Datenschutz & DSGVO - Newsticker

Datenschutz und Arbeitsrecht

Der Datenschutz ist in der Praxis und besonders am Arbeitsplatz nicht immer optimal einzusetzen. Jeder Datenschutzbeauftragte wird wohl die verdrehten Augen der Mandanten erlebt haben, wenn einmal dargestellt wird, was alles erforderlich ist, um den Arbeitsplatz wirklich datenschutzkonform darzustellen.

Grund für die neue Aufregung kommt diesmal vom EuGH, nachdem nicht nur Überstunden erfasst werden soll, sondern die gesamte Arbeitszeit. Das stellt dann einige Probleme. Kommt nun die Totalüberwachung? Müssen Toilettenbesuche, der Gang zur Kaffeemaschine und Raucherpausen nun protokolliert werden? Und ist das mit dem Datenschutz vereinbar. Das Problem ist nach meiner Meinung ein Scheinproblem:

• Toilettengänge sind grundsätzlich keine Arbeitszeitpausen, und müssen damit auch nicht dokumentiert werden. Und selbst eine halbe Stunde Aufenthalt auf der Toilette rechtfertigt keine Gehaltskürzung.
• Zumindest der Gang zur Küche und zurück, um sich einen Kaffee zu holen ist keine Unterbrechung der Arbeitszeit

Nur die Raucherpause ist eine Pause während der Arbeitszeit, die als solche genehmigt werden muss. Wenn der Arbeitgeber aber ohnehin diese Pausen als Arbeitszeit verschenkt, dann besteht nach meinem Verständnis keine Notwendigkeit eine Unterbrechung der Arbeitszeit zu dokumentieren. Anders als viel andere Kommentatoren denke ich, dass der EuGH samt dem darauf fußenden noch zu verabschiedenden Gesetz bei der Arbeit im Betrieb wenig bis nichts ändert. Anders mag dies bei der Heimarbeitszeit aussehen.

DRK erstattet nach Sicherheitslücke Strafanzeige

Die Märkische Allgemeine berichtet, dass das Deutsche Kreuz (DRK) nach Bekanntwerden einer Sicherheitslücke auf der eigenen Webseite Strafanzeige erstattet hat. Gegen unbekannt natürlich. Mir stellt sich die Frage: Warum?

Nach den Medienberichten hatte die Internetseite eine Sicherheitslücke, die es Dritten ermöglichte mehr als 110.000 Einsatzdaten von Krankentransporten einzusehen. Mit derselben Logik könnte ein Hausbesitzer, der vergessen hat ein Fenster im Garten zu schließen, Strafanzeige gegen unbekannt stellen. Noch sonderbarer wird es, wenn man sich vorstellt, dass der Hausbesitzer damit herauszufinden sucht, ob jemand eingebrochen ist. Genauso wenig wird das LKA dem DRK dabei helfen, ob jemand Zugriff auf die Daten hatte.

Fotografierverbot bei Einschulungen der Kinder?

Immer wieder stellt sich die Frage, ob und wie auf  Schulveranstaltungen fotografiert werden darf. Nun beschäftigt sich ein lesenswerter Artikel auf MDR Aktuell mit genau dieser Frage: Dürfen auf einer Einschulung die Eltern fotografieren? Der Thüringer Datenschutzbeauftragter Lutz Hasse bejaht dies. Hier sollen seine Ausführungen ein wenig  erläutert werden. Die Rechtmäßigkeit der Verarbeitung  erkennt er offenbar in Art. 6 DSGVO Abs. 1 lit f):

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zur Auslegung dieser Norm ist der Erwägungsgrund 47 hinzuzuziehen, wo es heißt:

[,,,] Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann [...].

Mit anderen Worten die Abwägung aus Art. 6 Abs. 1 f. DSGVO wird davon beeinflusst, wenn die Betroffenen damit rechnen müssen fotografiert zu werden. Das - so der Thüringer Datenschutzbeauftragte - sei der Fall bei einer Einschulung, als jeder damit rechne dort fotografiert zu werden.

Kammergericht Berlin leidet immer noch am Hackerangriff

Das Kammergericht Berlin wurde nun schon einige Tage durch einen Hackerangriff lahmgelegt. Wie läuft so etwas in der Praxis ab? Oftmals beginnt es mit einer E-Mail. Aber nicht von irgendwem sondern von einer Person, mit der man kommuniziert hat. Es ist scheinbar eine Antwort E-Mail. Diese lautet etwa Guten Tag - automatische individuelle Anrede habe ich noch nicht gesehen, gibt es aber wahrscheinlich auch - in der Anlage mein Schreiben als Antwort. Dieses ist in einer RAR Datei als Attachement beigefügt. Für das Archiv gibt es ein Passwort. Das Passwort ist gleich in der E-Mail mit beigefügt (sicher nicht sinnvoll, aber nun ja). Nachdem man die Datei öffnet, öffnet sich "Word" und dort steht dann, man solle die Makros aktivieren, damit die ältere "Word" Version gelesen werden kann. Wenn letztgenanntes erfolgt, ist es zu spät. Dann wird der Rechner verseucht.

