Solex Walhalla

Das generelle Einsichtsrecht des Betriebsrats in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben.

In einer Gesamtbetriebsvereinbarung über die Einführung und Nutzung von elektronischen Personalakten war folgender Passus in der Ziffer 8.3 beinhaltet:

„Der Gesamtbetriebsratsvorsitzende und der örtliche Betriebsratsvorsitzende erhält permanenten Zugriff auf die elektronische Personalakte mit Ausnahme der Akten der Leitenden Mitarbeiter und der Mitarbeiter des Personalbereichs. Die örtlichen Betriebsratsvorsitzenden erhalten Zugriff auf die Akten des Wahlbetriebs, für den sie zuständig sind. Der Gesamtbetriebsratsvorsitzende erhält Zugriff auf die Akten des gesamten Unternehmens.“

Die Arbeitgeberin verwehrte jedoch der Betriebsratsseite diesen Zugriff. Der Gesamtbetriebsrat hatte daher ein Verfahren zunächst beim Arbeitsgericht und dann beim Landesarbeitsgericht Düsseldorf eingeleitet, mit dem er einen Anspruch auf Durchführung von Ziffer 8.3 der Gesamtbetriebsvereinbarung und damit die Einräumung eines Einsichtsrechts in die elektronischen Personalakten für die örtlichen Betriebsratsvorsitzenden sowie anderenfalls hilfsweise die Feststellung geltend macht, dass die Gesamtbetriebsvereinbarung insgesamt unwirksam ist. Die Arbeitgeberin wandte ein, Ziffer 8.3 der Gesamtbetriebsvereinbarung sei rechtswidrig.

Das Landesarbeitsgericht hat die Anträge des Gesamtbetriebsrats ebenso wie das Arbeitsgericht zurückgewiesen. Ziffer 8.3. der Gesamtbetriebsvereinbarung ist unwirksam. Das generelle Einsichtsrecht der Betriebsratsvorsitzenden in die elektronische Personalakte der Arbeitnehmer, das nicht von deren Zustimmung abhängig ist, verletzt die Arbeitnehmer in ihrem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 GG i. V. m. Art. 2 Abs. 1 GG, das die Betriebsparteien gemäß § 75 Abs. 2 BetrVG bei ihren Regelungen zu achten haben. Zur Kontrolle der Regelungen aus der Gesamtbetriebsvereinbarung ist ein derart weites Einsichtsrecht der Betriebsratsseite weder geeignet noch erforderlich und verletzt das allgemeine Persönlichkeitsrecht der Arbeitnehmer in unangemessener Weise. Dies gilt insbesondere auch deshalb, weil die Gesamtbetriebsvereinbarung weitere spezifische Kontrollrechte für die Betriebsratsseite enthält. Die GBV EFM bleibt im Übrigen wirksam, weil sie auch ohne Ziffer 8.3. in sich geschlossene und sinnvoll anwendbare Regelungen enthält.

Eine Rechtsbeschwerde hat das Landesarbeitsgericht nicht zugelassen.

Fundstelle:

Pressemitteilung des Landesarbeitsgerichts Düsseldorf zum Beschluss vom 23.06.2020 (3 TaBV 65/19) – abrufbar im Internet unter https://www.justiz.nrw/JM/Presse/presse_weitere/PresseLArbGs/23_06_2020_1/index.php

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Vereinbarung zur Übermittlung personenbezogener Daten in die USA (Privacy Shiel) für unwirksam erklärt (Rechtssache C‑311/18). Gleichzeitig hält er die Übertragung personenbezogener Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland für zulässig, falls diese die erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten.

