Mehr Infos

Neues Infopaket zum Thema Homeoffice

 
 
 

 

 

 

Deutschland in Zeiten von Corona: Dies bedeutet für viele Berufstätige eine Verlagerung der Tätigkeit in die eigenen vier Wände. Im Zuge der Corona-Pandemie und der damit einhergehenden Kontaktreduzierungen nahm die Anzahl der Beschäftigten im Homeoffice nochmals erheblich zu. Doch wenn Mitarbeiter und Mitarbeiterinnen aus dem Homeoffice arbeiten sollen, muss für angemessene technische und organisatorische Maßnahmen gesorgt sein, um potentiellen Datenschutzverstößen vorzubeugen.

Im Homeoffice sind Daten und IT-Technik der unmittelbaren Kontrolle des Arbeitgebers entzogen. Gleichzeitig steigt die Gefahr unberechtigter Zugriffe durch Dritte. Auch beim Arbeiten im Homeoffice müssen die Vertraulichkeit und Integrität personenbezogener Daten gewährleistet sein.

Um die Verbreitung des Coronavirus zu verlangsamen, ist Homeoffice zwar ein probates Mittel. Allerdings auch eines, das datenschutzrechtliche Herausforderungen mit sich bringt.

 

Das Wichtigste in Kürze

  • In einer Pressemitteilung weist der Datenschutzbeauftragte des Landes Sachsen-Anhalt auf das neue Infopaket zur Sicherheit im Homeoffice hin.

  • Auch im Homeoffice bleibt das Unternehmen „Verantwortliche Stelle“ nach Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten.

  • Es ist zu prüfen, ob Arbeitsabläufe organisatorisch geregelt werden können, um auf die Verarbeitung personenbezogener Daten zu verzichten.

  • Der Anschluss privater Geräte ist mit Sicherheitsrisiken (Befall von Schadsoftware) verbunden. Der Anschluss sowie die grds. Nutzung von dienstlichen Geräten für Privates sollte untersagt werden.

 

Hintergrund und Allgemeines zu Datenschutz im Homeoffice

In vielen Fällen ist die Telearbeit mit der Verarbeitung personenbezogener Daten verbunden, sodass auch im Hinblick auf den Datenschutz besondere Anforderungen zu bedenken sind, die Unternehmen vor der Auslagerung von Datenverarbeitungen zu beachten haben.

Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einer Pressemitteilung vom 23.11.2021 auf das neue Infopaket zur Sicherheit im Homeoffice auf seiner Homepage hingewiesen. In diesem Infopaket finden sich Hinweise und eine Checkliste zur Implementierung der datenschutzrechtlichen Anforderungen für das Homeoffice. Die technischen und organisatorischen Anforderungen an den Homeoffice-Arbeitsplatz richten sich nach dem Schutzbedarf der Daten. Je höher der Schutzbedarf, desto stärkere Maßnahmen müssen ergriffen werden.

Durch die Verarbeitungsauslagerung in den häuslichen Bereich stehen dabei zunächst nicht mehr die Schutzmaßnahmen und Sicherheitsvorkehrungen zur Verfügung wie im Betrieb. Das Unternehmen bleibt daher die „verantwortliche Stelle“ i.S.d Art. 4 Nr. 7 DSGVO für die Verarbeitung der Daten. Die verbindlichen datenschutzrechtlichen Erfordernisse gelten auch für diesen Bereich. Daher sind ergänzende technische und organisatorische Maßnahmen (TOMs) entsprechend Art. 32 DSGVO zu treffen, um ein adäquates Datenschutzniveau zu erreichen.

Auch außergewöhnliche Situationen, wie die Pandemie, oder gar die Homeoffice-Pflicht suspendieren nicht von den datenschutzrechtlichen Vorgaben.

 

Datenschutzrechtlicher Handlungsbedarf im Homeoffice

Bei der Auslagerung von Verarbeitungsvorgängen ist zu berücksichtigen, ob und inwieweit Daten erfasst sind. Infolge des Schutzgebotes und der obliegenden Prüfung der zu treffenden Maßnahmen des Datenschutzes ist vor der Auslagerung eine Betrachtung der vorgesehenen Prozesse durchzuführen. Vorab sollte festgelegt werden, wie und auf welchen Endgeräten Daten verarbeitet werden dürfen.

Bezüglich der Risiken durch die Verlagerung erscheint es geboten, ein den Arbeitsbedingungen angepasstes Sicherheitskonzept zu erstellen. In technischer Hinsicht können hierin etwa Festlegungen zu Hard-und Softwarekomponenten enthalten sein. Dabei kann insbesondere auf die Richtlinien des Bundesamtes für die Sicherheit in der Informationstechnik zurückgegriffen werden. Der Fernzugriff auf betriebliche Server sollte nicht das gesamte Netz der Dienststelle erfassen. Vielmehr sollte eine Anbindung lediglich an einen geschützten Teil der IT-Infrastruktur des Unternehmens erfolgen.

Eine Weiterleitung dienstlicher E-Mails an private Postfächer sollte entfallen. Die Untersagung der Nutzung dienstlicher Geräte für private Zwecke ist stets vorzugswürdig. Erscheint dies jedoch unvermeidbar, so bedarf die Installation betrieblicher Anwendungen auf privaten Geräten der Einwilligung des Betroffenen. Die Anforderungen des Art. 7 DSGVO sind einzuhalten. Hinsichtlich des erhöhten Risikos bei der Nutzung von privaten Geräten sind nicht vermeidbare Speicherungen getrennt von den privaten Daten vorzunehmen. Auf Computern ist dies durch die Einrichtung eines gesonderten, geschützten Kontos möglich.

Über die regelmäßige Schulung zu datenschutzrechtlichen Aspekten der jeweiligen Aufgaben der Beschäftigten hinaus, ist es notwendig, für die hinreichende Sensibilisierung der Beschäftigten zu Belangen des Datenschutzes und der Datensicherheit zu sorgen. Dies betrifft insbesondere die Einrichtung des häuslichen Arbeitsplatzes. Hierbei sollten Beschäftigte insbesondere zum Treffen von Sicherheitsvorkehrungen wie der Gewährleistung eines Sichtschutzes von Bildschirmen, dem Sperren des Gerätes sowie dem Schließen der Fenster oder Türen beim Verlassen des häuslichen Arbeitsplatzes angehalten werden.

Darüber hinaus ist auch im Bereich des Homeoffice auf die bekannten und zunehmenden Gefahren von Phishing-Mails aufmerksam zu machen. Darüber sollte darauf wert gelegt werden, dass Beschäftigte das Unternehmen im Falle von Verdachtsmomenten auf Cyberangriffe hinweisen.

Nach Art. 33 Abs. 1 DSGVO ist im Falle einer Verletzung des Schutzes personenbezogener Daten grundsätzlich eine Meldung an die Aufsichtsbehörde geboten. Demgemäß sollte insbesondere bei längerer Telearbeit berücksichtigt werden, dass im gegebenen Fall kurzfristig eine Reaktion notwendig werden kann.

 

Mobiles Arbeiten und Cloud-Dienste

Die IT-Infrastruktur und räumliche Sicherheit weichen beim mobilen Arbeiten noch stärker von der Lage im Büro ab, da die Arbeit nicht an einem fest eingerichteten Arbeitsplatz in der geschützten Sphäre der eigenen vier Wände ausgeführt wird, sondern grundsätzlich an beliebigen Orten, wie etwa auch im Zug oder in Cafés. Es sollten die Örtlichkeiten beschrieben werden, an denen mobil gearbeitet werden darf.

Datenverarbeitungen mit besonders hohem Schutzbedarf sollten eingeschränkt oder, falls möglich, gänzlich untersagt werden. Überdies muss die Nutzung von Verbindungstechnologien des genutzten Gerätes festgelegt werden (Bluetooth, WLAN). Weiter sind Aussagen notwendig, ob und inwieweit die Einbindung von genutzten Geräten in die Systeme Dritter zulässig sind. Dabei ist zu berücksichtigen, dass die Sicherheit von Systemen Dritter nicht zuverlässig beurteilt werden kann. Des Weiteren kann es bei Homeoffice und mobilem Arbeiten notwendig werden, Cloud-Dienste in Anspruch zu nehmen. Dabei handelt es sich oftmals um Auftragsverarbeitungssituationen (Art. 28 DS-GVO).

Um rechtskonform zu agieren, ist ein entsprechender Auftragsverarbeitungsvertrag zwischen Verantwortlichen und Dienstleister notwendig. Dabei muss der Auftragsverarbeitende hinreichende Gewährleistungen dafür bieten, dass geeignete TOMs zur Verarbeitung personenbezogener Daten bestehen. Die Überprüfung dessen obliegt dem Auftraggeber und muss von diesem nachgewiesen werden können. Der Zugriff auf die in der Cloud gespeicherten Daten bedarf eines starken Passwortschutzes.

In Bezug auf administrative Konten ist mindestens eine Zwei-Faktor-Authentisierung geboten. Für die Übermittlung personenbezogener Daten auf den Server des Cloud-Dienste-Anbieters ist eine sichere Verschlüsselung nach dem Stand der Technik unabdingbar (z. B. HTTPS). Dies gilt auch für die Ruheverschlüsselung.

 

Anforderungen an technische Verfahren und TOMs

§ 28b Abs. 4 IFSG sieht eine Homeoffice-Pflicht für Büroarbeitsplätze vor. Mangelnde technische und organisatorische Voraussetzungen können zwar ein zwingender betrieblicher Grund sein, kein Home Office anzubieten. Arbeitgeber dürfen diesen Grund jedoch nicht vorschieben, sondern müssen schnellstmöglich alle Maßnahmen ergreifen, um geeignete Voraussetzungen für die Durchführung von Homeoffice zu schaffen. Dabei können die Infos des LfDI nützlich sein.


Arbeit im Homeoffice kann sowohl gewinnbringend sein. Das Datenschutzrecht schließt dies nicht aus, fordert aber einen Mindestschutz für die personenbezogenen Daten. Durch eine obligatorische Transportverschlüsselung etwa soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Sie kann über das Protokoll SMTPS oder durch Aufruf des SMTP-Befehls STARTTLS und den nachfolgenden Aufbau eines TLS verschlüsselten Kommunikationskanals realisiert werden, wobei die Anforderungen der TR 02102-2 des Bundesamts für Sicherheit in der Informationstechnik zu erfüllen sind. Weitere Informationen hierfür stellt der LfDI Sachsen-Anhalt bereit.

Weiterhin gewährt eine Transportverschlüsselung unter den folgenden Anforderungen Schutz gegen aktive Angriffe Dritter:

  • Die eingesetzten kryptografischen Algorithmen und Protokolle entsprechen dem Stand der Technik. Sie erfüllen die Anforderungen der Richtlinie BSI TR-02102-2 und garantieren Perfect Forward Secrecy.

  • Der empfangende Server wird im Zuge des Aufbaus der verschlüsselten Verbindung entweder zertifikatsbasiert authentifiziert oder anhand eines öffentlichen oder geheimen Schlüssels, der über einen anderen Kanal zwischen Sender und Empfänger abgestimmt wurde.

  • Erfolgt die Authentifizierung zertifikatsbasiert, so führt der Empfänger die Authentizität des Zertifikats auf ein vertrauenswürdiges Wurzelzertifikat bzw. einen via DANE publizierten Vertrauensanker zurück. Die Einhaltung dieser Anforderungen muss nachgewiesen werden.

 

Der Arbeitgeber muss dem Beschäftigen also eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzgerechte Tätigkeit im Homeoffice gewährt ist. Werden Notebooks herausgegeben, sollte deren Festplatte verschlüsselt werden. Das gilt auch für die vom Arbeitgeber bereitgestellten USB-Sticks. Der Zugriff auf das Betriebssystem und die vom Arbeitgeber bereitgestellten Systeme sind mit einem Kennwort zu versehen. Die elektronische Datenübermittlung (also z.B. E-Mail) sollte nach dem Stand der Technik verschlüsselt sein.

Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über ein VPN möglich sein. Dieses VPN sollte auf seine Belastbarkeit geprüft werden, bevor Beschäftigte schließlich in großer Zahl darauf zugreifen. Es sollte ein Konzept zum Umgang und zur Vernichtung von sensiblen Unterlagen und Ausdrucken konzipiert werden. Der Arbeitgeber sollte den Beschäftigten auch im Homeoffice Shredder oder Datentonnen zur Verfügung stellen.

 

 

Ausblick

Von einem baldigen Ende der Corona-Pandemie ist nicht auszugehen. Es ist eher mit weiteren Einschränkungen hinsichtlich des Arbeitsalltags zu rechnen. Dies birgt erhebliches datenschutzrechtliches Gefahrenpotential, da die Tätigkeit im Homeoffice besonders anfällig für Hacker-Angriffe und folgenschwere Datenschutzpannen ist.

Die Einbindung spezialisierter Berater im Bereich des Datenschutzes ist dabei empfehlenswert, um in Bezug auf die vielfältigen Risiken im Homeoffice für Sensibilisierung zu sorgen. Darüber hinaus können diese die konkreten Arbeitsabläufe feststellen, die verschiedenen Risiken in Bezug auf den Datenbestand und die eingesetzten Verfahren bewerten und konkrete Empfehlungen zur Verbesserung des Datenschutzniveaus aussprechen.

Weiterhin finden Sie auf der Internetseite des LfDI Sachsen-Anhalt eine ausführliche Checkliste für die besondere datenschutzrechtliche Schwierigkeit des Homeoffices, anhand derer Sie die Datenschutzkonformität Ihrer Systeme ermitteln können und welche Schritte bei potentiellen Defiziten zu unternehmen sind.

 
 
 

 

 

 

In einem Urteil, das bisher eher unbemerkt blieb, hat das Oberlandesgericht (OLG) Dresden (Urteil vom 30.11.2021 – Az. 4 U 1158/21) eine äußerst wichtige Entscheidung für die persönliche Haftung von Geschäftsführern von Kapitalgesellschaften für Datenschutzverstöße gegenüber Geschädigten getroffen. Anlässlich des für die Praxis bedeutsamen Urteils soll in diesem Beitrag die Frage behandelt werden, unter welchen Umständen ein Geschäftsführer für Datenschutzverstöße im Unternehmen persönlich haftet.

 

Das Wichtigste in Kürze

  • Geschäftsführer sind auch Verantwortliche i. S. d. der DSGVO. Sie haften neben dem Unternehmen persönlich für Datenschutzverletzungen gegenüber Betroffenen.

  • „Verantwortlichkeit“ i. S. d. DSGVO liegt immer dann vor, sobald der Geschäftsführer über die Zwecke und die Mittel der Datenverarbeitung (mit)entscheidet.

  • Nach Art. 10 DSGVO ist die Verarbeitung personenbezogener Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht gestattet.

  • Um Datenschutzverletzungen zu vermeiden, muss der Geschäftsführer sicherstellen, dass das Unternehmen über ein funktionierendes Datenschutzmanagementsystem verfügt.

 

Sachverhalt

Der Kläger verlangte von einem Unternehmen sowie dessen Geschäftsführer gesamtschuldnerisch die Zahlung von ursprünglich 21 Mio. Euro Schadensersatz wegen einer Verletzung seiner Rechte aus der Datenschutzgrundverordnung.

