Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Datenschutzbeauftragter ab 20 Personen: O Captain! My Captain!

Der Gesetzgeber hatte im letzten Jahr kleine und mittelständische Unternehmen entlastet. Unternehmen, die nicht im Sinne des Art. 37 Abs. 1 lit b) und c) DSGVO entweder als Kerntätigkeit schwerpunktmäßig personenbezogene Daten umfangreich verarbeiten oder umfangreich besondere Kategorien von Daten verarbeiten, müssen nur noch dann einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen (zuvor waren es 10) Personen mit personenbezogenen Daten arbeiten. Das steht in § 38 BDSG. Es gibt zwar noch eine weitere Unterausnahme, aber davon sind wohl vergleichsweise wenige Unternehmen betroffen. 

Kritik an der neuen Regelung von allen Seiten

Viele Berater kritisieren die Gesetzesänderung, weil sie ja nicht die Pflicht zur Achtung der DSGVO mindert, sondern einfach nur, dass eine Person sich dieser Aufgabe  dezidiert  widmet.  Ich sehe dass gelassener, wenn die grundsätzlichen Hausaufgaben gemacht wurden. Ene kurze Checkliste wäre wie folgt: Wenn das Unternehmen eine aktuelle Datenschutzerklärung sowie ein Verarbeitungsverzeichnis samt TOMs hat und im Unternehmen bereits ein grundsätzliches Verständnis für den Datenschutz entwickelt wurde, sollte man den Unternehmen mal ein wenig Ruhe gönnen. Gefährlich ist es nur, wenn die Unternehmen sich bisher um nichts gekümmert haben und nun denkt, dass bisschen Datenschutz erledigt sich von selbst. Nur weil niemand den Ausguck besetzt, verhindert das keinen Sturm. 

Wenn dieser Sturm kommt, wird es sehr teuer und zwar für den Kapitän. Bei Vereinen kann der Vorstand und bei Unternehmen die Geschäftsführung für Versäumnisse im Datenschutz in die persönliche  Haftung genommen werden. 

Bonpflicht im Zeiten des Datenschutzes

Viele Mitbürger sind schon mit der "Bonpflicht" in  Kontakt gekommen. Diese stellt aber gerade Apotheken vor einige weitere Schwierigkeiten, wenn auf dem Bon Name des Kunden und/oder gar das verschriebene Medikament vermerkt sind. Diei dann gegebenenfalls von den Kunden zurückgelassenen Bons müssen angemessen vernichtet werden und können nicht einfach in den Müll geworfen werden. In diesem Fall geht also der Umweltschutz leer aus.

 

 

lukrativer Datenschutz für unseriöse Anbieter?

Das Handelsblatt berichtet über das lukrative Geschäftsmodell Datenschutz von Anwälten und unseriösen Beratern. Danach würden Unternehmen erhebliche Summen aufbringen, um sich datenschutzrechtlich beraten zu lassen, es gebe aber eine Vielzahl schwarzer Schafe, die ohne hinreichende Expertise und ohne echten Mehrwert für das Unternehmen mitverdienen. Das ist in der Sache wenig überraschend, schwarze Schafe gibt es bekanntlich immer. Wenn im Beitrag dann noch mitgeteilt wird, dass viele Berater mit Halbwissen glänzen und dutzende oder gar hunderte Unternehmen beraten ohne sich wirklich vom Unternehmen ein Bild gemacht zu haben, ist das sicherlich zu bedauern. Das liegt aber nicht allein an den schwarzen Schafen. 

Viele Unternehmen können/wollen sich eine umfassende Beratung im Datenschutz gar nicht leisten. Sie sind froh von erfahrenen Vertrieblern geködert zu werden, um das Thema irgendwie abzuhaken und nicht mehr ständig wegen der Furcht vor drohenden hohen Bußgeldern von der Arbeit abgehalten zu werden.

