Veröffentlichung eines Fotos auf einer Fanpage bei Facebook ohne Einwilligung unzulässig

Das Verwaltungsgericht (VG) Hannover hat am 27.11.2019 entschieden, dass die Veröffentlichung von Personenfotos auf einer Facebook Fanpage ohne Einwilligung der Betroffenen unzulässig ist (Az.: 10 A 820/19).

Der Kläger (ein Ortsverein einer Partei) wandte sich gegen eine datenschutzrechtliche Verwarnung, welche die zuständige Datenschutzaufsichtsbehörde als Beklagte aufgrund der Veröffentlichung eines Fotos auf der Fanpage bei Facebook ausgesprochen hatte.

Der Ortsverein führte eine öffentliche Veranstaltung durch, bei der über den Bau einer Ampelanlage gesprochen wurde, die das Überqueren einer vielbefahrenen Straße erleichtern sollte. An dieser Veranstaltung nahmen nach Presseberichten etwa 70 Personen teil. Über die Veranstaltung wurde auch in der Presse berichtet. Den nach wie vor im Internet verfügbaren Berichten der Zeitungen ist jeweils ein Foto beigefügt, auf dem auch die Eheleute S. abgebildet sind. Ein weiteres Foto von der Veranstaltung, auf dem die Eheleute S. deutlich erkennbar abgebildet sind, wird vom Kläger weiterhin auf seiner Website veröffentlicht.

Nachdem Herr S. von einem Bekannten auf das Foto auf der Website angesprochen wurde, wandte er sich an den Kläger und forderte diesen zur Löschung des Fotos auf. Der Kläger erklärte gegenüber Herrn S., das Foto sei seinerzeit von einer ihm unbekannten Person aufgenommen und bereits vor vier Jahren im Internet gepostet worden. Jetzt sei es lediglich erneut veröffentlicht worden. Da die Eheleute S. zusammen mit mehreren anderen Personen abgebildet und nicht besonders hervorgehoben oder abträglich dargestellt worden seien, dürfe das Foto auch weiterhin veröffentlicht werden. Es sei ihm, dem Kläger, lediglich darum gegangen, das seit Jahren bestehende Interesse der Anwohnerinnen und Anwohner an der Realisierung der Ampelanlage aufzuzeigen. Dazu habe er das Foto auch verwenden dürfen. Dennoch werde er das Foto wunschgemäß löschen. Dies geschah dann auch.

Die Eheleute S. wandten sich gleichwohl mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde und machten geltend, die Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage bei Facebook habe gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Die gegenteilige Auffassung des Klägers sei nicht hinnehmbar. Die Datenschutzaufsichtsbehörde solle den Sachverhalt prüfen.

Die beklagte Datenschutzaufsichtsbehörde teilte dem Kläger mit, dass ihr die Beschwerde der Eheleute S. vorliege. Falls der geschilderte Sachverhalt zutreffe, könne das Verhalten des Klägers gegen Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Sie, die Beklagte, müsse als Aufsichtsbehörde der Beschwerde der Eheleute S. nachgehen. Die Beklagte setzte dem Kläger eine Frist zur Stellungnahme. Die Rechtsanwältin des Klägers nahm dazu Stellung und vertrat darin die Auffassung, der Kläger habe nicht gegen die DSGVO verstoßen. Zum einen habe er als politische Partei im Rahmen seiner verfassungsrechtlichen Aufgabe nach Artikel 21 Abs. 1 Satz 1 des Grundgesetzes (GG), an der politischen Willensbildung des Volkes mitzuwirken, ein berechtigtes Interesse an der Werbung für seine politische Tätigkeit. Diese habe hier darin bestanden, sich letztlich erfolgreich für die Errichtung der von vielen Anwohnerinnen und Anwohnern seit Jahren geforderten Ampelanlage eingesetzt zu haben. Die Veröffentlichung des Fotos habe dazu gedient, das große Interesse an diesem Thema zu dokumentieren, und stehe daher in unmittelbarem Zusammenhang mit der politischen Tätigkeit des Klägers. Zum anderen könne er sich auf § 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) berufen. Danach sei eine Verbreitung von Bildern ohne Einwilligung der abgebildeten Personen u. a. dann zulässig, wenn diese nur Beiwerk seien und keinen bestimmenden Einfluss auf das Motiv ausübten. So liege es hier.

