AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

Urteil: Auskunftsrecht im Arbeitsverhältnis bezieht sich auch auf Verhaltensangaben in einem betrieblichen Hinweisgebersystem („Whistleblower“)

08.05.201908.05.2019 | Aktuell, weitere Urteile

LArbG Baden-Württemberg, Urt. v. 20.12.2018 – Az: 17 Sa 11/18

Das Gericht hat im Rahmen eines Kündigungsverfahrens eines Arbeitnehmers auch über einen geltend gemachten Auskunftsanspruch entschieden und sich dabei mit der Frage, ob das Auskunftsrecht durch Geheimhaltungsinteressen beschränkt sein kann, beschäftigt. weiterlesenschließen

Das Urteil hat mehrere wichtige Aussagen zum Datenschutz getroffen. Vier wichtige Punkte sind erwähnenswert:

1. Das Einsichtsrecht in die Personalakte gemäß § 83 Abs. 1 Satz 1 BetrVG und das Auskunftsrecht nach Art. 15 DSGVO bestehen parallel und unabhängig voneinander.

2. E-Mails werden als personenbezogene Daten qualifiziert, denn jede „geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den (Betroffenen) beziehen“.
Diese Aussage ist allerdings recht pauschal, hier wäre es hilfreich gewesen, wenn das Gericht die personenbezogenen Daten, die mit der Kommunikationsform „E-Mail“ verbunden sind, konkret oder beispielhaft benannt hätte. Zu diesem Punkt bleiben mehr Fragen offen als Antworten gegeben sind.

3. Leistungs- und Verhaltensdaten sind als personenbezogene Daten vom Auskunftsanspruch umfasst.

4. Wenn das Auskunftsrecht wegen „Rechte Dritter“ oder „berechtigter Interessen“ nach § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG eingeschränkt werden soll, kann das nur für den konkreten Einzelfall gelten; diese Einschränkungen sind in einer Einzelfallabwägung zu ermitteln. Die Auskunft pauschal zu verweigern, weil die Daten aus einem betrieblichen Hinweisgebersystem, das Anonymität zusichert, kommen, reicht allein nicht aus. Das Gericht führt dazu aus:
„Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten“.
Dazu muss für den Einzelfall begründet und belegt werden, warum die konkreten personenbezogenen Daten in diesem Fall nicht herausgegeben werden können:
„Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interessen Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätten, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.“

Zum Urteil

Seminare Gesundheitsdatenschutz

30.04.201930.04.2019 | VERDATA_ AKADEMIE

Die Termine für das Seminar „Aktueller Datenschutz im Krankenhaus – Update 2019“ stehen fest!
Zu weiteren Infos geht‘s hier

Urteil: Videoüberwachung erfordert konkrete Anhaltspunkte für das Bestehen eines berechtigten Interesses

25.04.201925.04.2019 | Aktuell, Videodaten

BVwG, Urt. v. 27.03.2019 – Az: 6 C 2.18

Das Bundesverwaltungsgericht urteilte über die Zulässigkeit einer Videoüberwachung am Eingang einer Zahnarztpraxis und kam zu dem Schluss, dass die Rechtmäßigkeitsanforderungen nicht vorlagen. weiterlesenschließen

Auch wenn hier (da über eine ältere aufsichtsbehördliche Anordnung zu entscheiden war) das alte BDSG als Rechtsgrundlage herangezogen wurde, gelten nach unserer Auffassung die im Urteil gemachten Aussagen auch für neue Rechtslage: Die alte Rechtsgrundlage § 6b Abs. 1 S. 1 BDSGalt ist deckungsgleich mit der neuen Regelung in § 4 Abs.1 S.1 BDSG2018, so dass die Aussagen des Urteils auch für die neue Videoüberwachungsregelung heranzogen werden können.
Das Gericht führt aus, dass für ein berechtigtes Interesse (für die Videoüberwachung) konkrete Tatsachen vorliegen müssen, die die Überwachung erforderlich machen. In dem Streitfall befürchtete die Ärztin, dass Unbefugte die Praxis betreten könnten und Straftaten verüben könnten, da der Empfangstresen unbesetzt ist und man die Arztpraxis einfach betreten kann. Das Gericht wertete dies als keine ausreichenden Tatsachen und nannte dies lediglich Befürchtungen. Diese reichen für ein berechtigtes Interesse nicht aus. Auch das Argument der Ärztin, dass sie ohne die Überwachung höhere Kosten habe, wies das Gericht ab, da diese Angaben dem Gericht nach nur pauschal geäußert wurden, nicht aber belegt sind.
Das Urteil ist noch nicht im Volltext veröffentlicht. Aus der Pressemitteilung lässt sich jedoch entnehmen, dass für ein berechtigtes Interesse immer Tatsachen, konkrete Anhaltspunkte, vorliegen müssen – das berechtigte Interesse also immer belegt sein muss, damit es angenommen werden kann. Diese Anforderung lässt sich für andere Verarbeitungen und damit auch auf die Rechtsgrundlage Art.6 Abs.1 Buchstabe f DSGVO übertragen.

