Autor: David Höfer

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) gelingt (niedersächsischen) Unternehmen bisher nur teilweise. Dies ist das Ergebnis einer Querschnittsprüfung der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen.

Die LfD Niedersachsen hatte Ende Juni 2018, kurz nach Geltungsbeginn der DSGVO, einen Fragebogen an 50 mittelgroße und große Unternehmen mit Hauptsitz in Niedersachsen verschickt. Diese sollten Fragen zu zehn Bereichen des Datenschutzes beantworten. Die Antworten wurden mithilfe eines umfangreichen Kriterienkatalogs ausgewertet um im November 2019 veröffentlicht.

Große Defizite bei technisch-organisatorischem Datenschutz

„Wir haben Bereiche identifiziert, in denen die Regelungen der DSGVO bereits zufriedenstellend umgesetzt werden“, sagt Thiel. „Zugleich mussten wir aber auch erhebliche Defizite feststellen, die sehr besorgniserregend sind.“ Besonders großen Nachholbedarf haben die Unternehmen demnach im technisch-organisatorischen Datenschutz und bei der Datenschutz-Folgenabschätzung (DSFA). Diese Abschätzung müssen Unternehmen vorab durchführen, wenn sie Datenverarbeitungen planen, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führen. Die Prüfung zeigte, dass sich viele Unternehmen noch nicht ausreichend mit den rechtlichen Grundlagen zur DSFA befasst hatten.

Maßnahmen des technisch-organisatorischen Datenschutzes sollen sicherstellen, dass die Rechte und Freiheiten natürlicher Personen angemessen bei der Datenverarbeitung geschützt werden. Dazu gehört zum Beispiel der geeignete Schutz eines IT-Netzwerks gegen Cyber-Angriffe. Hier war besonders problematisch, dass zahlreiche Unternehmen den Fokus fast ausschließlich auf den Schutz der eigenen Interessen gelegt hatten. Im Datenschutz müssen aber die Interessen der Betroffenen im Zentrum stehen.

Zufriedenstellende Antworten

Es gab allerdings auch Bereiche, in denen die LfD überwiegend zufriedenstellende Antworten erhielt. Dazu zählen die Komplexe Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.

Bewertung der Unternehmen

Bewertet wurden die Unternehmen abschließend mit einer Ampelfarbe: Grün, wenn sie überwiegend zufriedenstellend abgeschnitten hatten; Gelb, wenn es noch vereinzelt Handlungsbedarf gab; Rot, wenn erhebliche Defizite vorlagen. Am Ende erhielten 9 Unternehmen das Prädikat Grün, 32 Gelb und 9 Rot. In einigen der mit Rot bewerteten Unternehmen wird die LfD noch in diesem Jahr weitergehende Kontrollen durchführen. Stellt sie dabei schwerwiegende Verstöße gegen die Datenschutzregeln fest, sind auch Bußgelder gegen die Verantwortlichen möglich.

Fazit

Mit derartigen Querschnittsprüfungen muss auch in anderen Bundesländern gerechnet werden. Zeigt eine derartige Prüfung Mängel bei einem Unternehmen auf, muss dieses mit einer detallierten Einzelprüfung vor Ort und Bußgelder rechnen.

Sehr hilfreich zur Vorbereitung auf derartige Prüfungen ist von der LfD Niedersachsen veröffentlichte Fragenkatalog.

Fundstellen

• Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen – abrufbar im Internet unter https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/abschluss-der-querschnittsprufung-182253.html
• Abschlussbericht der Querschnittsprüfung – abrufbar im Internet unter https://lfd.niedersachsen.de/download/149301
• Kriterienkatalog zur Auswertung – abrufbar im Internet unter https://lfd.niedersachsen.de/download/14671
• Fragenkatalog – abrufbar im Internet unter https://lfd.niedersachsen.de/download/132359

Das Verwaltungsgericht (VG) Hannover hat am 27.11.2019 entschieden, dass die Veröffentlichung von Personenfotos auf einer Facebook Fanpage ohne Einwilligung der Betroffenen unzulässig ist (Az.: 10 A 820/19).

Der Kläger (ein Ortsverein einer Partei) wandte sich gegen eine datenschutzrechtliche Verwarnung, welche die zuständige Datenschutzaufsichtsbehörde als Beklagte aufgrund der Veröffentlichung eines Fotos auf der Fanpage bei Facebook ausgesprochen hatte.

Der Ortsverein führte eine öffentliche Veranstaltung durch, bei der über den Bau einer Ampelanlage gesprochen wurde, die das Überqueren einer vielbefahrenen Straße erleichtern sollte. An dieser Veranstaltung nahmen nach Presseberichten etwa 70 Personen teil. Über die Veranstaltung wurde auch in der Presse berichtet. Den nach wie vor im Internet verfügbaren Berichten der Zeitungen ist jeweils ein Foto beigefügt, auf dem auch die Eheleute S. abgebildet sind. Ein weiteres Foto von der Veranstaltung, auf dem die Eheleute S. deutlich erkennbar abgebildet sind, wird vom Kläger weiterhin auf seiner Website veröffentlicht.