Der Geschäftsführer ließ eine Recherche über den Kläger durchführen, die Aufschluss über strafrechtlich relevantes Verhalten des Klägers geben sollte. Im Zuge dessen nahm das Unternehmen die gewonnenen Erkenntnisse zum Anlass, eine vom Kläger beantragte Mitgliedschaft abzulehnen. Das Gericht stellte fest, dass die durchgeführte Datenverarbeitung unrechtmäßig war, sprach dem Kläger einen Schadensersatz zu, jedoch lediglich in Höhe von 5.000 Euro.

 

Unrechtmäßige Datenverarbeitung

Die DSGVO schreibt vor, dass jede Verarbeitung personenbezogener Daten rechtswidrig ist, wenn nicht einer der in Art. 6 DSGVO normierten Rechtfertigungsgründe eingreift. Beides war in dem zu entscheidenden Fall nicht gegeben. Eine Rechtfertigung über Art. 6 Abs. 1 S. 1 lit. f) DSGVO kam nicht Betracht, denn auch ohne die dafür erforderliche Interessenabwägung war die Datenverarbeitung, die im Ausspähen des Klägers sowie der Weitergabe der gewonnenen Erkenntnisse an das Unternehmen lag, zur Wahrung berechtigter Interessen nicht erforderlich. Stattdessen hätte das Unternehmen den Kläger zunächst zur Selbstauskunft und gegebenenfalls zur Vorlage eines Führungszeugnisses auffordern können.

Darüber hinaus verstieß die Veranlassung der Ausspähung des Klägers zum Zwecke der Aufklärung etwaiger Vorstrafen gegen Art. 10 DSGVO. Dieser gestattet die Verarbeitung personenbezogener Daten im Zusammenhang mit Vorstrafen nur unter behördlicher Aufsicht.

 

Grundsatz: Haftung des Verantwortlichen

Grundsätzlich ergibt sich unmittelbar aus der Datenschutzgrundverordnung, dass allein der sogenannte „Verantwortliche“ für Verletzungen der DSGVO haftet. Dabei ist der in der DSGVO vorgesehene Haftungsumfang beachtlich.

Nach Art. 82 Abs. 1 DSGVO hat derjenige, der einen immateriellen Schaden infolge der Verletzung einer Pflicht aus der DSGVO erleidet, einen Ersatzanspruch. Demnach sind nicht nur materielle Schäden, die eindeutig beziffert werden können, zu ersetzen, sondern viel mehr auch solche Schäden, die nicht vermögensrechtlicher Natur sind.

Daneben ist die Datenschutzaufsichtsbehörde unter den Voraussetzungen des Art. 83 DSGVO ermächtigt, gegen die Verantwortlichen empfindliche Bußgelder zu verhängen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vergangenen Jahres betragen.

 

„Verantwortlicher“ i. S. d. DSGVO

Bisher war weitestgehend unklar, ob der Geschäftsführer einer Kapitalgesellschaft generell „Verantwortlicher“ im Sinne der DSGVO sein kann.

Nach der Datenschutzgrundverordnung ist als Verantwortlicher jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle anzusehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Demnach könnte man den Geschäftsführer als natürliche Person und gesetzlicher Vertreter der juristischen Person, also des Unternehmens, als Verantwortlichen in diesem Sinne ansehen, da in der Regel davon auszugehen ist, dass der Geschäftsführer in seiner Position als Vertreter über Zwecke und Mittel von Datenverarbeitungen (mit)entscheiden darf oder sogar muss.

Jedoch wurde bisher von Literatur und Rechtsprechung überwiegend die Ansicht vertreten, dass der Geschäftsführer als gesetzlicher Vertreter des Unternehmens nicht „Verantwortlicher“ i. S. d. DSGVO sein kann und Art. 82 DSGVO lediglich eine Haftung des Unternehmens, also der juristischen Person selbst für Schadensersatzansprüche Betroffener vorsieht.

 

OLG Dresden: Persönliche Haftung des Geschäftsführers auf Schadensersatz

Nach der aktuellen Rechtsprechung des Oberlandesgerichts Dresden sind sowohl die juristische Person als auch ihr gesetzlicher Vertreter „Verantwortlicher“ im Sinne von 4 Nr. 7 DSGVO, sodass beide persönlich für Datenschutzverletzungen gegenüber Betroffenen einzustehen haben.

Dies liegt darin begründet, dass eine Verantwortlichkeit, die den Anknüpfungspunkt für einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO darstellt, immer dann vorliegt, sobald eine „natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“. Eine solche Verantwortlichkeit entfällt dem Urteil des OLG nach nur bei weisungsgebundenen Angestellten, die von solchen DSGVO-relevanten Entscheidungsprozessen ausgeschlossen sind.

Damit wird der Haftungsumfang des Geschäftsführers so erweitert, dass er persönlich auch von Betroffenen auf Schadensersatz in Anspruch genommen werden kann.

 

Geschäftsführerhaftung im Allgemeinen

Randomisierung

Eine Geschäftsführerhaftung für Datenschutzverletzungen kam bisher überwiegend nur in Betracht, wenn dieser eine rechtswidrige Verarbeitung der Unternehmensdaten zu eigenen Zwecken durchgeführt hat.

Insoweit verweist Art. 84 Abs. 1 DSGVO auf § 42 Abs. 1 und 2 des Bundesdatenschutzgesetzes (BDSG), der enge Voraussetzungen für eine Strafbarkeit des Geschäftsführers wegen Verletzung des Datenschutzes normieren.

Eine Strafbarkeit nach § 42 Abs. 1 BDSG kommt insofern nur unter den engen Voraussetzungen in Betracht, dass

  • eine wissentliche und unberechtigte Übermittlung oder Zugänglichmachung
  • nicht allgemein zugänglicher personenbezogener Daten
  • gegenüber einer großen Zahl von Personen erfolgt
  • und dies gewerbsmäßig geschieht.

Nach § 42 Abs. 2 BDSG macht sich derjenige strafbar, der nicht allgemein zugängliche personenbezogenen Daten unberechtigt verarbeitet oder sich diese durch unrichtige Angaben erschleicht und dabei zusätzlich gegen Entgelt handelt oder zumindest mit Bereicherungs- und/oder Schädigungsabsicht.

Aufgrund der sehr restriktiven Auslegung dieser Voraussetzungen kommt es in der Praxis nur selten zu einer Strafbarkeit.

 

Persönliche Haftung des Geschäftsführers für Bußgelder

Zudem können nach § 43 BDSG Datenschutzverletzungen mit Bußgeldern geahndet werden.

Sofern nach dem BDSG die §§ 30, 130 des Ordnungswidrigkeitengesetzes (OWiG) Anwendung finden, besteht die Möglichkeit, sowohl die juristische Person als auch ihre Führungspersonen oder Organe mit Bußgeldern zu belegen. Auch wenn das Ordnungswidrigkeitsverfahren an die Verantwortung des Geschäftsführers anknüpft, wird dessen schuldhaftes Verhalten über § 30 OWiG dem Unternehmen zugerechnet, sodass das Unternehmen als juristische Person so gestellt wird, als hätte es den relevanten Datenschutzverstoß selbst begangen. Demnach wäre eine Haftung des Unternehmens für datenschutzrechtliches Fehlverhalten eines Mitarbeiters nach § 41 BDSG i.V.m. §§ 30, 130 OWiG nur möglich, wenn der jeweilige Mitarbeiter der Leitungsebene zugehörig ist. Für Verstöße von Mitarbeitern niedrigerer Hierarchieebenen würde das Unternehmen nicht haften. Dies führt im Ergebnis dazu, dass das Bußgeld gegen das Unternehmen verhängt wird. Allerdings kann unter bestimmten Voraussetzungen über § 9 Abs. 1 OWiG eine persönliche Geschäftsführerhaftung in Betracht kommen.

Die DSK (Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) vertrat bisher die Ansicht, dass grundsätzlich nur die Unternehmen für Datenschutzverstöße eines jeden Mitarbeiters haften. Dies gelte unabhängig von der Position des jeweiligen Mitarbeiters innerhalb des Unternehmens. Auch die Rechtsprechung bestätigte bisher diese Ansicht (Urteil LG Bonn gegen 1&1, Urteil vom 11.11.2020 – 29 OWI 1/20).

Eine solche Haftung leitet die Rechtsprechung aus dem funktionalen Unternehmensbegriff ab. Dieser ergibt sich aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV), der supranationales EU-Recht darstellt.

So forderte die DSK den Gesetzgeber schon vor einiger Zeit auf, die nationale Norm des § 41 BDSG dem europäischen Recht dahingehend anzupassen, dass die §§ 30, 130 OWiG auf Datenschutzverstöße keine Anwendung finden. LG Bonn hat diese Auffassung im Rahmen eines Bußgeldverfahrens gegen das Telekommunikationsunternehmen 1&1 bestätigt und entschieden, dass Unternehmen unabhängig von der Position des Mitarbeiters gem. Art. 83 DSGVO, der Anwendungsvorrang genießt, haften.

 

Haftung für Organisationsverschulden

Darüber hinaus kommt eine Haftung des Geschäftsführers in Betracht, wenn ihm der Vorwurf gemacht werden kann, dass er bei der Geschäftsführung gegen seine Aufsichtspflicht verstoßen hat. Ist dies der Fall, wäre die Aufsichtsbehörde über § 130 OWiG befugt, ihm gegenüber ein Bußgeld zu verhängen.

Um sanktionierbare Datenschutzverletzungen zu vermeiden, muss der Geschäftsführer sicherstellen, dass das von ihm geführte Unternehmen über ein hinreichendes Datenschutzmanagementsystem verfügt und dieses in regelmäßigen Abständen auf Datenschutzkonformität überprüft wird.

In diesem Zusammenhang kann sich der Geschäftsführer im Falle von Datenschutzverletzungen der ihm unterstellten Mitarbeiter im Hinblick auf ein eigenes Organisationsverschulden nur entlasten, wenn er sichergestellt hat, dass ein effektives Datenschutzmanagementsystem vorliegt und dieses ordnungsgemäß gepflegt wird.

 

Innenhaftung des GmbH-Geschäftsführers

Neben der Frage, ob der Geschäftsführer gegenüber Betroffenen und Aufsichtsbehörden nach außen hin persönlich haftet, ist fraglich, ob die GmbH, die er vertritt, Regress bei ihm nehmen kann, sofern es zu bußgeldbewehrten und/oder schadensersatzpflichtigen Datenschutzverletzungen im Unternehmen kommt. Eine solche Innenhaftung des Geschäftsführers wäre über § 43 Abs. 2 GmbHG denkbar. Wie bereits festgestellt, stellt die Gewährleistung und Überwachung eines DSGVO-konformen Datenschutzmanagementsystems eine der zentralen Überwachungsaufgaben des Geschäftsführers dar. Er kann sich dieser nicht mit dem Argument entziehen, dass er nicht die dafür notwendigen Fachkenntnisse besitzt. Denn in der Regel ist er in einem solchen Fall verpflichtet, externe Berater heranzuziehen oder sich das nötige Fachwissen anzueignen. Verletzt der Geschäftsführer diese Sorgfaltspflichten eines ordentlichen Geschäftsmannes, ist es denkbar, dass der Gesellschaft für daraus entstehende Datenschutzverletzungen Regressansprüche gegen ihn zustehen und er damit persönlich in Anspruch genommen wird.

 

Fazit

Immer mehr Betroffene machen Schadensersatzansprüche gegen Unternehmen wegen der Verletzung ihrer Rechte aus der DSGVO geltend. Bisher ging die Literatur überwiegend davon aus, dass Geschäftsführer lediglich in den Grenzen ihrer organschaftlichen Stellung für Datenschutzverletzungen gegenüber der Gesellschaft zur Haftung herangezogen werden können. Durch die aktuelle Entscheidung des OLG Dresden wird dieser Haftungshorizont dahingehend erweitert, dass Geschäftsführer neben der Gesellschaft persönlich für Datenschutzverletzungen in Anspruch genommen werden können. Aus diesem Grund sollten Geschäftsführer sicherstellen, dass ihr Unternehmen über ein passables Datenschutzmanagement verfügt und gegebenenfalls in datenschutzrechtlichen Angelegenheiten einen Experten zurate ziehen.

 

 
 
 

 

 

 

In einer globalisierten Welt, wie wir sie heute haben, verlassen sich viele Menschen zunehmend auf internationale und kontinentale Datenströme, denn die Fähigkeit, Informationen auszutauschen – ob im Rahmen des Online-Shoppings, für Reisen, den Versand, Bürozusammenarbeit, Kundenmanagement oder Sicherheitsmaßnahmen – bildet die Grundlage der globalen Wirtschaft. Seit der Schrems II-Entscheidung im Juli 2020 (EuGH-Urteil, Rechtssache C-311/18) sind solche Datentransfers jedoch zunehmend in Gefahr, da der Europäische Gerichtshof die Rechtsgrundlage solcher Datentransfers – den EU-US Privacy Shield Beschluss – für ungültig erklärt hat. Nun sollen Verhandlungen um eine Nachfolge bereits kurz vor dem Abschluss stehen.

 

Das Wichtigste in Kürze

  • Art. 15 DSGVO gewährt einen nicht in das Ermessen des Finanzamts gestellten Auskunftsanspruch über die vom Finanzamt verarbeiteten Daten.
  • Seither ist eine Drittlanddatenübermittlung in die USA grundsätzlich nur auf Basis der Standardvertragsklauseln (SCC) der EU-Kommission, einem Transfer Impact Assessment und ergänzenden Schutzmaßnahmen gestattet.
  • Medienberichten zufolge sollen Verhandlungen um eine Nachfolge des EU-US Privacy Shields fast abgeschlossen sein. Das neue „US-EU Adequancy Agreement“ könnte schon im Mai dieses Jahres offiziell angekündigt werden.
  • Das geplante Abkommen soll die Bürger der EU deutlich besser vor Datenzugriffen seitens der US-Sicherheitsbehörden schützen als bisher.

 

Safe Harbor Abkommen

Ursprünglich war der Datentransfer zwischen der EU und den USA gemäß dem Beschluss der Europäischen Kommission zunächst auf Grundlage des Safe Harbor Abkommens möglich. Der Europäische Gerichtshof hat den Beschluss mit Urteil (EuGH-Urteil vom 06.10.2015, Rechtssache C-362/14) aufgehoben und folglich das Safe Harbor-Abkommen außer Kraft gesetzt.

 

Privacy Shield Abkommen

Daraufhin wurde auf Grundlage des Beschlusses der EU-Kommission vom 12. Juli 2016 als Nachfolgevereinbarung das EU-US Privacy Shield Abkommen ins Leben gerufen. Das Privacy Shield war ein Angemessenheitsbeschluss nach Art. 45 DSGVO, der die Grundlage der Datenübermittlung in die USA bilden sollte. In dem Beschluss wurde festgelegt, dass die USA unter bestimmten Voraussetzungen ein angemessenes Schutzniveau für personenbezogene Daten bietet. US-Unternehmen hatten die Möglichkeit, dem Abkommen beizutreten und sich dadurch zur Einhaltung des DSGVO-Datenschutzniveaus zu verpflichten. Dadurch sollte eine einfache Möglichkeit des transkontinentalen Datenflusses zwischen der EU und den USA geschaffen werden.