Welche Warn-Signale gab es:

• 1. Keine individuelle Anrede

• 2. Anhang "RAR-Datei"

• 3. Passwort in derselben E-Mail

• 4. Ältere Word Version nicht lesbar - das ist nicht korrekt, Word ist abwärtskompabtibel

• 5. Aktiviere Makros (letzt genanntes ist tödlich!)

Seien Sie vorsichtig, dann können Sie weiterhin E-Mails empfangen und sind nicht über Monate eingeschränkt wie das Kammergericht Berlin.

Europäischer Datenschutztag - falsche Schlagzeilen

Gestern war der Europäische Datenschutztag. Leider war die Berichterstattung auch auf guten Nachrichtenseiten wie Heise eher reisserisch: Höhere Strafen sollen zumindest nach den Überschriften das Ergebnis sein. Ich habe schon mehrfach angemerkt, dass Datenschutz auch ohne das ständige Mantra der hohen Strafen a) sinnvoll und b) positiver wahrgenommen wird. Ich finde es ärgerlich, dass der Datenschutz und die Aufsichtsbehörden so immer nur auf die Geldbußen reduziert werden.

Ganz angenehm zu lesen, fand ich dagegen die "Statements zum Europäischen Datenschutztag"  in der Funkschau und die dort dargestellten  Branchen-Zitate.

Deutsche Gesellschaft für Cybersicherheit zum Buchbinder Skandal

Die Deutsche Gesellschaft für Cybersicherheit hatte Buchbinder offenbar bereits Anfang Dezember 2019 auf Schwachstellen hingewiesen, diese sollen aber ignoriert worden sein. Die Stellungnahme zur causa Buchbinder der Deutschen Gesellschaft für Cybersicherheit aus Flensburg finden Sie hier.

Das ist für Buchbinder in mehrfacher Hinsicht problematisch: Zum Einen war das Datenleck damit deutlich länger online als "nötig" und das wird sich auch in der Höhe der Entschädigung der betroffenen Kunden und sonstigen Personen widerspiegeln. Aber auch die Aufsichtsbehörden werden dies sicherlich bei der Höhe des Bußgelds zu berücksichtigen wissen. Zum Anderen hätte mit einer angemessenen Reaktion zumindest auf die E-Mail der Deutschen Gesellschaft für Cybersicherheit, der Fall nicht durch die Presse an die Öffentlichkeit getragen, was nicht nur besser ausgesehen hätte.

Man kommt nicht umhin, (auch) ein wenig Mitleid mit Buchbinder zu haben. Hier ist wirklich alles schiefgelaufen. Das von Buchbinder veröffentlichte Statement scheint auch nicht der große Wurf.

Massenklagen nach DSGVO

Aktuell ist die fünfseitige Untersuchung der Kollegen von DLA Piper, die hier abgerufen werden kann, in aller Munde. Während die Untersuchung aufmerksamen Beobachtern nicht wirklich viel neues präsentiert, bin ich über eine Passage am Schluss doch gestolpert, dort heißt es auf Seite 4 nach den möglichen Sanktionen durch die Behörden:

There is also an increased risk of “follow-on”
compensation claims, including group litigation which
follow a regulatory finding of liability. Litigation funders have
billions of Euros available to fund claims and – where local
civil procedure rules permit – are becoming increasingly
active pursuing group litigation claims for large groups
of affected individuals on the basis of alleged breaches of
GDPR and data protection laws. Recent UK group litigation
claims based on data protection law infringements would be
very familiar to US class action lawyers.

Sinngemäß wird darauf hingewiesen, dass nach möglichen Datenschutzverletzungen Sammelklagen drohen könnten. Das ist auch in Deutschland nicht mehr auszuschließen. Ob nun eine Musterfeststellungsklage wie gegen VW oder ob neue Abtretungsmodelle (wie Myright) oder sonstige LegalTech Modelle - sobald Betroffene von Gerichten bei Datenschutzverstößen Entschädigungen (Schmerzensgeld) in nennenswerter Höhe zusprechen - ist mit Aufruhr zu rechnen.

Wie wahrscheinlich sind hohe Schmerzensgelder für Betroffene wegen DSGVO Verstößen?

Ich erhalte in der Woche drei bis vier Anfragen von Betroffenen, ob sich dieser oder jener Datenschutzverstoß wirtschaftlich auswerten lasse - "kann ich da Geld bekommen?" In den meisten Fällen rate ich zumindest von einer Klage ab, weil ich (im Moment noch) keine Bereitschaft sehe, dass Gerichte Schmerzensgeld zusprechen werden. Nur in Ausnahmefällen übernehme ich das Mandat und klage dann auch. Wir führen aktuell ein Verfahren in der zweiten Instanz, in dem es um einen erheblichen Datenschutzverstoß geht und begehren in diesem  auch Schmerzensgeld. Die erste Instanz war eher zurückhaltend. So wie mir geht es vielen Kollegen, es dauert einfach bis genug Entscheidungen zu dieser Frage vorliegen. ich rechne damit, dass wir erst in den nächsten ein bis zwei Jahren von diversen Obergerichten Antworten bekommen. 