Mit Bescheid vom 9. Januar 2019 verwarnte die Beklagte den Kläger. Zur Begründung führte sie im Wesentlichen aus, der Kläger habe durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen Artikel 5 Abs. 1 Buchst. a in Verbindung mit Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Er sei deshalb gemäß Artikel 58 Abs. 2 Buchst. b DSGVO zu verwarnen. Das Foto beinhalte personenbezogene Daten im Sinne des Artikels 4 Nr. 1 DSGVO. Die Veröffentlichung auf einer Fanpage bei Facebook sei eine Verarbeitung dieser Daten im Sinne des Artikels 4 Nr. 2 DSGVO. Eine solche Verarbeitung sei nach Artikel 6 Abs. 1 DSGVO nur zulässig, wenn einer der dort aufgeführten Tatbestände vorliege. Hier komme, da die Eheleute S. nicht in die fragliche Verarbeitung eingewilligt hätten, nur der Tatbestand nach Artikel 6 Abs. 1 Buchst. f DSGVO in Betracht. Der Kläger könne sich nicht darauf berufen, dass die fragliche Verarbeitung im Sinne dieser Vorschrift für die Wahrnehmung eines berechtigten Interesses erforderlich gewesen sei. Ob er sich auf § 23 KUG berufen könne, sei zweifelhaft. Darauf komme es aber im Ergebnis auch nicht an. Denn die Zulässigkeit der fraglichen Verarbeitung scheitere jedenfalls an dem überwiegenden Interesse der Eheleute S. an der Unterlassung der Veröffentlichung. Dem stehe auch die Eigenschaft des Klägers als politische Partei nicht entgegen, zumal die Verwendung des Fotos keinen Beitrag zur Werbung für die politische Tätigkeit des Klägers leiste, sondern nur das größere öffentliche Interesse an dem betreffenden Thema dokumentiere. Da der Kläger das Foto auf Verlangen der Eheleute S. von seiner Fanpage bei Facebook entfernt habe und keine Anhaltspunkte dafür bestünden, dass das Foto in Zukunft wieder öffentlich gemacht werde, sei die Verwarnung als aufsichtsbehördliche Maßnahme nach Artikel 58 Abs. 2 Buchst. b DSGVO verhältnismäßig.

Der Kläger hat gegen den Bescheid Klage erhoben. Zur Begründung macht er geltend, der Bescheid des Beklagten sei rechtswidrig. Die Verwarnung sei schon zu unbestimmt und nicht hinreichend begründet und deshalb formell rechtswidrig. Die Verwarnung sei aber auch materiell rechtswidrig. Denn er, der Kläger, sei als politische Partei berechtigt, Bilder zur Darstellung seiner politischen Arbeit zu verwenden und auf diese Weise gemäß seines verfassungsrechtlichen Auftrags nach Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken. Dazu habe er das streitige Foto auch verwendet, weil dieses das große Interesse der Anwohnerinnen und Anwohner an der Errichtung der Ampelanlage dokumentiert habe, dass er aufgegriffen und dem er durch seine politische Tätigkeit schließlich zum Erfolg verholfen habe. Er könne sich deshalb nicht nur auf Artikel 6 Abs. 1 Buchst. f DSGVO, sondern auch auf Artikel 6 Abs. 1 Buchst. e DSGVO stützen. Außerdem könne er sich durchaus auf § 23 KUG berufen, wonach die Veröffentlichung von Bildern, auf denen abgebildete Personen nur Beiwerk sind und keinen bestimmenden Einfluss auf das Motiv ausüben, zulässig seien. Diese Vorschrift gelte auch nach Inkrafttreten der DSGVO weiter.

Das VG Hannover erklärte die Klage als unbegründet. Die Verwarnung vom 9. Januar 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten (§ 113 Abs. 1 Satz 1 VwGO). Rechtsgrundlage für die von der Beklagten ausgesprochene Verwarnung ist Artikel 58 Abs. 2 Buchst. b DSGVO. Danach hat die Aufsichtsbehörde nach Artikel 51 DSGVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat. Dies gilt für den Fall eines Verstoßes gegen die DSGVO selbst, darüber hinaus aber auch für den Fall eines Verstoßes gegen Rechtsvorschriften eines Mitgliedstaats im Anwendungsbereich der DSGVO.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DSGVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DSGVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DSGVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DSGVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DSGVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DSGVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offenbleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DSGVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DSGVO richtet. Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Artikel 6 Abs. 1 Buchst. e und f DSGVO war die Veröffentlichung ohne die Einwilligung der Betroffenen rechtswidrig.

Fundstelle:

Veröffentlichung des Urteils auf der Homepage des Niedersächsischen Landesjustizportals – abrufbar im Internet unter http://www.rechtsprechung.niedersachsen.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE190004238&st=ent&doctyp=juris-r&showdoccase=1&paramfromHL=true

Wesentliche Anforderungen an die (behördliche) Nutzung „Sozialer Netzwerke“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg veröffentlichte am 06. Februar 2020 eine Broschüre bezüglich der „Wesentlichen Anforderungen an die behördliche Nutzung sozialer Netzwerke“. Der LfDI greift die aktuelle Rechtsprechung des Europäischen Gerichtshofs und des Bundesverwaltungsgerichts zu „Sozialen Netzwerken“ auf und stellt fünf klare Forderungen bezüglich der Nutzung sozialer Netzwerke.

