanzlichen Rechtsprechung, wonach ein DSGVO-Schadensersatz eine gewisse Erheblichkeitsschwelle überschreiten muss, damit ein Schadensersatz fällig wird.

Hiermit unterstreicht es nochmals die generelle Notwendigkeit einer einheitlichen Spruchpraxis bezüglich der rechtlichen Handhabe der Schadensbemessung. Die Gerichte entscheiden nach wie vor bezüglich der Schadenshöhe und auch hinsichtlich der Frage, ob überhaupt ein konkreter Schaden vorliegt, noch sehr unvorhersehbar und unterschiedlich, wie der hiesige Fall beweist.

Unternehmen sind gerade aufgrund der unterschiedlichen Schadenshöhe gut beraten und gewarnt, rechtzeitig auf Auskunftsersuchen betroffener Personen gemäß Art. 15 DSGVO einzugehen und es nicht auf eine gerichtliche Auseinandersetzung ankommen zu lassen. Überdies sei erneut auf die Dringlichkeit hingewiesen, stets Einwilligungen für die Verarbeitung personenbezogener Daten einzuholen. Zunehmend steigt die Sensibilität der Gerichte und vor allem der Verbraucher bezüglich etwaiger datenschutzrechtlicher Verstöße.

In absehbarer Zeit wird ohnehin der EuGH zu den konkreten Problemen des Schadensersatzanspruchs nach Art. 82 DSGVO Stellung nehmen, da ein entsprechendes Vorabentscheidungsverfahren existiert.

Es bleibt abzuwarten, welche Stellungnahme der EUGH zu den konkreten Fragestellungen um das Thema des Schadensersatzes nach Art. 82 DSGVO abgibt.

 
 
 

 

 

Eine Arbeitsunfähigkeitsbescheinigung unmittelbar nach Ausspruch einer Eigenkündigung, die
passgenau den Zeitraum der Kündigungsfrist erfasst, kann den Beweiswert dieser Arbeitsunfähigkeitsbescheinigung erschüttern.


Das BAG (AZ: BAG 5 AZR 149/21) hatte über folgende Fallgestaltung zu entscheiden:

Eine Mitarbeiterin hatte Anfang Februar 2019 zum Monatsende gekündigt und am selben Tag noch eine ärztliche Arbeitsunfähigkeitsbescheinigung bis zum Ende der Kündigungsfrist eingereicht. Arbeitskollegen gegenüber hatte die Mitarbeiterin erklärt, sie werde bis zum Ende der Kündigungsfrist nicht mehr kommen. Der Arbeitgeber verweigerte die Entlohnung dieser Arbeitsunfähigkeitszeit.

Das Bundesarbeitsgericht wies die Zahlungsklage der Mitarbeiterin ab. Der Beweiswert einer ärztlichen Arbeitsunfähigkeitsbescheinigung sei grundsätzlich hoch einzustufen, er sei allerdings dann erschüttert, wenn die Arbeitsunfähigkeitszeit exakt die Restlaufzeit des Arbeitsverhältnisses erfasst.

Insoweit wäre erforderlich gewesen, dass die Klägerin im Klageverfahren näher zu den Krankheitsursachen vorträgt. Dies war aber nicht geschehen.


Grundsätzlich hat die ärztliche Arbeitsunfähigkeitsbescheinigung einen sehr hohen Beweiswert. Dieser ist allerdings dann erschüttert, wenn berechtigte Zweifel an der Arbeitsunfähigkeit bestehen. Dies kann unter Umständen auch bereits dann angenommen werden, wenn sich unmittelbar nach Ablauf der 6-Wochen-Entgeltfortzahlungsfrist eine erneute Ersterkrankung
anschließt.

Michael Haden
Rechtsanwalt
Fachanwalt für Arbeitsrecht

 
 
 

 

 

 

Die europäische Gesetzgebung zum Datenschutz leidet unter erheblichen Auslegungsproblemen. Einheitliche Rechtsprechung oder höchstrichterliche Urteile fehlen bisher, was es Rechtsanwendern im Einzelfall erschwert, sich bei der Sachbearbeitung an bestehenden Größen und Entscheidungen zu orientieren. Vor allem die konkreten Voraussetzungen und die Bemessung von Schadensersatzansprüchen aus Art. 82 DSGVO werden von den Gerichten nicht einheitlich bewertet.

In seinem Urteil vom 01. Juli 2021 befasste sich das Landgericht Bonn ausführlich mit den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruchs aufgrund einer Verletzung von DSGVO-Vorgaben gemäß Art. 82 DSGVO.

Vorliegend wurde die Geltendmachung eines Schadensersatzanspruchs aufgrund einer verspäteten und unvollständigen Datenauskunft verhandelt. Ein konkreter ersatzfähiger Schaden lag nach Ansicht des Gerichts allerdings nicht vor – denn Warten allein ist kein Schaden.