 

Schrems II-Urteil

2020 hat der Europäische Gerichtshof das EU-US Privacy Shield und damit eine der wichtigsten Grundlagen des Datentransfers in die USA für ungültig erklärt. Im Rahmen eines Rechtsstreits zwischen dem Datenschützer Maximilian Schrems und der irischen Aufsichtsbehörde, der die Übermittlung Schrems‘ personenbezogener Daten durch Facebook Ireland zum Mutterkonzern in die USA zum Gegenstand hatte, hat das Gericht festgestellt, dass ein angemessenes staatliches Datenschutzniveau, wie es Art. 45 DSGVO fordert, aufgrund der weitgehenden Befugnisse der US-Geheimdienste sowie der Rechtslage in den Vereinigten Staaten nicht sichergestellt werden kann. In der Folge hat das Gericht das Privacy Shield in seiner Schrems II-Entscheidung für unwirksam erklärt.

 

Rechtslage seit dem Urteil

Die Entscheidung hatte einschneidende Folgen für den transkontinentalen Datenaustausch, der seither zumeist auf Basis der Standardvertragsklauseln (SCC) der EU-Kommission, einem Transfer Impact Assessment und ergänzenden Schutzmaßnahmen stattfindet. Dieses Vorgehen ist jedoch meist aufwendig und birgt häufig Restrisiken.

 

Anforderungen an einen Datenaustausch aus Sicht der Behörden

Zwar können Standardvertragsklauseln für eine Datenübertragung genutzt werden, allerdings reicht der bloße Vertragsschluss hierfür nicht aus. Dasselbe gilt für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Der Datenexporteur muss vielmehr im Rahmen einer Übermittlung personenbezogener Daten mittels SCC bewerten, ob für die transferierten Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Entscheidend ist dabei nicht das allgemeine Datenschutzniveau des Empfängerlandes, sondern das Schutzniveau für die übertragenen Daten im konkreten Fall.

Der Bewertung sollte zum einen der konkrete Weg der Datenübertragung zugrunde liegen, da sich Risiken für das Datenschutzniveau beispielsweise auch aus der staatlichen Überwachung von Leitungsnetzen ergeben können, die durch die Wahl eines anderen Übertragungswegs möglicherweise verringert oder gänzlich eliminiert werden können. Weiterhin sollten die Risiken der Datenspeicherung bei einem spezifischen Empfänger bewertet werden. Insoweit können sich beispielsweise durch branchenspezifische Gesetzgebung Unterschiede ergeben, die bestimmte Empfänger (wie z. B. Telekommunikationsanbieter) zur Kooperation mit Geheimdiensten verpflichten. Zudem sollte stets vorrangig geprüft werden, ob nicht zumutbare Alternativen existieren, die ohne einen transatlantischen Transfer personenbezogener Daten auskommen, wie beispielsweise die Zusammenarbeit mit Dienstleistern, die in der EU ihren Sitz haben.

Kommt man infolge einer Bewertung unter den soeben genannten Gesichtspunkten zum Ergebnis, dass kein Datenschutzniveau gewährleistet ist, das dem der EU vergleichbar ist, ist der Datenexporteur verpflichtet, im Vorfeld des Transfers zusätzliche Maßnahmen zu ergreifen, um einen hinreichenden Schutz der Daten garantieren zu können. Als zusätzliche Schutzmaßnahmen kommen insbesondere Verschlüsselung und Pseudonymisierung in Betracht. Sollten auch diese nicht ausreichen, darf keine Übertragung personenbezogener Daten in das Drittland erfolgen.

 

Neues Datenschutzabkommen in Sicht (?)

Medienberichten (https://www.politico.eu/newsletter/digital-bridge/privacy-shield-update-3-0-semiconductor-subsidies-eu-us-policy-spat/) zufolge, sollen endlich Verhandlungen um eine Nachfolge des EU-US Privacy Shields fast abgeschlossen sein. Das geplante Abkommen soll die Bürger der EU deutlich besser vor Datenzugriffen seitens der US-Sicherheitsbehörden schützen als bisher. Das neue „US-EU-Adequancy Agreement“ könnte schon im Mai dieses Jahres
auf der bevorstehenden Sitzung des Handels- und Technologierates (TTC) offiziell angekündigt werden.

Die US-Regierung versuchte bereits im vergangenen Jahr mit Ursula von der Leyen, der Präsidentin der Europäischen Kommission, eine politische Einigung hinsichtlich der Aufrechterhaltung der EU-US-Datenübermittlung zu erzielen. Im Vorfeld des ersten TTC-Treffens im vergangenen September wurde von US-Beamten angeboten, die nationalen Sicherheitsbehörden quasi-richterlich zu beaufsichtigen, um den Abschluss eines neuen Abkommens schnellstmöglich zu erreichen.

Sämtliche Versuche der Erzielung einer Einigung blieben bisher jedoch ohne Erfolg, sodass die Verhandlungspartner immer noch dabei sind, ein neues Abkommen auszuhandeln. Die US-Regierung betont in diesem Zusammenhang stets, dass der Abschluss eines verbesserten Privacy Shields oberste Priorität hat.

 

Ziel des US-EU Adequancy Agreements

Ziel des neuen Abkommens sei es, die Rechte der EU-Bürger im Datenschutz zu stärken, sodass weitestgehend Rechtssicherheit im Hinblick auf den transkontinentalen Datenschutz geschaffen wird und gleichzeitig den US-Geheimdiensten weiterhin einen Zugriff auf die Daten der Bürger (in rechtmäßiger Weise) zu ermöglichen. Wie in diesem Fall eine Einigung aussehen soll, bleibt abzuwarten.

 

Aktueller Stand der Verhandlungen

Folgt man den Behauptungen von US-Beamten, sei die Erarbeitung eines neuen Abkommens beendet. Das Abkommen, soll im Übrigen als „Angemessenheitsabkommen zwischen den USA und der EU“ bezeichnet werden, um zu zeigen, dass sowohl in der EU als auch in den USA das gleiche Maß an Datenschutz besteht. Demgegenüber ist die EU der Ansicht, dass es allein der EU obliegt, festzulegen, ob Drittländer dem europäischen Datenschutzstandard gerecht werden.

 

Vorschlag der USA

Bisher gibt es noch kaum inhaltliche Details zum neuen Datenschutzabkommen. Allerdings schlagen einige Beteiligte vor, dem EU-Bürger die Möglichkeit zur eröffnen, direkt (oder als Ausweichmöglichkeit über eigene nationale Behörden) eine Beschwerde bei einer unabhängigen Justizbehörde einreichen zu können, wenn sie der Ansicht sind, dass ihre personenbezogenen Daten unrechtmäßig durch die nationalen Behörden der USA verarbeitet werden. Ein solcher Rechtsbehelfsmechanismus würde allerdings weiter gehen als das, was US-Bürgern zur Verfügung steht, wenn diese sich über Datenzugriffe der US-Regierung beschweren wollen.

Hingegen soll wohl bereits feststehen, dass solche Änderungen nicht in neuen oder geänderten Gesetzen verankert werden sollen.

Die Verhandlungsführer der EU und der USA sind sich darüber bewusst, dass der US-Kongress weiterhin wenig interessiert ist am Datenschutz ausländischer Bürger. Es ist daher zu erwarten, dass die Vorschläge der USA ausschließlich auf die Änderung bestehender aufsichtsrechtlicher Vorschriften der Sicherheitsbehörden gerichtet sein werden. Doch auch dies könnte bereits dem von der EU geforderten datenschutzrechtlichen Standard gerecht werden.

 

Ausblick

Nach nun fast zweijährigen Verhandlungen liegt immer noch keine Einigung über grundlegende Fragen im Hinblick auf die Wahrung der Datenschutzrechte der EU-Bürger vor. Ob die aktuellen Verhandlungen am Ende tatsächlich die lang ersehnte Rechtssicherheit bringen werden, bleibt abzuwarten. Fest steht, dass Unternehmen bestehende Verträge mit Dienstleistern daraufhin prüfen müssen, ob und wie personenbezogene Daten in Drittländern transferiert werden.

 

 
 
 

 

 

 

Das FG München hat kürzlich entschieden, dass die DSGVO auf die Datenverarbeitung sämtlicher durch das Finanzamt verwalteten Steuern – auch der direkten – anwendbar ist. Im Rahmen des Urteils hat sich das FG München als erstes Gericht umfassend mit dem Begriff des Personenbezugs sowie der manuellen oder (teil-)automatisierten Verarbeitung personenbezogener Daten auseinandergesetzt und näher zur datenschutzrechtlichen Behandlung umfangreicher Aktensammlungen, die aus einer großen Zahl nicht strukturierter Dokumentenbündel bestehen, wie es bei Steuerakten regelmäßig der Fall ist, Stellung genommen (FG München, Urteil vom 4.11.2021, Az. 15 K 118/20).

 

Das Wichtigste in Kürze

  • Art. 15 DSGVO gewährt einen nicht in das Ermessen des Finanzamts gestellten Auskunftsanspruch über die vom Finanzamt verarbeiteten Daten.

  • Vom Auskunftsanspruch nicht umfasst seien das Recht auf Einsicht in die Steuerakte, einzelne Verwaltungsdokumente sowie Überlassung einer Kopie hiervon.

  • Die Steuerakte in Papierform, die eine in zeitlicher Abfolge sortierte Ablage des Schriftverkehrs der Steuerverwaltung mit dem Steuerpflichtigen sowie diverse andere unstrukturierte Texte enthält, fällt nicht in den Schutzbereich der DSGVO.

 

Sachverhalt

Unter Berufung auf Art. 15 der DSGVO beantragte der Kläger Auskunft über sämtliche Daten, die das Finanzamt zu seiner Person verarbeitet. Im Rahmen des Anspruchs begehrte er insbesondere eine vollständige (Farb-)Kopie seiner Steuerakten inklusive sämtlicher Nebenakten sowie der darin enthalten Vermerke.

Daraufhin überließ ihm das Finanzamt Zweitdrucke aller offenen Steuerbescheide sowie des dem Erstjahr vorangegangenen Jahres (über 10 Jahre). Weiterhin händigte das Finanzamt einen Ausdruck des Erhebungskontos, sowie eine Grunddaten- und eine e-Daten-Übersicht aus. Darüber hinausgehende Auskünfte lehnte das jedoch Finanzamt ab.

Der Kläger klagte auf Verpflichtung zur Vorlage weiterer Daten, wobei er insbesondere eine vollständige Aktenkopie begehrte. Das Finanzamt legte daraufhin in der mündlichen Verhandlung weitere Ausdrucke aus seinen Datenbanken vor. Auskünfte aus den Bereichen „festsetzungsnahe Daten, BP-Informationen, Risikomanagementsystem“ sowie die Überlassung einer Kopie der Steuerakten verweigerte das Finanzamt jedoch weiterhin.

 

Auskunftsanspruch gilt auch im Steuerverfahren

Das Gericht stellt in seinem Urteil fest, dass der Auskunftsanspruch im Sinne der Datenschutzgrundverordnung zwar grundsätzlich auch im Steuerverfahren und für direkte Steuern gelte. Vom Auskunftsanspruch nicht umfasst seien das Recht auf Einsicht in die Steuerakte, einzelne Verwaltungsdokumente sowie Überlassung einer Kopie hiervon. Abgesehen davon sei der Anspruch auf Auskunft zeitlich auf Daten noch nicht abgeschlossener Besteuerungszeiträume begrenzt.

 

Umfang des Auskunftsanspruchs

Vom geltend gemachten Auskunftsanspruch erfasst sind demnach, das Recht auf Ausdrucke oder online zur Verfügung gestellter Daten, die aus den Datenbanken des Finanzamts stammen (gemeint sind insbesondere die Grunddaten und die eDate) und von den Festsetzungsdaten die Eingabedaten sowie Berechnungsergebnisse, die Festsetzungsauskunft, Erhebungsübersicht, Datenbank Rechtsbehelfe und das Erhebungskonto.

Demgegenüber wurde ein Auskunftsrecht hinsichtlich Kontrollmaterial oder Verdachts, wie BP-Meldungen, BP-Informationen, das Datenblatt Risikomanagement, festsetzungsnahe Daten, Vermerke zur Vorbereitung der Entscheidung sowie die Entscheidungsdokumentation verneint.

 

Anwendbarkeit von Datenschutzvorschriften

Die datenschutzrechtlichen Vorschriften der Abgabenordnung (AO), der Steuergesetze und der Datenschutzgrundverordnung finden nach § 2a Abs. 1 AO auch auf die Verarbeitung personenbezogener Daten durch Finanzbehörden Anwendung. Das Finanzamt stellt eine solche Behörde gem. § 6 Abs. 2 Nr. 5 AO dar.

 

Finanzamt als Verantwortlicher i.S.d. DSGVO

Als Behörde war das Finanzamt in dem zu entscheidenden Fall auch Verantwortlicher im Sinne der DSGVO, da es „(…) allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“ und damit auch Adressat des Auskunftsanspruchs aus Art. 15 DSGVO.

 

Verarbeitung personenbezogener Daten i.S.d. DSGVO

Auch lag unproblematisch eine Verarbeitung personenbezogener Daten im Sinne der DSGVO durch das Finanzamt vor. Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind alle Informationen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Demnach sind unter personenbezogene Daten Einzelangaben zu verstehen, nicht etwa Akten oder Aktensammlungen.

 

DSGVO-relevanter Datenverarbeitungsvorgang

Das Gericht bejahte im vorliegenden Fall eine DSGVO-relevante Datenverarbeitung durch das Finanzamt. Allerdings nur im Hinblick auf automatisierte oder teilautomatisierte Verarbeitungen personenbezogener Daten im Sinne von Art. 2 Abs. 1 Alt. 1 DSGVO.

Unter einer automatisierten Datenverarbeitung ist in der Regel jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen zu verstehen, also grundsätzlich jeder Vorgang mittels Computersysteme, der ohne menschliches Zutun erfolgt. Eine nicht automatisierte Datenverarbeitung liegt bei Vorgängen vor, die manuell, d.h. ohne technische Geräte erfolgen (z.B. das Anfertigen einer handschriftlichen Liste).

Nicht automatisierte Verarbeitungen unterliegen dem Anwendungsbereich nur, sofern die personenbezogenen Daten in Dateisystemen gespeichert sind oder dies vorgesehen ist, Art. 2 Abs. 1 Alt. 2 DSGVO. Dabei muss der Dateiinhalt hinreichend strukturiert sein, sodass ein leichter Zugriff auf die personenbezogenen Daten möglich ist.

 

Datenschutzrechtliche Behandlung umfangreicher Aktensammlungen

Bisher hat die Rechtsprechung im Hinblick auf die datenschutzrechtliche Behandlung derart umfangreicher Aktensammlungen, die eine große Zahl von nicht hinreichend strukturierten Dokumentenbündel enthält, wie es bei Steuerakten der Fall ist, nicht Stellung genommen. Ebenso ist bisher die Frage, ob sich aus einer Differenzierung zwischen ganz und teilweise automatisierten sowie nicht automatisierten Datenverarbeitungen im Sinne des Art. 2 DSGVO Rückschlüsse auf den Umfang des Auskunftsrechts aus Art. 15 DSGVO ziehen lassen, ungeklärt geblieben.

Das Gericht hielt es deshalb für geboten, Anwendungsbereich und die Rechte der DSGVO für umfangreiche Aktensysteme, ausgehend von deren Funktion, differenziert zu betrachten.

Insoweit nahm das Gericht eine Differenzierung für umfangreiche Datensammlungen samt zugehöriger Aktensammlungen, wie sie im Falle von Steuerakten gegeben sind, vor. Dabei wird zwischen leicht auffindbaren, mithilfe von Kriterien strukturiert abgelegte Daten zum einen und in sich selbst nicht weiter strukturierte Textdokumente differenziert, da jeweils ein unterschiedlicher Aufwand erforderlich ist, der dem Verantwortlichen im Zusammenhang mit einer Auskunftserteilung im Sinne des Art. 15 DSGVO entsteht.

