Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Immaterieller Schadensersatzanspruch infolge unrechtmäßiger Datenweitergabe an Gegenanwalt

 
 
 

 

 

 

Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.

Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten.  In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.

 

1. Hintergrund

Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.

Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.

Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.

In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.

Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten.  Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.

 

2. Verstoß gegen die DSGVO

Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.

Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.

Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.

Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.

Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat

 

3. Berechnung der Höhe des Schadensersatzes

Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.

Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.

Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.

Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.

Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.

 

4. Ausblick

Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.

Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.

Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.

 
 
 

 

Seit der Datenschutz-Grundverordnung (DSGVO) müssen auch Websitebetreiber verstärkt auf den Datenschutz achten. Handelt es sich bei den auf der Internetseite erhobenen und verarbeiteten Daten um personenbezogene Daten natürlicher Personen, sind die Vorgaben der DSGVO zu beachten, unabhängig davon, welche Art von Website betrieben wird. 

 

Das Wichtigste in Kürze: 

  • Unabhängig davon, welche Art von Website betrieben wird sind die Vorgaben der DSGVO einzuhalten 
  • Eine Datenschutzerklärung stellt einen obligatorischen Bestandteil einer jeden Website dar 
  • In einer Datenschutzerklärung sind Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer Daten, sowie ihre damit zusammenhängenden Rechte zu informieren 
  • Lässt ein Websitebetreiber personenbezogene Daten durch einen externen Dienstleister verarbeiten, ist ein Auftragsverarbeitungsvertrag erforderlich 
  • Bei einer Website, auf der personenbezogene Daten erhoben und verarbeitet werden, muss eine verschlüsselte Datenübertragung gewährleistet werden  

 

Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Darunter fallen im Falle einer Website unter anderem folgende Daten: 

  • IP-Adressen und sonstige User-Daten wie beispielsweise der Bestellverlauf in einem OnlineShop, Daten über das Surfverhalten, Suchanfragen, der Browserverlauf 
  • Name und Anschrift 
  • E-Mail-Adressen 
  • Daten, die mithilfe von Tracking-Software, wie beispielsweise Google-Analytics, oder Matomo erhoben werden 

 

1. Datenschutzerklärung 

Vor allem ist eine rechtskonforme Datenschutzerklärung verpflichtend, die alle nach der DSGVO erforderlichen Angaben enthält. Sie stellt einen obligatorischen Bestandteil einer jeden Website dar, sobald durch diese personenbezogene Daten verarbeitet werden. Durch eine Datenschutzerklärung werden die Websitebesucher umfassend über Art und Weise der Verarbeitung ihrer personenbezogenen Daten, sowie ihre damit zusammenhängenden Rechte unterrichtet. Ohne die ordentliche Umsetzung der Bestimmungen der DSGVO im Zusammenhang mit der Datenschutzerklärung können Websitebetreibern Abmahnungen, Bußgelder oder auch Schadenersatzansprüche drohen.  

 

Eine Datenschutzerklärung sollte demnach mindestens folgende Angaben enthalten:  

  • Benennung des Verantwortlichen für die Datenverarbeitung und des Datenschutzbeauftragten, sofern einer ernannt wurde, sowie Angabe der Kontaktdaten 
  • Beschreibung des Zwecks der Datenverarbeitung 
  • Benennung der Rechtsgrundlage auf welcher die Datenverarbeitung erfolgt: 

Im Datenschutzrecht gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Demnach dürfen personenbezogene Daten nicht erhoben, verarbeitet oder gespeichert werden, es sei denn der Betroffene stimmt dem ausdrücklich zu oder das Gesetz gestattet dies. Im Hinblick auf das Betreiben einer Website ist insbesondere die „Wahrung berechtigter Interessen“ nach Art. 6 Abs.1 S.1 lit. f) DSGVO zu nennen oder die Notwendigkeit der Datenverarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO, beispielsweise im Falle eines Online-Shops. Auf die Rechtsgrundlage „Wahrung berechtigter Interessen“ lassen sich insbesondere solche Verarbeitungen stützen, die für die Gewährleistung der Sicherheit der Website erforderlich sind. Darunter fällt beispielsweise die temporäre Speicherung von IP-Adressen. 

  • Angabe über die Speicherung der Daten sowie die Speicherdauer 
  • Angaben über eine eventuelle Übermittlung an Dritte 
  • Angaben über eine eventuelle Übermittlung an Drittstaaten 
  • Aufklärung über Rechte der betroffenen Personen, wie z.B. Widerruflichkeit von Einwilligungen, Auskunft, Berichtigung, Recht auf Löschung,  

 

Je nachdem welche Software oder Tools der Websitebetreiber einsetzt oder ob er mit externen Dienstleistern zusammenarbeitet, kann die Datenschutzerklärung einen erheblichen Umfang haben. Zudem muss die Erklärung in einfacher und verständlicher Sprache abgefasst und dem Websitebesucher leicht zugänglich sein. 


2. Hosting 

Oftmals speichern Unternehmen die Daten die auf ihrer Website erhoben und verarbeitet werden nicht auf eigenen Servern, sondern nehmen einen entsprechenden Service externer IT-Dienstleister, sogenannte IT-Hoster in Anspruch. In diesem Fall ist ein Auftragsverarbeitungsvertrag erforderlichBetreiben Unternehmen ihre Server selbst, lassen diesen allerdings durch externe Dienstleister warten, ist ebenso ein Auftragsverarbeitungsvertrag erforderlich, sofern der Dienstleister im Rahmen der Wartung Zugriff auf personenbezogene Daten hat. 


3. Log-Dateien 

Unter Log-Dateien sind solche Daten zu verstehen, die dem Betreiber der Internetseite ermöglichen die Aktivität der Websitebesucher zu erfassen. Hierbei kommt das berechtigte Interesse des Websitebetreibers für statistische Auswertungen als Rechtsgrundlage in Betracht. Auf dieser Grundlage gilt, dass eine Datenverarbeitung erfolgen darf, sofern sie für die Sicherheit und Funktionsfähigkeit der Internetseite erforderlich ist 


4. Verschlüsselung 

Beim Betreiben einer Website, auf der Daten erhoben und verarbeitet werden, muss eine sichere Datenübertragung zwischen Nutzer und dem Website betreibenden Server gewährleistet werden. Insbesondere, wenn auf einer Website eine Registrierung oder bei einem Bestellvorgang die Angabe von Zahlungs- und Adressdaten erfolgt. Die Verschlüsselung sollte stets dem neusten Stand der Technik entsprechen.  


5. Kontaktformular 

Oftmals stellen Websitebetreiber ein Kontaktformular zur Verfügung, um Seitenbesuchern die Kontaktaufnahme mit dem Websitebetreiber zu erleichtern. Da hierbei personenbezogene Daten wie Name sowie Kontaktdaten abgefragt werden, erfolgt eine Datenerhebung. Grundsätzlich dürfen nur notwendige Daten abgefragt werben. Zudem sollten bei der Datenabfrage optionale Angaben als freiwillig gekennzeichnet werden. 


6. Tracking- und Analyse-Software 

Um den eigenen Internetauftritt zielgruppenorientiert auszurichten, können Tracking- und Analyse-Tools wie Google Analytics und Matomo eingesetzt werden, die dem Websitebetreiber die Möglichkeit geben das Nutzungsverhalten ihrer Besucher zu erfassen. Problematisch ist in diesem Zusammenhang, dass mit der Nutzung solcher Analyse-Tools auf der Website automatisch die IP-Adresse der Websitebesucher verarbeitet wird. Da IP-Adressen personenbezogene Daten im Sinne der DSGVO darstellen sind die Datenschutzbestimmungen einzuhalten. Gegebenenfalls muss vor deAktivierung solcher Tools, eine Einwilligung der Nutzer eingeholt werden. 


7. Social Media Plugins 

Social Media Plugins sind die auf einer Website eingebundenen Elemente, die von den Servern ihrer jeweiligen Anbieter („Drittanbieter“) bezogen werden. Dies können beispielsweise Grafiken, Videos oder interaktive Schaltflächen sein, die es Nutzern unter anderem ermöglichen Websiteinhalte mittels eines Klicks auf Social Media Plattformen, wie Facebook oder Twitter zu teilen oder zu empfehlen. Solche Plugins ermöglichen den Betreibern, die Reichweite der Website zu erhöhen. Problematisch dabei ist, dass Plugins personenbezogene Daten verarbeiten und Drittanbieter dabei Persönlichkeitsprofile erstellen ohne, dass der Nutzer darüber informiert ist. Aus diesem Grund muss eine datenschutzkonforme Einbindung von Social Media Plugins gewährleistet werden.  