Zur Pressemitteilung

Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten

10.04.201910.04.2019 | Aktuell, Datenschutznachrichten

Die DSK hat am 03.04.2019 folgende Entschließung zur Haftung des Unternehmens für Datenschutzverstöße der Beschäftigten gefasst:weiterlesenschließen

„ Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DS-GVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen.
Diese Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unter-nehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besagt, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsformund der Art ihrer Finanzierung ist. Erwägungsgrund 150 der DS-GVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen klarstellend daraufhin. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführungeines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten,die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.“

Die Entschließung finden Sie hier

Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking

10.04.201911.04.2019 | Aktuell, Datenschutznachrichten

In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen:weiterlesenschließen

Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt.
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.

Zur Orientierungshilfe hier

VERDATA_ verstärkt Beraterteam

09.04.201910.04.2019 | Aktuell, Unternehmensmeldungen

VERDATA_ baut die Kapazitäten durch einen neuen Mitarbeiter im Beraterteam aus.

Urteil: Ein Betreuer kann für einen Patienten eine datenschutzrechtliche Einwilligung abgeben

27.03.201910.04.2019 | Aktuell, Patientendaten

AG Gießen, Urt. v. 16.07.2018 – Az: 230 XVII 381/17 G

Das Amtsgericht erkennt für den Betreuer ein eigenes Recht, die datenschutzrechtliche Einwilligung abzugeben. Der Betreuer hat demnach eine eigene Ermächtigung. weiterlesenschließen

Aus dem Urteil:
„Die Ermächtigung hiermit ergibt sich aus § 1902 BGB in Verbindung mit dem Teilaufgabenkreis die Vertretung gegenüber sonstigen Institutionen. Das grundsätzlich für Betreuer geltende Verbot von In-sich-Geschäften gemäß § BGB § 1908i Abs. BGB § 1908I Absatz 1 S. 1 in Verbindung mit §§ BGB § 1795 Abs. BGB § 1795 Absatz 2, BGB § 181 BGB steht hier nicht entgegen.“

Das Gericht sieht in der Alternative, nämlich einen Ersatzbetreuer zu bestellen, der dann in die Einwilligung für Datenübermittlungen an den Betreuer einwilligt, einen „Kurzschluss“, weshalb dieser Weg nicht zum Ziel führt. Bereits die Bestellung eines Ersatzbetreuers erfordert eine Einwilligung, so dass das Problem nicht behoben werden kann. Entscheidend ist, so das Gericht, dass die Datenerfassung durch den Betreuer „ sich in den Grenzen seines gesetzlichen Auftrags bewegt“.

Anders ist die Lage nur dann, wenn der Patient noch einwilligungsfähig ist.

zum Urteil

VERDATA_ betreut Klinikverbund

09.01.201910.04.2019 | Aktuell, Unternehmensmeldungen

VERDATA_ baut die Kernkompetenz im Gesundheitsdatenschutz weiter aus. Mit dem neuen Jahr gehört auch ein Verbund katholischer Kliniken zum Kreis der VERDATA_ Kunden.

Neue Durchführungsverordnung zum KDG

04.01.201910.04.2019 | Aktuell, Datenschutznachrichten

Auf der November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) wurde die Neufassung der Durchführungsverordnung für das Katholische Datenschutzgesetz beschlossen. Die neue DVO ist hier abrufbar

VERDATA_ trainiert EU-DPO eines internationalen Electronic-Konzerns

20.12.201810.04.2019 | Aktuell, Unternehmensmeldungen

We also speak English! In mehreren Trainingseinheiten vertieft VERDATA_ die DSGVO Datenschutzanforderungen mit dem für die EU Niederlassungen zuständigen Datenschutzbeauftragten eines weltweit agierenden Konzerns für Consumer-Electronic. U.a. liegt ein Augenmerk dabei auf den deutschen Anforderungen für werbliche Kontaktierung.

Evangl. Kirche veröffentlicht Liste für pflichtige Folgenabschätzung

01.12.201810.04.2019 | Aktuell, Datenschutznachrichten

Der Beauftragte für den Datenschutz der Evangelischen Kirche hat nun nachgezogen und ebenfalls eine Liste mit Verarbeitungen veröffentlicht, bei denen in jedem Fall eine Folgenabschätzung durchgeführt werden muss. Es erfolgt damit eine Konkretisierung von § 34 Abs.3 DSG EKD.
Zur Handreichung (Übersicht) – hier

VERDATA_

IMPRESSUM | DATENSCHUTZERKLÄRUNG