Nachdem Herr S. von einem Bekannten auf das Foto auf der Website angesprochen wurde, wandte er sich an den Kläger und forderte diesen zur Löschung des Fotos auf. Der Kläger erklärte gegenüber Herrn S., das Foto sei seinerzeit von einer ihm unbekannten Person aufgenommen und bereits vor vier Jahren im Internet gepostet worden. Jetzt sei es lediglich erneut veröffentlicht worden. Da die Eheleute S. zusammen mit mehreren anderen Personen abgebildet und nicht besonders hervorgehoben oder abträglich dargestellt worden seien, dürfe das Foto auch weiterhin veröffentlicht werden. Es sei ihm, dem Kläger, lediglich darum gegangen, das seit Jahren bestehende Interesse der Anwohnerinnen und Anwohner an der Realisierung der Ampelanlage aufzuzeigen. Dazu habe er das Foto auch verwenden dürfen. Dennoch werde er das Foto wunschgemäß löschen. Dies geschah dann auch.

Die Eheleute S. wandten sich gleichwohl mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde und machten geltend, die Veröffentlichung des Fotos durch den Kläger auf seiner Fanpage bei Facebook habe gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Die gegenteilige Auffassung des Klägers sei nicht hinnehmbar. Die Datenschutzaufsichtsbehörde solle den Sachverhalt prüfen.

Die beklagte Datenschutzaufsichtsbehörde teilte dem Kläger mit, dass ihr die Beschwerde der Eheleute S. vorliege. Falls der geschilderte Sachverhalt zutreffe, könne das Verhalten des Klägers gegen Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Sie, die Beklagte, müsse als Aufsichtsbehörde der Beschwerde der Eheleute S. nachgehen. Die Beklagte setzte dem Kläger eine Frist zur Stellungnahme. Die Rechtsanwältin des Klägers nahm dazu Stellung und vertrat darin die Auffassung, der Kläger habe nicht gegen die DSGVO verstoßen. Zum einen habe er als politische Partei im Rahmen seiner verfassungsrechtlichen Aufgabe nach Artikel 21 Abs. 1 Satz 1 des Grundgesetzes (GG), an der politischen Willensbildung des Volkes mitzuwirken, ein berechtigtes Interesse an der Werbung für seine politische Tätigkeit. Diese habe hier darin bestanden, sich letztlich erfolgreich für die Errichtung der von vielen Anwohnerinnen und Anwohnern seit Jahren geforderten Ampelanlage eingesetzt zu haben. Die Veröffentlichung des Fotos habe dazu gedient, das große Interesse an diesem Thema zu dokumentieren, und stehe daher in unmittelbarem Zusammenhang mit der politischen Tätigkeit des Klägers. Zum anderen könne er sich auf § 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) berufen. Danach sei eine Verbreitung von Bildern ohne Einwilligung der abgebildeten Personen u. a. dann zulässig, wenn diese nur Beiwerk seien und keinen bestimmenden Einfluss auf das Motiv ausübten. So liege es hier.

Mit Bescheid vom 9. Januar 2019 verwarnte die Beklagte den Kläger. Zur Begründung führte sie im Wesentlichen aus, der Kläger habe durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen Artikel 5 Abs. 1 Buchst. a in Verbindung mit Artikel 6 Abs. 1 Buchst. f DSGVO verstoßen. Er sei deshalb gemäß Artikel 58 Abs. 2 Buchst. b DSGVO zu verwarnen. Das Foto beinhalte personenbezogene Daten im Sinne des Artikels 4 Nr. 1 DSGVO. Die Veröffentlichung auf einer Fanpage bei Facebook sei eine Verarbeitung dieser Daten im Sinne des Artikels 4 Nr. 2 DSGVO. Eine solche Verarbeitung sei nach Artikel 6 Abs. 1 DSGVO nur zulässig, wenn einer der dort aufgeführten Tatbestände vorliege. Hier komme, da die Eheleute S. nicht in die fragliche Verarbeitung eingewilligt hätten, nur der Tatbestand nach Artikel 6 Abs. 1 Buchst. f DSGVO in Betracht. Der Kläger könne sich nicht darauf berufen, dass die fragliche Verarbeitung im Sinne dieser Vorschrift für die Wahrnehmung eines berechtigten Interesses erforderlich gewesen sei. Ob er sich auf § 23 KUG berufen könne, sei zweifelhaft. Darauf komme es aber im Ergebnis auch nicht an. Denn die Zulässigkeit der fraglichen Verarbeitung scheitere jedenfalls an dem überwiegenden Interesse der Eheleute S. an der Unterlassung der Veröffentlichung. Dem stehe auch die Eigenschaft des Klägers als politische Partei nicht entgegen, zumal die Verwendung des Fotos keinen Beitrag zur Werbung für die politische Tätigkeit des Klägers leiste, sondern nur das größere öffentliche Interesse an dem betreffenden Thema dokumentiere. Da der Kläger das Foto auf Verlangen der Eheleute S. von seiner Fanpage bei Facebook entfernt habe und keine Anhaltspunkte dafür bestünden, dass das Foto in Zukunft wieder öffentlich gemacht werde, sei die Verwarnung als aufsichtsbehördliche Maßnahme nach Artikel 58 Abs. 2 Buchst. b DSGVO verhältnismäßig.