8. Cookies 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Dadurch lassen sich Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass beispielsweise nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Grundsätzlich kann der Einsatz von Cookies auf ein berechtigtes Interesse des Websitebetreibers gestützt werden, soweit diese beispielsweise für eine notwendige Funktion erforderlich sind. Abgesehen davon ist für den Einsatz von Cookies stets vorab die Einwilligung des Websitebesuchers einzuholen. 


9. Fazit 

Auch bei der Gestaltung ihres Internetauftritts müssen sowohl Unternehmen als auch Privatpersonen den Bestimmungen der DSGVO Folge leisten. Dies ist oftmals keine leichte Aufgabe und bereitet den Verantwortlichen regelmäßig Schwierigkeiten. Aus diesem Grund empfiehlt es sich stets Experten mit Fachwissen in den Bereichen IT- und Datenschutzrecht mit der Überprüfung oder Gestaltung der eigenen Website und insbesondere der Erstellung einer Datenschutzerklärung zu beauftragen, um Datenschutzverstöße zu vermeiden. 

 
 
 

 

Nachdem seit Dezember 2020 nun bereits der 3. Impfstoff gegen die Sars- Covid 19 Infektion (Corona) in der EU zugelassen wurde, stellen sich insbesondere, aber keineswegs nur in sensiblen Bereichen wie Krankenhäusern, Arzt- und Zahnarztpraxen sowie für den Bereich der sog. „körpernahen“ Dienstleistungen wie Friseure, Beautysalons etc. Arbeitgeber und Arbeitnehmer die Frage, ob von der Arbeitgeber eine Impfung verlangen kann (Impfpflicht) und hiervon möglicherweise sogar den Bestand des Arbeitsverhältnisses abhängig machen kann.

Nach derzeitiger Gesetzeslage scheint dies gegenwärtig schwierig zu sein, da eine entsprechende Verpflichtung eines Arbeitnehmers nicht auf Grund eines Gesetzes derzeit nicht besteht. Dies gilt auch für solche Berufsgruppen, die in § 3 der seit dem 15.12.2020 geltenden Corona-Impfverordnung (https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/C/Coronavirus/Verordnungen/CoronaImpfV_-_De_Buette.pdf) als priorisiert bezeichnet werden.

Denkbar wäre auch, dass eine Impfpflicht z.B. aus Tarifvertrag oder Arbeitsvertrag folgt. Gerade im letzteren Falle könnten Arbeitgeber die Aufnahme einer entsprechenden arbeitsvertraglichen Verpflichtung in Erwägung ziehen.

Hierzu würde es aber im Grundsatz der Zustimmung des Arbeitnehmers bedürfen. Bei der Überlegung, eine entsprechende Verpflichtung arbeitsvertraglich zu etablieren, darf jedoch nicht übersehen werden, dass eine Klauselkontrolle gerichtlich erfolgen kann; Gleiches gilt auch dann, wenn in einem relativ jungen Arbeitsverhältnis bereits einer entsprechenden Impfverpflichtung zugestimmt wurde, daher der Arbeitsvertrag bereits abgeschlossen wurde, und hierin eine Impfpflicht  Rechtsprechung existiert hierzu bislang nicht.

 

Impfnachweis

Weiter ist die Frage nach der Kontrolle bzw. dem Impfnachweis relevant. Ein solcher Nachweis könnte allenfalls in Form der Präsentation eines Impfnachweises oder eines Impfpasses erbracht werden. Solange allerdings eine gesetzliche Impflicht nicht besteht, könnten sich ernstzunehmende Bedenken unter dem Gesichtspunkt des Datenschutzes ergeben. Ein besonderes Augenmerk ist hierbei auf den Umstand zu richten, dass es sich bei einem Impfnachweis bzw. dem Impfausweis um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt, die einen besonderen Schutz genießen und deren Verarbeitung besonders hohen Anforderungen unterliegt.

Nach derzeitiger Gesetzeslage ist erscheint eine Verarbeitung derartiger (Arbeitnehmer-)Daten nahezu unmöglich. Ob dies für die in der o.g. Corona- Impfverordnung genannten priorisierten Berufsgruppen gilt, erscheint ebenso zweifelhaft, da sich hieraus auch keine Verpflichtung zu einer Impfung für betroffenen Berufsgruppen gilt.

 


Fazit

Zusammenfassend erscheint es nach gegenwärtiger Rechtlage schwierig, eine Impflicht für Arbeitnehmer zu etablieren. Die Impfung ist eine ärztliche Behandlung, die zugleich einen Eingriff in die körperliche Unversehrtheit des Arbeitnehmers bildet.

Soweit ein Tarifvertrag, Betriebsvereinbarung oder Arbeitsvertrag vorsieht, dass der Arbeitnehmer einer Impfpflicht unterliegt, drängt sich die Frage auf, ob solch eine Bestimmung mit unserer Verfassung, insb. Art. 2 Abs. 2 S. 1 GG, vereinbar ist. Eine „Zwangsimpfung“, d.h. die Impfung unter Anwendung körperlicher Gewalt, ist ausgeschlossen. Nichtsdestotrotz kann in Einzelfällen die Möglichkeit bestehen, dass ein Arbeitgeber den Bestand des Arbeitsverhältnisses von der Impfung abhängig macht und im Falle, dass der Arbeitnehmer sich nicht impfen lässt, eine Kündigung ausspricht. Solch ein Vorgehen bedarf einer umfassenden Interessensabwägung, in der einerseits das Recht auf körperliche Unversehrtheit des Arbeitnehmers, andererseits die (unternehmerischen) Interessen des Arbeitgebers berücksichtigt werden müssen. Tendenziell dürfte das Recht auf körperliche Unversehrtheit des Arbeitnehmers überwiegen.

Daraus folgt, dass auch solche Arbeitnehmer, die eine Impfung ablehnen, gegenwärtig nicht mit arbeitsrechtlichen Konsequenzen rechnen müssen.    

 

 

 
 
 

 

 

 

Ein Update zu Corona und Arbeitsrecht 

In unseren beiden Artikeln vom 17.03.2020 (abrufbar unter https://kolb-blickhan-partner.de/corona-virus-und-arbeitsrecht/ und https://kolb-blickhan-partner.de/corona-virus-kuendigung/) gingen wir auf arbeitsrechtliche Fragestellungen ein, die mit der Corona-Pandemie im Zusammenhang stehen.

Nachdem nunmehr ein Dreivierteljahr vergangen ist, möchten wir Sie über die Entwicklung in der arbeitsgerichtlichen Rechtsprechung der vergangenen Monate informieren. 

Obwohl sich die derzeitige Corona-Pandemie auf viele arbeitsvertragliche Beziehungen niederschlägt, blieb eine Vielzahl an arbeitsrechtlichen Fragestellungen, wie z.B. die Einführung von Kurzarbeit oder Home-Office, die Möglichkeit „coronabedingt“ zu kündigen usw., von den Arbeitsgerichten unbeantwortet.

Selbst wenn einzelne Arbeitsgerichte über bestimmte Fragestellungen urteilten; die Schaffung einer Rechtsklarheit und gefestigten Rechtsprechung ist nicht in Sicht. Nichtsdestotrotz gehen wir auf einige gerichtliche Entscheidungen ein, um Sie über die derzeitige Entwicklung zu informieren: 

 

1. Einseitige Einführung von Kurzarbeit weiterhin ein großer Streitpunkt 

In unserem Artikel über Corona und Kündigung führten wir aus, dass die einseitige Einführung von Kurzarbeit vermutlich nicht zulässig ist; soweit ein Arbeitsvertrag keine entsprechende „Kurzarbeiterklausel enthält, dürfte es auf individualarbeitsvertraglicher Ebene auf den Abschluss einer Änderungs- oder Ergänzungsvereinbarung zwischen dem Arbeitgeber und dem Arbeitnehmer ankommen. Bei dieser Fragestellung scheinen sich die Geister zu scheiden. 

 

 1.1 Ansicht des Arbeitsgerichts Siegburg

Mit Urteil vom 11.11.2020 bestätigte das Arbeitsgericht Siegburg (Az.: 4 Ca 1240/20) diese Auffassung. Der klagende Arbeitnehmer war bei einem Unternehmen als Omnibusfahrer eingestellt. Der ursprünglich abgeschlossene Arbeitsvertrag enthielt keine Regelung über die Einführung von Kurzarbeit; eine gesonderte Vereinbarung über die Einführung von Kurzarbeit schlossen die Parteien nicht ab.