 

Das Wichtigste in Kürze

  • Die verspätete Beantwortung eines Auskunftsersuchens nach Art. 15 DSGVO führt nicht automatisch zu einem Schadensersatzanspruch nach Art. 82 DSGVO der betroffenen Person

  • Bloßes „Warten“ stellt keinen immateriellen Schaden dar

  • Ein Auskunftsanspruch nach Art. 15 DSGVO ist nicht als erfüllt anzusehen, sofern die Auskunft offensichtlich unvollständig erteilt wurde

  • Liegen keine besonderen Umstände vor, ist der Regelstreitwert bei Ansprüchen im Zusammenhang mit Datenauskünften nach Art. 15 DSGVO mit € 500 anzusetzen

 

Sachverhalt

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte. Außerdem wurde der Beklagte für die Klägerin in einer Schadenssache gegen einen Haftpflichtversicherer eines Kosmetikstudios aus 2017 tätig.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte befand sich mit Erteilung der Datenauskunft neun Monate im Verzug, zudem wurde der Anspruch nicht vollständig erfüllt. Es fehlten Angaben zum Mandatskonto, sowie Berichte der Kommunikation über E-Mail und WhatsApp zwischen der Klägerin und dem Beklagten. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem untervollständige Datenauskunft erteilt habe.

Schließlich fehle es noch an Auskünften bezüglich des Verfahrens gegen das Kosmetikstudio. Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Der Verzug sowie die unterstellte Mutwilligkeit wurden zur Begründung eines immateriellen Schadens angeführt.

 

 

Auskunftsrecht von Betroffenen

Die Informationsrechte von Betroffenen sind im Kapitel 3 der DSGVO umfassend normiert. Artikel 15 des entsprechenden Kapitels regelt das Auskunftsrecht Betroffener gegenüber den Verantwortlichen.

Demnach hat jeder Betroffene, dessen Daten beispielsweise von einem Unternehmen verarbeitet werden, das Recht zu erfahren, ob überhaupt personenbezogene Daten verarbeitet wurden und wenn dies zu bejahen ist, welche Daten verarbeitet und gegebenenfalls gespeichert wurden oder werden.

Macht der Betroffene diesen Anspruch geltend, ist der Verantwortliche verpflichtet, gemäß Art. 12 Abs. 3 DSGVO die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu erteilen. Diese Frist kann, bei komplexen und umfangreichen Datensätzen um bis zu zwei Monate verlängert werden. Allerdings ist der Verantwortliche in solchen Fällen verpflichtet, den Betroffenen über die Fristverlängerung zu informieren.

 

 

Kein Schmerzensgeld bei nicht eingehaltener Frist 

Das Gericht folgt im vorliegenden Verfahren der Ansicht des OLG Köln, indem es den Umfang der Datenauskunft grundsätzlich weit fasst. Somit fallen sowohl die Informationen aus dem Mandatskonto der Klägerin als auch die Daten der elektronischen Kommunikation darunter. Hierdurch tritt die Erfüllung des entsprechenden Anspruchs auf Auskunft erst dann ein, wenn der Gesamtumfang berücksichtigt und dargelegt wurde.

Somit wurde das Bestehen des Auskunftsanspruchs der Klägerin nach Art. 15 DSGVO zwar bejaht, ein Entschädigungsanspruch aufgrund der verspäteten Auskunftserteilung gemäß Art. 82 DSGVO aber verneint. Die Nichteinhaltung der Frist sei nicht vom Sinn und Zweck einer Sanktionierung nach Art. 82 DSGVO erfasst.

Ein Schadenersatzanspruch nach Art. 82 DSGVO entsteht nur, wenn der Betroffene aufgrund einer rechtswidrigen Datenverarbeitung materielle oder immaterielle Schäden erlitten hat. Nicht, wie vorliegend, bei einer verspäteten bzw. unvollständigen Datenauskunft.

 

Das Gericht führte dies wie folgt aus:

„Gemäß Art. 82 Absatz 2 DSGVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. (…) Dementsprechend löst die nach Art. 12 Absatz 3 Satz 1 DSGVO verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DSGVO grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DSGVO aus.“

Diese Konkretisierung entspricht auch dem vom europäischen Gesetzgeber normierten Erwägungsgrund 146 der DSGVO. Hiernach müssen ausschließlich Schäden, die aufgrund einer Verarbeitung entstehen und mit der DSGVO nicht im Einklang stehen, ersetzt werden.

Das Gericht betonte allerdings auch, dass es für die Urteilsfindung unerheblich sei, ob durch die Fristverzögerung ein Verstoß begangen wurde, da die Klägerin ohnehin keinen nachvollziehbaren Schadenseintritt darlegen konnte.

 

Immaterielle Schäden

Es liegt in der Natur der Sache, dass immaterielle Schäden in der Praxis oftmals schwierig zu ermitteln sind. Schäden dieser Art gehen nämlich nicht mit einer Vermögenseinbuße einher.

Es wird jedoch vorausgesetzt, dass diese, unabhängig von einer Erheblichkeitsschwelle, spürbar sein müssen. Fehlt es an der geforderten Spürbarkeit, scheidet ein Schaden begrifflich schon aus.

Vorliegend entschied das Gericht, dass die erforderliche Spürbarkeit dem Vorbringen der Klägerin nicht entnommen werden kann, womit es zu dem Ergebnis kam, dass die Klägerin keinen immateriellen Schaden erlitten hat.

Lediglich das „Warten“ auf die Datenauskunft, das sich durch die Nichteinhaltung der Frist ergab, ist nicht ausreichend um einen ersatzfähigen Schaden nach der DSGVO zu begründen.

Das Landgericht Bonn stellte allerdings fest, dass der Auskunftsanspruch nicht erfüllt worden ist. Die Erfüllung setzt voraus, dass die Auskunft nicht offensichtlich unvollständig ist. Das Gericht bewertete die Nichtoffenlegung einiger Inhalte durch den Beklagten als offensichtliche Auskunftslücke.