 

Unstrukturierte Schriftstücksammlungen nicht vom Anwendungsbereich der DSGVO erfasst

Das FG München kam zu dem Ergebnis, dass die Steuerakte in Papierform, die eine in zeitlicher Abfolge sortierte Ablage des Schriftverkehrs der Steuerverwaltung mit dem Steuerpflichtigen sowie diverse andere unstrukturierte Texte enthält, nicht in den Schutzbereich der DSGVO einbezogen ist.

Während eine Auskunftserteilung über strukturiert abgelegte Daten, die leicht auffindbar sind, unter vertretbarem Aufwand möglich ist, würde eine Pflicht zur Auskunftserteilung über Einzelangaben, die in unstrukturierten Schriftstücksammlungen enthalten sind, erfordern, dass diese Dokumente manuell durch eine Person gesichtet werden müssten, um im Anschluss darin enthaltene Einzelangaben zum Zwecke der Auskunftserteilung herauszuarbeiten. Erst durch diesen Prozess werden die Daten in einen leicht auffindbaren Datenbereich bewegt, sodass eine mühelose Auskunftserteilung möglich ist.

Von einem derartigen Aufwand im Zusammenhang mit der Auskunftsverpflichtung geht die DSGVO selbst allerdings nicht aus. Zwar ist in Art. 12 Abs. 1 DSGVO eine Obliegenheit des Verantwortlichen normiert, wonach dieser Maßnahmen ergreifen muss, die ihm eine möglichst schnelle Auskunftserteilung ermöglichen. Allerdings ist damit nicht gemeint, dass er sich vorsorglich durch den gesamten Schriftwechsel durcharbeiten muss, um daraus Einzelangaben zu extrahieren, die potenziellen Auskunftsanträgen vorgehalten werden könnten.

Auch wenn die Schriftgutsammlung selbst auch Einzelangaben mit Personenbezug aufweist, enthält sie dennoch eine Vielzahl von Einzelangaben ohne unmittelbaren Bezug zum Steuerpflichtigen, wie beispielsweise Bearbeitungsvermerke, den Namen des Bearbeiters, rechtliche Analysen o.ä. Solche noch „ungehobenen“ Einzeleingaben weisen nach Ansicht des Gerichts noch keine „Strukturierung nach bestimmten Kriterien“ auf, die eine leichte Wiederauffindung ermöglicht. Nach Auffassung des Gerichts ist der sachliche Anwendungsbereich der DSGVO daher erst dann eröffnet, wenn solche ungehobenen Einzeleingaben, manuell durch eine Person aus der Akte extrahiert und in ein Dateisystem übertragen werden. Erst dann liegt eine nicht automatisierte Verarbeitung im Sinne der DSGVO vor.

 

Unterscheidung Akteneinsicht und Auskunftsanspruch

Zwar steht dem Kläger ein Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO gegen das Finanzamt zu. Dieser ist jedoch mit Blick auf die Beschränkungen des Auskunftsrechts durch die DSGVO selbst, durch die AO sowie allgemeine Grundsätze zu begrenzen.

Nicht nur nach den Erwägungsgründen 15 und 16 zur DSGVO sind Akten und Aktensammlungen, die nicht durch bestimmte Kriterien strukturiert sind, vom Anwendungsbereich der DSGVO ausgenommen. Vielmehr stellte auch der EuGH (Urteil vom 17.7.2014 C-141/12) in der Vergangenheit klar, dass der Auskunftsanspruch aus Art. 15 DSGVO kein Recht auf Zugang zu Verwaltungsdokumenten gewährt. Was für einzelne Dokumente gilt, muss erst recht für ganze Dokumentensammlungen gelten, so das Münchner Finanzgericht.

So hat das beklagte Finanzamt im Verfahren zutreffend darauf hingewiesen, dass die DSGVO zwischen Auskunft und Akteneinsicht unterscheidet. Dies ergebe sich aus einer wortlautorientierten Auslegung mehrerer Sprachfassungen.

Vor Inkrafttreten der DSGVO sahen auch der BFH und das BVerfG als gerechtfertigt an, dass die AO kein generelles Akteneinsichtsrecht im Bereich des Steuerrechts gewährleistet. Der Ablehnung eines solchen gebundenen Akteneinsichtanspruchs lag die Erwägung zugrunde, dass der Gesetzgeber ein solches allgemeines Recht auf Akteneinsicht im Steuerverfahren als nicht praktikabel ansah. Einem solchen Recht stünde der Schutz Dritter, das Ermittlungsinteresse der Finanzbehörden und der damit verbundene Verwaltungsaufwand entgegen. Die Finanzbehörde hätte vor jeder Akteneinsicht prüfen müssen, ob Interessen Dritter durch die Einsicht beeinträchtigt sein könnten und im Anschluss ggf. das gesamte Kontrollmaterial, interne Vermerke und Anweisungen der Behörde oder Ähnliches entfernen müssen.

 

Verpflichtung der Finanzbehörde zur Auskunftserteilung

Weiterhin ist von einem gebundenen Auskunftsanspruch auszugehen. Auch wenn die Rechtsprechung des BFH (Beschluss vom 4. Juni 2003 VII B 138/01) davon ausgeht, dass Akteneinsicht in Ermangelung eines normierten Anspruchs nach pflichtgemäßem Ermessen der Behörde zu gewähren sei, trifft das nicht auf den Auskunftsanspruch nach Art. 15 DSGVO zu, da dieser nicht dem Ermessen der Behörde unterliegt. Ein Ermessen wird dem Finanzamt gem. § 32d Abs. 1 AO lediglich im Hinblick auf die Form der Auskunftserteilung eingeräumt. In diesem Zusammenhang steht es der Finanzbehörde frei, die Auskunft mittels eines Datenausdrucks, durch Einräumung eines Onlinezugangs oder die Gestattung von Akteneinsicht zu gewähren.

 

Ausblick

Trotz der Entscheidung des FG München, bleibt die Antwort auf die Frage nach der Anwendbarkeit der DSGVO auf Ansprüche gegen die Finanzverwaltung direkter Steuern weiterhin mehr oder weniger offen, solange der Bundesfinanzhof in dieser Sache noch keine Entscheidung getroffen hat. Auch wenn das Urteil des FG München eine Orientierungshilfe darstellt, verbleibt dennoch die Möglichkeit anderslautenden Instanzenrechtsprechung.

 

 
 
 

 

 

 

Nach § 13 Betriebsverfassungsgesetz (BetrVG) finden die regelmäßigen Betriebsratswahlen alle 4 Jahre, in der Zeit vom 01.03. bis 31.05., statt. Das Betriebsverfassungsgesetz und die dazugehörige Wahlordnung regeln die formalen Grundsätze, wie eine Betriebsratswahl durchzuführen ist. Grundsätzlich gibt es das

  • reguläre „normale Wahlverfahren“ für Betriebe über einer Grenze von 100 Mitarbeitern und das
  • vereinfachte Wahlverfahren, nach § 14a BetrVG, für „Kleinbetriebe“ unterhalb dieser Grenze.

Das vereinfachte Wahlverfahren war zunächst grundsätzlich nur für Betriebe unterhalb von 50 Mitarbeiterin angedacht und sollte der Beschleunigung und Vereinfachung des doch recht komplizierten und formalisierten, regulären Wahlverfahren dienen. Die Miterbeitergrenze wurde vor kurzem auf 100 Mitarbeiter heraufgesetzt.

Die Zeit der Betriebsratswahlen bedeutet auch für die Arbeitsgerichte ein erhöhtes Arbeitsaufkommen. Die Betriebsratswahlen sind unter formalen Gesichtspunkten stark reglementiert. Nach Expertenschätzungen sind etwa 70 – 80 % der Betriebsratswahlen mit formalen Fehlern behaftet. Im Grunde gibt es hier zwei Ansatzmöglichkeiten:

 

I. Maßnahmen nach einer Betriebsratswahl

1. Anfechtung nach § 19 BetrtVG

Das Betriebsverfassungsgesetz selbst regelt in § 19 BetrVG die Möglichkeit der Anfechtung der Betriebsratswahl. Danach kann die Betriebsratswahl angefochten werden, wenn gegen wesentliche Vorschriften über das Wahlrecht, die Wählbarkeit oder das Wahlverfahren verstoßen wurde.

 

a) Anfechtungsberechtigt sind:

  • mindestens 3 Wahlberechtigte,
  • die im Betrieb vertretende Gewerkschaft,
  • der Arbeitgeber.

b) Anfechtungsfrist:

Die Anfechtung muss innerhalb von zwei Wochen, seit der Bekanntgabe des Wahlergebnisses der Betriebsratswahl erfolgen.

c) Laufzeit des gerichtlichen Verfahrens:

Die Laufzeit bei den Arbeitsgerichten sind unterschiedlich. Für ein Verfahren vor dem Arbeitsgericht und Landesarbeitsgericht kann durchaus ein Zeitraum von 2,5 Jahren in Ansatz gebracht werden.

d) Wirkung der Unwirksamkeitsfeststellung:

Stellt das Gericht rechtskräftig fest, dass die Wahl unwirksam war, so gilt diese Feststellung „ex nunc“. Das bedeutet, mit rechtskräftiger Feststellung der Unwirksamkeit der Betriebsratswahl endet das Betriebsratsamt. Alle bis dahin getätigten Handlungen des Betriebsrates bleiben wirksam.

 

2. Feststellung der Nichtigkeit der Betriebsratswahl

Die Nichtigkeit der Betriebsratswahl kann gerichtlich geltend gemacht werden, wenn „gegen wesentliche Grundsätze des Wahlrechts in so hohem Maße verstoßen worden ist, dass nicht einmal mehr der Anschein einer ordnungsgemäßen Betriebsratswahl vorliegt“.

a) Antragsberechtigt:

„Jeder mit berechtigtem Interesse“.
Es sollten aber sicherheitshalber auch die Bestimmungen der Anfechtung eingehalten werden.

b) Antragsfrist:

Keine spezielle. Aber es sollte zeitnah zur Kenntnisnahme der Unwirksamkeit erfolgen.

c) Laufzeit des gerichtlichen Verfahrens:

Die Laufzeit bei den Arbeitsgerichten sind unterschiedlich. Für ein Verfahren vor dem Arbeitsgericht und Landesarbeitsgericht kann durchaus ein Zeitraum von 2,5 Jahre in Ansatz gebracht werden.

d) Wirkung der Wahlnichtigkeitsfeststellung:

Stellt das Gericht rechtskräftig fest, dass die Betriebsratswahl nichtig war, so gilt diese Feststellung „ex tunc“. Das bedeutet, der Betriebsrat, dessen Wahl für nichtig erklärt wurde, hat nie existiert; mit den problematischen Folgen, für alle die in diesem Zeitraum vorgenommene Betriebsratshandlungen, insbesondere bei abgeschlossenen Betriebsvereinbarungen.

 

II. Maßnahmen vor oder während der Betriebsratswahl

Durch die Rechtsprechung ist aber auch anerkannt, dass formale Fehler, auch während der Betriebsratswahl, durch die jeweils Betroffenen angreifbar sind. Die Fehlerquellen sind dabei vielfältig. So z.B.:

  • Fehlerhafte Sammlung von Stützunterschriften
  • Nichtzulassung von Wahlvorschlagslisten durch den Wahlvorstand
  • Bei schwerwiegenden Fehlern kommt auch der Abbruch der Wahl in Betracht.

a) Verfahren:

In der Regel werden diese formalen Fehler, wegen der unmittelbar bevorstehenden Betriebsratswahl im Wege der Einstweiligen Verfügung geltend gemacht.

b) Laufzeit des Verfahrens:

Die Ladung zum Termin und die Laufzeit des Verfahrens sind sehr kurz.

So hatte z.B. das Arbeitsgericht Frankfurt am Freitag, den 04.03.2022, erstinstanzlich entschieden und noch am Nachmittag die schriftliche Entscheidung den Parteien zugestellt.
Am Montag, den 07.03.2022, erfolgte die schriftliche Beschwerde gegen die erstinstanzliche Entscheidung und bereits am 08.03.202, war die Verhandlung vor dem Landesarbeitsgericht.

In einem anderen Verfahren hatte das Arbeitsgericht Frankfurt den Antrag des Antragstellers am 09.03.2022 gegen 12.00 Uhr dem Antragsgegner zugestellt und bereits für den 10.03.2022 den Termin zur mündlichen Verhandlung anberaumt. In dieser Zeit musste der Antragsgegner seinen Erwiderungsschriftsatz fertigen und bei Gericht so einreichen, dass die anderen Parteien noch Gelegenheit hatten, den Inhalt zur Kenntnis zu nehmen.

Aber es geht noch schneller.
Eingang der schriftlichen Ladung, Freitag, den 11.03.2022, 14.15 Uhr.
Termin zur mündlichen Verhandlung Freitag, den 11.03.2022, 15.30 Uhr.

 

Empfehlung:

Es empfiehlt sich somit, die Wahl des Betriebsrates ordnungsgemäß vorzubereiten und bei der Durchführung der Betriebsratswahl auf alle Formalien sorgfältig zu achten.
Es muss aber auch festgestellt werden, dass es ohne rechtliche Hilfe in den meisten Fällen nicht möglich sein wird, eine Wahl zum Betriebsrat fehlerfrei durchzuführen.

 

 
 
 

 

 

 

Mit dem Beginn der Corona-Pandemie haben Tools für die Organisation von Videokonferenzen schlagartig an Bedeutung gewonnen. Insbesondere der US-amerikanische Videokonferenzdienstleister Zoom Video Communications erfreut sich seither zunehmender Beliebtheit bei vielen Unternehmen. Doch nicht nur im Business-Segment, sondern auch in Bildungseinrichtungen wird das Tool eingesetzt, um beispielsweise Fernkonferenzen oder Lehrveranstaltungen abzuhalten. Nachdem einige Datenschützer ihre Bedenken im Hinblick auf die Datenschutzkonformität des Videokonferenzdienstleisters geäußert haben, hat Zoom nach einem Austausch mit SURF – dem Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen – Anpassungen hinsichtlich des Datenschutzes vorgenommen. Der ICT-Dienstleister SURF hat kürzlich eine positive Datenschutzfolgenabschätzung veröffentlicht, mit dem Ergebnis, dass beim Einsatz von Zoom keine hohen Datenschutzrisiken bestehen.

 

Das Wichtigste in Kürze

  • Zoom hat neue Datenschutzfunktionen und Lösungen zur Datenlokalisierung und Verarbeitung personenbezogener Nutzerdaten innerhalb der EU bis Ende 2022 angekündigt.
  • Zur Verbesserung der Transparenz und Dokumentation hat Zoom ein Privacy Data Sheet veröffentlicht, das regelmäßig aktualisiert werden soll.
  • Die Durchführung einer neuen Datentransferfolgenabschätzung durch Zoom hat ergeben, dass eine Datenübermittlung in die USA ein für die Privatsphäre des Einzelnen vernachlässigbares Risiko darstellt.
  • Verantwortliche werden dazu angehalten, zusätzliche Maßnahmen des Datenschutzes zu ergreifen und Verträge über Datenverarbeitungen mit Zoom abzuschließen.