Im Frühjahr 2020 teilte der Arbeitgeber dem Arbeitnehmer mit, dass er Kurzarbeit einführen müsse, wovon auch der Arbeitnehmer betroffen sei. In den darauffolgenden Monaten kürzte der Arbeitgeber einseitig einen Teil des arbeitsvertraglich vereinbarten Gehaltes und bezeichnete die gekürzten Zahlungen in diesen Monaten als Kurzarbeitergeld. Der Arbeitnehmer klagte wiederum die arbeitsvertraglich vereinbarte Vergütung ein. 

Das Arbeitsgericht Siegburg sprach dem Arbeitnehmer die arbeitsvertraglich vereinbarte Vergütung (abzüglich der bereits erhaltenen Zahlungen, die der Arbeitgeber als „Kurzarbeitergeld“ bezeichnete) zu. Es führte aus, dass der Arbeitgeber Kurzarbeit nur dann anordnen darf, wenn diese Möglichkeit individualvertraglich, durch Betriebsvereinbarung oder tarifvertraglich zulässig ist. Soweit solch eine individualarbeitsvertragliche oder kollektiv-rechtliche (d.h. durch Tarifvertrag oder Betriebsvereinbarung) Grundlage fehlt, besteht nicht die arbeitgeberseitige Möglichkeit, Kurzarbeit anzuordnen; zugleich behält ein Arbeitnehmer gegen seinen Arbeitgeber den vollen Lohnanspruch. 

 

1.2 Ansicht des Arbeitsgerichts Stuttgart

Kurz zuvor entschied das Arbeitsgericht Stuttgart jedoch, dass ein Arbeitgeber faktisch einseitig mit dem Ausspruch einer fristlosen, betriebsbedingten Änderungskündigung Kurzarbeit einführen darf. In dem vorliegenden Fall beantragte der Arbeitgeber bei der Agentur für Arbeit Kurzarbeitergeld; die Agentur für Arbeit sah die Voraussetzungen der §§ 95 ff. SGB III als erfüllt an, weshalb sie (befristet) Kurzarbeitergeld gewährte.

Eine Arbeitnehmerin, deren ursprünglicher Arbeitsvertrag die Möglichkeit der Einführung von Kurzarbeit nicht vorsah, stimmte einem arbeitgeberseitigen Angebot bzw. einer Ergänzungsvereinbarung zu dem ursprünglichen Arbeitsvertrag, welche die Einführung von Kurzarbeit vorsah, nicht zu.

Hierauf sprach der Arbeitgeber eine fristlose, betriebsbedingte Änderungskündigung aus; er kündigte den ursprünglichen Arbeitsvertrag und bot der Arbeitnehmerin einen „neuen“ Arbeitsvertrag an, der – nebst der ursprünglich vereinbarten Arbeitsbedingungen – die Einführung von Kurzarbeit vorsah. Das Arbeitsgericht Stuttgart erklärte die Änderungskündigung für sozial gerechtfertigt und mithin für rechtswirksam.  

Gemäß § 1 Abs. 2 S. 1 KSchG ist eine betriebsbedingte Kündigung (im Wesentlichen) dann gerechtfertigt, soweit dringende betriebliche Erfordernisse vorliegen und die (Änderungs-)Kündigung verhältnismäßig ist. Da es sich zeitgleich um eine außerordentliche, d.h. fristlose Kündigung handelte, müssten zudem gemäß § 626 Abs. 1 BGB diese dringenden betrieblichen Erfordernisse so gewichtig sein, dass ein Festhalten an dem Arbeitsvertrag zu unveränderten Bedingungen, d.h. vorliegend ohne die Möglichkeit Kurzarbeit anzuordnen, für den Arbeitgeber schlichtweg unzumutbar ist. 

Das Arbeitsgericht Stuttgart entschied jedoch, dass an den wichtigen Grund im Sinne des §626 Abs. 1 BGB keine hohen Anforderungen zu setzen sind; es konstatierte, dass die Gewährung des Kurzarbeitergeldes durch die Agentur für Arbeit qua Gesetz einen erheblichen Arbeitsausfall im Sinne von § 96 SGB III voraussetze. Diese gesetzliche Wertung würde wiederum die dringenden betrieblichen Erfordernisse begründen, die eine (sogar fristlose) betriebsbedingte Änderungskündigung rechtfertigen würden.  

Letztendlich sei dieses Vorgehen auch verhältnismäßig, so das Arbeitsgericht Stuttgart. Es entschied, dass eine Änderungskündigung zur Einführung von Kurzarbeit dann verhältnismäßig ist, wenn (1) der Arbeitgeber eine gewisse Ankündigungsfrist einhält, wobei eine dreiwöchige Frist als angemessen erscheint, (2) für den betroffenen Arbeitnehmer die Voraussetzungen des Kurzarbeitergeldes nach §§ 95, 96 SGB III vorliegen, (3) die Einführungsmöglichkeit von Kurzarbeit zeitlich begrenzt ist und (4) alle anderen milderen Mittel – insbesondere ein arbeitgeberseitiger Versuch, Kurzarbeit durch einvernehmliche Regelung einzuführen – ausgeschöpft sind. 

Beide Entscheidungen widersprechen sich; während das Arbeitsgericht Siegburg die Einführung von Kurzarbeit von einer vertraglichen Abrede zwischen dem Arbeitgeber und dem Arbeitnehmer abhängig machte, führte das Arbeitsgericht Stuttgart aus, dass auch eine einseitige Einführung möglich ist.

1.3 Fazit

Die Urteile sind eine bildhafte Bestätigung des geläufigen Sprichwortes „Zwei Juristen, drei Meinungen!“ und verdeutlichen, dass die rechtliche Thematik über die Einführung von Kurzarbeit mitnichten abschließend entschieden ist. 

 

2. Home-Office – Ja oder nein? 

Die Tätigkeit im Home-Office ist eine – sowohl für den Arbeitgeber als auch für den Arbeitnehmer – willkommene Möglichkeit, die arbeitsvertragliche Beziehung trotz der corona-bedingten Einschränkungen nahezu unverändert fortzusetzen und zeitgleich die Gefahr einer weiteren exponentiellen Verbreitung des Virus oder der eigenen Ansteckung zu minimieren.

Für Arbeitnehmer mit Kindern eröffnet die Tätigkeit im Home-Office die Möglichkeit ihre Kinder – insb. im Falle einer Schließung der Schule oder Kindertagesstätte – zu betreuen; Arbeitgeber hingegen können oftmals Betriebskosten sparen. Auf den ersten Blick handelt es sich um eine sog. Win-Win Situation; doch auch hier muss darauf geachtet werden, ob und falls ja, unter welchen Voraussetzungen, arbeitgeberseitig Home-Office angeordnet werden darf. 

Der größte Teil der bestehenden Arbeitsverträge dürfte keine Regelung zu Home-Office haben; die Tätigkeit im Home-Office ist tatsächlich ein recht junges Institut, welches in den vergangenen Jahren im Zuge der Digitalisierung des Arbeitsrechts (sog. Arbeitsrecht 4.0) entstanden ist und bis vor ca. einem Jahr nicht weit verbreitet war.

Im Rahmen der corona-bedingten Einschränkungen und Lockdowns ergab sich für viele Betriebe die zwingende Notwendigkeit kurzfristig Home-Office anzuordnen, weil Arbeitnehmer einerseits die Betriebsstätte nicht aufsuchen durften, andererseits bestimmte Tätigkeiten verrichtet werden mussten, da andernfalls der Stillstand und u.U. auch die (vorübergehende) Einstellung des Betriebes drohte. Jedoch stellt sich (weiterhin) die Frage: Wie kann Home-Office eingeführt werden? 

Arbeitsvertragliche (Versetzungs-)Klauseln, deren Wirksamkeit oftmals an dem Verbraucherrecht nach §§ 305 ff. BGB scheitert, außenvorlassend, sieht § 106 GewO vor, dass der Arbeitgeber Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen kann. Die Frage, ob unter „(Arbeits-)Ort“ auch das Zuhause des Arbeitnehmers erfasst werden kann, beantwortete die Arbeitsgerichtsbarkeit grundsätzlich mit einem Nein.