Das Thema Datenschutz wurde und wird mit dem Schwert der drohenden Bußgelder in die Unternehmen getragen. Die Aufsichtsbehörden werden - zu Unrecht - als Drohgespenst wahrgenommen, welches nur - für die meisten Unternehmen ruinös - sanktionieren will. Die Aufsichtsbehörden haben aber keine hinreichende Ausstattung, um die spärliche Zeit  auch erzieherisch etwa mit datenschutzrechtlichen Anordnungen zu nutzen. 

In einem solchen Klima kann das Unkraut schlechter Beratung einfach besser gedeihen. 

 

"Datenschutz" vor Suchmaschinen

Das neue Jahr hat begonnen und die FAZ hat einen schönen Artikel über das Spannungsfeld zwischen Meinungsfreiheit und dem Recht auf Vergessen veröffentlicht, der hier nachgelesen werden kann.

In unserer täglichen Arbeitspraxis ist tatsächlich eine große Frage wie wird das Persönlichkeitsrecht eines einzelnen nicht unendlich für Verfehlungen identifiziert zu werden in Einklang gebracht mit der Möglichkeit alles und jeden über Suchmaschinen zu finden bzw. dem Interesse von Presseverlagen über Suchmaschinen umfassend gefunden zu werden. Insbesondere als auch die Archive von Online Auftritten über Google durchsucht werden können, gibt es faktisch kein Vergessen. Das Bundesverfassungsgericht hat nun im Beschluss zum AZ 1 BvR 16/13 vom 6. November 2019 - "Recht auf Vergessen I" sich  dahingehend geäußert, dass  Online Pressearchive zu Schutzvorkehrungen gegen die zeitlich unbegrenzte Verbreitung personenbezogenen Berichte durch  Suchmaschinen verpflichtet sein können.

 

Die Bahn in Not, wegen des Tweets zu Greta Thunberg

Die Bahn hatte auf einen Tweet der minderjährigen Klima Aktivistin Greta Thunberg geantwortet, dass diese mit einem bestimmten Zug in der ersten Klasse gereist ist. Das rief den Berliner Datenschutzbeauftragten auf den Plan, die Bahn zu erinnern mit den personenbezogenen Daten zurückhaltender zu sein. 

Die Auseinandersetzung kann man hier nachlesen. Spannend finde ich, dass die DSGVO sich nicht so wirklich mit den social media Mechanism verträgt; danach muss schnell agiert werden, keine Zeit für zu viel Recherche oder falsche Zurückhaltung. Wer zögert, verpasst das kurze Zeitfenster der Aufmerksamkeit. Ärgerlich, wen als Folge einer social media Twitterei sich der Berliner Datenschutzbeauftragte einlädt, den Umgang mit den Daten der Fahrgäste einmal zu diskutieren.

Ich finde es erfreulich, dass die DSGVO die  Bahn zu mehr Verschwiegenheit anhält und der social media Lärm etwa gedämpft wird. 

Arbeitszeiterfassung ohne Einwilligung über Fingerprintverfahren nicht datenschutzkonform

Das Arbeitsgericht Berlin AZ 29 Ca 5451/19 hat am 16.10.2019 entschieden, dass "die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint [...] nicht erforderlich im Sonne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig" ist.

Zum Sachverhalt führte das AG Berlin aaO aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“

Hintergrund war, dass ein Arbeitnehmer sich weigerte ein Zeiterfassungssytem über Fingerprint zu nutzen und er auch keine Einwilligung erteilt hatte. dafür erhielt er mehrere Abmahnungen, die nach dem Urteil des Arbeitsgericht Berlin aaO wieder aus der Personalakte gelöscht werden mussten. 

Das AG Berlin,aaO führt aus:

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG). Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können. Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Wer kein Geld hat zahlt mit... Daten

Die SZ weist in einem aktuellen Artikel auf das (nicht neue) Problem hin, dass wirtschaftlich schwächere oftmals Produkte erwerben, um dann die Ersparnis mit eigenen Daten zu zahlen. 