 

Datenschutzrechtliche Probleme

In der Vergangenheit stand das Tool trotz seiner unkomplizierten Anwendung bereits öfters in der Kritik der Datenschützer. Unter anderem wurden Administratorrechte kritisiert, da sie personenbezogene Teilnehmerdaten einsehen konnten und über Tracking-Tools verfügen. Für negative Schlagzeilen hat jüngst das sog. „Zoom-Bombing“ gesorgt. Unter „Zoom-Bombing“ versteht man Cyberangriffe, durch die Hacker Videokonferenzen, die via Zoom stattfinden, stören, indem sie sich Zugriff auf die Übertragung verschaffen und diese durch Projektion von anstößigen oder gewaltverherrlichenden Inhalten behindern. Darüber hinaus soll es in der iOS-Version des Tools zu einer Übermittlung personenbezogener Daten an Facebook gekommen sein. Besonders kritisch zu betrachten ist in diesem Zusammenhang, dass es zu einer solchen Datenübermittlung auch gekommen sein soll, wenn Nutzer sich nicht über ihren Facebook-Account angemeldet haben.

 

Neue Datenschutzfunktionen

Im Rahmen der Zusammenarbeit mit SURF hat Zoom Möglichkeiten zur Verbesserung des Datenschutzes aufgezeigt und einen Plan zur Umsetzung datenschutzrechtlicher Maßnahmen festgehalten. Die Umsetzung des Vorhabens soll in regelmäßigen Abständen dokumentiert und mit SURF besprochen werden.

Darüber hinaus hat der Dienstleister unter anderem angekündigt, Lösungen zur Datenlokalisierung anzubieten und sich verpflichtet, bis Ende 2022 Möglichkeiten für die Verarbeitung personenbezogener Daten von Kunden aus der EU innerhalb der EU zu schaffen.

Zudem soll bis Mitte dieses Jahres ein EU-Supportdienst eingerichtet werden. Für den Fall, dass es der Einschaltung eines Support-Teams bedarf, das außerhalb der EU seinen Sitz hat, muss der Kunde in die Drittlandübermittlung ausdrücklich einwilligen.

Weiterhin sollen Administratoren von Unternehmens- und Bildungskonten bis Ende 2022 Selbstbedienungs-Tools für die ordnungsgemäße Bearbeitung von Auskunftsersuchen der Nutzer zur Verfügung gestellt werden.

 

Mehr Transparenz und bessere Dokumentation

Zur Förderung der Transparenz und Verbesserung der Dokumentation von Datenverarbeitungsvorgängen hat Zoom ein Privacy Data Sheet veröffentlicht. Dieses soll regelmäßig aktualisiert werden.

 

Datentransferfolgenabschätzung

Darüber hinaus hat das Unternehmen eine Datentransferfolgenabschätzung (Data Transfer Impact Assessment (DTIA)) zu einer Drittlanddatenübermittlung in die USA durchgeführt, in dem es zum Ergebnis kommt, dass eine solche für die persönlichen Rechte und Freiheiten des Einzelnen lediglich ein geringes Risiko darstellt.

 

Verbesserung der Datenschutzpraktiken

Im Rahmen der Anpassung des Datenschutzes hat der Dienstleister auch seine Datenschutzpraktiken verbessert. Insbesondere im Hinblick auf die Aufbewahrung personenbezogener Daten der Nutzer wurden Prozesse konkretisiert und auf ein Minimum reduziert.

In der (noch) aktuellen Handreichung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg wurde Zoom für seine unzulässige Einschränkung der Löschpflicht kritisiert, da das Softwareunternehmen in seinen Nutzungsbedingungen die Lo¨schung der verarbeiteten personenbezogenen Daten nach Vertragsende in gro¨ßerem Umfang ausschließt, als nach Art. 28 Abs. 3 lit. g) DSGVO zula¨ssig ist, sodass zu erwarten ist, dass die Datenschutzbehörden diese Anpassung besonders begrüßen werden.

Im Zusammenhang mit der Verbesserung seiner Datenschutzpraktiken möchte der Softwarehersteller durch Technikgestaltung (Privacy by Design) sowie die Implementierung verbesserter datenschutzfreundlicher Voreinstellungen (Privacy by Default) die Entwicklung zu einem rundum datenschutzfreundlichen Produkt fördern.

Darüber hinaus hat der Videokonferenzdienstleister angekündigt, seine Mitarbeiter durch Schulungen für den Datenschutz zu sensibilisieren.

 

Empfehlungen von SURF

Über die geplanten Datenschutzanpassungen hinaus rät SURF Nutzern des Tools selbst weitere Maßnahmen zugunsten des Datenschutzes zu ergreifen und Verträge über Datenverarbeitungen abzuschließen. Dadurch sollen Datenschutzrisiken für Kunden vermieden und eine vertrauliche Kommunikation über Zoom ermöglicht werden. In diesem Zusammenhang hat SURF sowohl für Administratoren als auch Endnutzer und Hosts hilfreiche Empfehlungen zur Nutzung bestimmter Zoom-Einstellungen veröffentlicht.

 

Bisherige Bewertung der deutschen Datenschutzbehörden

Die deutschen Datenschutzbehörden haben sich zwar bereits zu dem Videokonferenzsystem geäußert und entsprechende Hinweise veröffentlicht, allerdings sind diese auf Grundlage älterer Unterlagen ergangen. So hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg in seinen Hinweisen zu Videokonferenzsystemen bereits darauf hingewiesen, dass mittlerweile aktualisierte Unterlagen des Dienstleisters vorliegen, die von der Datenschutzbehörde geprüft werden, sodass mit einer baldigen Anpassung der Handreichung gerechnet werden kann. In den noch aktuellen Handreichungen wird der Anbieter stark für seine Sicherheitslücken, seine Tracking-Praxis sowie in Sachen Nutzerfreundlichkeit kritisiert.

 

Datenschutzkonformer Einsatz des Tools

Mit Blick auf die Verarbeitung zahlreicher personenbezogener Daten im Zusammenhang mit dem Einsatz der Systeme von Zoom ergeben sich einige datenschutzrechtliche Fragen. Sowohl die Datenschutzfolgenabschätzung der SURF als auch die Erfahrungen, die in den letzten von Home-Office geprägten Jahren gesammelt werden konnten, machen deutlich, dass ein datenschutzkonformer Einsatz des Tools nicht ausgeschlossen ist, sofern nur hinreichende zusätzliche Maßnahmen zugunsten des Datenschutzes ergriffen werden. Hierbei ist ratsam, Regelungen im Hinblick auf den Datenschutz bei der Abhaltung von Videokonferenzen via Zoom in die Unternehmensrichtlinien aufzunehmen.

 

Konferenzen im privaten Modus

Administratoren haben die Möglichkeit, durch bestimmte Chat-Einstellungen zur datenschutzkonformen Durchführung von Konferenzen via Zoom beizutragen. In diesem Zusammenhang ist es ratsam, sämtliche Einstellungsmöglichkeiten, die Zoom bietet, vollends auszuschöpfen und datenschutzfreundlich einzusetzen, um das Risiko von Verstößen gegen geltende Datenschutzvorschriften soweit es möglich ist zu minimieren.

Daher sollten sämtliche Konferenzen im privaten Modus abgehalten werden. Dies erfolgt durch die Erstellung eines entsprechenden Links sowie eines Passworts für das konkrete Meeting, die im Anschluss an die Teilnehmer versendet werden.

Darüber hinaus gibt es mithilfe entsprechender Einstellungen die Möglichkeit, dass Teilnehmer nur dann zu einer Konferenz zugelassen werden, wenn der Gastgeber den Beitritt zum Meeting durch aktives Handeln (mit einem Klick) gestattet. Dafür kann via Zoom ein Warteraum als Zwischenstadium eröffnet werden, bevor der jeweilige Teilnehmer zur Konferenz zugelassen wird.

 

Standortfestlegung

Bei Pro-, Business-, Enterprise oder Bildungskonten besteht die Möglichkeit, den Serverstandort selbst festzulegen. Im Gegensatz dazu wird der Standort beim kostenlosen Account in der Region festgelegt, in dem auch das Konto bereitgestellt wird. Nutzer haben die Möglichkeit, sich aus acht Standorten auf einen festzulegen und so alle anderen Standorte bis auf die eigene Region, in der das Konto bereitgestellt wurde, auszuschließen.

 

Handlungsempfehlungen

Für einen DSGVO-konformen Einsatz von Zoom werden folgende Maßnahmen empfohlen:

  • Durchführen einer Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO, um datenschutzrechtliche Risiken zu identifizieren, sodass ggf. notwendige Abhilfemaßnahmen ergriffen werden können und Dokumentation sämtlicher Ergebnisse.
  • Festlegen von Verarbeitungsvorgängen und Verarbeitungszwecke durch vorherige Bestimmung möglicher betroffener Personengruppen und Datenkategorien.
  • Sicherstellen, dass für alle festgelegten Verarbeitungszwecke eine Rechtsgrundlage vorliegt.
  • Vornahme einer Risikobewertung für die Rechte und Freiheiten der betroffenen Personen auf Basis von Nutzungsszenarien.
  • Realisierung technisch-organisatorischer Maßnahmen zum Ausschluss oder der Verringerung potenzieller Risiken.
  • Sofern eine Kommunikation mit unternehmensexternen Personen vorgesehen ist, sollte die Datenschutzerklärung entsprechende Informationen im Hinblick auf die Nutzung von Zoom enthalten.
  • Verwendung der aktuellsten Version von Zoom.
  • Datenschutzfreundliche Voreinstellungen treffen (Warteräume, Stummmodus, eingeschränkte Bildschirmteilnahme).
  • Separate Versendung von Einladungs-Link und Passwort zur Vermeidung von Zoom-Bombing.
  • Aktivierung einer Ende-zu-Ende-Verschlüsselung, sofern besonders sensible und vertrauliche Inhalte innerhalb des Meetings via Zoom ausgetauscht werden sollen. Dadurch wird sowohl die Privatsphäre als auch der Datenschutz verbessert.

 

Fazit

Trotz der begrüßenswerten Verbesserung des Datenschutzes bei Zoom ist noch unklar, ob andere nationale Datenschutzbehörden, einschließlich Deutschland, die veröffentlichten Einschätzungen von SURF teilen. Im Ergebnis kommt es für einen Einsatz des Videokonferenzsystems von Zoom nicht darauf an, ob das Tool DSGVO-konform eingesetzt werden kann, sondern vielmehr, welche Maßnahmen zusätzlich für einen datenschutzkonformen Einsatz ergriffen werden müssen und ob die unternehmenseigene Compliance-Abteilung diese umsetzen kann. Denn trotz der Anpassung des Datenschutzes ist die Initiative der Verantwortlichen erforderlich, um von der Verwendung von Zoom datenschutzsicher profitieren zu können.

 

 
 
 

 

 

 

Der Bundesverband der Verbraucherzentrale (vzbv) geht seit Jahren gegen den Internetgiganten Meta (ehemals Facebook) vor. Grund dafür ist aus Sicht des Verbandes, dass Meta im Rahmen des Betriebs der Internetseite Facebook seine Nutzer nicht ausreichend darüber informiere, welche Nutzerdaten weitergegeben würden und ob bzw. in welchem Umfang diese verarbeitet werden. Nachdem eine lange Zeit fraglich war, ob Verstöße gegen die Datenschutzgrundverordnung (DSGVO) von einem Verbraucherschutzverband geltend gemacht werden können, hat der Gerichtshof der Europäischen Union (EuGH) die Klagebefugnis im vergangenen Monat bejaht.

 

Das Wichtigste in Kürze

  • Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung unter anderem die Frage vorgelegt, ob Verbraucherschutzverbände bei Verstößen gegen die DSGVO klagebefugt seien.
  • In seinem aktuellen Urteil stellt der EuGH fest, dass die Regelungen der DSGVO zumindest im Hinblick auf die Klagebefugnis von Verbraucherschutzverbänden nicht abschließend seien.
  • Werden innerhalb nationaler Regelungen Klagebefugnisse eingeräumt, die auch dem Schutz personenbezogener Daten von natürlichen Personen dienen und den Schutzbereich der DSGVO umfassen, steht Unionsrecht in diesen Fällen laut EuGH nicht entgegen.

 

Ausgangsfall

Im Ausgangsfall ging es um ein Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände „Verbraucherzentrale Bundesverband e.V.“ gegen Meta Platforms Ireland (ehemals Facebook Ireland) vor dem Landgericht Berlin. Der Bundesverband erhob Klage auf Unterlassung gegen die Social-Media-Plattform-Betreiberin, weil diese auf ihrer Plattform für ihre Nutzer Spiele von Drittanbietern, unter Verstoß gegen die geltenden Datenschutzvorschriften, die Vorschriften zur Bekämpfung gegen den unlauteren Wettbewerb sowie Verbraucherschutzvorschriften bereitgestellt hat.

Auslöser für das Vorgehen der Verbraucherzentrale waren die Regelungen rund um die Nutzung der im App-Center bereitgestellten Anwendungen. Besonders problematisch seien die Nutzerhinweise, die bei Aufruf einzelner Spiele im App-Center ergehen und den Nutzer darüber belehren, dass die Spielegesellschaft durch die Verwendung der konkreten Anwendung dazu berechtigt wird, eine Reihe von personenbezogenen Daten zu erheben und im Namen des Nutzers Informationen zu veröffentlichen.

 

Zweifel des BGH an der Klagebefugnis

Nachdem das Landgericht Berlin der Klage stattgegeben hat, ging die Plattform-Betreiberin in Berufung, die vom Kammergericht Berlin zurückgewiesen wurde. Im Rahmen des Revisionsverfahrens stellte der BGH fest, dass die Anträge des Verbraucherverbandes zwar begründet seien. Allerdings äußerte das Gericht Zweifel hinsichtlich der Zulässigkeit der Klage aufgrund einer möglicherweise mangelnden Klagebefugnis des vzbv.

Konkret ging es um die Frage, ob der Verbraucherschutzverband eine Verbandsklage erheben könne. Darunter ist generell eine Klage zu verstehen, die unabhängig von konkret dargelegten Datenschutzverletzung und ohne entsprechenden Auftrag durch die betroffenen Personen von einem Verbraucherschutzverband erhoben wird.

 

BGH: Keine Klagebefugnis unmittelbar aus der DSGVO

Der BGH sah weder eine Klagebefugnis aus Art. 80 Abs. 1 DSGVO noch aus Art. 80 Abs. 2 DSGVO als gegeben an. Eine Legitimation aus Art. 80 Abs. 1 DSGVO kam nach Ansicht des BGH nicht infrage, da die Klage auf Unterlassung im Ausgangsverfahren nicht im Auftrag der betroffenen Personen erhoben wurde, so wie es nach dem Gesetzeswortlaut erforderlich wäre.

Weiterhin könne eine Klagebefugnis auch nicht aus Art. 80 Abs. 2 abgeleitet werden, da hierfür tatsächliche Verletzungen der Rechte der betroffenen Personen erforderlich seien.

Letztlich wäre nach Ansicht des BGH eine Klagebefugnis des vzbv nur gestützt auf § 8 Abs. 3 Nr. 3 UWG denkbar. Insoweit könnte die wettbewerbsrechtliche Norm aufgrund des Anwendungsvorrangs der DSGVO durch Art. 80 DSGVO verdrängt worden sein.

Der BGH kam schließlich zu dem Ergebnis, dass die DSGVO diesbezüglich keine abschließenden Regelungen enthalte, sodass Verbraucherschutzverbände auch ohne konkreten Auftrag durch Betroffene gegen mutmaßliche DSGVO-Verstöße vorgehen können.