Die Broschüre hatte der LfDI bereits im Rahmen der Vorstellung seines Datenschutz-Tätigkeitsberichts 2019 angekündigt. Der Anforderungskatalog soll von allen Behörden zur Prüfung ihrer Auftritte in „Sozialen Netzwerken“ herangezogen werden. Gleichzeitig verbindet der LfDI damit die Erwartung, dass alle Behörden in Baden-Württemberg ihrer Vorbildfunktion gerecht werden und vorbehaltlos für eine rechtskonforme und damit im wahrsten Sinne bürgerfreundliche Informationsarchitektur sorgen.   

Wo Behörden die klar umschriebenen und erläuterten Anforderungen bei der Nutzung „Sozialer Netzwerke“ aktuell nicht erfüllen, müssen sie jetzt umgehend nachbessern. Allerdings setzt dies die Kooperation des jeweiligen Plattformbetreibers voraus. Kooperiert der Plattformbetreiber mit der Behörde nicht und gelingt es dieser nicht, die einschlägigen Vorgaben zu erfüllen, so ist sie aufgefordert, die Plattform zu verlassen.

Laut dem LfDI sind insbesondere folgende Anforderungen einzuhalten:

  1. Behördliche Mitglieder müssen eine datenschutzrechtliche Rechtsgrundlage vorweisen können.
  2. Die datenschutzrechtlichen Transparenzgebote müssen eingehalten werden.
  3. Soweit behördliche Mitglieder mit dem Plattformbetreiber zusammen gemeinsam für Datenverarbeitungen sind, muss dazu eine vertragliche Vereinbarung getroffen werden.
    verantwortlich
  4. Behördliche Mitglieder müssen alternative Informations- und Kommunikationswege anbieten, damit Bürgerinnen und Bürger nicht in „Soziale Netzwerke“ hineingezwungen werden.
  5. Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Bürgerinnen und Bürger muss respektiert werden.

Auch wenn das „Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679“ keine Geldbußen gegen öffentliche Stellen in Baden-Württemberg vorsieht – außer die öffentliche Stelle nimmt am Wettbewerb teil – drohen einer Behörde, die sich nicht an die Vorgaben des LfDI hält, empfindliche Sanktionen. So kann der LfDI beispielsweise den Betrieb des sozialen Netzwerks untersagen.

Hinweis für Unternehmen

Auch wenn sich die Broschüre nur an öffentliche Stellen richtet, sollte sie auch von Unternehmen, die soziale Netzwerke betreiben, zur Kenntnis genommen und beachtet werden. Insbesondere da bereits eine entsprechende Rechtsprechung vorliegt und Unternehmen bei Verstößen gemäß Art. 83 DSGVO empfindliche Geldbußen drohen.

Fundstelle:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/02/Wesentliche-Anforderungen-an-die-beh%C3%B6rdliche-Nutzung-Sozialer-Netzwerke.pdf

Beteiligung des Betriebsrats im Rahmen einer internen Untersuchung der E-Mail-Korrespondenz

Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.

Eine Arbeitgeberin schloss mit ihrem Betriebsrat eine Rahmenbetriebsvereinbarung zur Einführung und Anwendung von Informations- und Kommunikationstechnischen Systemen, in der festgelegt wurde, dass Leistungs- und Verhaltenskontrollen i. S. d. § 87 Abs. 1 Nr. 6 BetrVG unzulässig sind. Bei drohenden Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen, sollte nachträglich und unverzüglich die Information des Betriebsrates erfolgen.

Gemäß der Rahmenbetriebsvereinbarung toleriert die Arbeitgeberin die private Nutzung des dienstlichen E-Mail-Accounts insoweit, als dienstliche Belange nicht beeinträchtigt werden, die technischen Ressourcen nur in einem geringen und vernachlässigbarem Umfang belastet werden und der Arbeitgeberin dadurch keine zusätzlichen Kosten entstehen.