Der Kläger hat gegen den Bescheid Klage erhoben. Zur Begründung macht er geltend, der Bescheid des Beklagten sei rechtswidrig. Die Verwarnung sei schon zu unbestimmt und nicht hinreichend begründet und deshalb formell rechtswidrig. Die Verwarnung sei aber auch materiell rechtswidrig. Denn er, der Kläger, sei als politische Partei berechtigt, Bilder zur Darstellung seiner politischen Arbeit zu verwenden und auf diese Weise gemäß seines verfassungsrechtlichen Auftrags nach Artikel 21 Abs. 1 Satz 1 GG an der politischen Willensbildung des Volkes mitzuwirken. Dazu habe er das streitige Foto auch verwendet, weil dieses das große Interesse der Anwohnerinnen und Anwohner an der Errichtung der Ampelanlage dokumentiert habe, dass er aufgegriffen und dem er durch seine politische Tätigkeit schließlich zum Erfolg verholfen habe. Er könne sich deshalb nicht nur auf Artikel 6 Abs. 1 Buchst. f DSGVO, sondern auch auf Artikel 6 Abs. 1 Buchst. e DSGVO stützen. Außerdem könne er sich durchaus auf § 23 KUG berufen, wonach die Veröffentlichung von Bildern, auf denen abgebildete Personen nur Beiwerk sind und keinen bestimmenden Einfluss auf das Motiv ausüben, zulässig seien. Diese Vorschrift gelte auch nach Inkrafttreten der DSGVO weiter.

Das VG Hannover erklärte die Klage als unbegründet. Die Verwarnung vom 9. Januar 2019 ist rechtmäßig und verletzt den Kläger nicht in seinen Rechten (§ 113 Abs. 1 Satz 1 VwGO). Rechtsgrundlage für die von der Beklagten ausgesprochene Verwarnung ist Artikel 58 Abs. 2 Buchst. b DSGVO. Danach hat die Aufsichtsbehörde nach Artikel 51 DSGVO die Befugnis, einen Verantwortlichen zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat. Dies gilt für den Fall eines Verstoßes gegen die DSGVO selbst, darüber hinaus aber auch für den Fall eines Verstoßes gegen Rechtsvorschriften eines Mitgliedstaats im Anwendungsbereich der DSGVO.

Tatbestandsvoraussetzung für eine Verwarnung nach Artikel 58 Abs. 2 Buchst. b DSGVO ist, dass der Adressat der Verwarnung – hier: der Kläger – als Verantwortlicher personenbezogene Daten verarbeitet hat, und er damit gegen die DSGVO – oder eine Rechtsvorschrift eines Mitgliedstaats über den Datenschutz – verstoßen hat.

Der Kläger hat vorliegend als Verantwortlicher personenbezogene Daten verarbeitet. Die Veröffentlichung des streitgegenständlichen Fotos durch den Kläger auf seiner Fanpage bei Facebook stellt eine automatisierte Verarbeitung personenbezogener Daten der abgebildeten Personen dar (Artikel 2 Abs. 1, Artikel 4 Nrn. 1 und 2 DSGVO). Ausnahmen vom sachlichen Anwendungsbereich nach Artikel 2 Abs. 2 und 3 DSGVO liegen nicht vor. Als Betreiber einer Fanpage bei Facebook ist der Kläger für die streitgegenständliche Datenverarbeitung auch Verantwortlicher im Sinne des Artikels 4 Nr. 7 DSGVO (EuGH, Urteil vom 5. Juni 2018 – C210/16 –, juris Rn. 25 ff.).

Zudem hat der Kläger durch die Veröffentlichung des Fotos auf seiner Fanpage bei Facebook gegen die DSGVO bzw. Vorschriften des KUG verstoßen. Hierbei kann offenbleiben, ob sich die Rechtmäßigkeit – wie der Kläger meint – nach §§ 22, 23 KUG i. V. m. Artikel 85 Abs. 2 DSGVO oder – wie die Beklagte meint – nach Artikel 6 Abs. 1 DSGVO richtet. Denn sowohl nach den §§ 22, 23 KUG als auch unter Berücksichtigung von Artikel 6 Abs. 1 Buchst. e und f DSGVO war die Veröffentlichung ohne die Einwilligung der Betroffenen rechtswidrig.