Diese Auffassung entspreche im Übrigen auch dem Fashion ID Urteil, das jedoch aufgrund neuer Rechtslage nicht auf den zu entscheidenden Fall übertragen werden konnte.

 

Vorabentscheidungsersuchen des BGH

Nachdem der Bundesgerichtshof die Unterlassungsklage zwar für begründet hielt, an ihrer Zulässigkeit jedoch im Hinblick auf eine Verbandsklage-Kompetenz zweifelte, legte er dem EuGH im Mai 2020 in diesem Zusammenhang Fragen zur Vorabentscheidung vor (Beschl. v. 28.05.2020, Az. I ZR 186/17).

Dabei ging es primär um die entscheidende Frage, ob einem Verband, der die Wahrung von Interessen von Verbrauchern zum Ziel hat, wie es im Falle des Bundesverbandes zutrifft, die Befugnis zustehe, unabhängig von konkreten Rechtsverletzungen einzelner Betroffener sowie ohne ausdrücklichen Auftrag wegen Verstößen gegen die DSGVO gerichtlich im Wege einer Klage vorzugehen.

 

Entscheidung des EuGH

Im Urteil vom 28. April 2022 hat der EuGH entschieden, dass die Datenschutzgrundverordnung in diesem Zusammenhang nicht abschließend ist und daher nationalen Regelungen nicht entgegenstehe. Vorausgesetzt die in Rede stehende Verarbeitung greift in Rechte von identifizierten oder identifizierbaren natürlichen Personen aus der DSGVO ein. Dies gelte zumindest für die Klagebefugnis der Verbraucherschutzverbände.

In diesem Fall kann ein Verband ohne entsprechenden Auftrag konkreter Betroffener die Klage mit der Begründung erheben, dass dem Verantwortlichen Verstöße gegen wettbewerbsrechtliche Vorgaben oder Verbraucherschutzgesetze zur Last fallen oder er unwirksame Allgemeine Geschäftsbedingungen verwendet hat.

 

Mitgliedstaatlicher Ermessensspielraum

Zur Begründung führt der Gerichtshof an, dass der Gesetzgeber mit der DSGVO zwar dem Grunde nach eine vollständige Harmonisierung der nationalen Vorschriften zum Schutz der Rechte natürlicher Personen bei der Datenverarbeitung vorgenommen hat. Er hat in diesem Zusammenhang allerdings auch sog. Öffnungsklauseln geschaffen, die einen Ermessensspielraum im Hinblick auf die Art und Weise der Durchführung der Bestimmungen der Verordnung vorsehen. Dadurch wird den Mitgliedstaaten unter anderem die Möglichkeit eingeräumt, nationale Vorschriften, die näheres Regeln, zu erlassen.

Einen solchen Ermessensspielraum gewähre im vorliegenden Fall auch Art. 80 Abs. 2 DSGVO.

Die Einräumung eines Ermessensspielraums, wie es im Falle des Art. 80 Abs. 2 DSGVO liegt, kommt dem Charakter einer Richtlinie nahe, die ebenfalls einer Umsetzung ins nationalen Recht bedarf.

Aus diesen Erwägungen folgt, dass die Mitgliedstaaten grundsätzlich Verbandsklage-Verfahren vorsehen können, die allerdings stets an einige Anforderungen geknüpft sind.

Im Übrigen führt der EuGH aus, dass ein Verband, der die Wahrung von Verbraucherinteressen zum Ziel hat, wie es im Falle des Bundesverbandes ist, unter den Begriff der klagebefugten Einrichtung der DSGVO fällt. Grund dafür sei, dass die Wahrung von Verbraucherinteressen ein Ziel darstellt, das im öffentlichen Interesse liegt, da es der Gewährleistung von Verbraucherrechten dient. Nicht selten geht ein Verstoß gegen Verbraucherschutzvorschriften oder Wettbewerbsrecht mit einem Datenschutzverstoß einher.

Da es im betreffenden Verfahren an einer konkreten Beauftragung des vzbv, wie es in Art. 80 Abs. 1 DSGVO verlangt wird, mangelt, konzentrieren sich die Ausführungen des EuGH auf die Möglichkeit einer Klagebefugnis aus Art. 80 Abs. 2 DSGVO.

 

Klagebefugnis der Verbraucherschutzverbände auch ohne Auftrag der Betroffenen

Folglich haben die genannten Einrichtungen eine Verbandsklage-Kompetenz, sodass Verbände auch unabhängig von einem entsprechenden Auftrag Klage erheben können, wenn sie der Ansicht sind, dass Betroffene infolge der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten aus der DSGVO verletzt sein könnten. In diesem Fall wird von ihnen nicht verlangt, dass sie die jeweiligen Personen, die konkret betroffen sind, im Vorfeld individuell ermitteln und das Vorliegen einer konkreten Datenschutzverletzung vorbringen müssen.

Daraus folgt, dass eine entsprechende Klage lediglich auf die Rechtsverletzungen gestützt werden muss, die einer natürlichen Person aus einer Verarbeitung ihrer personenbezogenen Daten erwachsen kann.

Im Falle der Klage des vzbv gegen die Plattformbetreiberin von Facebook wäre dies der Fall, da aufgrund der Praktiken der Plattformbetreiberin Verstöße gegen Art. 12 Abs. 1 S. 1 (Transparenzpflichten), Art. 13 Abs. 1 lit. c) und lit. e) (Informationspflichten) DSGVO sowie Vorschriften zum Schutz der Rechte Einzelner vorliegen.

Schließlich stehe eine solche Auslegung laut dem EuGH dem Ziel der DSGVO, ein möglichst hohes Schutzniveau für die personenbezogenen Daten Betroffener zu gewährleisten, nicht entgegen.

 

Ausblick

Letztlich stellt das Urteil im Wesentlichen keine große Überraschung dar, wenn man bedenkt, dass eine solche Klagebefugnis für Verbände vom EU-Gesetzgeber bereits in der Verbandsklagerichtlinie vorgesehen ist, die bis Dezember dieses Jahres umzusetzen ist. Darüber hinaus greift das Urteil des EuGH die Schlussanträge des Generalanwalts vom 2. Dezember des vergangenen Jahres auf. Nichtsdestotrotz handelt es sich um ein höchst praxisrelevantes und richtungsweisendes Urteil. Zum einen stellt das Urteil eine prozessuale Neuerung für Klageverfahren im datenschutzrechtlichen Bereich dar, indem Verbraucherschutzverbänden die Möglichkeit einer Verbandsklage eingeräumt wird. Zum anderen müssen sich Unternehmen, vor allem solche im B2C-Bereich, in Zukunft auf Abmahnungen und unter Umständen auf gerichtliche Verfahren einstellen. Um einer solchen rechtlichen Inanspruchnahme entgegenzuwirken, sollten Unternehmen das Urteil zum Anlass nehmen und die eigene Datenschutz-Compliance auf Vereinbarkeit mit der DSGVO prüfen.

 

 
 
 
 

 

 

 

Direktmarketing stellt heutzutage eines der wichtigsten Kommunikationsinstrumente eines Unternehmens dar, wenn es darum geht, bestehende oder potenzielle Kunden gezielt anzusprechen. Allerdings müssen je nach Vertriebskanal unterschiedliche gesetzliche Regelungen beachtet werden. Unter Werbung ist grundsätzlich jede Äußerung zu verstehen, die im Rahmen der geschäftlichen Tätigkeit mit dem Ziel erfolgt, den Warenabsatz oder die Erbringung von Dienst- oder Werkleistungen zu fördern. Somit fallen auch Zufriedenheitsnachfragen beim Kunden, ebenso wie Geburtstags- oder Weihnachtsgrüße unter den weit gefassten Begriff von Werbung. Direktwerbung kennzeichnet sich dadurch aus, dass es zu einer unmittelbaren Kontaktaufnahme mit dem bestehenden oder potenziellen Kunden kommt. Diese erfolgt klassischerweise postalisch, per E-Mail, Telefon oder Fax.

 

Keine expliziten Regelungen zu Werbung in der DSGVO

In der Datenschutzgrundverordnung finden sich keine detaillierten Bestimmungen, die Direktmarketingmaßnahmen regeln. Da es zur Durchführung von Direktwerbung einer Verarbeitung personenbezogener Daten der Zielperson bedarf, gilt es auch rechtliche Vorgaben der DSGVO zu beachten. Ob die Datenverarbeitung für Zwecke der Direktwerbung im konkreten Fall zulässig ist, lässt sich insoweit entweder auf Grundlage einer wirksam erteilten transparenten Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO oder anhand einer Interessenabwägung im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO beurteilen. Dass eine Verarbeitung personenbezogener Daten, die einem berechtigten Interesse des Werbenden dient, bei Direktwerbung grundsätzlich als Rechtsgrundlage in Betracht kommt, kann Erwägungsgrund 47 DSGVO entnommen werden.

 

Interessenabwägung im konkreten Einzelfall

Gemäß der DSGVO muss die Abwägung konkret für den Einzelfall vorgenommen werden. Dabei sind die Interessen des Verantwortlichen bzw. eines Dritten gegen die Interessen der betroffenen Person abzuwägen. Dafür genügt es nicht auf abstrakte oder vergleichbare Sachverhalte abzustellen, ohne die jeweiligen Besonderheiten des konkreten Einzelfalls, d.h. des konkreten Werbevorhabens, zu berücksichtigen.

Zudem muss die Verarbeitung personenbezogener Daten für die Wahrung der berechtigten Interessen des werbenden Verantwortlichen erforderlich sein.

Auch die vernünftigen subjektiven Erwartungen der von der Werbung betroffenen Person im Hinblick auf die Beziehung zum werbenden Verantwortlichen sind bei der Interessenabwägung zu berücksichtigen.

In objektiver Hinsicht ist laut der DSK (Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) darüber hinaus entscheidend, ob die Datenverarbeitung zu Direktwerbezwecken im Bereich der Sozialsphäre, die von zwischenmenschlicher sozialer Interaktion geprägt ist, als angemessen akzeptiert wird oder nicht.

Ein Überwiegen der Interessen und Grundrechte der betroffenen Person gegenüber dem Interesse des Verantwortlichen an der Durchführung von Werbemaßnahmen kommt regelmäßig dann in Betracht, wenn diese vernünftigerweise mit keiner weiteren Verarbeitung ihrer personenbezogenen Daten, insbesondere zu Werbezwecken, rechnen muss. Daran vermag der Verantwortliche nichts zu ändern, indem er diese negative Erwartungshaltung im Zuge der Erfüllung der Informationspflichten im Sinne der DSGVO (Art. 13 und 14 DSGVO) durch entsprechende Ankündigung einer Datenverarbeitung zu Werbezwecken beseitigt. Auch die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO sind für die Interessenabwägung heranzuziehen. Danach ist in der Interessenabwägung zu berücksichtigen, ob die Verarbeitung personenbezogener Daten des Betroffenen in rechtmäßiger Weise, zu einem angemessenen Zweck und in einer für die betroffene Person nachvollziehbaren Weise erfolgt.

 

Postalische Direktwerbung nach Kundenkontakt

Sendet der/die Verantwortliche nach Abschluss eines Kauf- oder Dienstleistungsvertrages, ohne zu selektieren, allen Kunden postalisch einen Werbekatalog oder ein Werbeschreiben zu, um weitere Produkte oder Dienstleistungen zu bewerben, kann in der Regel nicht von einem Überwiegen schutzwürdiger Interessen der betroffenen Personen ausgegangen werden.

Wird im Vorfeld eine Selektion vorgenommen, um beispielsweise Kunden anhand ihres Wohnortes in Werbegruppen einzuteilen und findet darüber hinaus kein Erkenntnisgewinn durch Individualisierung der Zielpersonen (sog. Profiling) statt, kann in der Regel angenommen werden, dass eine Interessenabwägung zugunsten des Verantwortlichen ausfallen wird.

 

Unzulässige profilbasierte Direktwerbung

Werden automatisierte Selektionsverfahren angewendet, um detaillierte Verhaltensprofile und -analysen der Zielperson zu erstellen, die einen zusätzlichen Erkenntnisgewinn ermöglichen, handelt es sich um sog. Profiling, das nicht mehr auf berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden kann, sodass von einem überwiegendem Interesse des Betroffenen am Ausschluss von einer solch weitreichenden Datenverarbeitung auszugehen ist. In einem solchen Fall würde nur eine ausdrückliche Einwilligung der betroffenen Person als Rechtsgrundlage infrage kommen. Ein einfacher Verweis des Verantwortlichen auf die Möglichkeit des Widerspruchs (Art. 21 DSGVO) gegen die weitere Datenverarbeitung reicht nicht aus. Zu einem Überwiegen der schutzwürdigen Betroffeneninteressen führt auch die Erstellung von Profilen mithilfe von externen Datenquellen, wie beispielsweise Informationen aus Social-Media-Netzwerken, um diese im Anschluss für die Durchführung von Direktwerbung zu nutzen.

 

Berücksichtigung von Wettbewerbsrecht

Auch das Gesetz gegen den unlauteren Wettbewerb (UWG) spielt eine große Rolle bei der Beurteilung, ob und unter welchen Voraussetzungen Direktwerbung zulässig ist. Daher sind im Rahmen der datenschutzrechtlichen Bewertung einer Datenverarbeitung i.S.d. DSGVO für Zwecke der Direktwerbung auch die in den Schutzvorschriften des Wettbewerbsrechts enthaltenen Wertungen für die jeweils entsprechende Werbeform (Telefon, E-Mail, Fax etc.) zu berücksichtigen. Grund dafür ist, dass eine Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO nur zulässig ist, wenn das Interesse oder die Grundrechte und Grundfreiheiten der beworbenen Person nicht überwiegen. In welchen Fällen von einer unzumutbaren Belästigung der betroffenen Person auszugehen und eine Werbemaßnahme dieser Art unzulässig ist, regelt § 7 UWG. Ist danach ein bestimmter Kontaktweg zu der beworbenen Person nicht gestattet, kann schon gar kein berechtigtes Interesse des werbenden Verantwortlichen vorliegen.

 

E-Mail-Werbung gegenüber Bestandskunden

Hat der Verantwortliche eine E-Mail-Adresse im Rahmen einer vertraglichen Beziehung unmittelbar von der betroffenen Person erhalten und verwendet er diese Adresse für Zwecke der Direktwerbung für eigene ähnliche Waren oder Dienstleistungen, so überwiegen die schutzwürdigen Interessen der betroffenen Person dann nicht, wenn sie dieser Verwendung nicht widersprochen hat und bei jeder Verwendung über ihr Widerspruchsrecht informiert wird (§ 7 Abs. 3 UWG). Liegen die Voraussetzungen des § 7 Abs. 3 UWG nicht vor, kann die Nutzung von E-Mail-Adressen zu Werbezwecken nur auf Grundlage einer Einwilligung erfolgen. Da § 7 UWG neben Art. 6 DSGVO Anwendung findet, ist eine wettbewerbsrechtliche Einwilligung nach § 7 UWG stets an den Regelungen der DSGVO zu messen. Die betroffene Person muss bereits bei der Erhebung der E-Mail-Adresse gem. Art. 13 Abs. 1 lit. c) DSGVO transparent darüber informiert worden sein, dass die Datenerhebung unter anderem zum Zwecke der E-Mail-Werbung erfolgt. Gemäß Art. 5 Abs. 2 DSGVO muss der Verantwortliche unter Umständen nachweisen können, dass es sich bei der E-Mail-Adresse, die er für Werbe-Mails verwendet hat, um eine E-Mail-Adresse eines Bestandskunden handelt.