Trotzdem mangelte es an einer nachvollziehbaren Schadensdarlegung, womit das Gericht die Klage in Bezug auf das Schmerzensgeld abwies.

 

Erheblichkeitsschwelle beim immateriellen Schadensersatzanspruch

Eine ausdrückliche Bagatell- bzw. Erheblichkeitsschwelle für die Verhängung von Sanktionen oder die Geltendmachung von Schadensersatzansprüchen ist der DSGVO nicht zu entnehmen. In Bezug auf die Verhängung von Bußgeldern jedenfalls, sieht Erwägungsgrund 148 die Möglichkeit vor, von der Verhängung abzusehen, sofern es sich lediglich um einen Bagatellverstoß handelt.

Die Frage, ob sich eine entsprechende Erheblichkeitsschwelle auf den immateriellen Schadensersatz ausdehnen lässt, löste einen breiten Dissens innerhalb der Rechtsprechung aus. Es wurde thematisiert, ob ein Mindestmaß an Erheblichkeit (Erheblichkeitsschwelle) zur Begründung des Schmerzensgelds erforderlich sein sollte, also ob eine Anwendung des Art. 82 DGSVO auf immaterielle Bagatellschäden überhaupt stattfinden soll.

Das OLG Dresden sowie das Amtsgericht Goslar nahmen hierzu Stellung und verwiesen auf ein erhebliches Missbrauchsrisiko, das mit einem nahezu voraussetzungslosen Schmerzensgeldanspruch gerade im Bereich des Datenschutzrechts einherginge.

Folgt man diesen Ausführungen, setzt ein Schaden, der einen Anspruch aus Artikel 82 DSGVO begründet, eine gewisse Erheblichkeit voraus. Eine zu ermittelnde Bagatellschwelle müsste überschritten werden.

Auch das Bundesverfassungsgericht musste sich schon mit dieser Frage beschäftigen und stellte fest, dass eine Erheblichkeits- bzw. Bagatellschwelle von nationalen Gerichten nicht einfach angenommen werden darf, da dies eine ungeklärte Rechtsfrage darstelle und abschließend vom EuGH zu klären sei. Das Bundesverfassungsgericht legte die Frage letztendlich dem EuGH vor.

Schließlich berührt diese Diskussion zwar den konkreten Fall, jedoch entschied das LG Bonn ausdrücklich unabhängig hiervon, da es bereits im Ansatz am erforderlichen Schaden mangelte.

 

 

Von € 5.000 auf lediglich € 500 – Herabsetzung des Standardstreitwerts

Hinzu kommt, dass das Landgericht Bonn in seiner Entscheidung die Rechtfertigung des, in Datenschutzsachen häufig pauschal eingesetzten, Streitwertes für Rechtsstreitigkeiten in Höhe von € 5.000 bezweifelt. Inwiefern dieser pauschale Streitwert maßgeblich ist, erschließt sich für das Gericht nicht.

Sowohl der Anspruch auf Datenauskunft als auch die Interessenlage der Anspruchsteller seien nicht verallgemeinerungsfähig und somit nicht mit einem pauschalen Streitwert zu bemessen. Gerade auf diesem Rechtsgebiet sei der Inhalt des Anspruchs vom jeweiligen Einzelfall geprägt, womit die zur Begründung von Ansprüchen dargelegten Einzelheiten variieren können.

Die Interessenlage und damit einhergehende verschiedene Wertinteressen müssen unbedingt bei der Bemessung der Streitwertfestsetzung berücksichtigt werden.

Liegen im vorliegenden Einzelfall keine Besonderheiten vor, soll, nach Auffassung des Gerichts das Wertinteresse pauschal mit einem Wert von € 500 und nicht wie ursprünglich € 5.000 zu bemessen sein. Ein Wertansatz, der diesen pauschalen Wert von € 500 übersteigt, sei nur dann gerechtfertigt, wenn im konkreten Fall die geforderte Datenauskunft ein übermäßig hohes Wertinteresse erkennen und feststellen ließe.

 

 

Ausblick

Im vorliegenden Fall war somit nicht die Bemessung des Schadens, sondern bereits dessen Existenz streitig. Es mangelt an kohärenter Rechtsprechung zur Handhabung immaterieller Schäden. Dies stellt nach wie vor für den Betroffenen eine Unsicherheit dar.

Die Klägerin machte zwar geltend, dass sie in Folge der verspäteten Auskunft vermeidbare Kosten erlitten hat, dennoch entschied das Gericht, dass dieser Fall nicht im Sinne der Entschädigung nach Artikel 82 DGSVO sei. Wie auch vom Gericht festgestellt, beging der Beklagte durch sein Verhalten Pflichtverletzungen gegenüber der Klägerin, die vermeidbar waren. Allerdings bestand alleine im Warten auf die Auskunft an sich kein Schaden, den die Klägerin in Form eines Schmerzensgeldes geltend machen konnte. Dies wird im Hinblick auf den verwiesenen Art. 82 DSGVO ausdrücklich klargestellt.