Die Arbeitgeberin überprüfte im Herbst 2017 Vorwürfe gegen den zwischenzeitlich ausgeschiedenen ehemaligen Geschäftsführer. Ausweislich der lokalen Presseberichterstattung soll der Flughafen einem Frachtunternehmen für eine angemietete Fläche zu viel gezahlt und Rechnungen dieses Unternehmens ohne Gegenleistung beglichen haben. Arbeitnehmer sollen über einen langen Zeitraum freigestellt worden sein. Zudem soll der ehemalige Geschäftsführer für ein privat gemietetes Flugzeug zu wenig gezahlt haben. Der Aufsichtsrat der Arbeitgeberin fasste in einer außerordentlichen Sitzung den Beschluss, den Geschäftsführer zu beurlauben und interne Ermittlungen durchzuführen, die durch eine Rechtsanwaltskanzlei und ein Wirtschaftsprüfungsunternehmen begleitet wurden. Im Zuge der Ermittlungen wurde seitens der Arbeitgeberin der elektronische Schriftverkehr der Geschäftsleitung, der leitenden Angestellten sowie weiterer Arbeitnehmer überprüft und an die Rechtsanwaltskanzlei und das Wirtschaftsprüfungsunternehmen übermittelt.

Als der Betriebsrat Kenntnis von dem Vorgang erhielt, machte er beim Arbeitsgericht Köln einen Informationsanspruch bezüglich der erhobenen und weitergeleiteten Daten geltend, verlangte die Löschung und Vernichtung dieser Daten und begehrte die Unterlassung des Zugriffs auf den elektronischen Schriftverkehr der Arbeitnehmer. Zur Begründung der Anträge vertrat der Betriebsrat die Ansicht, ihm stehe bei der Auswertung des E-Mail-Verkehrs der nichtleitenden Arbeitnehmer ein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 6 BetrVG zu, das er durch die Rahmenbetriebsvereinbarung nicht abschließend ausgeübt habe.

Der Betriebsrat beantragte,

  1. der Arbeitgeberin aufzugeben, ihm die Namen und den personenbezogenen Anlass der Arbeitnehmerinnen und Arbeitnehmer, mit Ausnahme der leitenden Angestellten, mitzuteilen, deren elektronischer Schriftverkehr – E-Mails – im Zusammenhang mit der internen Untersuchung der Vorgänge um den ehemaligen Geschäftsführer von ihr überprüft, gesichert und ausgewertet oder zur Auswertung an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleitet wurden.
  2. der Arbeitgeberin aufzugeben, es zu veranlassen, dass die an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleiteten Daten im Sinne des Antrags zu 1. inklusive deren Auswertungen bei der Rechtsanwaltskanzlei und der Wirtschaftsprüfungs-GmbH physisch gelöscht und vernichtet werden.
  3. der Arbeitgeberin aufzugeben, es künftig zu unterlassen, den elektronischen Schriftverkehr (E-Mails) von Arbeitnehmerinnen und Arbeitnehmern, mit Ausnahme der leitenden Angestellten, im Rahmen von ihr angestoßener interner Untersuchungen zu überwachen, die Daten zu sichern und auszuwerten sowie an Dritte zum Zwecke der Auswertung weiter zu leiten, ohne zuvor seine Zustimmung zu beantragen und im Falle der Zustimmungsverweigerung eine Entscheidung der Einigungsstelle herbeizuführen, es sei denn, es drohen Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen.

Das Arbeitsgericht hat den Anträgen stattgegeben und dies im Wesentlichen wie folgt begründet: Der Betriebsrat habe gegen die Arbeitgeberin zur Durchführung seiner Aufgaben nach dem Betriebsverfassungsgesetz einen Anspruch auf Erteilung der begehrten Auskunft gemäß § 80 Abs. 2 Satz 1 BetrVG. Die Überwachungsaufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 1 BetrVG erstrecke sich auf die Einhaltung der Datenschutzvorschriften durch die Arbeitgeberin insbesondere im Zusammenhang mit der Auswertung der dienstlichen und erlaubten privaten E-Mails. Zu den Aufgaben des Betriebsrats gehörten zudem die Ausübung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG und die Durchsetzung von Beseitigungsansprüchen nach einer Verletzung dieses Mitbestimmungsrechts. Demgemäß habe der Betriebsrat wegen des Verstoßes gegen sein Mitbestimmungsrecht einen Anspruch auf Beseitigung des eingetretenen mitbestimmungswidrigen Zustands. Dieser Anspruch umfasse bei einem Verstoß gegen § 87 Abs. 1 Nr. 6 BetrVG die Löschung rechtswidrig erhobener und an Dritte weitergeleiteter Daten. Schließlich könne der Betriebsrat die strafbewehrte zukünftige Unterlassung der Überwachung, Sicherung, Auswertung und Weiterleitung des elektronischen Schriftverkehrs von Arbeitnehmern im Rahmen von internen Untersuchungen verlangen, solange das Mitbestimmungsverfahren nicht durchgeführt und abgeschlossen sei.

Die Arbeitgeberin legte gegen diesen Beschluss Beschwerde beim Landesarbeitsgericht ein, die zum Großteil aber erfolglos blieb.

