Bereits an verschiedenen Stellen in unserem Blog haben wir über die sogenannten Datenschutz-Aufsichtsbehörden geschrieben. Diese haben umfangreiche Aufgaben. Eine ist es, die Tätigkeiten der Behörden in Form von Jahresberichten zu dokumentieren und den Parlamente (Landtage und Bundestag) vorzustellen.
Diese Tätigkeitsberichte sind eine gute Informationsquelle für die Rechtsauffassungen und die Ausrichtungen der Behörden und geben einen Richtwert – auch für mögliche zukünftige Überprüfungen bzw. Überprüfungsschwerpunkte.
Wir haben uns alle verfügbaren Tätigkeitsbericht aus dem Jahr 2019 für Sie angeschaut und möchten Ihnen diese nun gerne aufbereitet nach Themenkomplexen als (teilweise gekürzte und angepasste) Zitatauswahl vorstellen. Hierbei haben wir uns die Themen herausgesucht, die am wahrscheinlichsten für Sie interessant sind. Aufgrund des Umfangs, erstellen wir für Sie hieraus eine Blog-Serie. Die Teile der Blogserie können Sie hier auswählen:
Im Volltext können Sie die Tätigkeitsberichte hier nachlesen:
Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz – ZAfTDa
Bei Fragen zu einzelnen Themen, sprechen Sie uns gerne an.
Beschäftigtendatenschutz
Privatnutzung
Wenn in einem Unternehmen die private Internet- und E-Mail-Nutzung untersagt ist, ist es für den Arbeitgeber möglich, auf das E-Mail Postfach eines ausgeschiedenen Mitarbeiters zuzugreifen.
aus dem Tätigkeitsbericht des Landes Baden-Württemberg, Kapitel 9. Absatz 9.3.
Verarbeitung nach Zweckentfall
Ungeachtet einer möglichweise erteilten Einwilligung der Beschwerdeführerin während des Beschäftigungsverhältnisses war die Verarbeitung ihres Lebenslaufs jedenfalls nach Beendigung des Arbeitsverhältnisses unzulässig. Zwar kennt die DSGVO keine Geltungsdauer einer Einwilligung, allerdings unterliegt auch die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung im Rahmen eines Arbeitsverhältnisses dem Gebot der Zweckbindung. Unter Berücksichtigung dieses Gebots muss deshalb davon ausgegangen werden, dass eine Einwilligung zur Veröffentlichung eines Lebenslaufs auf den Zeitraum des Beschäftigungsverhältnisses beschränkt ist.
Berlin, Kap. 8. Abs. 8.2
Auskunft im Beschäftigungsverhältnis
Beschäftigte haben ein vollumfängliches Recht auf Kenntnis bzw. Einsichtnahme in Unterlagen und Dokumente, die personenbezogene Daten über sie enthalten – sowohl in elektronischer als auch in Papierform.
Berlin, Kap. 8, Abs. 8.5
Auskunft im Beschäftigungsverhältnis II
Gerade im Beschäftigtenkontext haben sich nach vielen Jahren der Betriebszugehörigkeit umfänglichste personenbezogene Daten zu unterschiedlichsten Vorgängen angesammelt. Diese Datensätze dürfen aber einer Rechtmäßigkeitskontrolle nicht von vornherein, einzig mit dem Verweis auf den großen Umfang der bestehenden Datenbestände entzogen werden. So soll entsprechend Satz 5 des Erwägungsgrunds 63 zur DS-GVO das Auskunftsrecht keine „Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software“ beeinträchtigen. Auch hier können verantwortliche Stellen vor der Beauskunftung abwägen, ob ihre eigenen Geschäftsgeheimnisse der begehrten Auskunft überwiegen. Diese Vorbehalte müssen allerdings nachvollziehbar dokumentiert werden
Baden-Württemberg, Kap. 1, Abs. 1.8
Einsicht im Vertretungsfall
Die Aufforderung an Bedienstete, für eventuelle Vertretungsfälle die Möglichkeit eines Vertretungszugriffs auf die personalisierten dienstlichen E-Mail-Postfächer einzurichten, ist unter anderem aus Gründen des Beschäftigtendatenschutzes unzulässig. Dies gilt unabhängig von der Frage, ob das Konto privat genutzt werden darf. Die geltenden Vorschriften in der Freien Hansestadt Bremen enthalten keine Rechtsgrundlage, insbesondere auch nicht die Verwaltungsvorschrift zu Kommunikation und Dokumentenverwaltung in der Freien Hansestadt Bremen (VV KommDok). Eine Einwilligung als Rechtsgrundlage ist
Bremen, Kap. 11, Abs. 11.5
angesichts des Beschäftigtenkontexts nur in Ausnahmefällen denkbar und könnte allenfalls die Bedenken im Hinblick auf den Beschäftigtendatenschutz ausräumen.