Die Argumentation des LG Bonn ist überzeugend. Allerdings haben andere Gerichte auch schon Schadensersatzansprüche auf Grund einer unzureichenden bzw. verspäteten Auskunft bejaht. So zuletzt das LAG Hamm (LAG Hamm, Urt. v. 11.05.2021 – Az.: 6 Sa 1260/20), welches dem betroffenen Arbeitnehmer einen Schadensersatzanspruch in Höhe von € 1.000 auf Grund einer ungenügenden Auskunft zusprach.  Auch hier zeigt sich erneut die Tendenz der Arbeitsgerichte bei immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO sowohl die Schwelle der Erheblichkeit als auch die Bestimmung der Schadenshöhe äußerst arbeitnehmerfreundlich zu definieren.

Auch wenn die Argumentation des LG Bonn vorliegend vorzugswürdig erscheint, bleibt abzuwarten, welche konkreten Voraussetzungen die Obergerichte und insbesondere der EuGH an den Ersatz immaterieller Schäden nach Art. 82 DSGVO stellen werden. Unabhängig davon sollten sich jedoch insbesondere Unternehmen bewusst sein, dass entsprechendes Fehlverhalten, auch zu Bußgeldern durch die zuständige Aufsichtsbehörde führen kann. Daher ist die Einführung definierter Prozesse zu Umgang mit Anfragen Betroffener von großer Bedeutung. Dies kann die Bearbeitungszeit entsprechender Anfragen erheblich reduzieren und unnötige Auseinandersetzungen mit Betroffenen oder Behörden vorbeugen.

 

 
 
 

 

 

 

Sachverhalt

Im August 2016 erlitt die Klägerin einen schweren Verkehrsunfall, woraufhin sie am 08.09.2016 den Beklagten als Rechtsanwalt zur Regulierung der Unfallschäden beauftragte. Außerdem wurde der Beklagte für die Klägerin in einer Schadenssache gegen einen Haftpflichtversicherer eines Kosmetikstudios aus 2017 tätig.

Am 07.01.2020 kündigte die Klägerin das Mandatsverhältnis und verlangte vom Beklagten eine vollständige Datenauskunft gemäß Art. 15 DSGVO sowie Herausgabe einer Kopie der Handakte. Diese Akte ist eine Zusammenstellung aller gesammelten und zu einem bestimmten Rechtsfall gehörenden Schriftstücke.

Der Beklagte befand sich mit Erteilung der Datenauskunft neun Monate im Verzug, zudem wurde der Anspruch nicht vollständig erfüllt. Es fehlten Angaben zum Mandatskonto, sowie Berichte der Kommunikation über E-Mail und WhatsApp zwischen der Klägerin und dem Beklagten. Außerdem ist unklar, ob Daten an einen weiteren Rechtsanwalt weitergegeben worden sind, der sich mit dem Beklagten in einer Bürogemeinschaft befand und die gleiche Telefaxnummer nutzte.

Die Klägerin sah sich aufgrund dessen gezwungen, einen anderen Rechtsanwalt zu beauftragen, woraus weitere Kosten entstanden, die sie ersetzt haben wollte. Sie bezeichnete das Verhalten des Beklagten als mutwillig, da dieser nicht nur eine erheblich verspätete, sondern vor allem untervollständige Datenauskunft erteilt habe.

Schließlich fehle es noch an Auskünften bezüglich des Verfahrens gegen das Kosmetikstudio. Aufgrund der verspäteten Datenauskunft war die Klägerin nicht in der Lage, Ansprüche gegenüber der Versicherung geltend zu machen.

In diesem Zusammenhang forderte die Klägerin zusätzlich Schmerzensgeld aus Art. 82 DSGVO, das € 1.000 nicht unterschreiten sollte. Der Verzug sowie die unterstellte Mutwilligkeit wurden zur Begründung eines immateriellen Schadens angeführt.

Indem er mit einem irreführend formatierten Anmeldeformular Nutzerinnen und Nutzer dazu bewegte, personenbezogene Daten für Werbezwecke in Form des Profilings zu nutzen, soll der von der REWE Österreich ins Leben gerufene „Jö Bonus Club“ nun 2 Millionen Euro Strafe zahlen. Die angemeldeten Kunden und Kundinnen gingen davon aus, sie meldeten sich lediglich für den Bonusclub selbst an. Dies geht aus dem am 2. August 2021 veröffentlichen Bescheid der österreichischen Datenschutzbehörde hervor.

Im Datenschutzrecht gilt der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn das Gesetz sieht eine Ausnahme vor oder die betroffenen Personen willigen darin ein. Das Einholen einer freiwilligen und informierten Einwilligung von Kundinnen und Kunden, wie das Gesetz es vorschreibt, ist jedoch in der Praxis ein durch Unternehmen vielfach übergangenes und auch teilweise ignoriertes Institut. So kommt es immer wieder vor, dass Kunden zumeist gar nicht erst in die Datenverarbeitung eingewilligt haben, buchstäblich unter Druck gesetzt wurden oder im Zuge von Verschleierungstaktiken nicht wussten, worin sie tatsächlich einwilligen.

 

Das Wichtigste in Kürze:

  • Die Verarbeitung personenbezogener Daten unterliegt einem Verbot mit Erlaubnisvorbehalt, Art. 6 Abs. 1 S. 1 DSGVO.
  • 7 Abs. 2 DSGVO regelt die Voraussetzungen an eine Wirksame Einwilligung. Demnach muss für den Betroffenen verständlich und transparent gemacht werden, in welche Datenverarbeitung er einwilligt.
  • Bei Profiling zum Zwecke der bedürfnisorientierten Werbegestaltung ist der Rahmen des Art. 22 DSGVO datenschutzrechtlich zu beachten und besondere Vorsicht geboten.
  • Intransparent gestaltete Einwilligungserklärungen sind unwirksam und können nicht als Rechtsgrundlage herangezogen werden.
  • Im Zuge der Irreführung von rund 2,3 Millionen Menschen liegt der Jö Bonus Club GmbH nun ein Bußgeldbescheid von 2 Mio. Euro vor.