Das Landesarbeitsgericht Köln stellte in seinem Beschluss vom 19.07.2019 folgende Leitsätze auf:

  1. Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.
  2. Verstößt der Arbeitgeber gegen das Mitbestimmungsrecht, kann der Betriebsrat von ihm Auskunft über die Namen der betroffenen Arbeitnehmer, die Mitteilung des personenbezogenen Anlasses für deren Überprüfung sowie künftige Unterlassung beanspruchen.
  3. Zur Beseitigung der Folgen des mitbestimmungswidrigen Verhaltens kann der Betriebsrat zudem verlangen, dass der Arbeitgeber auf mit der Untersuchung beauftragte Dritte dahingehend einwirkt, dass sie die an sie weitergeleiteten Daten löschen und Ausdrucke vernichten.
  4. Der Beseitigungsanspruch des Betriebsrats besteht nicht, soweit der Arbeitgeber ein schützenswertes Interesse an der Verwertung der Daten in einer rechtlichen Auseinandersetzung hat. Anderenfalls liefe der Beseitigungsanspruch auf ein Beweisverwertungsverbot hinaus, das weder Gegenstand einer wirksamen betrieblichen Regelung sein kann noch mit dem betriebsverfassungsrechtlichen Beseitigungsanspruch durchsetzbar ist.

Fundstelle:

Beschluss des Landesarbeitsgerichts Köln vom 19.07.2019, Aktenzeichen: 9 TaBV 125/18, abrufbar im Internet unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/lag_koeln/j2019/9_TaBV_125_18_Beschluss_20190719.html

Hinweis:

Der Fall ist nunmehr beim Bundesarbeitsgericht anhängig (BAG – 1 ABR 31/19).

Datenschutzhinweise zur Corona-Pandemie

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat auf ihren Homepages Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Dabei stellen die Datenschützer klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Der Betroffene bleibt auch und insbesondere bei Gesundheitsdaten grundsätzlich „Herr seiner Daten“. Allerdings dürfen für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei muss der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets beachtet werden.

So können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
  • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • sich im relevanten Zeitraum in einem als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die erwähnten Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren.

Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i. V. m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein.

Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

Die Erfüllung der Informationspflichten nach der DSGVO muss natürlich bei allen Maßnahmen sichergestellt werden.

Fundstelle:

„Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ der Datenschutzkonferenz – abrufbar im Internet beispielsweise unter https://www.datenschutz-bayern.de/corona/arbeitgeber.html

Facebook verstößt mit Voreinstellungen zur Privatsphäre gegen Datenschutzrecht

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen laut einer Entscheidung des Kammergerichts (KG) Berlin gegen Verbraucher- und Datenschutzrecht.

Im zugrunde liegenden Streitfall hatte der Bundesverband der Verbraucherzentralen mit seiner Klage insgesamt 26 Einzelverstöße gegen das Gesetz gegen Unlauteren Wettbewerb (UWG) beanstandet.

Nötige Einwilligung in Datennutzungen darf nicht über Abwahl eines voreingestellten Ankreuzkästchens erfolgen

Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Vorformulierte Erklärungen erfüllen nicht Voraussetzungen an wirksame Einwilligung in Datennutzung

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Kammergerichts nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.

Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis der Verbraucherzentrale

Das Kammergericht stellte eindeutig klar, dass der Bundesverband der Verbraucherzentralen auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ weiterhin zulässig

Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Urteil des Kammers hingegen zulässig. Der Bundesverband der Verbraucherzentralen hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Fundstelle:

Urteil des KG Berlin (5 U 9/18) vom 20.12.2019 – abrufbar im Internet unter https://www.kostenlose-urteile.de/KG-Berlin_5-U-918_Facebook-verstoesst-mit-Voreinstellungen-zur-Privatsphaere-gegen-Datenschutzrecht.news28352.htm

Fristlose Kündigung wegen Missbrauchs von Kundendaten

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war bei der Beklagten als SAP-Berater tätig und bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt daraufhin eine fristlose Kündigung, gegen die er Kündigungsschutzklage mit der Begründung erhob, er habe bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt, die sein Handeln erst möglich gemacht hätten und auf die er die Kunden der Beklagten zuvor mehrfach vergeblich aufmerksam gemacht habe, ohne dass diese reagiert habe. Eine Verknüpfung von Datensätzen sei für sein Vorgehen nicht erforderlich gewesen, da sich Name, Adresse und Bankdaten der Kunden der Kundin in dem gleichen Datensatz befunden hätten. Er habe im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen. Er meint, sein Vorgehen sei gerechtfertigt und die effektivste Handlungsoption gewesen, jedenfalls aber weniger einschneidend als der Gang an die Öffentlichkeit.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung des Gerichts gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Fundstelle:

Urteil des Arbeitsgerichts Siegen vom 15.1.2020 – 3 Ca 1793/19 – abrufbar im Internet beispielsweise unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/arbg_siegburg/j2020/3_Ca_1793_19_Urteil_20200115.html

Abmahnung wegen fehlender Datenschutzerklärung

Das OLG Stuttgart entschied am 27.02.2020, dass Unternehmen wegen fehlender Datenschutzerklärungen abgemahnt werden können.