Elektronisches Zugangssystem
In einer Behörde in Bremerhaven erfasste ein elektronisches Zugangssystem mithilfe der personalisierten elektronischen Schlüssel die genauen Zutrittszeiten der Beschäftigten, wobei es möglich war, die gesicherten Türen mit einem anderen Schlüsselinhaber beziehungsweise einer anderen Schlüsselinhaberin ohne Nutzung des eigenen Schlüssels zu passieren. Die Speicherdauer der erfassten Daten betrug mehrere Monate. Eine solche Datenverarbeitung ist unzulässig. Insbesondere für eine Prävention oder Verfolgung von Straftaten ist die Datenerhebung nicht geeignet.
Bremen, Kap. 11, Abs. 11.10
Betriebsvereinbarung als Legitimierung
Uns erreichen häufig Beratungsbitten von Personalvertretungen zu von der Arbeitgeberin beziehungsweise vom Arbeitgeber vorgelegten Betriebsvereinbarungen, mit denen Rechtsgrundlagen für ansonsten unzulässige Datenverarbeitungen geschaffen werden sollen, und von Beschäftigten, gegenüber denen sich die Arbeitgeberin beziehungsweise der Arbeitgeber für die Rechtfertigung der Verarbeitung von personenbezogenen Daten allein auf bestehende Betriebsvereinbarungen beruft. Soweit Datenverarbeitungen gegen die datenschutzrechtlichen Grundprinzipien verstoßen, ist eine Legalisierung durch Abschluss
Bremen, Kap. 11, Abs. 11.12
einer Betriebsvereinbarung nicht möglich, die Datenverarbeitungen bleiben auch bei Abschluss der Vereinbarung unzulässig.
GPS-Ortung
Das Gericht hat sich ausführlich mit den möglichen Einsatzformen von GPS-Ortungssystemen im Beschäftigungsverhältnis auseinandergesetzt. Das Urteil enthält unter anderem Ausführungen zur Erforderlichkeit der Verarbeitung von Positionsdaten durch Arbeitgeber mithilfe von Ortungssystemen (zum Beispiel zur Tourenplanung, zum Diebstahlschutz und zur Nachweispflicht für die Abrechnung mit Kunden). Im Ergebnis wurde in diesem Fall die Erforderlichkeit zur Beschäftigtenkontrolle abgelehnt. Als Prüfungsmaßstab wurden vom Gericht Datenschutz-Grundverordnung (DS-GVO) sowie die Regelung des § 26 Bundesdatenschutzgesetz (BDSG) berücksichtigt. Gegen dieses Urteil wurde jedoch beim Oberverwaltungsgericht Lüneburg unter dem Aktenzeichen 11 LA 154/19 Berufung eingelegt. Eine abschließende Entscheidung steht noch aus.