 

Telefon- und E-Mail-Werbung gegenüber Verbrauchern

Gegenstand von Beschwerden, die im Zusammenhang mit Direktwerbung stehen, gehen in den meisten Fällen von telefonisch oder E-Mail-gestützten Marketingmaßnahmen aus, denen kein geschäftlicher Kontakt zwischen Verantwortlichem und der von der Werbebotschaft betroffenen Person vorausgeht. Aufgrund des stark belästigenden Charakters kann ein solches Vorgehen nicht auf berechtigtes Interesse des werbenden Unternehmens nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden, da das schutzwürdige Interesse der betroffenen Person aufgrund der besonderen Auswirkungen dieser Werbeart die Interessen des werbenden Unternehmens überwiegt. Insoweit wird die datenschutzrechtliche Zulässigkeit der Werbemaßnahme durch den wettbewerbsrechtlichen Vorbehalt aus Art. 7 Abs. 2 oder 3 UWG determiniert, sodass im Vorfeld eine wirksame Einwilligung des Werbeadressaten eingeholt werden und in angemessener Form dokumentiert werden muss. Der Nachweis ist ab dem Zeitpunkt der Einwilligungserteilung sowie nach jeder erneuten Verwendung der Einwilligung fünf Jahre lang aufzubewahren.

 

Telefon- und E-Mail-Werbung gegenüber Geschäftsleuten

Im Gegensatz zur Datenschutzgrundverordnung unterscheidet das Wettbewerbsrecht in bestimmten Fällen zwischen Unternehmer und Verbraucher.

Zwar besteht auch im B2B-Bereich das Einwilligungserfordernis nach § 7 Abs. 2 Nr. 2 UWG (z.B. für eine Verarbeitung personenbezogener Daten von Newsletter-Abonnenten oder einer Kontaktdatenspeicherung von Geschäftskunden). Allerdings geht man hier nicht von vornherein von einem Überwiegen schutzwürdiger Interessen des beworbenen Unternehmers nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO aus.

 

Änderung des Zwecks der Datenverarbeitung

Vorsicht sei geboten, wenn Daten, die ursprünglich nicht (auch) zu Werbezwecken erhoben wurden, zukünftig für solche verwendet werden sollen. Sofern keine Einwilligung in die zweckändernde Datennutzung vorliegt, muss der Verantwortliche einen sog. Kompatibilitätstest durchführen, der den Anforderungen des Art. 6 Abs. 4 DSGVO entsprechen muss. Dieser soll Aufschluss darüber geben, ob die Verarbeitung der Daten zu Werbezwecken mit der ursprünglichen Zweckbestimmung kompatibel ist.

 

Informationspflichten

Zeitpunkt der Informationserteilung: Datenerhebung unmittelbar bei der betroffenen Person

Für den Zeitpunkt der Erteilung der Pflichtinformationen kommt es darauf an, ob die personenbezogenen Daten unmittelbar bei der betroffenen Person erhoben werden. Werden vom Verantwortlichen personenbezogene Daten, beispielsweise im Rahmen des Abschlusses eines Kauf- oder Werkvertrages, unmittelbar bei der betroffenen Person erhoben und hat der Verantwortliche bereits in diesem Zeitpunkt die Absicht, diese Daten für eine geplante oder in Betracht kommende Verarbeitung für Direktwerbezwecke zu verwenden, ist die betroffene Person gem. Art. 13 Abs. 1 und Abs. 2 DSGVO bereits in diesem konkreten Zeitpunkt transparent darüber zu informieren. Möchte der Verantwortliche erst nachträglich die bereits erhobenen personenbezogenen Daten für Zwecke der Direktwerbung verwenden, so ist er gem. Art. 13 Abs. 3 DSGVO verpflichtet die Zielperson im Vorfeld darüber zu informieren.

 

Zeitpunkt der Informationserteilung: Erhebung personenbezogener Daten bei Dritten

Werden personenbezogene Daten nicht bei der betroffenen Person selbst erhoben und wird eine Datenverarbeitung zum Zwecke der Direktwerbung beabsichtigt, gilt es die Informationspflichten des Art. 14 Abs. 1 und Abs. 2 DSGVO zu beachten. Danach ist zwar keine unverzügliche Informationserteilung gefordert, jedoch sollte diese zum Zeitpunkt der ersten Kontaktaufnahme (Zusendung eines Werbeprospekts) bzw. spätestens aber innerhalb eines Monats nach Erhalt der personenbezogenen Daten stattgefunden haben.

 

Informationserteilung bei Werbezusendung

Soll die Informationserteilung im Zuge des ersten Werbekontakts erfolgen, müssen beide Komponenten eindeutig getrennt voneinander platziert werden, sodass die Pflichtinformationen deutlich herausgestellt sind.

 

Pflichtinformationen nach Art. 13 Abs. 1 und Abs. 2 DSGVO

Bei der Erhebung personenbezogener Daten sollten zwingend folgende Pflichtinformationen nach Art. 13 Abs. 1 und Abs. 2 DSGVO mitgeteilt werden:

  • Name des Verantwortlichen, einschließlich der Kontaktdaten (konkrete juristische Person bzw. Firma mit ladungsfähiger Anschrift sowie E-Mail-Adresse)
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten (falls vorhanden)
  • Zwecke der Verarbeitung personenbezogener Daten und jeweilige Rechtsgrundlage
  • Angabe des berechtigten Interesses, wenn die Verarbeitung darauf gestützt wird
  • Empfängerkategorie oder Empfänger der personenbezogenen Daten
  • Ggf. Absicht der Datenübermittlung in Drittstaaten oder internationale Organisationen und weitere nähere Informationen
  • Speicherdauer der personenbezogenen Daten
  • Widerrufsmöglichkeit einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Betroffenenrechte (Auskunftsrecht nach Art. 15 DSGVO, Beschwerderecht gem. Art. 77 DSGVO, Widerspruchsrecht nach Art. 21 DSGVO, Informationen über das Bestehen einer Verpflichtung zur Bereitstellung und potenzielle Folgen der Nichtbereitstellung, Informationen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling)

Werbewiderspruch, Art. 21 Abs. 2 – Abs. 4 DSGVO

Nicht zu vernachlässigen ist der Hinweis auf die Möglichkeit eines Werbewiderspruchs. Gem. Art. 21 Abs. 4 DSGVO müssen betroffene Personen in leicht verständlicher Form auf die Möglichkeit des Widerspruchs gegen eine Verarbeitung ihrer personenbezogenen Daten für Werbezwecke einschließlich eines potenziellen Profilings aufmerksam gemacht werden. Dabei muss die Information über die Widerspruchsmöglichkeit in einer von anderen Informationen getrennten Form erfolgen, sodass damit gerechnet werden kann, dass die betroffene Person von dem Hinweis auf das Werbewiderspruchsrecht tatsächlich Kenntnis erlangt. Dieses als umfassend zu verstehende Widerspruchsrecht bezieht sich nicht nur auf die weitere Durchführung von Werbemaßnahmen, sondern auch auf die Weitergabe der Adressdaten der betroffenen Person.

 

Datenerhebungen vor Wirksamwerden der DSGVO

Grundsätzlich stellen Art. 13 und 14 DSGVO ihrem Wortlaut nach lediglich auf Datenerhebungen ab, die erst nach dem Wirksamwerden der DSGVO am 25. Mai 2018 stattgefunden haben oder seit dem Zeitpunkt stattfinden. Jedoch müssen laut DSK auch Bestandskunden, deren Daten vor dem Wirksamwerden der DSGVO erhoben wurden, entsprechend Art. 13 Abs. 1 und Abs. 2 oder Art. 14 DSGVO bei zukünftigen Kontakten umfassend darüber informiert werden, wenn von ihnen ggf. weitere personenbezogenen Daten neu erhoben werden, Änderungen im Datenbestand stattfinden oder im Hinblick auf vorhandene Daten eine Änderung des Verarbeitungszwecks erfolgen soll. Kommt es zu einer Änderung des Verarbeitungszwecks, sind sie gem. Art. 13 Abs. 3 oder Art. 14 Abs. 4 DSGVO auch darüber im Vorfeld der Weiterverarbeitung umfassend zu informieren.

 

Aktualisierung und Erweiterung der Informationen gegenüber Bestandskunden

Über die Informationspflichten der Art. 13 und 14 DSGVO hinaus, ist der Verantwortliche zur transparenten Datenverarbeitung gemäß Art. 5 Abs. 1 lit. a) DSGVO verpflichtet. Dies erfordert unter anderem auch eine regelmäßige Aktualisierung und Erweiterung der Pflichtinformationen gegenüber Bestandskunden entsprechend den Vorgaben der DSGVO. Eine solche kann bereits mithilfe einer Veröffentlichung auf der Website des Unternehmens vorgenommen werden. Dies trägt nicht nur zur Erleichterung von Informationspflichten im Streitfall bei, sondern kann auch zur Reduzierung des Risikos von Schadenersatzansprüchen und Bußgeldern beitragen.

 

 
 
 

 

 

 

Das LG Köln hat in seinem Urteil vom 18. Mai 2022 (Az. 28 O 328/21) entschieden, dass ein Unternehmen gegen Art. 32 und Art. 5 DSGVO verstößt, wenn es nach Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht. Das Unternehmen wird dadurch schadensersatzpflichtig nach Art. 82 DSGVO, wobei dafür auch Mitursächlichkeit ausreichend ist.

 

Das Wichtigste in Kürze

  • Für einen Schadensersatzanspruch aus Art. 82 DSGVO genügt es, wenn dieses Versäumnis für einen unberechtigten Zugriff auf Nutzerdaten mitursächlich war.
  • Der Verantwortliche darf sich insbesondere beim Zugang zu sensiblen Daten nicht darauf verlassen, dass der ehemalige Dienstleister die Zugangsdaten von sich aus löschen wird.
  • Ein Verstoß gegen Art. 32 und Art. 5 DSGVO liegt vor, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht.

 

Sachverhalt

Der Kläger begehrte von der Beklagten, ein Unternehmen für Wertpapierdienstleistungen, Schadensersatz in Höhe von EUR 5.001,00, zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit wegen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Der Kläger war Kunde bei der Beklagten und wurde darüber informiert, dass der Schutz seiner personenbezogenen Daten durch einen unrechtmäßigen Zugriff verletzt worden ist. Dies geschah durch einen Hacker-Angriff mittels Zugangsdaten, die infolge dessen von einem IT-Dienstleister, mit welchem die Beklagte bis 2015 in einer Vertragsbeziehung stand, erlangt worden sind. Es fand weder eine Änderung der Zugangsdaten nach Beendigung der Vertragsbeziehung noch die Überprüfung einer Löschung seitens der Beklagten statt.

Die Beklagte wurde verurteilt, dem Kläger 1.200 Euro zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz seit Rechtshängigkeit zu zahlen.

 

Verstoß gegen die DSGVO wegen Versäumnis der Änderung von Zugangsdaten

Mit Art. 32 DSGVO wurde eines der grundlegenden Prinzipien des Datenschutzrechts normiert, die Datensicherheit. Danach haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Nach Erwägungsgrund 83 S. 1 ist es Zweck der Umsetzung solcher Maßnahmen, die Sicherheit personenbezogener Daten aufrechtzuhalten und gegen eine gegen die DSGVO verstoßende Verarbeitung vorzubeugen. Jedoch ist das Ziel von Art. 32 DSGVO nicht allein der Schutz von Daten an sich, sondern die Sicherheit der Verarbeitung. Art. 32 DSGVO gibt den Verpflichteten die regulatorischen Leitplanken für die Umsetzung entsprechender Maßnahmen vor. Auf eine strikte Vorgabe von Maßnahmen wird mit Blick auf die gewünschte Technikneutralität und Entwicklungsoffenheit der DSGVO verzichtet.

Das LG Köln nahm auch hier einen Verstoß an, da die Beklagte die Zugangsdaten, die sie dem IT-Dienstleister zur Verfügung stellte, nach Ende der Vertragsbeziehung nicht änderte. Damit hat sie gegen die Verpflichtungen aus Art. 32 DSGVO verstoßen. Bei der Beurteilung des angemessenen Schutzniveaus sind die Risiken zu berücksichtigen, die mit der jeweiligen Verarbeitung verbunden sind. Umstände, aus denen sich ein solches Risiko ergeben kann, sind in Art. 32 Abs. 2 DSGVO konkretisiert. Dieser nennt Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten. Diese Formen der Beeinträchtigung der personenbezogenen Daten können unbeabsichtigt oder unrechtmäßig eintreten. Sowohl die Offenlegung als auch der Zugang zu den personenbezogenen Daten muss unbefugt erfolgen. Maßgeblich ist die Berechtigung des Verantwortlichen, die personenbezogenen Daten an einen Dritten zu übermitteln.

Fraglich ist jedoch, ob es nur auf die fehlende datenschutzrechtliche Befugnis ankommt oder darüber hinaus die Einhaltung weiterer Vertraulichkeitspflichten in Bezug auf die personenbezogenen Daten zu berücksichtigen ist. Im Hinblick auf die Zielsetzung der DSGVO ist wohl allein auf die datenschutzrechtliche Befugnis abzustellen. Ein Verstoß gegen Art. 32 DSGVO löst, wie auch das LG Köln entschieden hat, einen Schadensersatzanspruch nach Art. 82 DSGVO aus, sofern bei dem Betroffenen ein materieller oder immaterieller Schaden entstanden ist. Maßgeblich für die Pflichtverletzung ist die mangelnde Gewährleistung der Sicherheit der Datenverarbeitung. Diese wird immer anzunehmen sein, wenn gar keine technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt werden. Sie kann aber auch anzunehmen sein, wenn die getroffenen Maßnahmen als nicht ausreichend eingestuft werden.

Art. 5 Abs. 1 lit. f) DSGVO beschreibt den Grundsatz der Integrität und Vertraulichkeit. Dabei beschreibt Integrität den Schutz der Unversehrtheit der Daten. Vertraulichkeit zielt auf den Schutz der Daten vor unbefugter Kenntnisnahme und somit vor unbefugter Verarbeitung ab. Nach Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dazu gehört beispielsweise, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden.

Weiterhin ist auch der Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen zu gewähren. Welche Maßnahmen zum Schutz ergriffen werden müssen, hängt besonders vom Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab. Dementsprechend nahm das LG Köln einen Verstoß gegen diese Vorgaben an, da die Zugangsdaten, die dem IT-Dienstleister zur Verfügung gestellt wurden, nach der Beendigung der vertraglichen Beziehung zu der Vertragspartnerin über mehrere Jahre nicht verändert wurden.

Damit wurde das Risiko geschaffen, dass die Daten der Betroffenen nicht nur im Falle von ihr selbst zu verantwortender Unzulänglichkeiten vorsätzlich oder fahrlässig einem Missbrauch ausgesetzt waren, sondern auch durch Schwachstellen des IT-Dienstleisters eine dahingehende Gefährdung bestand. Das beklagte Unternehmen kann sich daher auch nicht darauf berufen, dass es davon ausgehen konnte, dass die Daten durch den IT-Dienstleister gelöscht wurden. Eine Überprüfung dessen wäre jedenfalls notwendig gewesen, welche jedoch nicht stattgefunden hat.