So entschied u.a. das Landesarbeitsgericht Berlin-Brandenburg am 10.10.2018 (Az.: 17 Sa 562/18), dass die einseitige Weisung des Arbeitgebers einen Mitarbeiter ins Home-Office zu „schicken“ nicht von dem Direktionsrecht des § 106 GewO erfasst ist; soweit keine beidseitig vereinbarte Abrede über die Einführung von Home-Office besteht, kann die einseitige Anordnung durch den Arbeitgeber einen Eingriff in den Schutzbereich des Art. 13 GG (Grundrecht auf Unverletzlichkeit der Wohnung) des Arbeitnehmers bilden.

Diese Entscheidung stammte aus dem Jahr 2018 und lässt die weitreichenden Auswirkungen und Folgen der Corona-Pandemie und den hiermit verbundenen Einschränkungen unberücksichtigt; unter Berücksichtigung der derzeitigen Situation könnte gegebenenfalls die einseitige Anordnung (zumindest ausnahmsweise) gerechtfertigt sein; nichtsdestotrotz ist aus Gründen der Rechtssicherheit der Abschluss einer Vereinbarung dringend anzuraten. 

 

3. Home-Office – Wie? 

Selbst wenn die Möglichkeit der Einführung von Home-Office bestehen sollte, muss der Arbeitgeber stets darauf achten, dass er die Rahmenbedingungen für die Tätigkeit im Home-Office schafft, weshalb der Abschluss einer individualarbeitsvertraglichen oder im Falle, dass ein Betriebsrat besteht, einer kollektiven Vereinbarung zwingend geboten ist. 

Bei der Einführung bzw. Umsetzung von Home-Office dürfen Aspekte wie der Datenschutz, Arbeitszeiterfassung, Bereitstellung von Arbeitsmitteln, Regelungen zu den Kosten, Zutrittsrecht des Arbeitgebers usw., nicht vernachlässigt werden. Infolge des Umstandes, dass für die Tätigkeit im Home-Office keine gesetzliche Regelung besteht, zugleich die gesetzlichen Bestimmungen des Arbeitsrechts unverändert fortgelten, sind die Arbeitsvertragsparteien, und insb. der Arbeitgeber, angehalten, die Verhaltensregeln für die Tätigkeit im Home-Office zu definieren. 

Sollten Sie – sowohl als Arbeitgeber als auch als Arbeitnehmer – von den arbeitsrechtlichen Folgen des Corona-Virus betroffen sein, können Sie sich gerne mit uns in Verbindung setzen. Wir können Sie – unter Berücksichtigung der individuellen Umstände und der Natur des Arbeitsverhältnisses – beraten und insbesondere eine einvernehmliche Lösung mit Ihrem Arbeitnehmer bzw. Arbeitgeber anstreben. 

 

 

 

 
 
 

 

Mit dem Urteil vom 28.05.2020 hat der Bundesgerichtshof eine Entscheidung des Europäischen Gerichtshofs bestätigt und damit das Erfordernis einer aktiven Zustimmung des Websitenutzers nach ausführlichem Cookie-Hinweis bejaht. Spätestens seit dieser Entscheidung, die weitrechende Auswirkungen auf die Ausgestaltung von Cookie-Hinweisen hat, sollten Websitebetreiber sich mit diesem Thema umfassend auseinandersetzen, um eine datenschutzkonforme Nutzung ihrer Website zu ermöglichen.  


Das Wichtigste in Kürze: 

  • Cookies sind kleine Textdateien, die eine Website auf dem Rechner des Websitebesuchers ablegt, um diesen beim nächsten Seitenaufruf identifizieren zu können 
  • Auf die Verwendung von Cookies muss vom Websitebetreiber hingewiesen werden  
  • Für eine legitime Verwendung von Cookies, ist grundsätzlich eine Rechtsgrundlage erforderlich 
  • Ist eine Einwilligung des Websitenutzers erforderlich, kann diese mithilfe eines Cookie-Consent-Banners eingeholt werden 
  • Websitebesucher sind in der Datenschutzerklärung umfassend über Art, Umfang, Zwecke sowie Speicherdauer der verwendeten Cookies zu informieren 

 

1. Was sind Cookies? 

Unter Cookies sind kleine Textdateien zu verstehen, die eine Website auf dem Computer des Websitebesuchers ablegt. Sofern ein entsprechender Cookie gesetzt und die Aktivität des Nutzers dokumentiert wurde, lassen sich dadurch Websitebesucher identifizieren und bei einem erneuten Seitenbesuch wiedererkennen, sodass nicht bei jedem Websitebesuch erneut Anmeldedaten eingegeben werden müssen. Abgesehen davon, dass der Cookie-Einsatz für den Nutzer von Vorteil ist, da dieser nicht bei jedem erneuten Aufruf seine Daten angeben muss, können Websitebetreiber diese zum Erstellen von Besucherprofilen nutzen, die sie anschließend für Marketingzwecke verwenden können. 

Grundsätzlich muss zwischen technisch notwendigen und nicht notwendigen Cookies unterscheiden werden. Technisch notwendige Cookies sind solche, die für die Funktion einer Webseite unabdingbar sind. Demgegenüber sind nicht notwendige Cookies solche, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch für andere Zwecke Daten erheben, wie beispielsweise, Tracking-. Analyse-Cookies oder Cookies von Social-Media-Websites. Darunter fallen beispielsweise Cookies aus Social-Media Plug-ins wie Facebook, Instagram und Tracking- und Analyse-Tools wie zum Beispiel Google Analytics .

 

2. Welche Probleme bestehen im Zusammenhang mit Cookies? 

Problematisch im Zusammenhang mit der Verwendung von Cookies ist, dass die  Erhebung personenbezogener Daten ohne vorherige  Zustimmung der Websitenutzer in den meisten Fällen nicht gestattet ist. Denn mittlerweile werden Cookies nicht nur zwecks angenehmer Bedienbarkeit verwendet, sondern auch als Werbe,-Tracking- oder Analyse-Cookies eingesetzt, die Daten über das Nutzerverhalten sammeln. In diesem Zusammenhang besteht auch die Möglichkeit, dass durch Cookies personenbezogene Daten der Nutzer an Unternehmen und Werbetreibende übermittelt werden können. Sofern Daten wie beispielsweise die Bankverbindung oder eine Telefonnummer gespeichert werden, kann sich für den Nutzer daraus ein Sicherheitsrisiko ergeben. 

 

3. Auf welche rechtliche Grundlage kann der Cookie-Einsatz gestützt werden? 

Bereits seit 2009 existiert die sogenannte Cookie-Richtlinie, die europaweit geltende Bestimmungen im Zusammenhang mit dem Umgang mit Cookies enthält. Diese Richtlinie, wurde vom deutschen Gesetzgeber jedoch nicht umgesetzt, sodass insbesondere die Umsetzung der Cookie-Hinweispflicht als problematisch angesehen wird. Die EU-Kommission verweist in diesem Zusammenhang auf § 13 ff. des Telemediengesetztes (TMG), die die Pflichten eines Dienstanbieters regeln. Allerdings enthält das TMG keine ausdrückliche Regelung im Hinblick auf die Hinweispflicht bei der Verwendung von Cookies. Ohnehin werden die Regelungen des TMG von denjenigen der DSGVO verdrängt 

Da mithilfe von Cookies personenbezogene Daten analysiert, gespeichert, weiterverarbeitet oder an Dritte weitergeleitet werden, ist für eine legitime Verarbeitung entsprechend der DSGVO eine Rechtsgrundlage erforderlich. Grundsätzlich ist der Einsatz von Cookies zulässig und kann auf ein berechtigtes Interesse des Websitebetreibers im Sinne des Art. 6 Abs.1 lit. f) DSGVO gestützt werden, soweit diese beispielsweise für eine notwendige oder nützliche technische Funktion erforderlich sind. Demnach dürfen diese von Anfang an auch ohne vorherige Zustimmung des Nutzers eingesetzt werden.  

Werden demgegenüber über das erforderliche Maß Nutzerdaten gespeichert, ist zwingend eine Einwilligung des Websitebesuchers erforderlich nach Art. 6 Abs. 1 lit. a) DSGVO.  