Fundstelle:

Veröffentlichung des Urteils auf der Homepage des Niedersächsischen Landesjustizportals – abrufbar im Internet unter http://www.rechtsprechung.niedersachsen.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE190004238&st=ent&doctyp=juris-r&showdoccase=1&paramfromHL=true

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg veröffentlichte am 06. Februar 2020 eine Broschüre bezüglich der „Wesentlichen Anforderungen an die behördliche Nutzung sozialer Netzwerke“. Der LfDI greift die aktuelle Rechtsprechung des Europäischen Gerichtshofs und des Bundesverwaltungsgerichts zu „Sozialen Netzwerken“ auf und stellt fünf klare Forderungen bezüglich der Nutzung sozialer Netzwerke.

Die Broschüre hatte der LfDI bereits im Rahmen der Vorstellung seines Datenschutz-Tätigkeitsberichts 2019 angekündigt. Der Anforderungskatalog soll von allen Behörden zur Prüfung ihrer Auftritte in „Sozialen Netzwerken“ herangezogen werden. Gleichzeitig verbindet der LfDI damit die Erwartung, dass alle Behörden in Baden-Württemberg ihrer Vorbildfunktion gerecht werden und vorbehaltlos für eine rechtskonforme und damit im wahrsten Sinne bürgerfreundliche Informationsarchitektur sorgen.   

Wo Behörden die klar umschriebenen und erläuterten Anforderungen bei der Nutzung „Sozialer Netzwerke“ aktuell nicht erfüllen, müssen sie jetzt umgehend nachbessern. Allerdings setzt dies die Kooperation des jeweiligen Plattformbetreibers voraus. Kooperiert der Plattformbetreiber mit der Behörde nicht und gelingt es dieser nicht, die einschlägigen Vorgaben zu erfüllen, so ist sie aufgefordert, die Plattform zu verlassen.

Laut dem LfDI sind insbesondere folgende Anforderungen einzuhalten:

1. Behördliche Mitglieder müssen eine datenschutzrechtliche Rechtsgrundlage vorweisen können.
2. Die datenschutzrechtlichen Transparenzgebote müssen eingehalten werden.
3. Soweit behördliche Mitglieder mit dem Plattformbetreiber zusammen gemeinsam für Datenverarbeitungen sind, muss dazu eine vertragliche Vereinbarung getroffen werden.
   verantwortlich
4. Behördliche Mitglieder müssen alternative Informations- und Kommunikationswege anbieten, damit Bürgerinnen und Bürger nicht in „Soziale Netzwerke“ hineingezwungen werden.
5. Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Bürgerinnen und Bürger muss respektiert werden.

Auch wenn das „Gesetz zur Anpassung des allgemeinen Datenschutzrechts und sonstiger Vorschriften an die Verordnung (EU) 2016/679“ keine Geldbußen gegen öffentliche Stellen in Baden-Württemberg vorsieht – außer die öffentliche Stelle nimmt am Wettbewerb teil – drohen einer Behörde, die sich nicht an die Vorgaben des LfDI hält, empfindliche Sanktionen. So kann der LfDI beispielsweise den Betrieb des sozialen Netzwerks untersagen.

Hinweis für Unternehmen

Auch wenn sich die Broschüre nur an öffentliche Stellen richtet, sollte sie auch von Unternehmen, die soziale Netzwerke betreiben, zur Kenntnis genommen und beachtet werden. Insbesondere da bereits eine entsprechende Rechtsprechung vorliegt und Unternehmen bei Verstößen gemäß Art. 83 DSGVO empfindliche Geldbußen drohen.

Fundstelle:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/02/Wesentliche-Anforderungen-an-die-beh%C3%B6rdliche-Nutzung-Sozialer-Netzwerke.pdf

Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.

Eine Arbeitgeberin schloss mit ihrem Betriebsrat eine Rahmenbetriebsvereinbarung zur Einführung und Anwendung von Informations- und Kommunikationstechnischen Systemen, in der festgelegt wurde, dass Leistungs- und Verhaltenskontrollen i. S. d. § 87 Abs. 1 Nr. 6 BetrVG unzulässig sind. Bei drohenden Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen, sollte nachträglich und unverzüglich die Information des Betriebsrates erfolgen.

Gemäß der Rahmenbetriebsvereinbarung toleriert die Arbeitgeberin die private Nutzung des dienstlichen E-Mail-Accounts insoweit, als dienstliche Belange nicht beeinträchtigt werden, die technischen Ressourcen nur in einem geringen und vernachlässigbarem Umfang belastet werden und der Arbeitgeberin dadurch keine zusätzlichen Kosten entstehen.

