Aktuelle Entwicklung im Datenschutzrecht

Seit Mitte Mai 2018 gelten die Regelungen der Europäischen Datenschutzgrundverordnung (DS-GVO). Entgegen der geschürten Angst vor horrenden Bußgeldern (Bußgeldrahmen bis zu 12 Mio. € bzw. 4% des weltweiten Vorjahresumsatzes) sind, zumindest in Deutschland, die hohen Bußgelder bislang ausgeblieben.

Untätig waren die Aufsichtsbehörden jedoch auch nicht. Laut des Jahresberichts der Landesdatenschutzbeauftragten Nordrhein-Westfalen wurden im Zeitraum Mai 2018 bis 31.12.2018 insgesamt 52 Bußgeldverfahren durchgeführt. Es wurden überwiegend Verstöße gegen Auskunftspflichten und den Einsatz von Dashcams im Straßenverkehr geahndet.

Um Auskunftsansprüche rechtmäßig erfüllen zu können, bedarf es einer guten Datenschutzstruktur im Unternehmen, im Verein, etc. Hierbei besteht nicht nur ein Auskunftsanspruch gegenüber Kunden, Auftraggebern oder sonstigen Dritten, sondern auch gegenüber den Arbeitnehmern.

In welchem Umfang Auskunftsansprüche erfüllt werden müssen und wie diese im Rahmen der gesetzlichen Fristen erfüllt werden können, haben wir bereits in zahlreichen Mandaten umgesetzt.

Datenschutzkonforme Internetseite

Darüber hinaus hat die DS-GVO Unsicherheiten bezüglich einer konformen Gestaltung der Internetseite ausgelöst. Insbesondere der Einsatz von Cookies und Social-Media-Plug-Ins war nicht klar geregelt. Hier hat der EuGH mit Urteil vom 29.07.2019, C-40/17 für mehr Klarheit gesorgt. Der Verantwortliche einer Internetseite muss zum einen umfassend über den Einsatz von Social-Media-Plug-Ins informieren und zum anderen sind sie bezüglich der Datenweitergabe auch als Verantwortliche im Sinne von Artikel 4 Nr. 7 DS-GVO zu qualifizieren. Ferner bedarf es der nachweisbaren Einwilligung des Seitenbesuchers, d. h. die Plug-Ins dürfen erst aktiviert werden, wenn der konkrete Besucher zugestimmt hat.

Datenschutzkonforme Löschung

Die DS-GVO hat darüber hinaus das „Recht auf Vergessenwerden“ in Artikel 17 DS-GVO normiert. Hierbei taucht immer wieder die Frage auf, wann Daten datenschutzkonform gelöscht sind. Denn insbesondere auf Festplatten gespeicherte Daten lassen sich nach einer einfachen Löschung mit überschaubarem Aufwand wiederherstellen. Wer die Daten „endgültig“ löschen möchte, kann zum einen auf sogenannte Shredder-Software zurückgreifen, welche eine Rekonstruktion der gelöschten Daten äußerst schwierig werden lässt. Zum anderen können die Festplatten komplett ausgebaut und in einem Fachbetrieb zerstört werden. Dieses Verfahren ist allerdings aufwendiger und teurer, da die kompletten Festplatten ersetzt werden müssten. Welcher Aufwand zu betreiben ist, hängt von der Sensibilität der zu löschenden Daten ab. Es gilt auch hier der risikobasierte Ansatz des DS-GVO: je sensibler die Daten, desto höher muss das Datenschutzniveau sein.

GPS-Ortung und Kameraüberwachung

Bei der Überwachung der Mitarbeiter mittels GPS-Ortung und Kameraüberwachung sind hohe Hürden zu nehmen. Die Verarbeitung von Mitarbeiterdaten hat ebenfalls im Einklang mit den Grundsätzen des Datenschutzes zu erfolgen und muss insbesondere „erforderlich“ sein.

Das VG Lüneburg hat in seinem Teilurteil vom 19.03.2019 – 4 A 12/19 entschieden, dass die GPS-Ortung der Firmenfahrzeuge einer Reinigungsfirma unzulässig sei. Das von der Reinigungsfirma eingesetzte GPS-Ortungssystem ist so programmiert, dass es für die Dauer von 150 Tagen jede gefahrene Strecke, sowie den Zündungsstatus speichert. Außerdem ist den jeweiligen Firmenfahrzeugen stets ein konkreter Mitarbeiter zuordbar. Die Reinigungsfirma rechtfertigte den Einsatz der GPS-Ortung damit, dass so die Touren der Beschäftigten geplant und koordiniert würden. Außerdem seien die gefahrenen Strecken gegenüber den Auftraggebern zu dokumentieren. Schließlich würde die GPS-Ortung vor Diebstahl schützen und das Wochenendfahrverbot für die Mitarbeiter sei ebenfalls nur so überprüfbar.

Das Gericht folgte aber nicht der Argumentation der betroffenen Firma und erklärte die GPS-Ortung für unzulässig, da nicht erforderlich. Insbesondere konnte das Gericht nicht nachvollziehen, warum bei 100 Mitarbeitern im Außendienst die GPS-Ortung nicht in der gesamten Flotte eingesetzt werde, sondern nur bei 18 Fahrzeugen.

Die vorgelegte Einwilligung der Mitarbeiter enthielt nicht die notwendigen Informationen über die Datenverarbeitung und der Hinweis auf das jederzeitige Widerrufsrecht fehlte ebenso. Daher konnte die GPS-Ortung auch nicht auf eine Einwilligung der betroffenen Mitarbeiter gestützt werden.

Der Fall zeigt eindrucksvoll, dass es bei dem Einsatz technischer Überwachungsmittel stets auf den konkreten Einzelfall ankommt und eine Einwilligung rechtskonform zu gestalten ist, wenn diese wirksam sein soll.

Ausblick

Es kommt zu vermehrten Gerichtsentscheidungen über Fragen, welche die neuen Regelungen der DS-GVO aufgeworfen hat. Bis über sämtliche streitige Themen eine gefestigte Rechtsprechung vorherrscht, werden jedoch noch ein paar Jahre vergehen. Unabhängig davon, sind personenbezogene Daten verantwortungsvoll zu verarbeiten und (neue) Verarbeitungsvorgänge nicht ohne Beratung mit dem (externen) Datenschutzbeauftragten zu installieren.

Ihre Ansprechpartner: 

09.08.2019