 

4. Wie kann eine wirksame Einwilligung eingeholt werden? 

Im Übrigen kann für den Einsatz solcher Cookies ein Cookie-Consent-Banner verwendet werden, über den vorab die Einwilligung des Websitebesuchers eingeholt werden kann. Durch den Einsatz eines solchen Banners soll dem Seitenbesucher eine Möglichkeit eingeräumt werden, seine vorherige Zustimmung zur Verwendung bestimmter Cookies zu erteilen oder zu ändern. Insoweit muss die Gestaltung der Cookie-Hinweise mit detaillierten Cookie-Auswahl-Optionen erfolgen, sodass der Nutzer eine Wahl hat nur die erforderlichen Cookies zuzulassen. Das Banner erscheint beim ersten Websitebesuch und blockiert unmittelbar alle weiteren Anwendungen, solange der Nutzer nicht aktiv ausgesucht hat, welche Cookies zugelassen werden sollen. Sobald der Nutzer sein Einverständnis bestätigt, schließt sich der Consent-Banner und die Website kann normal weitergenutzt werden.  

Die Einwilligung des Websitebesuchers muss auf Basis einer freiwilligen, informierten und bewussten Entscheidung erfolgen. Dabei ist ein sogenanntes Opt-in-Verfahren zu verwenden, wobei der Nutzer durch das aktive Anklicken eines Kästchens und damit dem Setzen eines Häkchens oder auch der Bedienung eines Schiebereglers seine Zustimmung gibt. Demgegenüber ist ein Cookie-Banner das bereits voreingestellt ist und nur weggeklickt werden kann nicht ausreichend. Weiterscrollen, Streichen oder das fortgesetzte Surfen auf der Website erfüllt ebenso wenig die DSGVO-Anforderungen für eine eindeutige aktive vorherige Zustimmung. Gleichzeitig darf dem Nutzer infolge einer fehlenden Zustimmung nicht der Besuch der Website verweigert werden.  

In jedem Fall ist bei dem Einsatz von Cookies über Art, Umfang, Zwecke sowie die  Speicherdauer in einer Datenschutzerklärung umfassend zu informieren. Dem Besucher muss klar sein, wozu er konkret seine Zustimmung erteilt. Dafür wird ein Informationstext im Cookie-Banner hinterlegt, der sämtliche Informationen enthält, die transparent und verständlich formuliert sind. Der Informationstext muss zudem einen Hinweis auf die Möglichkeit des Widerrufs seiner Einwilligung, sowie einen Hinweis mit Link auf weitere Informationsmöglichkeit in der Datenschutzerklärung enthalten. In der Datenschutzerklärung muss auf jeden Cookie der gesetzt wird, hingewiesen werden.  

Problematisch sind in insoweit sogenannte Dark Patterns. Dabei wird ein möglichst unklares Webdesign verwendet, um Websitebesuchern eine bestimmte Handlung, wie beispielsweise eine Einwilligung in Marketing-Cookies aufzudrängen.  

 

5. Fazit 

Auch wenn die Rechtslage in Sachen Cookies in Deutschland noch nicht ganz klar ist, steht fest, dass bei der Erhebung und Verarbeitung personenbezogener Daten mithilfe von Cookies zuvor die aktive Zustimmung des jeweiligen Nutzers eingeholt werden muss, sofern es sich nicht um technisch notwendige Cookies handelt. Da es im Hinblick auf die Frage, welche Cookies als notwendig anzusehen sind noch keine eindeutige Antwort gibt, sollte im Zweifel eine Einwilligung eingeholt werden.  

 

 
 
 
 

Mit der Einführung der europäischen Datenschutzgrundverordnung wurde auch das Instrument der Datenschutz-Folgenabschätzung (DSFA) als besondere Form der Risikoanalyse in Art. 35 DSGVO eingeführt. Sie dient der Bewertung potenzieller Risiken und deren Folgen für die Rechte und Freiheiten betroffener Personen. 


Das Wichtigste auf einen Blick: 

  • Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse die vor einer geplanten Datenverarbeitung stattfindet  
  • Sie ist verpflichtend, wenn die Verarbeitung mit einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist  
  • Den Mindestinhalt regelt Art. 35 Abs. 7 DSGVO. Darunter fällt unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Verarbeitungszwecke 
  • Die Datenschutz-Folgenabschätzung ist vom Verantwortlichen durchzuführen 
  • Verstöße gegen Vorgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung können mit Bußgeldern mit bis zu 2 % des Jahresumsatzes sanktioniert werden 

 

1. Was ist eine Datenschutz-Folgenabschätzung? 

Die in Art. 35 DSGVO geregelte DSFA, ist eine besondere Form der Risikoanalyse und dient als Vorabkontrolle der Analyse und Bewertung von Risiken und der daraus resultierenden Folgen für die persönlichen Rechte und Freiheiten der betroffenen Personen. Ihr Ziel ist es, Risiken für Betroffene zu analysieren, indem potenzielle Schäden sowie die dafür möglichen Ursachen identifiziert werden, sodass geeignete Maßnahmen getroffen werden können, um diese Risiken zu minimieren und damit Datenschutzgrundverordnung eingehalten wird.   


2. Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?  

Wann die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist, hängt insbesondere von der jeweiligen Verarbeitungsform ab. Sie ist stets im Vorfeld der jeweiligen Datenverarbeitung durchzuführen und zu dokumentieren, wenn die geplante Verarbeitung wahrscheinlich ein hohes Risiko mit sich bringt. Dies ist insbesondere dann der Fall, wenn bei der datenverarbeitenden Tätigkeit neue Technologien verwendet werden,  welche nach Art, Umfang, Umstände und Zwecke ein solches Risiko begründen. 

Art 35 DSGVO enthält eine nicht abschließende Auflistung der Verarbeitungen, für welche eine Datenschutz-Folgenabschätzung verpflichtend sei. Unter anderem dann, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage einer automatisierten Datenverarbeitung erfolgt, die eine Grundlage für Entscheidungen darstellt, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder diese in vergleichbarer Weise antasten.  

Eine Datenschutz-Folgenabschätzung ist auch dann verpflichtend, sobald eine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO stattfindet. Auch im Falle einer systematisch ausgiebigen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung erforderlich.  

Oftmals ist es schwierig zu ermitteln, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Aus diesem hat die Aufsichtsbehörde eine Liste solcher Verarbeitungsvorgänge erstellt, für die eine DSFA verpflichtend ist (sog. „Blacklist“) 


3. Wie sieht eine Datenschutz-Folgenabschätzung aus? 

Den Mindestinhalt einer solche Datenschutz-Folgenabschätzung bestimmt Art. 35 Abs. 7 DSGVO. Zunächst werden die beabsichtigten Verarbeitungsvorgänge erfasst und in Bezug auf die Vorgehensweise sowie den verfolgten Zweck möglichst genau systematisch beschrieben. Es sollte genauestens beschrieben werden, weshalb eine bestimmte Datenverarbeitung erfolgt. Dabei ist unter Umständen das berechtigte Interessen, das vom Verantwortlichen verfolgt wird, zu berücksichtigen. Erfolgen mehrere vergleichbare Vorgänge, so können diese in einer Datenschutz-Folgenabschätzung zusammengefasst werden.  

Anschließend ist eine Prüfung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den verfolgten Zweck vorzunehmen. Danach erfolgt eine Betrachtung des Verhältnisses des Verarbeitungszwecks zu den Risiken für die Rechte und Freiheiten der Betroffenen. Erstwenn Verarbeitungsvorgang und Verarbeitungszweck in einem angemessenen Verhältnis zu den Risiken stehen, ist der Verarbeitungsvorgang vor dem Hintergrund seines Zwecks geeignet, erforderlich und angemessen.  

Andernfalls sind Abhilfemaßnahmen zur Bewältigung der erwarteten Risiken, sowie Garantien, Sicherheitsvorkehrungen und Verfahrensweisen festzulegen, die den Schutz personenbezogener Daten gewährleisten und einen Nachweis über die Einhaltung des Datenschutzes erbringen. Diese Risikobehandlungsmaßnahmen müssen an die jeweiligen Risikofaktoren angepasst sein.  

Generell ist die Datenschutz-Folgenabschätzung nicht als einmaliger Vorgang, sondern ein ständiger Prozess. Kommt es zu entscheidenden Änderungen der Datenverarbeitungsabläufe und ergeben sich daraus neue Risiken, muss überprüft werden, ob diese bereits von einer bestehenden Datenschutz-Folgenabschätzung umfasst sind oder gegebenenfalls eine Aktualisierung erforderlich ist.  