 

Schadensersatz nach Art. 82 DSGVO auch für immaterielle Schäden

Gemäß Art. 82 Abs. 1 DSGVO können auch immaterielle Schäden geltend gemacht werden. Denn nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter, vorausgesetzt es liegt ein Verstoß gegen die DSGVO vor, es ist ein materieller oder immaterieller Schaden entstanden und der Verantwortliche oder der Auftragsverarbeiter hat dies zu verschulden.

Die Erwägungsgründe 75 und 85 der DSGVO nennen einiger solcher „physischen, materiellen oder immateriellen Schäden“. Weiterhin muss nach Erwägungsgrund 146 DSGVO der Begriff des Schadens „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“, wobei die „betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollen“. Maßgeblich soll insbesondere durch die Höhe des Schadensersatzes eine abschreckende Wirkung erzielt werden.

Zur Bemessung der Höhe können Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, wie die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung. Dem Gericht obliegt dabei die genaue Ermittlung nach § 287 ZPO. Bei der nach § 287 ZPO vorzunehmenden Schätzung des Schadens ist die Mitursächlichkeit des Versäumnisses durch die Beklagte mit einzubeziehen.

 

Ausblick

Zunehmend ist erkennbar, dass sich Gerichtsentscheidungen hinsichtlich Verstößen von Unternehmen gegen die DSGVO häufen. Immer mehr Betroffene machen Schadensersatzansprüche gegen Unternehmen geltend. Für Unternehmen birgt das die Gefahr sich hoher Schadensersatzbeträgen auszusetzen. Insbesondere, wie auch in diesem Urteil des LG Köln, wenn ein großer Kreis an Anspruchsberechtigte existiert. Bei der Beklagten seien mitunter 33.200 Kunden betroffen gewesen. Dementsprechend wird es für Unternehmen von unerlässlicher Bedeutung, Verstöße gegen die DSGVO vorzubeugen. Denn das Haftungsrisiko nimmt in einer solchen Lage immer mehr zu. Das LG Köln hat in seinem Urteil klargestellt, dass ein Verstoß gegen Art. 32 und Art. 5 DSGVO vorliegt, wenn ein Unternehmen nach der Beendigung der Zusammenarbeit mit einem IT-Dienstleister nicht die diesem überlassenen Zugangsdaten zu seinen IT-Systemen austauscht oder verändert. Das Unternehmen kann sich auch nicht darauf berufen, dass es davon ausgegangen sei, dass der IT-Dienstleister diese Zugangsdaten löschen wird. Ebenso ist von großer Bedeutung in diesem Urteil, dass es für einen Schadensersatzanspruch nach Art. 82 DSGVO ausreicht, wenn Mitursächlichkeit vorliegt.

 

 
 
 

 

 

 

Aktuell verzeichnet jeder fünfte Arbeitgeber in Deutschland eine hohe Mitarbeiterfluktuation, sodass Unternehmen aktuell und auch in Zukunft immer mehr Bewerbungen verarbeiten müssen. Aus diesem Grund sollten Bewerbungsprozesse möglichst effizient gestaltet werden. Dabei sollte vor allem der Datenschutz nicht zu kurz kommen. Denn auch im Rahmen des Bewerbungsprozesses kann es vorkommen, dass Bewerber von ihren – auch hier bereits geltenden – Datenschutzrechten Gebrauch machen.

 

Das Wichtigste in Kürze

  • Immer öfter werden Arbeitgeber mit Ansprüchen auf Auskunft nach Art. 15 DSGVO oder auf Löschung nach Art. 17 DSGVO im Zusammengang mit Bewerbungsverfahren konfrontiert.
  • Der Auskunftsanspruch nach Art. 15 DSGVO, kann neben der Bewerbung unter Umständen auch weitere Daten des Bearbeitungsprozesses, wie interne Vermerke oder Informationen aus einem Background-Check erfassen.
  • Daten wie die Auswahlkriterien im Bewerbungsverfahren fallen regelmäßig unter das Geschäftsgeheimnis und müssen im Falle eines Auskunftsverlangens nicht offengelegt werden.
  • Spätestens nach Ablauf von sechs Monaten liegt in der Regel keine Rechtsgrundlage für eine Verarbeitung mehr vor, sodass Bewerberdaten gelöscht werden müssen.

 

Pflicht zur datenschutzkonformen Datenverarbeitung im Bewerbungsverfahren

Da im Rahmen eines Bewerbungsprozesses eine Vielzahl von (teilweise auch sensiblen) personenbezogenen Daten offengelegt wird, ist in diesem Zusammenhang ein hohes Maß an Datenschutz gefordert. Denn auch gegenüber Bewerbern sind Unternehmen zum Datenschutz und einer gesetzeskonformen Datenverarbeitung verpflichtet. Dies gilt umso mehr seit dem Inkrafttreten der DSGVO und der darin (Art. 12-22 DSGVO) enthaltenen Betroffenenrechte, die von Bewerbern immer häufiger nach Abschluss des jeweiligen Bewerbungsverfahrens oder gar noch währenddessen geltend gemacht werden.

Immer öfter werden potenzielle Arbeitgeber mit Ansprüchen auf Auskunft nach Art. 15 DSGVO oder auf Löschung nach Art. 17 DSGVO im Zusammenhang mit Bewerbungsverfahren konfrontiert. Denn gerade in Fällen der Nichteinstellung oder einer vermuteten Diskriminierung im Zuge der Bewerberauswahl können Spannungsfelder entstehen. Machen die abgelehnten Bewerber von ihrem Recht auf Auskunft oder Löschung Gebrauch, kann dies negative Konsequenzen für die Unternehmen nach sich ziehen. Dies gilt besonders für den Fall, in dem die Geltendmachung der Betroffenenrechte erst einige Monate oder sogar Jahre nach Eingang der Bewerbung erfolgt und sich herausstellt, dass die Bewerbungsunterlagen länger gespeichert wurden, als es rechtlich zulässig ist.

 

DSGVO-Auskunftsanspruch im laufenden Bewerbungsverfahren

Auch für den Fall, dass Betroffenenrechte der DSGVO noch während dem laufenden Bewerbungsverfahren geltend gemacht werden, sind für die Datenverarbeitung Verantwortliche verpflichtet, die in Art. 15 Abs. 1 DSGVO vorgegebenen Pflichtinformationen zu erteilen und unter Umständen sogar nach Art. 15 Abs. 3 DSGVO dem Bewerber eine Kopie seiner verarbeiteten personenbezogenen Daten zur Verfügung zu stellen.

In der Praxis würde dies die personenbezogenen Daten aus der jeweiligen Bewerbungsmappe bzw. der digitalen Bewerbung sowie die begleitende Korrespondenz betreffen.

Obwohl es sich in der Regel um einen überschaubaren Datensatz handelt und die betroffene Person die Daten ohnehin kennt, diese ihr bereits vorliegen und sie im Vorfeld (im besten Fall) durch Datenschutzhinweise entsprechend Art. 13 DSGVO umfassend über die Datenverarbeitung belehrt wurde, kann man sich als Verantwortlicher nicht darauf berufen, dass der Bewerber die geltend gemachten Auskünfte bereits hat. Aus diesem Umstand ergibt sich noch lange kein Auskunftsverweigerungsrecht des Verantwortlichen. Jedoch gewinnt der Betroffene in der Regel keine neuen Erkenntnisse zu den Daten, die das jeweilige Unternehmen zu seiner Person hat.

 

Weite Auslegung des Auskunftsanspruchs

Problematisch ist hingegen die Antwort auf die Frage, ob im Rahmen einer Kopie gemäß Art. 15 Abs. 3 DSGVO neben der Bewerbung auch weitere Daten des Bearbeitungsprozesses, wie beispielsweise unternehmensinterne Notizen, ein Austausch über den Bewerber oder Daten aus einem ggf. durchgeführten Bewerber-Screening vom Auskunftsanspruch erfasst sind.

Der Bundesgerichtshof legt dem DSGVO-Auskunftsanspruch ein weites Verständnis zugrunde und bejaht einen Anspruch auf Auskunft auch für unternehmensinterne Abläufe.

Andere Gerichte hingegen legen den Anspruch restriktiv aus, sodass die Auskunft sich in der Regel nicht auf interne Vermerke oder Informationen aus einer Recherche erstreckt.

 

Einschränkung des Auskunftsanspruchs durch Rechte und Freiheiten Dritter

Einem solch weiten Verständnis des Auskunftsanspruchs, das der Bundesgerichtshof in seiner Rechtsprechung zugrunde legt, könnten überdies Rechte und Freiheiten anderer am Prozess beteiligter Personen entgegenstehen. Insoweit könnte der Auskunftserteilung ein Verweigerungsgrund im Sinne des Art. 15 Abs. 4 DSGVO entgegen gehalten werden.

Folglich sollte eine Auskunft nicht solche Informationen und Angaben enthalten, die eine Verletzung der Rechte und Freiheiten anderer Personen begründen könnten. Dies könnte beispielsweise der Fall sein, wenn durch die Auskunft Daten über die Personen, die für die Bewerbungsprozesse zuständig sind oder die in einem solchen als Bewerber teilnehmen, offengelegt werden müssten.

Auch hinsichtlich solcher Daten, die unter das Geschäftsgeheimnis fallen, wie beispielsweise Auswahlkriterien, ist äußerst zweifelhaft, ob sie im Rahmen des Auskunftsverlangens offengelegt werden müssen.

 

Löschansprüche abgelehnter Bewerber

In den meisten Fällen der Geltendmachung von Betroffenenrechten sehen sich Verantwortliche mit Löschansprüchen abgelehnter Bewerber konfrontiert, die gem. Art. 17 Abs. 1 DSGVO die Löschung ihrer personenbezogenen Daten fordern. Insoweit muss allerdings nach dem Zeitpunkt der Geltendmachung unterschieden werden.

Macht der abgelehnte Bewerber einen Anspruch auf Löschung aller seiner Daten erst ein halbes Jahr nach Beendigung des Bewerbungsverfahrens geltend, steht diesem im Regelfall nichts entgegen. Vielmehr schreibt die DSGVO sogar vor, dass personenbezogene Daten aus der Bewerbung sowie die damit einhergehende Korrespondenz nach Zweckerfüllung bzw. -fortfall nach dem Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DSGVO vom verantwortlichen Unternehmen auch ohne Aufforderung gelöscht werden müssen.

Zudem stehen nach Ablauf eines solchen Zeitraums einer etwaigen Löschung für gewöhnlich auch keine der in Art. 17 Abs. 3 DSGVO normierten Ausnahmen entgegen.

 

Löschansprüche im laufenden Bewerbungsprozess

Etwas schwieriger verhält es sich mit Löschansprüchen, die wenige Tage nach Bewerbungseingang und somit noch im laufenden Bewerbungsverfahren geltend gemacht werden.

Grundsätzlich könnte für die Bejahung eines solchen Anspruchs vorgebracht werden, dass der Bewerber seine Bewerbung auch zurückziehen könnte, sodass die Rechtsgrundlage bzw. der Zweck der Verarbeitung seiner personenbezogenen Daten entfallen würde. Konsequenterweise wäre das Unternehmen nach Art. 17 Abs. 1 lit. a) DSGVO verpflichtet, alle mit der Bewerbung im Zusammenhang stehende Daten zu löschen.

Dem könnten jedoch Interessen des Unternehmens an der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen entgegenstehen. Schließlich können dem Unternehmen Rechtsstreitigkeiten aufgrund von Entschädigungs- oder Schadensersatzansprüchen aus § 15 Abs. 1 und 2 des Allgemeinen Gleichbehandlungsgesetzes (AGG) abgelehnter Bewerber drohen.

Solche müssen grundsätzlich schriftlich innerhalb von zwei Monaten nach Erhalt der Ablehnung geltend gemacht werden. Infolgedessen ist es ratsam, alle Daten rund um die Bewerbung für die Dauer von bis zu sechs Monaten nach Erteilung der Absage aufzubewahren. Als Rechtsgrundlage dient hierbei Art. 17 Abs. 3 lit. e) DSGVO, wonach die Daten für den genannten Zeitraum von der Löschung ausgenommen sein können, wenn sie erforderlich sind, um Rechte geltend zu machen, auszuüben oder zu verteidigen. Diese Ausnahme des Art. 17 Abs. 3 DSGVO gilt in der Regel bis nach Ablauf der Frist für die genannten arbeitsrechtlichen Ansprüche.

 

Löschung gegen Verzicht auf Entschädigungs- und Schadensersatzansprüche

In einigen Fällen reagieren die abgelehnten Bewerber auf die Absage mit dem Löschanspruch und erklären in derselben E-Mail im Gegenzug ihren Verzicht auf die Geltendmachung von etwaigen Ansprüchen. Eine solche Textnachricht stellt in der Regel keine rechtsverbindliche Verzichtserklärung dar, sodass stets ein gewisses Restrisiko vorhanden ist, sofern Verantwortliche auf Basis einer solchen Erklärung vorzeitig eine Löschung vornehmen.

Ein solches Risiko besteht selbst dann, wenn alternativ eine vorzeitige Löschung auf Grundlage einer schriftlichen und unterzeichneten Erklärung über einen solchen Verzicht vorgenommen wird. Denn es ist nicht unumstritten, ob ein Verzicht auf die im AGG normierten Rechte rechtswirksam erklärt werden kann. Das Risiko bestünde darin, dass ein Bewerber, der eine Absage erhalten hat, trotz eines erklärten Verzichts gerichtlich Ansprüche geltend macht.

 

Löschung nur in Grenzen der Rechenschaftspflicht

Nicht zu vernachlässigen im Zusammenhang mit dem Löschanspruch ist die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, die einem in rechtmäßiger Weise erfolgreich geltend gemachten Löschanspruch nach Art. 17 Abs. 1 DSGVO entgegenstehen kann. So müssen neben der generellen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO auch sämtliche Umstände und Prozesse rund um die Erfüllung der Betroffenenrechte vom Verantwortlichen nachgewiesen werden können.

Konkrete Fristen für die Speicherung oder Aufbewahrungsfristen gibt die DSGVO nicht vor, allerdings empfiehlt sich dabei eine Orientierung an den zivilrechtlichen Verjährungsfristen, sodass entsprechende Nachweise bis zu drei Jahre geführt werden sollten. Davon können unter Umständen auch Kopien von Auskunftsverlangen und Protokolle über die Durchführung einer Datenlöschung erfasst sein.

 

Löschung erst nach Auskunftserteilung

Zu guter Letzt sollten Verantwortliche stets die Reihenfolge geltend gemachter Betroffenenrechte berücksichtigen, sodass der Anspruch auf Auskunft denklogisch stets dem Anspruch auf Löschung vorauszugehen hat, da andernfalls eventuell keine Daten mehr vorhanden sind, die Gegenstand eines Auskunftsanspruchs sein könnten.

 

Fazit

Die genannten Szenarien führen deutlich vor Augen, dass auch der Bewerbungsprozess datenschutzrechtlich abgesichert sein muss, denn die Pflicht eines Unternehmens zum Datenschutz beginnt bereits mit dem Eingang einer Bewerbung. Datenschutzrechtlich gut durchdachte Bewerbungsprozesse helfen nicht nur dabei, Beschwerden von Betroffenen und Bußgelder durch die Datenschutzbehörden zu vermeiden, sondern können zur Steigerung des Ansehens eines Unternehmens beitragen.

 

Call Now ButtonKontakt aufnehmen