Der Beklagte bot als gewerblicher Händler auf der Internethandelsplattform eBay Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er nicht vor. Der Kläger (ein Wirtschaftsverband) verlangte daraufhin vom Beklagten, es zu unterlassen, im Internet ein Angebot ohne bestimmte Informationen zum Datenschutz vorzuhalten.

Da diese Abmahnung erfolglos blieb, verklagte der Wirtschaftsverband das Unternehmen beim zuständigen Landgericht. Dieses hat die Klage mit der Begründung abgewiesen, dass § 13 TMG, auf den der Hauptantrag gestützt werde, keinen Anwendungsbereich mehr habe. Auch der auf die Datenschutz-Grundverordnung gestützte Hilfsantrag sei unbegründet. Durch Artikel 80 Absatz 2 DSGVO komme zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen wolle, wenn die in der Norm genannten Voraussetzungen erfüllt seien und der nationale Gesetzgeber dies geregelt habe. Der deutsche Gesetzgeber habe von der Ermächtigung in Artikel 80 Absatz 2 DSGVO keinen Gebrauch gemacht. Aufgrund der abschließenden Regelung der Datenschutz-Grundverordnung stünden dem Kläger auch keine Unterlassungsansprüche nach dem Unterlassungsklagengesetz (UklaG) zu.

Hiergegen wendet sich die Berufung des Klägers beim OLG. § 13 TMG habe weiterhin Bestand. Die Vorschrift diene der Umsetzung der Richtlinie 2002/58/EG, die einen anderen Anwendungsbereich als die Datenschutz-Grundverordnung habe. Hilfsweise ergebe sich der Anspruch aus der Datenschutz-Grundverordnung, die kein abgeschlossenes Sanktionensystem enthalte.

Der Beklagte wurde vom OLG dazu verurteilt, es bei Vermeidung eines vom Gericht in jedem Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, zu unterlassen, im geschäftlichen Verkehr mit dem Verbraucher betreffend Kraftfahrzeugzubehör eine Website/Homepage selbst oder durch Dritte zu unterhalten, auf der zu geschäftlichen Zwecken personenbezogene Daten erhoben werden, ohne dass eine Datenschutzerklärung nach Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung der EU (DSGVO 2016/679) vom 27. April 2016 in deren Geltungsbereich vorgehalten wird.

Leitsätze des OLG Stuttgart

  1. § 13 Absatz 1 Satz 1 TMG wird durch die Bestimmungen der Datenschutz-Grundverordnung verdrängt.
  2. Artikel 80 DSGVO enthält keine abschließende Regelung über die Rechtsdurchsetzung von Verstößen gegen die Datenschutz-Grundverordnung. Wettbewerbsverbände sind gemäß § 8 Absatz 3 Nr. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) i.V.m. § 8 Absatz 1 und § 3a UWG befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen, bei denen es sich um Marktverhaltensregelungen handelt.
  3. Die Informationspflichten aus Artikel 13 Absatz 1 lit. a, c und Absatz 2 lit. b, d und e DSGVO stellen Marktverhaltensregelungen dar.

Fundstelle:

OLG Stuttgart Urteil vom 27.2.2020, 2 U 257/19 – abrufbar im Internet beispielsweise unter https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&GerichtAuswahl=Oberlandesgerichte&Art=en&sid=d89b51bba7d25cdd50d4efdb5c0dc332&nr=30648&pos=0&anz=1

Datenschutzanforderungen an Videokonferenzsysteme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 14. April 2020 das „Kompendium Videokonferenzsysteme“ vorgestellt. Es soll Anwendern helfen, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten.

Die aktuelle Corona-Krise hat die Nachfrage nach Videokonferenzlösungen in Wirtschaft und Verwaltung nochmals erheblich verstärkt. So ist die klassische Telefonkonferenz und E-Mail-Kommunikation immer mehr den Hintergrund gerückt, da eine Web-Konferenz mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ausgesprochen leicht möglich ist.

Aber auch bei Videokonferenzsystemen spielt die Sicherheit in der Kommunikation eine wichtige Rolle. Das Kompendium des BSI soll bei der Gewährleistung dieser Sicherheit unterstützen.

Das Dokument greift dazu die Systematik des IT-Grundschutz-Kompendiums auf. So teilt es die Anforderungen an Videokonferenzlösungen in Basis- und Standardanforderungen sowie Anforderungen für erhöhten Schutzbedarf ein. Der Einsatz von Videokonferenztechnik in behördlichen VS-Bereichen wird zukünftig in einem Dokument geregelt, das noch in Arbeit ist.