Grundsätzlich kann der Verantwortliche im Rahmen datenschutzrechtlicher Mindestanforderungen selbstständig entscheiden, wie und mit welcheMethoden eine solche Risikoanalyse durchgeführt wird. In der Regel empfiehlt es sich eine Richtlinie mit Regeln für die Durchführung einer DSFA zu erstellen, um eine einheitliche und datenschutzkonforme Risikoeinschätzung der unternehmensinternen Datenverarbeitungsvorgänge zu gewährleisten.  


4. Wer ist für die Durchführung einer DSFA verantwortlich? 

Eine Datenschutz-Folgenabschätzung ist stets von dem für die Datenverarbeitung Verantwortlichen durchzuführen, Art. 35 Abs. 1 DSGVO. Zudem ist in Art. 35 Abs. 2 DSGVO festgelegt, dass der Verantwortliche Beratung des Datenschutzbeauftragten in Anspruch nehmen muss, sofern einer benannt wurde. Wann die Benennung eines Datenschutzbeauftragten erforderlich ist, lesen Sie hier (Link).  

Werden Datenverarbeitungen von Auftragsverarbeitern durchgeführt, ist dennoch der Verantwortliche für die Durchführung einer DSFA zuständig. Der Auftragsverarbeiter hat ihn allerdings dabei zu unterstützen. 

Unter Umständen muss die Aufsichtsbehörde vor dem Beginn einer Verarbeitung konsultiert werden, Art. 36 Abs. 1 DSGVO. Dies ist dann der Fall, wenn ein hohes Risiko festgestellt wird, die erforderlichen Schutzmaßnahmen praktisch oder auf andere Weise nicht umsetzbar oder nur mit unzumutbaren Kosten verbunden sind.  

Darüber hinaus ist zu beachten, dass gegebenenfalls im Vorfeld der Standpunkt der betroffenen Personen eingeholt werden sollte, Art. 35 Abs. 9 DSGVO. Dieses Erfordernis ist allerdings nur in wenigen Bereichen von praktischer Relevanz.   


5. Welche Konsequenzen hat das Fehlen einer erforderlichen DSFA? 

Ist eine Datenschutz-Folgenabschätzung zwingend erforderlich und wird diese trotzdem nicht durchgeführt, drohen Bußgelder nach Art. 83 ff. DSGVO. Dementsprechend können Verstöße gegen Vorgaben im Hinblick auf die Datenschutz-Folgenabschätzung nach Maßgabe des Art. 83 Abs. 4 DSGVO mit Geldbuße i.H.v. bis zu 10 Mio. Euro oder im Falle eines Unternehmens bis zu 2 % des weltweit erzielten gesamten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem welche Summe höher ist, sanktioniert werden.  


6. Fazit 

Zusammenfassend lässt sich festhalten, dass jeder Datenverarbeitungsprozess  einzelfallbezogen betrachtet und datenschutzrechtlich evaluiert werden muss. Werden Risiken nicht eingedämmt, kann es zu Datenschutzverletzungen kommen. Dies können sowohl für das eigene Unternehmen, als auch für Kunden oder Geschäftspartner, aber vor allem für die Betroffenen gravierende Folgen haben und gegebenenfalls sogar Schadenersatzansprüche oder Bußgelder nach sich ziehen. Es empfiehlt sich daher stets Experten mit Kompetenzen in den Bereichen Datenschutz, Risikoermittlung und Fachprozesse zurate zu ziehen.  

 
 
 
 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
 
 
 
 

Um den eigenen Internetauftritt zielgruppenorientiert auszurichten, kann Tracking- und Analyse-Software wie Google Analytics eingesetzt werden, welche dem Websitebetreiber die Möglichkeit gibt das Nutzungsverhalten ihrer Besucher zu erfassen. Mit Beschluss vom 12.05.2020 hat die Datenschutzkonferenz, eine unabhängige Datenschutzbehörde des Bundes und der Länder, Mindestanforderungen an den Einsatz von Google-Analytics in Deutschland gestellt, um dem Datenschutz Rechnung zu tragen. 


Das Wichtigste in Kürze: 

  • Google Analytics ist ein Analyse-Tool, welches der Erstellung von Nutzerprofilen dient 
  • Die von Google Analytics gesammelten Nutzerdaten sind personenbezogene Daten 
  • Anwender des Tools und Google sind gemeinsam für die Datenverarbeitung Verantwortliche i.S.d. Art. 26 DSGVO 
  • Zum rechtmäßigen Einsatz von Google Analytics bedarf es einer wirksamen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO 
  • Über die datenschutzrechtlichen Auswirkungen von Google Analytics ist ausführlich in einer Datenschutzerklärung zu informieren  


Was i
st Google Analytics? 

Google Analytics ist das am meisten genutzte Nutzeranalyse-Tool auf Webseiten. Durch die Einbindung von Google-Analytics auf der eigenen Website können Daten über die Seitenbesucher gesammelt, aufbereitet und von den Seitenbetreibern ausgewertet werden, um Nutzerprofile zu erstellen und die Performance der eigenen Website zu analysieren. Dabei kann beispielsweise Aufschluss darüber gewonnen werden, wie viele Besucher sich auf der Website einfinden, welche Inhalte von besonderem Interesse sind oder wie lange die einzelnen Produkte betrachtet werden. So können Schwachstellen der Website lokalisiert und das Surferlebnis für Websitebesucher unter Umständen verbessert werden. 


Welche Probleme bringt die Nutzung von Tracking- und Analyse Software mit sich?  

Problematisch ist in diesem Zusammenhang, dass mit der Aktivität solcher Software auf der Website automatisch personenbezogene Daten wie beispielsweise die IP-Adresse der Websitebesucher verarbeitet werden. Da IP-Adressen personenbezogene Daten im Sinne der DSGVO darstellen, sind die Datenschutzbestimmungen einzuhalten. Gegebenenfalls muss vor der Aktivität solcher Tools, eine datenschutzkonforme Einwilligung der Nutzer eingeholt werden. Weiterhin ist problematisch, dass trotz der Abgrenzung von Verantwortungsbereichen in einem entsprechenden Vertrag, dennoch der Websitebetreiber Verantwortlicher für die Wahrung der Datenschutzrichtlinien bleibt, er allerdings insoweit nicht garantieren kann, dass Google sich an alle Datenschutzrichtlinien hält.  

Wird bei der Anwendung von Google Analytics auf der eigenen Website der Datenschutz vernachlässigt, kann dies schwerwiegende Konsequenzen für den Websitebetreiber nach sich ziehen und insbesondere zu Wettbewerbsverstößen, Mahnungen und Bußgeldern führen.  


Wer ist für die Datenverarbeitung verantwortlich? 

Ursprünglich wurden zwischen Google und dem jeweiligen Google Analytics Anwender Auftragsverarbeitungsverträge geschlossen und Google insoweit als Auftragsverarbeiter angesehen. Allerdings erhebt und verarbeitet Google Daten für eigene Zwecke, sodass er nicht mehr wie ein Auftragsverarbeiter agiert. Aus diesem Grund wird die Verantwortung für Datenverarbeitungsprozesse mit Google-Analytics richtigerweise aufgeteilt, sodass sowohl Google wie auch der Websitebetreiber als gemeinsam Verantwortliche nach Art. 26 DSGVO anzusehen sind.  


Auf welche Rechtsgrundlage lässt sich die Datenverarbeitung durch Google-Analytics stützen? 

Die Rechtmäßigkeit des Einsatzes von Google-Analytics richtet sich nicht nach etwaige vertragliche Vereinbarungen zwischen Google und dem Websitebetreiber, sondern ausschließlich nach rechtlichen Vorgaben. Insofern bedarf es für den rechtmäßigen Einsatz von Google-Analytics einer wirksamen Einwilligung der Websitebesucher, Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

Die wohl wichtigste 
Voraussetzung eines datenschutzkonformen Einsatzes von Analyse Software wie Google Analytics ist eine der Datenverarbeitung vorausgehende informierte, freiwillige und aktive Zustimmung des Websitenutzers. Verwendet ein Websitebetreiber Google Analytics, hat er sämtliche DSGVO-Voraussetzungen im Hinblick auf die Einwilligung zu erfüllen.  

 

Transparent 

Da Websitebetreiber dafür verantwortlich sind, dass die Nutzer in den Datenschutzbestimmungen ausführlich über die Datenverarbeitung im Zusammenhang mit Google Analytics informiert werdenmuss bei der Einholung der Zustimmung des Nutzers die konkrete Verarbeitungstätigkeit durch die Anwendung von Google-Analytics und die damit zusammenhängende Datenübermittlung an Google LLC genannt werden.  