Die Arbeitgeberin überprüfte im Herbst 2017 Vorwürfe gegen den zwischenzeitlich ausgeschiedenen ehemaligen Geschäftsführer. Ausweislich der lokalen Presseberichterstattung soll der Flughafen einem Frachtunternehmen für eine angemietete Fläche zu viel gezahlt und Rechnungen dieses Unternehmens ohne Gegenleistung beglichen haben. Arbeitnehmer sollen über einen langen Zeitraum freigestellt worden sein. Zudem soll der ehemalige Geschäftsführer für ein privat gemietetes Flugzeug zu wenig gezahlt haben. Der Aufsichtsrat der Arbeitgeberin fasste in einer außerordentlichen Sitzung den Beschluss, den Geschäftsführer zu beurlauben und interne Ermittlungen durchzuführen, die durch eine Rechtsanwaltskanzlei und ein Wirtschaftsprüfungsunternehmen begleitet wurden. Im Zuge der Ermittlungen wurde seitens der Arbeitgeberin der elektronische Schriftverkehr der Geschäftsleitung, der leitenden Angestellten sowie weiterer Arbeitnehmer überprüft und an die Rechtsanwaltskanzlei und das Wirtschaftsprüfungsunternehmen übermittelt.

Als der Betriebsrat Kenntnis von dem Vorgang erhielt, machte er beim Arbeitsgericht Köln einen Informationsanspruch bezüglich der erhobenen und weitergeleiteten Daten geltend, verlangte die Löschung und Vernichtung dieser Daten und begehrte die Unterlassung des Zugriffs auf den elektronischen Schriftverkehr der Arbeitnehmer. Zur Begründung der Anträge vertrat der Betriebsrat die Ansicht, ihm stehe bei der Auswertung des E-Mail-Verkehrs der nichtleitenden Arbeitnehmer ein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 6 BetrVG zu, das er durch die Rahmenbetriebsvereinbarung nicht abschließend ausgeübt habe.

Der Betriebsrat beantragte,

1. der Arbeitgeberin aufzugeben, ihm die Namen und den personenbezogenen Anlass der Arbeitnehmerinnen und Arbeitnehmer, mit Ausnahme der leitenden Angestellten, mitzuteilen, deren elektronischer Schriftverkehr – E-Mails – im Zusammenhang mit der internen Untersuchung der Vorgänge um den ehemaligen Geschäftsführer von ihr überprüft, gesichert und ausgewertet oder zur Auswertung an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleitet wurden.
2. der Arbeitgeberin aufzugeben, es zu veranlassen, dass die an die Rechtsanwaltskanzlei und die Wirtschaftsprüfungs-GmbH weitergeleiteten Daten im Sinne des Antrags zu 1. inklusive deren Auswertungen bei der Rechtsanwaltskanzlei und der Wirtschaftsprüfungs-GmbH physisch gelöscht und vernichtet werden.
3. der Arbeitgeberin aufzugeben, es künftig zu unterlassen, den elektronischen Schriftverkehr (E-Mails) von Arbeitnehmerinnen und Arbeitnehmern, mit Ausnahme der leitenden Angestellten, im Rahmen von ihr angestoßener interner Untersuchungen zu überwachen, die Daten zu sichern und auszuwerten sowie an Dritte zum Zwecke der Auswertung weiter zu leiten, ohne zuvor seine Zustimmung zu beantragen und im Falle der Zustimmungsverweigerung eine Entscheidung der Einigungsstelle herbeizuführen, es sei denn, es drohen Sicherheitsgefährdungen, die ein sofortiges Handeln notwendig machen.

Das Arbeitsgericht hat den Anträgen stattgegeben und dies im Wesentlichen wie folgt begründet: Der Betriebsrat habe gegen die Arbeitgeberin zur Durchführung seiner Aufgaben nach dem Betriebsverfassungsgesetz einen Anspruch auf Erteilung der begehrten Auskunft gemäß § 80 Abs. 2 Satz 1 BetrVG. Die Überwachungsaufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 1 BetrVG erstrecke sich auf die Einhaltung der Datenschutzvorschriften durch die Arbeitgeberin insbesondere im Zusammenhang mit der Auswertung der dienstlichen und erlaubten privaten E-Mails. Zu den Aufgaben des Betriebsrats gehörten zudem die Ausübung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG und die Durchsetzung von Beseitigungsansprüchen nach einer Verletzung dieses Mitbestimmungsrechts. Demgemäß habe der Betriebsrat wegen des Verstoßes gegen sein Mitbestimmungsrecht einen Anspruch auf Beseitigung des eingetretenen mitbestimmungswidrigen Zustands. Dieser Anspruch umfasse bei einem Verstoß gegen § 87 Abs. 1 Nr. 6 BetrVG die Löschung rechtswidrig erhobener und an Dritte weitergeleiteter Daten. Schließlich könne der Betriebsrat die strafbewehrte zukünftige Unterlassung der Überwachung, Sicherung, Auswertung und Weiterleitung des elektronischen Schriftverkehrs von Arbeitnehmern im Rahmen von internen Untersuchungen verlangen, solange das Mitbestimmungsverfahren nicht durchgeführt und abgeschlossen sei.