 

Hintergrund

Ausgangspunkt des verhängten Bußgelds war eine unzureichende Einwilligung bei der Anmeldung zum sog. Jö Bonus Club in Österreich. Die Jö Bonus Club GmbH gehört zu der Supermarktkette Rewe Österreich. Bei dem Jö Bonus Club handelt es sich, ähnlich wie bei Paypal, um ein Kundenbindungsprogramm. Mit der Anmeldung erklärten sich die Mitglieder, neben der Teilnahme am Bonus Club, unter anderem damit einverstanden, dass personenbezogene Daten zu Profilingzwecken genutzt werden.

Beim Profiling geht es um das Erstellen individueller Kundenprofile, um letztlich ein auf den jeweiligen Kunden und die jeweilige Kundin zugeschnittenes Werbungspaket zu identifizieren und ihnen dann zielgerichtet, nach persönlichen Präferenzen und Bedürfnissen mit Werbung zu bespielen. Die österreichische Datenschutzbehörde gab an, dass die eingeholten Einwilligungen der Kundschaft für das Profiling in dem Zeitraum von Mai 2019 bis März 2020 unwirksam sind.

Dies betrifft die Einwilligungen von insgesamt rund 2,3 Millionen Betroffenen. Grund hierfür war die Gestaltung des Einwilligungsverfahrens des Jö Bonus Clubs. Da die Informationen zur zusätzlichen Datenverarbeitung erst weiter unten ersichtlich waren und damit schwer einsehbar, hat die Datenschutzbehörde die Platzierung des Einwilligungskästchens zu den Datenschutzinformationen beanstandet. Dies führte dazu, dass die potentiellen Mitglieder mit der Absicht einwilligten, von exklusiven Vorteilen und Aktionen profitieren zu können, anstatt an besagter Stelle über die weitere Datenverarbeitung aufgeklärt zu werden.

Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke diente. Man verschleierte also effektiv etwaige Profilingtätigkeiten. Auch auf den Anmeldeformularen in Papierform konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden. Die Einwilligungsgestaltung erweckte also vielmehr den Anschein, es handle sich ausschließlich um eine Anmeldung für den Bonus Club selbst, wohingegen tatsächlich auch eine Einwilligung zum Profiling eingeholt wurde.

 

Die Einwilligung und der Datenschutz

Die Einholung der Einwilligung kann bereits aus Gründen der Unachtsamkeit oder mangelnder datenschutzrechtlicher Aufklärung vieler Unternehmen eine knifflige Angelegenheit darstellen und bei Fehlern ein hohes Bußgeld heraufbeschwören. Bei einer fehlenden bzw. unzulässigen Einwilligung handelt es sich nämlich nicht um ein Kavaliersdelikt.

So musste die AOK Baden-Württemberg ein Bußgeld in Höhe von 1,2 Mio. Euro zahlen. Die Einwilligungen der Kunden und Kundinnen wurden teilweise nicht eindeutig abgegeben, die AOK verarbeitete die Daten trotzdem. Auch die Sparkasse sorgte mit fragwürdigen Mitteln für eine Einwilligung ihrer Kunden und Kundinnen. Hier wurde die Kundschaft durch Ausübung von Druck zu ihrer Einwilligung in die Datenverarbeitung bewegt.

Entscheidender Punkt bei der Verarbeitung von personenbezogenen Daten ist die Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a) DSGVO, da es sich im Datenschutzrecht um ein Verbot mit Erlaubnisvorbehalt handelt. Dies bedeutet, dass die Datenverarbeitung grundsätzlich erst einmal verboten ist. Liegen eine gesetzliche Ausnahme oder eine Einwilligung seitens des Betroffenen in die jeweilige Verarbeitung vor, so ist die Datenverarbeitung erlaubt. Überdies sind die Anforderungen des Art. 7 DSGVO nicht außer Acht zu lassen.

Die DSGVO sieht in Art. 7 Abs. 2 DSGVO vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen. Die Erklärung und der gesamte Einwilligungsprozess selbst müssen also für den Betroffenen unmissverständlich sein.

Gesondert niedergelegt ist dies nochmals im Erwägungsgrund 32 der DSGVO: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

 

Profilingaktivitäten als Marketingmaßnahme

Bei Profiling handelt es sich um die Erstellung individueller Kundenprofile,. Hierdurch wird ein zielgenaues und auf die Bedürfnisse der Kunden abgestimmtes Marketing gewährleistet, welches die Beeinflussung von Kaufentscheidungen ermöglichen soll.

Gemäß Art. 4 Nr. 4 DSGVO versteht man unter Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Der eng gefasste rechtliche Rahmen von Profiling ist in Art. 22 Abs. 1 DSGVO vorgegeben.

Danach hat die betroffene Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Gerade beim Profiling hätte, laut der zuständigen Behörde, aufgrund des erhöhten Risikos mehr Aufmerksamkeit auf die Information über die Datenverarbeitung gelegt werden müssen.