Niedersachsen, Kap. 6, Abs. 6.4
Fingerabdrucksensor zur Zeiterfassung
Die Erfassung der täglichen Arbeitszeit unter Verwendung von Fingerabdruckscannern ist unzulässig, da zur reinen Zeiterfassung weniger risikobehaftete Mittel zur Verfügung stehen, die die Rechte der Arbeitnehmer weniger beeinträchtigen.
Nordrhein-Westfalen, Kap. 6, Abs. 6.2
Auftragsverarbeitung (Art. 28)
E-Mail als Medium zur Meldung
Stellt ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten fest, meldet er diese unverzüglich dem Verantwortlichen. Kann eine Meldung über den ansonsten für Werbung verwendeten E-Mail-Verteiler angemessensein? Nein! Sollte überhaupt eine E-Mail für die Benachrichtigung verwendet werden? Zumindest nicht alleine. Es sollte im Auftragsverarbeitungsvertrag geregelt werden, wer und wie bei einer Datenpanne benachrichtigt werden soll.
Baden-Württemberg, Kap. 1, Abs. 1.9
Inhalt und Ausgestaltung einer AV-Vereinbarung
Vergessen wird dabei, dass der Verantwortliche auch dann die Verantwortung für die Einhaltung der Datenschutz-Vorschriften trägt, wenn er einen Auftragsverarbeiter mit der Vernichtung von Datenträgern mit personenbezogenen Daten beauftragt (Art. 5 Absatz 2 DS-GVO). Ihm obliegen Überprüfung und Einhaltung der Vorgaben der DS-GVO. Dies gelingt ihm nur, wenn er dem Dienstleister klare Weisungen erteilt hinsichtlich der Löschung, aber auch bezüglich der Zwischenlagerung und dem Transport (bis zur Vernichtung) sowie Ort und Zeitpunkt der Vernichtung (z. B. vor Ort beim Verantwortlichen oder in der Betriebsstätte des Auftragsverarbeiters) festlegt. Sind diese Angaben mit dem Dienstleister nicht oder nur schwer verhandelbar, muss sich der Verantwortliche die Frage stellen lassen, ob hier noch von einer Auftragsverarbeitung gesprochen werden darf und ob er einen geeigneten Dienstleister ausgewählt hat. Ein Dienstleister, der selbstständig darüber entscheidet, wie er die Daten vernichtet, lagert und/oder transportiert, begibt sich in die Position eines Verantwortlichen. Er kann sich seiner Verantwortlichkeit selbst dann nicht entziehen, wenn formal ein Auftragsverarbeitungsvertrag geschlossen wird, dieser aber in der Realität nicht „gelebt“ wird. Ein solcher Vertrag kann zwar einen Rechtsschein setzen, der für eine Auftragsverarbeitung spricht, ist aber nicht konstituierend. Bedeutet: Man kann mittels dieses Vertrages keinen Auftragsverarbeiter kreieren, der tatsächlich keiner ist – sondern selbst die Rolle des Verantwortlichen eingenommen hat. Entscheidend ist vielmehr, wer tatsächlich die Art der durchzuführenden Datenverarbeitungen und den Umgang mit den zu löschenden personenbezogenen Daten festlegt. Je weniger Einfluss das Unternehmen oder die Behörde auf den Dienstleister hat, desto weniger kann man von einer Auftragsverarbeitung sprechen.
Baden-Württemberg, Kap. 9, Abs. 9.3
Schriftformerfordernis einer AV-Vereinbarung
Die geringeren Anforderungen an die Schriftform können sich unter Umständen zwar nachteilig auswirken. Wird der Auftragsverarbeitungsvertrag z. B. lediglich durch korrespondierende E-Mails begründet, kann es bei späteren Differenzen über die Vereinbarung zu Beweisrisiken kommen. Die DS-GVO überlässt es trotzdem den Parteien, zu entscheiden, wie beweissicher sie Abschluss und Inhalt des Auftragsverarbeitungsvertrages dokumentieren möchten.
Hessen, Kap. 4, Abs. 4.2