Die Arbeitgeberin legte gegen diesen Beschluss Beschwerde beim Landesarbeitsgericht ein, die zum Großteil aber erfolglos blieb.

Das Landesarbeitsgericht Köln stellte in seinem Beschluss vom 19.07.2019 folgende Leitsätze auf:

1. Will ein Arbeitgeber aus Anlass von Vorwürfen gegen die Geschäftsführung im Rahmen einer internen Untersuchung die E-Mail-Korrespondenz von nicht leitenden Arbeitnehmern überprüfen, hat er gemäß § 87 Abs. 1 Nr. 6 BetrVG die vorherige Zustimmung des Betriebsrats einzuholen.
2. Verstößt der Arbeitgeber gegen das Mitbestimmungsrecht, kann der Betriebsrat von ihm Auskunft über die Namen der betroffenen Arbeitnehmer, die Mitteilung des personenbezogenen Anlasses für deren Überprüfung sowie künftige Unterlassung beanspruchen.
3. Zur Beseitigung der Folgen des mitbestimmungswidrigen Verhaltens kann der Betriebsrat zudem verlangen, dass der Arbeitgeber auf mit der Untersuchung beauftragte Dritte dahingehend einwirkt, dass sie die an sie weitergeleiteten Daten löschen und Ausdrucke vernichten.
4. Der Beseitigungsanspruch des Betriebsrats besteht nicht, soweit der Arbeitgeber ein schützenswertes Interesse an der Verwertung der Daten in einer rechtlichen Auseinandersetzung hat. Anderenfalls liefe der Beseitigungsanspruch auf ein Beweisverwertungsverbot hinaus, das weder Gegenstand einer wirksamen betrieblichen Regelung sein kann noch mit dem betriebsverfassungsrechtlichen Beseitigungsanspruch durchsetzbar ist.

Fundstelle:

Beschluss des Landesarbeitsgerichts Köln vom 19.07.2019, Aktenzeichen: 9 TaBV 125/18, abrufbar im Internet unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/lag_koeln/j2019/9_TaBV_125_18_Beschluss_20190719.html

Hinweis:

Der Fall ist nunmehr beim Bundesarbeitsgericht anhängig (BAG – 1 ABR 31/19).

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat auf ihren Homepages Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht. Dabei stellen die Datenschützer klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Der Betroffene bleibt auch und insbesondere bei Gesundheitsdaten grundsätzlich „Herr seiner Daten“. Allerdings dürfen für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei muss der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets beachtet werden.

So können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

• selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
• sich im relevanten Zeitraum in einem als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Die erwähnten Maßnahmen lassen sich rechtlich auf Grundlage der DSGVO und des BDSG (ggf. in Verbindung mit Landesdatenschutz- und weiteren Fachgesetzen) legitimieren. Je nach Maßnahme können die einschlägigen Rechtsgrundlagen dabei leicht variieren.

Die Berechtigung zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für öffentlich-rechtliche Arbeitgeber grundsätzlich aus Art. 6 Abs. 1 Satz 1 lit. e) DSGVO und für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i. V. m. den einschlägigen beamtenrechtlichen sowie tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.

Die Fürsorgepflicht der Arbeitgeber bzw. der Dienstherren verpflichtet diese den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Hierzu zählt nach Ansicht der unabhängigen Datenschutzaufsichtsbehörden auch die angemessene Reaktion auf die epidemische bzw. inzwischen pandemische Verbreitung einer meldepflichtigen Krankheit, die insbesondere der Vorsorge und im Fall der Fälle der Nachverfolgbarkeit (also im Grunde nachgelagerte Vorsorge gegenüber den Kontaktpersonen) dient. Diese Maßnahmen müssen dabei natürlich immer auch verhältnismäßig sein.

Die Daten müssen vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden.

Eine Einwilligung der von Maßnahmen Betroffenen allein sollte hingegen vorliegend nur als datenschutzrechtliche Verarbeitungsgrundlage in Betracht gezogen werden, wenn die Betroffenen über die Datenverarbeitung informiert sind und freiwillig in die Maßnahme einwilligen können.

Die Erfüllung der Informationspflichten nach der DSGVO muss natürlich bei allen Maßnahmen sichergestellt werden.

Fundstelle:

„Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie“ der Datenschutzkonferenz – abrufbar im Internet beispielsweise unter https://www.datenschutz-bayern.de/corona/arbeitgeber.html

Facebook verstößt mit Voreinstellungen zur Privatsphäre und einem Teil seiner Geschäftsbedingungen laut einer Entscheidung des Kammergerichts (KG) Berlin gegen Verbraucher- und Datenschutzrecht.

Im zugrunde liegenden Streitfall hatte der Bundesverband der Verbraucherzentralen mit seiner Klage insgesamt 26 Einzelverstöße gegen das Gesetz gegen Unlauteren Wettbewerb (UWG) beanstandet.