 

Der Bescheid der österreichischen Datenschutzbehörde

Die österreichische Behörde erkannte in den Vorkommnissen eine Verletzung der Pflicht des Clubs, sein Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten. Dementsprechend wertete die Behörde die Einwilligungen der Kunden und Kundinnen als unwirksam und das auf ihrer Grundlage durchgeführte Profiling als unrechtmäßig. Dieser Verstoß war schon einmal Gegenstand eines Verfahrens gegen das Unternehmen. Als Reaktion darauf hatte dieses vormalig Änderungen an seinen Einwilligungserklärungen vorgenommen.

Anstatt eine neue, ordnungsgemäße Einwilligung hinsichtlich des Profilings zu gestalten und die Betroffenen und von den bereits bestehenden Kunden eine rechtmäßige Einwilligung einzuholen, verarbeitete die Jö Bonus Club GmbH die bereits unrechtmäßig eingeholten Daten weiterhin – ohne eine gültige Einwilligung.

Die österreichische Datenschutzbehörde verhängte ein Bußgeld von über 2 Millionen Euro. Dabei wurden die Auswirkungen der Corona-Pandemie seitens der Behörde als strafmildernd bei der Bemessung der Geldbuße berücksichtigt, weil die COVID-19-Pandemie geschäftliche Tätigkeiten erschwerte und der Club Verluste erlitt. Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts steht noch aus.

 

Ausblick

Die Verarbeitung personenbezogener Daten zu Marketingzwecken birgt enorme Potentiale zur Absatzsteigerung von Unternehmen. Hierbei spielt eine möglichst zielgenaue Werbeansprache potentieller Kunden eine große Rolle. Derartige Maßnahmen – und speziell das besonderes Datenintensive Profiling zu Marketingzwecken – bedürfen jedoch zwingend einer Einwilligung der Betroffenen.

Potentiellen Kunden offenzulegen, dass über diese Persönlichkeitsprofile erstellt werden, um ihnen gezielter Werbung anzeigen zu können, kann auf diese abschreckend wirken und sie von der Erteilung der entsprechenden Einwilligung abhlaten. So ist es nicht verwunderlich, dass Unternehmen oftmals durch geschicktes Platzieren der rechtlich verbindlichen Hinweise versuchen, eine Einwilligung zu erhalten, ohne dass dem Nutzer bewusst ist, worin er eigentlich einwilligt.

Dieses Phänomen lässt sich insbesondere auch bei der Gestaltung von Cookie Consent-Managern beobachten. Dort wird der Nutzer oftmals durch den Einsatz sogenannter „Dark Patterns“ in Form der ganz bewusst gewählten Gestaltung und Platzierung von Schaltflächen dazu bewegt, in mehr Datenverarbeitungen einzuwilligen als technisch notwendig. Auch auf Grund des Einsatzes solcher „Dark Patterns“ werden europäische Datenschutzbehörden verstärkt aktiv. Ähnlich liegt der Fall hier. 

Der Club hat durch die konkrete Gestaltung der Datenschutzinformationen den Eindruck vermittelt, Kunden würden sich nur für Rabatte und Gutscheine anmelden. Nur sofern sie nach unten scrollten, hätten sie erfahren, dass sie sich zum sogenannten Profiling bereit erklären, also zur Weiterverwendung persönlicher Daten, um künftige Prognosen zu treffen.

Der konkrete Fall zeigt jedoch, dass sich entsprechendes Verhalten nicht unbedingt auszahlt.

Das Unternehmen musste die Profilierung bei Kunden und Kundinnen einstellen, die ihre Einwilligung in dem betroffenen Zeitraum zwischen Mai 2019 und März 2020 abgegeben haben. Um bereits im Vorfeld zu verhindern, dass die erhoffte Rechtsgrundlage für die Verarbeitung sich nicht als unwirksam herausstellt und trotz einer eingeholten Einwilligung keine Datenverarbeitung möglich ist, sollte folglich vor Einholung von Einwilligungen umfassend geprüft werden, ob sämtliche Anforderungen für deren Wirksamkeit erfüllt sind.

Es empfiehlt sich aufgrund der Komplexität der Angelegenheit, den Datenschutzbeauftragten frühzeitig zu konsultieren und in derartige Vorhaben einzubinden. Die beabsichtigte Datenverarbeitung muss im Vorfeld immer leicht verständlich, transparent und klar beschrieben sein. Bei Nichteinhaltung der Anforderungen des Art. 7 Abs. 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der Jö Bonus Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine hohe Geldstrafe.

 

 
 
 

 

 

 

 

Arbeitgeber müssen bei der Begründung und Durchführung eines Arbeitsverhältnisses personenbezogene Daten des Arbeitnehmers speichern und verarbeiten. Beim Thema Datenschutz im Arbeitsverhältnis ist es erforderlich, einerseits die Unternehmensführung des Arbeitgebers zu berücksichtigen, aber auch andererseits das Recht auf informationelle Selbstbestimmung der Beschäftigten zu wahren. Im Beschäftigungsverhältnis bestehen oftmals offene Fragen, was die Befugnisse des Arbeitgebers hinsichtlich personenbezogener Daten anbelangt. Hier bedarf es noch höchstrichterliche Klärung. Jüngst hat das BAG dem EuGH mit Vorlagebeschluss Fragen zu den Rechtsgrundlagen für die Datenverarbeitung im Beschäftigungsverhältnis zur Klärung gestellt. Unter diesen Fragen befindet sich auch das klärungsbedürftige Verhältnis zwischen Art. 9 Abs. 2 DSGVO und Art. 6 Abs. 1 DSGVO.