Das Kompendium trägt der voranschreitenden Verschmelzung von Informations- und Kommunikationstechnik Rechnung. Es stellt dar, wie engmaschig moderne Videokonferenzlösungen in die IT eingewoben sind, welche Risiken sich daraus ergeben und wie man diesen begegnet. Zudem werden Herausforderungen im Zusammenspiel mit Cloud- und KI-basierten Diensten berücksichtigt.

Neben der Informationssicherheit werden auch operative und funktionale Aspekte dargestellt. Dazu gehören unter anderem die Raumausstattung oder Beispiele für die Erstellung von Leistungsverzeichnissen für die Ausschreibung von Videokonferenzsystemen.

Der Inhalt des Kompendiums ist wie folgt strukturiert:

  • Zunächst werden in Kapitel 2 der Funktionsumfang und in Kapitel 3 der technische Aufbau moderner Videokonferenzsysteme beschrieben. In Kapitel 4 werden dann die operativen Aspekte, d. h. Planung, Nutzung und Betrieb von Videokonferenzsystemen betrachtet.
  • Auf dieser Basis wird dann in Kapitel 5 zunächst die Gefährdungslage analysiert, um dann entsprechend in Kapitel 6 Sicherheitsanforderungen abzuleiten und in Kapitel 7 Umsetzungsempfehlungen zu den Anforderungen zu entwickeln. Vorgehensweise und Struktur orientieren sich dabei am BSI IT-Grundschutz-Kompendium.
  • Exemplarisch wird in Kapitel 8 dargestellt, wie die beschriebenen Sicherheitsanforderungen und -maßnahmen in Sicherheitskonzepten für unterschiedliche Nutzungsszenarien berücksichtigt werden können.
  • Abschließend werden in Kapitel 9 Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.

Fundstelle:

Das „Kompendium Videokonferenzsysteme“ ist im Internet abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf;jsessionid=C6C36258E69C6B9DD4AEA4C1EB5FBCEF.1_cid341?__blob=publicationFile&v=

Wann hat eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen?

Eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO hat bei Datenschutzverletzungen immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

Auch zwei Jahre nach Anwendbarkeit der Datenschutz-Grundverordnung herrscht vielerorts nach Unsicherheit darüber, wann eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat.

Gemäß Art. 4 Nr. 12 DSGVO stellt eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit dar, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Somit ist eine Datenschutzverletzung nicht mit einem Verstoß gegen datenschutzrechtliche Vorschriften gleichzusetzen, vielmehr wird ausschließlich der Aspekt der Datensicherheit in den Blick genommen.

Die Gesetzesdefinition setzt voraus, dass eine Verletzung eingetreten ist. Ob sie zu einem Schaden geführt hat, spielt keine Rolle. Auch, um welche Art personenbezogener Daten (ob sehr sensibel oder nicht) es sich handelt, ist nicht entscheidend. Die Meldepflicht besteht immer. Keine Rolle spielt auch, ob eine Datenpanne beabsichtigt war oder nicht.

Bei der Feststellung einer Datensicherheitsverletzung – einer gängigeren Terminologie folgend als „Datenschutzverletzung“ bezeichnet – muss zwischen Verletzungsverhalten und Verletzungserfolg unterschieden werden.

Ein Verhalten ist als Verletzung der Sicherheit zu werten, wenn die betreffende Person normative – insbesondere organisatorische – Vorgaben nicht beachtet oder technische Vorkehrungen überwindet, die der Verantwortliche jeweils nach Art. 32 DSGVO getroffen hat.

Der Verletzungserfolg liegt häufig darin, dass die Datenverfügbarkeit, die Datenintegrität oder die Datenvertraulichkeit beeinträchtigt sind.

Zur Abschätzung, ob eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss eine Risikobewertung durchgeführt werden. Dabei besteht die Herausforderung, objektive Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen festzulegen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde (egal ob er sie verschuldet hat), diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 Satz 1 DSGVO).

Grund für diese Meldungspflicht ist gemäß Satz 1 des Erwägungsgrunds 85 zur Datenschutz-Grundverordnung, dass eine Verletzung des Schutzes personenbezogener Daten — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen (Satz 3 des Erwägungsgrunds 87 zur Datenschutz-Grundverordnung).

Die Mitteilung muss auch dann erfolgen, falls die durch die Meldung verfügbar werdenden Informationen zur Verarbeitung zur Einleitung eines Strafverfahrens führen können.

Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.

Ein Ereignis ist erst dann als Datenschutzverletzung zu behandeln, sobald es als eine solche identifiziert werden kann. Vor diesem Zeitpunkt kann die Datenschutzverletzung dem Verantwortlichen grundsätzlich nicht bekannt werden.