Tinder und der Datenschutz

Die ZEIT ONLINE berichtet über den Verdacht, dass u.a. Tinder Nutzerdaten gewerblich ausgewertet haben soll. Das würde mich jedenfalls wenig überraschen. Schließlich haben diese Unternehmen zumindest bis vor der DSGVO von einer umfassenden Auswertung der von Nutzern zur Verfügung gestellten Daten gelebt.

Was mich aber tatsächlich überrascht hat, ist dass zumindest nach Gesprächen mit zwei Betroffenen, Tinder auch die Kooperationsbereitschaft hinsichtlich der Auskünfte über die von Betroffenen gespeicherten Daten zumindest nur zögerlich zu beantworten bereit ist. Ich konnte das nicht verifizieren, weil beide Betroffene sich letztlich gegen eine Beauftragung entschieden haben, um ihrer Betroffenenrechte durchzusetzen - mutmaßlich weil sie die Kosten einer anwaltlichen Vertretung abschreckte. 

Wer um kostenlose Dienstleistung zu nutzen zunächst seine Daten "verkauft", der darf sich nicht wundern, wenn er auch für die Prüfung und Durchsetzung seiner Rechte, nichts ausgeben will, keinen Datenschutz erhält. Ich habe den Betroffenen aber auch den Tip gegeben sich an den jeweiligen Datenschutzbeauftragten zu wenden. Aber ob und wie lange die Bearbeitung da dauert, weiß ich freilich nicht.

EU-Komission ohne Kenntnis über Höhe der Bußgelder: Echtes Problem?

Der Spiegel berichtet darüber, dass die EU-Kommission keine Kenntnis über die Höhe der verhängten Bußgelder habe; sowie über die Kritik daran, als es schwer sei die Effekte der DSGVO ohne diesen Faktor zu bewerten. 

Das halte ich tatsächlich nicht für zutreffend: 

Sicherlich müssen für eine umfassende Begutachtung auch alle Bußgelder einbezogen werden, die konkret verhängt werden. Ich propagiere aber schon länger die DSGVO endlich von der Last der Bußgelder zu befreien. Die Bußgelder sind nötig, um Unternehmen zu disziplinieren, welche beratungsresistent oder uneinsichtig sind. Die ständige Verknüpfung der DSGVO mit Bußgeldern in jeder Diskussion schadet nicht nur dem Ansehen der DSGVO sondern erschwert  sogar deren praktische Umsetzung: Die Bearbeitung von Betroffenen Anfragen- um ein Beispiel zu nennen - ist für viele Unternehmen ein Spießrutenlauf, weil immer die Sorge mit läuft eine Anfrage nicht ordentlich genug bearbeitet zu haben. Im Zweifel wird auch zu schnell gelöscht, obwohl die Identifikation des Betroffenen noch gar nicht sicher erfolgt ist, aber die Sorge vor einer Beschwerde des Betroffenen schürt das Tempo.

Je mehr wir die DSGVO von dem Schwert der Sanktionen trennen, desto eher werden auch die guten Seiten der DSGVO, als neuer Gold-Standard für den Umgang mit personenbezogenen Daten, offenbar.

Piraten wettern gegen WhatsApp: Wer meldet den Müll?

Die Piratenpartei Deutschland hat eine Presseerklärung herausgegeben, in welcher die Nutzung von WhatsApp durch die Gemeinde Wadgassen zur Kommunikation mit der Bevölkerung gerügt wird. Im Detail geht es darum, dass Bürger über WhatsApp Missstände wie Falschparken und illegale Müllablagen die Gemeinde informieren können. Immerhin 1000 Mal haben sich Bürger bemüssigt gefühlt, genau das zu tun. 

Klar ist, dass WhatsApp als zu Facebook gehörendes Unternehmen sehr kritisch anzusehen ist, wenn es um den Datenschutz geht. Die Kritik an der Gemeinde ist insoweit nicht von der Hand zu weisen, andererseits ist die Vorgehensweise zumindest effektiv. Jeder hat WhatsApp ein eigener Mängelmelder wie von der Piratenpartei gefordert würde immense Mittel verschlingen und letztlich so bedienunfreundlich sein, dass er nicht genutzt würde.

ich persönlich halte die Nutzung zumindest solange keine Personen und Kennzeichen fotografiert werden sondern Schlaglöcher und illegale Müllablagen für einen vertretbaren Kompromiss, wenn auch die besseren Gründe dafür sprechen, dass die Verwaltung generell auf die Nutzung von WhatsApp verzichten sollte oder gar müsste. Dann müssen Missstände eben wieder durch das Ordnungsamt aufgedeckt werden. Ich kann damit auch gut leben,