 

Das Wichtigste in Kürze:

  • Der BGH legte dem EuGH einen Fragekatalog zur Klärung von datenschutzrechtlichen Fragestellungen im Beschäftigungsverhältnis vor.
  • Vorangegangen war ein Rechtsstreit, in dem es um die Verarbeitung besonderer Kategorien von personenbezogenen Daten nach Art. 9 Abs. 2 lit. h) DSGVO ging.
  • Klärungsbedürftig bleibt weiterhin das Verhältnis zwischen Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO. Deutsche Datenschützer gehen aktuell von einer kumulativen Anwendung aus.
  • § 26 Abs. 3 BDSG ist eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Erfüllung weiterer Voraussetzungen zulässig.

 

Hintergrund und Vorlagefragen des BAG

Das Bundesarbeitsgericht ersuchte mit Beschluss von 26. August 2021 den Europäischen Gerichtshof nach Art. 267 AEUV um Vorabentscheidung. Das zugrundeliegende Revisionsverfahren der Beklagten wird bis zur Entscheidung des EuGH ausgesetzt. Das BAG stellte hierbei folgende Fragen:

  • Ist Art. 9 Abs. 2 lit. h) DSGVO so auszulegen, dass ein MDK Gesundheitsdaten eines betreffenden Arbeitnehmers, die wiederrum Voraussetzung und daher notwendig für die Beurteilung seiner Arbeitsfähigkeit sind, nicht verarbeiten darf?
  • Falls der MDK die personenbezogenen Daten entsprechend verarbeiten durfte ist fraglich, ob außer den Maßgaben aus Art. 9 Abs. 3 DSGVO in diesem Fall noch weitere und gegebenenfalls welche Vorgaben zum Datenschutz zu beachten sind?
  • Falls der MDK die Daten entsprechend verarbeiten durfte, besteht Klärungsbedarf hinsichtlich der Frage, ob die Zulässigkeit und Rechtmäßigkeit der Datenverarbeitung der Gesundheitsdaten zusätzlich zu Art. 9 Abs. 2 lit. h) DSGVO von den weiteren Voraussetzungen des Art. 6 Abs. 1 DSGVO abhängt.
  • Sodann muss geprüft werden, ob Art. 82 Abs. 1 DSGVO generalpräventiven Charakter hat und ob dies bei der Bußgeldhöhe berücksichtigt werden muss.
  • Kommt es bei der Bemessung der Höhe des Bußgeldes nach Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. des Auftragsverarbeiters an? Indes ist fraglich, ob geringes bzw. fehlendes Verschulden zu seinen Gunsten berücksichtigt werden darf.

In dem zugrundeliegenden Verfahren geht es um die Geltendmachung eines Schadensersatzanspruchs gem. Art. 82 DSGVO. Der Kläger war zum maßgeblichen Zeitpunkt Systemadministrator in der IT-Abteilung des beauftragten medizinischen Diensts (MDK) bei der Beklagten. Der Kläger macht Verstöße gegen Datenschutzvorschriften geltend, die im Zusammenhang mit der Einholung eines schriftlichen Gutachtens zu seiner Arbeitsunfähigkeit beim MDK stehen.

So wurden weitere Beschäftigte detailliert über seinen Gesundheitszustand informiert. Der Kläger warf der Beklagten vor, sie hätte in seinem Fall das Gutachten gar nicht erst erstellen dürfen. Er trägt außerdem vor, seine Gesundheitsdaten seien von der Beklagten nicht ausreichend geschützt worden.

 

Verarbeitung besonderer Kategorien personenbezogener Daten

In Art. 9 Abs. 1 DSGVO definierte der Gesetzgeber Kategorien von besonders schützenswerten personenbezogenen Daten. Darin heißt es, dass die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt ist.

Nach Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringen von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Es besteht also erst einmal ein kategorisches Verbot der Verarbeitung. Dieser Regelung liegt die Vermutung zugrunde, dass ein unzureichender Schutz dieser Daten mit besonders negativen Konsequenzen für die betroffene Person verbunden ist.

Da im Wirtschaftsleben oftmals auch besondere Kategorien personenbezogener Daten verarbeitet werden müssen, sieht Art. 9 Abs. 2 DSGVO einen Katalog von eng gefassten Ausnahmen vor. So gilt Absatz 1 beispielsweise nicht in den Fällen, in denen die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien, erforderlich ist (lit. h).

Absatz 1 gilt auch nicht für den Fall, dass der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.

Dies ist bei Ausübung eines Beschäftigungsverhältnisses unerlässlich, da sonst keine Arbeitsunfähigkeitsbescheinigungen eingesehen oder betriebliche Eingliederungsmaßnahmen vollzogen werden könnten.

 

Verhältnis Art. 6 Abs. 1 S. 1 lit. a) und Art. 9 Abs. 2 lit. a) DSGVO

Weiterhin geht es insbesondere darum, ob bei der Verarbeitung besonderer Kategorien personenbezogener Daten die Erfordernisse des Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO kumulativ vorliegen müssen oder ob gegebenenfalls eine Verarbeitung alleine auf Art. 9 DSGVO gestützt werden kann. Diese Fragestellung hat weitreichende praktische Konsequenzen für die Verantwortlichen.