Aus aufsichtsbehördlicher Sicht kann bei Datenschutzverletzungen, die nicht auf den ersten Blick – und sei es auch nur vorläufig – einzuordnen sind, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte in Anspruch genommen werden.

Die Meldung ist nach Art. 33 Abs. 1 Satz 1 DSGVO unverzüglich, mithin ohne schuldhaftes Zögern, zu erstatten.

Die in Art. 33 Abs. 1 Satz 1 DSGVO enthaltene 72-Stunden-Frist ist eine Richtgröße, an deren Überschreitung eine Begründungspflicht (Art. 33 Abs. 1 Satz 2 DSGVO) anknüpft (die etwa dann zu erfüllen sein kann, wenn sich die 72-Stunden-Frist einmal gerade über die Weihnachtstage erstreckt).

Die Frist läuft an einem Feiertag, Sonntag oder Samstag (Sonnabend) weiter. Endet die 72-Stunden-Frist an einem Feiertag, Sonntag oder Samstag, verlängert sie sich nicht bis zum nächsten Arbeitstag.

Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen.

Erforderlicher Inhalt der Meldung einer Verletzung des Schutzes personenbezogener Daten

Im Beitrag vom 07.05.2020 haben wir Sie darüber informiert, wann die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat. Heute beschäftigen wir uns mit dem Inhalt einer derartigen Meldung.

Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss gemäß Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:

  • Buchstabe a: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • Buchstabe b: den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • Buchstabe c: eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • Buchstabe d: eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Buchstabe a

Eine Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde muss eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze enthalten.

Zwar werden in der DSGVO keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Die Artikel-29-Datenschutzgruppe schlägt jedoch vor, dass die Kategorien von betroffenen Personen auf die verschiedenen Arten von Personen Bezug nehmen, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, zum Beispiel Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw.

Das Fehlen genauer Informationen (z. B. die genaue Zahl der betroffenen Personen) darf kein Hindernis für die frühzeitige Meldung einer Datenschutzverletzung sein. Nach der DSGVO dürfen ungefähre Zahlen der betroffenen Personen und der betroffenen personenbezogenen Datensätze angegeben werden. Der Fokus sollte auf der Behebung der nachteiligen Auswirkungen der Datenschutzverletzung liegen und weniger auf genauen Zahlenangaben. Daher kann, wenn eine Datenschutzverletzung eindeutig festgestellt wurde, deren genaues Ausmaß aber noch nicht bekannt ist, die Meldung schrittweise erfolgen, um der Meldepflicht dennoch ordnungsgemäß nachzukommen.

Buchstabe b

Die Nennung des Namens und der Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer) des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle soll es der Aufsichtsbehörde ermöglichen, weitere Informationen zum Sachverhalt einzuholen.

Buchstabe c

Erwägungsgrund 85 macht deutlich, dass die Meldung unter anderem dazu dienen soll, den Schaden für natürliche Personen zu begrenzen. Wenn sich also aus den Arten von betroffenen Personen oder den Arten von personenbezogenen Daten ableiten lässt, dass eine Datenschutzverletzung einen bestimmten Schaden zur Folge haben könnte (z. B. Identitätsdiebstahl, Betrug, finanzielle Verluste, Gefährdung des Berufsgeheimnisses), ist es wichtig, diese Kategorien bei der Meldung anzugeben.

Damit wird eine Verknüpfung mit der Pflicht zur Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung hergestellt. 

Buchstabe d

Gemäß Buchstabe d muss eine Meldung einer Datenschutzverletzung Informationen darüber enthalten, welche Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls welche Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen vom Verantwortlichen ergriffen worden bzw. geplant sind. Diese Maßnahmen bilden die Grundlage für eine eventuelle Beratung durch die zuständige Aufsichtsbehörde bzw. einer Anordnung von geeigneteren Abhilfemaßnahmen.

Diese Aufstellung stellt nur den Mindestumfang einer Meldung dar, im Einzelfall kann eine umfassendere Mitteilung erforderlich sein.

Die Informationen dienen der Aufsichtsbehörde als Grundlage dafür, zu entscheiden, ob die ergriffenen Maßnahmen ausreichend sind oder nicht.

Format und Verfahren der Meldung

Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde (Erwägungsgrunds 88 zur Datenschutzgrundverordnung).

Im Regelfall wird es genügen, die Meldung in schriftlicher Form oder mittels verschlüsselter E-Mail zu übersenden. Erfolgt eine Informierung zunächst telefonisch, sollte baldmöglichst eine schriftliche Benachrichtigung nachgereicht werden. Dies dient auch der gemäß Art. 33 Abs. 5 bestehenden Dokumentationspflicht.