Nötige Einwilligung in Datennutzungen darf nicht über Abwahl eines voreingestellten Ankreuzkästchens erfolgen

Das Kammergericht folgte der Rechtsauffassung des Verbandes in vielen Punkten. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen vorbelegt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das eigene Facebook-Profil für jeden schnell und leicht auffindbar. Die dafür jeweils nötige Einwilligung in Datennutzungen kann nach Auffassung des Gerichts nicht über ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer erst abwählen muss, wenn er damit nicht einverstanden ist.

Vorformulierte Erklärungen erfüllen nicht Voraussetzungen an wirksame Einwilligung in Datennutzung

Auch eine Reihe von Geschäftsbedingungen untersagte das Gericht. So erklärten sich Nutzer damit einverstanden, dass Facebook ihren Namen und ihr Profilbild „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzt und sämtliche Daten in die USA weiterleitet. Eine weitere Klausel besagte, dass sie sich schon vorab mit allen künftigen Änderungen der Facebook-Datenrichtlinie einverstanden erklären. Solche vorformulierten Erklärungen erfüllen nach Auffassung des Kammergerichts nicht die Voraussetzungen an eine wirksame Einwilligung in die Datennutzung.

Eine Klausel, die Nutzer unter anderem zur Angabe ihres richtigen Namens verpflichtete, ist dem Unternehmen nach teilweiser Berufungsrücknahme im Dezember 2019 bereits jetzt rechtskräftig untersagt.

Kein Zweifel an Klagebefugnis der Verbraucherzentrale

Das Kammergericht stellte eindeutig klar, dass der Bundesverband der Verbraucherzentralen auch nach Inkrafttreten der DSGVO berechtigt ist, Datenschutzverstöße durch Unternehmen gerichtlich zu verfolgen. Entsprechende Klagerechte im Unterlassungsklagengesetz und im Gesetz gegen den unlauteren Wettbewerb seien anwendbar. Dafür brauche es auch nicht den Auftrag eines betroffenen Verbrauchers.

Werbung „Facebook ist und bleibt kostenlos“ weiterhin zulässig

Der Slogan „Facebook ist und bleibt kostenlos“ ist nach dem Urteil des Kammers hingegen zulässig. Der Bundesverband der Verbraucherzentralen hatte die Werbung als irreführend kritisiert, da Verbraucher die Facebook-Nutzung indirekt mit ihren Daten zahlen müssten, mit denen Facebook seinen Gewinn erzielt. Nach Auffassung des Kammergerichts bezieht sich die Werbung jedoch nur darauf, dass die Dienste ohne Geldzahlungen oder andere Vermögenseinbußen genutzt werden können. Der Senat wies außerdem die Klage gegen einzelne Klauseln aus der Datenrichtlinie des Unternehmens ab. Bei diesen handele es sich nicht um Allgemeine Geschäftsbedingungen.

Fundstelle:

Urteil des KG Berlin (5 U 9/18) vom 20.12.2019 – abrufbar im Internet unter https://www.kostenlose-urteile.de/KG-Berlin_5-U-918_Facebook-verstoesst-mit-Voreinstellungen-zur-Privatsphaere-gegen-Datenschutzrecht.news28352.htm

Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertigt in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Der Kläger war bei der Beklagten als SAP-Berater tätig und bestellte vom Rechner eines Spielcasinos aus Kopfschmerztabletten für zwei Vorstandsmitglieder einer Kundin der Beklagten, wobei er zwecks Zahlung per Lastschrift auf zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten von Kunden der Kundin zurückgriff. Im Rahmen der Bestellung ließ der Kläger dem Vorstand dieser Kundin die Anmerkung zukommen, dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerztabletten durchaus helfen könnten. Die Beklagte hatte er zuvor nicht über bestehende Sicherheitslücken bei der Kundin informiert. Der Kläger erhielt daraufhin eine fristlose Kündigung, gegen die er Kündigungsschutzklage mit der Begründung erhob, er habe bei der Kundin datenschutzrelevante Sicherheitslücken entdeckt, die sein Handeln erst möglich gemacht hätten und auf die er die Kunden der Beklagten zuvor mehrfach vergeblich aufmerksam gemacht habe, ohne dass diese reagiert habe. Eine Verknüpfung von Datensätzen sei für sein Vorgehen nicht erforderlich gewesen, da sich Name, Adresse und Bankdaten der Kunden der Kundin in dem gleichen Datensatz befunden hätten. Er habe im Sinne der Allgemeinheit und der Kundin datenschutzrechtliche Verstöße verhindern wollen. Er meint, sein Vorgehen sei gerechtfertigt und die effektivste Handlungsoption gewesen, jedenfalls aber weniger einschneidend als der Gang an die Öffentlichkeit.