 

Unmissverständlich  

Der einwilligende Nutzer muss unmissverständlich nachvollziehen können, in welcher Form welche Datenverarbeitung durch Google erfolgt und dass er dabei ist, dieser zuzustimmen.  

Dabei sollte die Einholung der Einwilligung auf eine klare und nicht irreführende Art und Weise erfolgen. Insbesondere sollte bereits in der Überschrift der Einwilligungserklärung verdeutlicht werden, welchen Inhalt die Erklärung hat, wie beispielsweise „Einwilligung in die Verarbeitung Ihrer personenbezogener Daten durch Google“. Darüber hinaus sollte dem Einwilligenden die Tragweite seiner Zustimmung in die Datenverarbeitung vor Augen geführt werden. Außerdem sollte der Nutzer uneingeschränkt Zugriff auf die Datenschutzerklärung und das Impressum haben.  

 

Aktiv 

Der Nutzer muss seine Einwilligung durch eine aktive Handlung vornehmen. Dies kann beispielsweise mithilfe eines sogenannten Opt-In-Verfahrens erfolgen. 

 

Freiwillig 

Der Nutzer muss bei der Erteilung seiner Zustimmung zur Erhebung und Verarbeitung seiner Daten durch Google eine freie Wahl haben. Das heißt, er muss sich auch in der Position sehen, seine Zustimmung verweigern oder widerrufen zu können, ohne dass er Nutzungsnachteile auf der Website zu erwarten hat.  

Dabei muss der Websitebetreiber für den Widerruf einer Einwilligung einen einfachen und immer zugänglichen Mechanismus etablieren und sicherstellen, dass nach dem Widerruf der Einwilligung ein Nachladen von Google Analytics-Skripten unterbunden wird.  


Wie lässt sich Google-Analytics datenschutzkonform einsetzen? 

Neben einer datenschutzkonformen Option zum Widerspruch gegen die Datenverarbeitungsollte zusätzlich zum Schutz der Nutzerprivatsphäre eine Kürzung der erhobenen IP-Adressen durchgeführt werden, sodass eine unmittelbare Identifikation des verwendeten Geräts nicht mehr möglich ist.  

Um eine datenschutzkonforme und benutzerfreundliche Einwilligung einzuholen, können sogenannte Cookie-Banner eingesetzt werden. Diese enthalten einen Informationstext, in dem der Nutzer über die Verwendung des Analyse-Tools auf der aufgerufenen Website in Kenntnis gesetzt wird. Dabei ist die konkrete Verarbeitungstätigkeit durch die Einbindung von Google-Analytics sowie die Datenweitergabe an Google zu erwähnen. Ebenso ist ein Hinweis zur Verarbeitungsform durch Google aufzunehmen.  

Zudem sollten – abgesehen von den notwendigen Cookies – alle Cookies blockiert werden, bis der Nutzer seine eindeutige Zustimmung erteilt hat, darüberhinausgehende Cookies zu aktivieren. 

Letzten Endes sollte die Datenschutzerklärung der Website angepasst werden, sodass der Nutzer über die Verwendung von Google Analytics sowie damit zusammenhängende datenschutzrechtliche Auswirkungen  in jeglicher Hinsicht umfassend informiert wird. 


Fazit  

Google Analytics stellt für viele Websitebetreiber ein sinnvolles Website-Tool dar, um das Verhalten der Nutzer effektiv nachzuvollziehen und ungenutztes Potenzial der eigenen Website zu identifizieren. Dennoch ist die datenschutzkonforme Umsetzung nicht immer einfach und aus datenschutzrechtlicher Sicht nicht ganz unbedenklich. Es bleibt abzuwarten, wie sich die Rechtslage im Hinblick auf den Einsatz solcher Tools zukünftig gestaltet und welche Anpassungen dadurch erforderlich werden könnten.   

 

 
 
 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
 
 
 
 

Nach der jüngsten Umfrage des Bundesverbandes für Informationswirtschaft, Telekommunikation und neue Medien, bitkom e.V., gaben 67 Prozent der in Deutschland ansässigen Unternehmen an, die datenschutzrechtliche Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) sowie des Bundesdatenschutzgesetzes (BDSG) in großen Teilen umgesetzt zu haben. Erst 25 Prozent der Unternehmen gaben an, ein vollständiges Datenschutzmanagement umgesetzt zu haben. Unter den befragten Unternehmen bestand Einigkeit (97 Prozent) darüber, dass die Umsetzung der DS-GVO mit einem hohen Aufwand verbunden sei (Quelle: Pressemitteilung des bitkom e.V. – abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-der-Unternehmen-haben-DS-GVO-groesstenteils-umgesetzt). 

Während ein Großteil der Unternehmen primär darauf bedacht ist, das äußere Auftreten (wie z.B. Homepage, Datenschutzbelehrungen für Vertragspartner und Kunden usw.) datenschutz- und insb. abmahnsicher zu gestalten, werden innerbetriebliche Strukturen oftmals vernachlässigt; dies betrifft insb. den Beschäftigtendatenschutz. Die Missachtung des Beschäftigtendatenschutzes kann jedoch fatale Folgen für ein Unternehmen haben. 

 

(Rekord-)Bußgeld gegen H&M(!) 

Die Nachricht war – wenn auch absehbar – schockierend: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte gegen das namhafte Textilmodegeschäft ein (auf dem ersten Blick) schwindelerregendes Bußgeld in Höhe von 35,3 Millionen Euro (Quelle: https://www.handelsblatt.com/unternehmen/handel-konsumgueter/modehaendler-mitarbeiter-ausgespaeht-datenschutzbeauftragter-verhaengt-rekord-bussgeld-gegen-hundm/26234570.html?ticket=ST-1252876-G9KjeScjGC7pBIa7uQNz-ap1). 

Diesem Bußgeld lag ein – zurecht angenommener – gravierender Verstoß des Beschäftigtendatenschutzes zugrunde: 

Im Laufe des vergangenen Jahres stellten – aufgrund eines technischen Fehlers, der zur versehentlichen internen Offenlegung führte – Mitarbeiter des H&M Standortes Nürnberg fest, dass die Leitung von H&M in großem Umfang u.a. anderem auch die privaten Lebensumstände ihrer Beschäftigten erfasste. 

Leitende Angestellten und Vorgesetzten der betroffenen Mitarbeiter führten nach urlaubs- oder krankheitsbedingten Abwesenheiten sog. „Welcome Back Talks durch; die hierbei gewonnenen Informationen, wie z.B. konkrete Urlaubsereignisse oder Krankheitssymptome und Diagnosen usw., wurden schriftlich dokumentiert und dauerhaft gespeichert. Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zeichneten Vorgesetzte darüber hinausgehend auch Details aus dem Privatleben, bspw. Familienproblemen oder religiösen Bekenntnissen u.Ä., aufAnschließend und anhand dieser Informationen erstellten die Führungskräfte und leitende Angestellte von H&M Mitarbeiterprofile, auf Grundlage derer personelle Einzelmaßnahmen, wie z.B. Kündigungen, Beförderungen oder Versetzungen usw., getroffen wurden. 

Trotz glaubhafter Bemühungen des Textilmodegeschäftes, diesen Verstoß wiedergutzumachen, u.a. in Form eines umfangreichen Bekenntnisses zur Unternehmensverantwortung nach diesem Datenschutzverstoß, einer Entschädigung der betroffenen Mitarbeiter sowie der Zusicherung und tatsächlichen Umsetzung des Datenschutzes an dem Standort Nürnberg, konnte die Verhängung des zuvor genannten (Rekord-)Bußgeldes nicht abgewendet werden. 

 

Der (Beschäftigten-)Datenschutz und dessen (Rechts-)Folgen 

Die Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mag auf den ersten Blick für Arbeitgeber überraschend sein: 

Bei den zuvor genannten Daten handelt es sich um solche, die regelmäßig erfasst werden und deren Verarbeitung nicht per se rechtswidrig ist. Gemäß § 26 BDSG darf ein Arbeitgeber auch sensible Daten, wie z.B. Gesundheitsdaten, verarbeiten, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. So dient die Erfassung von urlaubs- und krankheitsbedingten Abwesenheiten eines Mitarbeiters, zunächst zur ordnungsgemäßen Abrechnung des Arbeitsverhältnisses (z.B. Entgeltfortzahlung, Urlaubsentgelt usw.) oder der Personal- und Dienstplanung. Gesundheitsdaten dürfen und (sogar) müssen erfasst werden, soweit der Arbeitgeber verpflichtet ist ein betriebliches Eingliederungsmanagement durchzuführen um einem Arbeitnehmer einen leidensgerechten Arbeitsplatz zur Verfügung stellen zu können. Letztendlich sind Leistungsbeurteilungen und Mitarbeitergespräche nicht per se rechtswidrig, da personelle Einzelmaßnahmen wie z.B. Abmahnungen, jedoch auch Beförderungen gestützt werden. 