Das ist nach meiner Meinung sogar durchaus hinzunehmen, weil es der Privatautonomie entspricht. Schließlich sollte die DSGVO zumindest die EU Bürger grundsätzlich vor zu datenhungrigen Unternehmen schützen, das kann Sie aber nicht umfassend gewährleisten. Insbesondere was das Thema Tracking im Internet angeht, sollte hier die ePrivacy Verordnung unterstützen. Diese ist aber erst einmal vom Tisch.

Daher ist es zu befürchten, dass die Privatsphäre im Internet bald die Verhältnisse beim Lebensmittelkauf im realen Leben wiederspiegelt. Es gibt einige (wenige), die sich teure Bio Ware leisten können, einige die ab und zu mal auf dem Markt kaufen und den Rest der Bevölkerung. Bon appétit.

Versandhändler Zalando lässt Mitarbeiter mit Software bewerten

Verkürzt dargestellt nutzt Zalando eine Software namens Zonar, mit der Mitarbeiter und Führungskräfte sich gegenseitig bewerten, wobei die Ergebnisse Einfluss auf die Beförderungsmöglichkeiten und das Gehalt nehmen. Zalando beschreibt die Software nach einem Artikel in der "Zeit" als eine "nicht ungewöhnliche Form des sogenannten 360-Grad-Feedbacks. Die Gewerkschaft Verdi spricht unter Hinweis auf eine Untersuchung der Hans Böckler Stiftung und anonyme Angestellte von "Stasi-Methoden".

Die Berliner Datenschutzbehörde hat hinsichtlich der Nutzung der Software Bedenken und hat ein Prüfung der Vereinbarkeit mit der DSGVO eingeleitet.

Datenschutz bei den Ortenauer Gemeindewebseiten

Auf der Seite des Stadtanzeigers Ortenau findet sich eine kurze Untersuchung ob und wen ja welche Gemeindewebseiten automatisch und ohne Einwilligung mit externen Seiten wie Google, Facebook oder Twitter kommunizieren, Der kurze Beitrag ist hier lesbar. Wer es vor Spannung nicht aushält: Nur die Seiten der Gemeinden Kehl, Kippenheim, Ortenberg und Seebach haben Seiten aufgesetzt, die keine unerwünschte Kommunikation tätigen. Die meisten Gemeinden haben schlecht abgeschnitten. Eine ganz schlechte Leistung zeigt die Gemeinde Lahr,  deren Seite ist sehr geschwätzig und gibt Daten an Google, Facebook und Twitter weiter, ohne darauf hinzuweisen.

Wieder hohes Bußgeld wegen DSGVO Verstoß

Diesmal hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zugeschlagen und hat wegen insgesamt drei Verstößen eine Strafe von 105.000,00 EUR verhängt wie u.a. die Ärzte Zeitung berichtet. Eine Patientenverwechselung bei der Aufnahme hatte eine falsche Rechnungszustellung zur Folge. Gesundheitsdaten fallen unter die in Art. 9 DSGVO geregelten besonderen Kategorien personenbezogener Daten.

Ist das angemessen?

Fairerweise muss man festhalten, dass nie die gesamten Umstände eines Falls in der Öffentlichkeit diskutiert werden. Aus den Stellungnahmen ist zu schließen, dass durch Verstöße grundlegende Probleme der Umsetzung  der DSGVO wie den technisch organisatorischen Maßnahmen (32 DSGVO) offenbart wurden. Ferner soll wohl gerade bei Kliniken Problembewusstsein weiter geschaffen werden - so kann die Strafe durchaus auch als Weckruf verstanden werden. In unserer Beratungspraxis stoßen wir auch gerade im Gesundheitswesen immer wieder auf eine gewisse Zurückhaltung sich mit dem Thema vertiefter beschäftigen zu wollen; vielleicht werden so die Sinne der Beteiligten geschärft.

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 5 Abstimmungen.