So muss bei Erfüllung der Informationspflichten nach Art. 13, 14 Abs. 1 lit. c) DSGVO die genaue und konkrete Rechtsgrundlage stets angegeben werden. Bei Verstoß gegen eben diese Pflicht können Bußgelder drohen. Art. 6 Abs. 1 S. 1 lit. a) nennt die Einwilligung Betroffener als potentielle Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Hiernach ist die Verarbeitung nur rechtmäßig, wenn die Bedingung der Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke abgegeben wurde. Art. 7 DSGVO enthält ergänzende Regelungen zur rechtlichen Wirksamkeit einer Einwilligung.

Der wesentliche Unterschied der Normen besteht also darin, dass Art. 9 Abs. 2 lit. a) DSGVO schlicht regelt, dass besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten, nur bei Vorliegen einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Art. 9 Abs. 2 lit. a) DSGVO grenzt dabei den Erlaubnistatbestand dahingehend weiter ein, dass eine Einwilligung ausdrücklich erteilt werden muss. Art. 6 Abs. 1 S. 1 lit. a) DSGVO hingegen spricht nur von einer eindeutig bestätigenden Handlung. Gegen eine zusätzliche Anwendung von Art. 6 DSGVO könnte sprechen, dass dieser rein nach der Gesetzessystematik einen abschließenden Katalog von Erlaubnistatbeständen enthält.

Für eine gemeinsame Anwendbarkeit spricht allerdings, dass Art. 9 Abs. 2 DSGVO Grenzen der zulässigen Bearbeitung enger fasst, aber keine weitere ergänzende Rechtsgrundlage schafft. Weiterhin spricht auch der risikobasierte Ansatz der DSGVO für eine ergänzende Anwendung beider Vorschriften. Mit steigender Sensibilität und damit auch steigender Eingriffsintensität der personenbezogenen Daten, wie dies bei Gesundheitsdaten der Fall ist, werden auch höhere Anforderungen an die Rechtmäßigkeit und Zulässigkeit der Verarbeitung gestellt.

Aktuell wenden die deutschen Aufsichtsbehörden, der deutsche Gesetzgeber als Verfasser des BDSG und die gerichtliche Vorinstanz im konkreten Fall die kumulierten Voraussetzungen beider Artikel an. Ob der EuGH auch tatsächlich demgemäß entscheidet, steht damit noch lange nicht fest.

 

Besondere Voraussetzungen im Beschäftigungsverhältnis

Nach § 26 Abs. 3 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig. Erforderlich ist, dass die Verarbeitung zur Erfüllung rechtlicher Pflichten aus dem Arbeits- und Sozialrecht dient. Überdies muss eine Interessenabwägung getätigt werden.

Es darf kein Grund zu der Annahme bestehen, dass ein überwiegendes schutzwürdiges Interesse der Betroffenen an einem Unterlassen der Verarbeitung besteht. Dies könnte im Arbeitsverhältnis beispielsweise in den Situationen von Dokumentationspflichten bei Arbeitsunfällen, der Verarbeitung von Arbeitsunfähigkeitsbescheinigungen, Beachtung der Kirchensteuer bei der Lohnabrechnung und einer Unterrichtung des Betriebsrates bei längerer Erkrankung/ Schwangerschaft relevant werden.

Sodann müssen „angemessenen und spezifische Maßnahmen“ zur Interessenwahrung der Betroffenen getroffen werden, § 22 Abs. 2 BDSG. Dies könnten nach S. 2 etwa Zugriffsprotokollierung, Sensibilisierung der an Verarbeitungsvorgängen beteiligten Mitarbeiter, Pseudonymisierung, Benennung von Datenschutzbeauftragten oder Implementierung von TOMs sein.

 

Ausblick

Gerade im Bereich der besonderen Kategorien personenbezogener Daten ist im Zuge der Sensibilität Vorsicht und eine umfassende Sicherung dieser Daten geboten. Gerade im Beschäftigungsverhältnis ist das Aufkommen an besonderen Kategorien personenbezogener Daten sehr hoch, denke man an die Gesundheitsdaten, wie Arbeitsunfähigkeitsbescheinigungen, von Beschäftigten in Ihrem Unternehmen. Hier sollten Sie sich vorzeitig mit Datenschutzbeauftragten um eine datenschutzkonforme Lösung beraten, die ein hohes Sicherheitsmaß vor unbefugten Zugriffen und Missbrauch aufweist.

Die Vorlagefragen an den EuGH befassen sich also im Kern mit der Konkretisierung des Schutzes besonderer Kategorien personenbezogener Daten. Bezüglich des Verhältnisses des Art. 6 und Art. 9 DSGVO steht eine richtungsweisende Entscheidung des EuGH bevor.

Nach Auffassung der Gerichte hierzulande kann eine Verarbeitung nicht alleine auf Art. 9 Abs. 2 DSGVO gestützt werden, wenn sie nicht auch nach Art. 6 Abs. 1 DSGVO zulässig ist. Ansonsten würde eine Umgehung des beabsichtigten besonders hohen Schutzes bei der Verarbeitung besonderer Kategorien personenbezogener Daten drohen.

Es bleibt abzuwarten, ob der EuGH die kumulative Anwendung der Artikel bestätigt. Zu begrüßen ist die Entscheidung jedenfalls vor dem Hintergrund größerer Rechtssicherheit.

 

 

Call Now ButtonKontakt aufnehmen