Mit Urteil vom 15.01.2020 wies das Arbeitsgericht Siegburg die Klage ab und entschied, dass die fristlose Kündigung gerechtfertigt sei. Durch sein Vorgehen hat der Kläger nach Überzeugung des Gerichts gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen. Sensible Kundendaten sind zu schützen. Der Kläger hat seinen Datenzugriff missbraucht und eine Sicherheitslücke beim Kunden ausgenutzt. Die Kunden dürfen der Beklagten und deren Mitarbeiter Schutz und keinesfalls Missbrauch von etwaigen Sicherheitslücken erwarten. Auch für das Aufdecken vermeintlicher Sicherheitslücken dürfen Kundendaten nicht missbraucht werden. Der Kläger hat somit massiv das Vertrauen der Kundin in die Beklagte und deren Mitarbeiter gestört und damit die Kundenbeziehung massiv gefährdet. Dies rechtfertigt eine fristlose Kündigung.

Die Entscheidung ist noch nicht rechtskräftig. Gegen das Urteil kann Berufung beim Landesarbeitsgericht Köln eingelegt werden.

Fundstelle:

Urteil des Arbeitsgerichts Siegen vom 15.1.2020 – 3 Ca 1793/19 – abrufbar im Internet beispielsweise unter http://www.justiz.nrw.de/nrwe/arbgs/koeln/arbg_siegburg/j2020/3_Ca_1793_19_Urteil_20200115.html

Das OLG Stuttgart entschied am 27.02.2020, dass Unternehmen wegen fehlender Datenschutzerklärungen abgemahnt werden können.

Der Beklagte bot als gewerblicher Händler auf der Internethandelsplattform eBay Reifen zum Sofortkauf an. Neben seiner Firma gab er seine Postanschrift, Telefonnummer, Faxnummer und E-Mail-Adresse an. Eine Erklärung zum Datenschutz hielt er nicht vor. Der Kläger (ein Wirtschaftsverband) verlangte daraufhin vom Beklagten, es zu unterlassen, im Internet ein Angebot ohne bestimmte Informationen zum Datenschutz vorzuhalten.

Da diese Abmahnung erfolglos blieb, verklagte der Wirtschaftsverband das Unternehmen beim zuständigen Landgericht. Dieses hat die Klage mit der Begründung abgewiesen, dass § 13 TMG, auf den der Hauptantrag gestützt werde, keinen Anwendungsbereich mehr habe. Auch der auf die Datenschutz-Grundverordnung gestützte Hilfsantrag sei unbegründet. Durch Artikel 80 Absatz 2 DSGVO komme zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen wolle, wenn die in der Norm genannten Voraussetzungen erfüllt seien und der nationale Gesetzgeber dies geregelt habe. Der deutsche Gesetzgeber habe von der Ermächtigung in Artikel 80 Absatz 2 DSGVO keinen Gebrauch gemacht. Aufgrund der abschließenden Regelung der Datenschutz-Grundverordnung stünden dem Kläger auch keine Unterlassungsansprüche nach dem Unterlassungsklagengesetz (UklaG) zu.

Hiergegen wendet sich die Berufung des Klägers beim OLG. § 13 TMG habe weiterhin Bestand. Die Vorschrift diene der Umsetzung der Richtlinie 2002/58/EG, die einen anderen Anwendungsbereich als die Datenschutz-Grundverordnung habe. Hilfsweise ergebe sich der Anspruch aus der Datenschutz-Grundverordnung, die kein abgeschlossenes Sanktionensystem enthalte.

Der Beklagte wurde vom OLG dazu verurteilt, es bei Vermeidung eines vom Gericht in jedem Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, zu unterlassen, im geschäftlichen Verkehr mit dem Verbraucher betreffend Kraftfahrzeugzubehör eine Website/Homepage selbst oder durch Dritte zu unterhalten, auf der zu geschäftlichen Zwecken personenbezogene Daten erhoben werden, ohne dass eine Datenschutzerklärung nach Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung der EU (DSGVO 2016/679) vom 27. April 2016 in deren Geltungsbereich vorgehalten wird.

Leitsätze des OLG Stuttgart

1. § 13 Absatz 1 Satz 1 TMG wird durch die Bestimmungen der Datenschutz-Grundverordnung verdrängt.
2. Artikel 80 DSGVO enthält keine abschließende Regelung über die Rechtsdurchsetzung von Verstößen gegen die Datenschutz-Grundverordnung. Wettbewerbsverbände sind gemäß § 8 Absatz 3 Nr. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) i.V.m. § 8 Absatz 1 und § 3a UWG befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen, bei denen es sich um Marktverhaltensregelungen handelt.
3. Die Informationspflichten aus Artikel 13 Absatz 1 lit. a, c und Absatz 2 lit. b, d und e DSGVO stellen Marktverhaltensregelungen dar.

Fundstelle:

OLG Stuttgart Urteil vom 27.2.2020, 2 U 257/19 – abrufbar im Internet beispielsweise unter https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&GerichtAuswahl=Oberlandesgerichte&Art=en&sid=d89b51bba7d25cdd50d4efdb5c0dc332&nr=30648&pos=0&anz=1