 

Was ist (denn nun) erlaubt / verboten? 

Wie bereits dargelegt, darf gemäß § 26 BDSG ein Arbeitgeber personenbezogene Daten seiner Mitarbeiter verarbeiten, d.h. erheben, speichern, weitergeben usw., soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.  

Vordergründig ist stets die Zweckbindung: Dies bedeutet, dass die Daten ausschließlich zwecks der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen; eine zweckentfremdete Datenverarbeitung ist per se rechtswidrig. 

In der zweiten Stufe muss die Datenverarbeitung zusätzlich zur Erreichung der zuvor genannte Zweck erforderlich sein. Dies geht zwingend mit einer umfangreichen Interessensabwägung einher: Einerseits sind die berechtigten Interessen eines Arbeitgebers, der eine Vielzahl an arbeitnehmerschützende Vorschriften, bspw. das Arbeitszeitgesetz, Bundesurlaubsgesetz, Entgeltfortzahlungsgesetz usw., wahren muss, zu berücksichtigen; dem gegenüber steht das berechtigte und verfassungsrechtlich verankerte Recht der Arbeitnehmer auf Privatsphäre. Im Rahmen dieser Interessensabwägung muss auch zwingend geprüft werden, wie lange die Daten, selbst wenn deren Erfassung prinzipiell rechtmäßig war, gespeichert werden dürfen. Die Grenze der Erforderlichkeit ist – wie der Fall H&M verdeutlicht – überschritten, wenn auf Grundlage der erfassten Daten – faktisch unter Missachtung der Privatsphäre – eine umfangreiche sowie unverhältnismäßige (und mithin widerrechtliche) Leistungs- und Verhaltenskontrolle der Mitarbeiter erfolgen kann. Denn gerade dies ermöglicht es, (in widerrechtlicher Art und Weise) Leistungs- und Verhaltensprofile über die Mitarbeiter zu erstellen. 

Dementsprechend ist die anzuwendende Faustformel (denkbar) einfach: Ein Arbeitgeber darf nicht zu viele Datennicht zu lange speichern. 

 

Die konkreten Rechtsfolgen – Ein Überblick der derzeitigen Rechtsprechung 

Wie bereits aus der aktuellen Presse und diesem Artikel zu entnehmen ist, ist ein Datenschutzverstoß bußgeldbewehrt. Gemäß Art. 83 DS-GVO kann ein Bußgeld im Falle eines schwerwiegenden Verstoßes bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Doch hiermit ist es nicht getan: 

Gemäß Art. 82 DS-GVO haben die (von einem Datenschutzverstoß) betroffenen Personen auch einen Individualanspruch auf Schadensersatz bzw. Entschädigung. Hierbei gilt es zu berücksichtigen, dass nicht nur der konkret entstandene Schaden ersetzt wird; die DS-GVO sieht vor, dass ein Schadensersatz- bzw. Entschädigungsanspruch, unter Berücksichtigung des Umfangs des Datenschutzverstoßes, so hoch anzusetzen ist, dass dieser abschreckend auf den Arbeitgeber einwirkt, damit er eine künftige Datenschutzkonformität gewährleistet. 

Hierbei entschieden Arbeitsgerichte, dass die Missachtung des Auskunftsverlangens eines Arbeitnehmers gemäß Art. 15 DS-GVO – ungeachtet dessen, ob seine Daten rechtmäßig verarbeitet wurden – einen Schadensersatzanspruch in Höhe von bis zu 5.000,00 Euro begründen kann. Im Hinblick darauf, dass die landesarbeitsgerichtliche Rechtsprechung annimmt, dass ein Arbeitgeber gemäß Art. 15 Abs. 1 und Abs. 3 DS-GVO verpflichtet ist, einem Arbeitnehmer Auskunft über sämtliche Verarbeitungsvorgänge, die seine personenbezogene Daten betreffen, zu erteilen und darüber hinaus eine Kopie aller Dokumente und personenbezogener Daten, die er erfasst hat, zur Verfügung zu stellen, sind Arbeitgeber, die kein adäquates Datenschutzsystem eingeführt haben, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einem hohen Haftungsrisiko ausgesetzt. 

Letztendlich hat auch das Bundesarbeitsgericht (BAG) – auf Grundlage der alten Fassung des BDSG und noch vor Inkrafttreten der DS-GVO – ausdrücklich festgehalten, dass (eklatant) datenschutzwidrig erlangte Daten im Rahmen von personellen Einzelmaßnahmen, z.B. Kündigungen oder Abmahnungen, einem Beweisvertretungsverbot unterliegen können, weshalb die erlangten Informationen im Rahmen eines gerichtlichen Verfahrens nicht berücksichtigt werden können. In den Fällen, in denen im Betrieb des Arbeitgebers ein Betriebsrat besteht, entspricht es der (seit über zwanzig Jahren) gefestigten Rechtsprechung des BAG, dass hinsichtlich der Daten, die der Arbeitgeber mithilfe technischer Einrichtungen (Hard- und Software) erfasst hat, ohne vor deren Einführung den Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt zu haben, zunächst ebenfalls einem Beweisverwertungsverbot unterliegen könnenferner steht dem Betriebsrat gemäß § 23 Abs. 3 BetrVG gegen dem Arbeitgeber ein Unterlassungsanspruch zu, falls dieser – ohne das Mitbestimmungsrecht des Betriebsrates zu wahren –die technische Einrichtung „einseitig“ einführt. 

 

Der Ausblick 

Nachdem die Aufsichtsbehörden unmittelbar nach der Einführung der DS-GVO den Unternehmen eine Schon- und Umsetzungsfrist eingeräumt hatten, scheint diese Kulanzzeit nach Ablauf von nunmehr über zwei Jahren seit Inkrafttreten der DS-GVO vorbei zu sein. Es dürfte für Unternehmer nunmehr dringend an der Zeit sein, ein vollständiges Datenschutzmanagement, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einzuführen. Wie bereits einleitend dargelegt, kann gerade einmal jedes vierte Unternehmen von sich behaupten, ein entsprechend der DS-GVO und BDSG adäquates Datenschutzsystem eingeführt zu haben.  

Nachdem der Europäische Gerichtshof (EuGH) letztes Jahr urteilte, dass Arbeitgeber zur Wahrung des Arbeitszeitgesetzes (ArbZG) verpflichtet sind, ein objektives Zeiterfassungssystem einzuführen (hierzu unser Artikel vom 15.09.2019), ergeben sich bei der (künftigen) Umsetzung dieses Urteiles erhebliche Probleme, die das Spannungsverhältnis Arbeitnehmer- und Datenschutz betreffen: Arbeitgeber werden angehalten sein, die tägliche Arbeitszeit ihrer Mitarbeiter einerseits – zwecks der Einhaltung des Arbeitszeitgesetzes – zu erfassen, andererseits dürfen diese Daten allenfalls nur bedingt zur Leistungsbeurteilung herangezogen werden; auch hier gilt – ähnlich wie im Fall von H&M – ein Übermaßverbot, welches stets mithilfe geeigneter datenschutzrechtlicher Maßnahmen zu wahren ist. 

 

Haben Sie Fragen auf den Gebieten des Arbeitsrechts und Datenschutzes und sind auf der Suche nach einer professionellen Rechtsberatung vom Fachanwalt? 

Wir sind eine auf Arbeits- und Datenschutzrecht spezialisierte Kanzlei. Unsere Expertise erstreckt sich sowohl auf die Beratung von Unternehmern und die Unterstützung bei der Einführung eines – auf das Unternehmen zugeschnittenen – Datenschutzmanagements, als auch auf die Beratung und Vertretung von Arbeitnehmern und Betriebsräten bei der Durchsetzung ihrer kollektiv- und individualrechtlichen Ansprüche und Rechte.  

 
 
 
Call Now ButtonKontakt aufnehmen