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Am 25. Juni 2013 legte der österreichische Staatsbürger Max Schrems bei der Europäischen Kommision eine Beschwerde ein, mit der er im Wesentlichen forderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Die Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in der Entscheidung 2000/520 (Safe Harbour) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Der High Court (Hoher Gerichtshof, Irland), vor dem Herr Schrems Klage gegen die Zurückweisung seiner Beschwerde erhoben hatte, befasste den Gerichtshof mit einem Vorabentscheidungsersuchen betreffend die Auslegung und die Gültigkeit der Entscheidung 2000/520. Mit Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650), erklärte der Gerichtshof diese Entscheidung und das Safe Harbour-Abkommen für ungültig. Grund für dieses Urteil war insbesondere die Zugriffsmöglichkeit der US-Nachrichtendienste auf die übermittelten Daten und die fehlenden Mechanismen zur Durchsetzung der Betroffenenrechte.

Nach neuen Verhandlungen einigten sich die Europäische Kommission und die US-Regierung auf (neue) Rahmenbedingungen, die gewährleisten sollten, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Daraufhin sah sich die Europäische Kommission veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen des EU-US Privacy Shieldbesteht (vgl. Durchführungsbeschluss (2016) 1250, veröffentlicht im Amtsblatt EU vom 1. August 2016, L 207/1).

Auch dieses Abkommen hat der EuGH nunmehr kassiert und Folgendes ausgeführt:

1. Art. 2 Abs. 1 und 2 der Datenschutz-Grundverordnung ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c DSGVO sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 DSGVO genannten Elemente.
3. Art. 58 Abs. 2 Buchst. f und j DSGVO ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 DSGVO sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 (Privacy Shield) gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Fundstelle:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=4B581CD2AD4837AD722422B24FDEBF2A?text=&docid=228677&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=9903838

Die Datenschutzaufsichtsbehörden haben durch die DSGVO Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse erhalten, mit denen sie dafür sorgen können, dass die Grundsätze der Datenschutz-Grundverordnung und die Rechte der betroffenen Personen entsprechend dem Wortlaut und dem Geist der Verordnung gewahrt werden. Nachfolgend wird auf einige der wichtigsten Untersuchungsbefugnisse der Aufsichtsbehörden näher eingegangen:

1. Bereitstellung von Informationen

Gemäß Art. 58 Abs. 1 Buchst. a DSGVO hat jede Aufsichtsbehörde das Recht, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Dies spiegelt sich auch in Art. 31 DSGVO wider, demgemäß der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten müssen. Zur Durchsetzung des Rechts kann eine Aufsichtsbehörde alle in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfebefugnisse nutzen.

Die der Kontrolle unterliegenden Stellen sind gegenüber der Aufsichtsbehörde auskunftspflichtig, es sei denn, sie können gegebenenfalls von einem Auskunftsverweigerungsrecht Gebrauch machen.

Eine derartige Auskunftsverpflichtung ergibt sich im Regelfall aufgrund der Aufforderung einer Aufsichtsbehörde zu einem bestimmten Sachverhalt Stellung zu nehmen. Die Auskunft muss alle erforderlichen Angaben enthalten und somit vollständig sein.

Die Auskunft ist unverzüglich – also ohne schuldhaftes Zögern (§ 121 BGB) – gegebenenfalls innerhalb einer von der Aufsichtsbehörde eingeräumten Frist zu erteilen – auch auf schriftliche Anfragen. Ein Entgelt für eine Auskunft kann nicht verlangt werden.

2. Datenschutzüberprüfungen

Die Aufsichtsbehörden können nach der DSGVO Datenschutzüberprüfungen durchführen (Art. 58 Abs. 1 Buchst. b DSGVO). Im Rahmen dieser Prüfungen kann die Aufsichtsbehörde von den Verantwortlichen

• Auskünfte verlangen,
• Grundstücke und Geschäftsräume betreten und dort,
• Prüfungen und Besichtigungen vornehmen sowie,
• geschäftliche Unterlagen, gespeicherte personenbezogene Daten und Datenverarbeitungsprogramme einsehen.

3. Hinweis auf Datenschutzverstöße

Gemäß Art. 58 Abs. 1 Buchst. d DSGVO kann die Aufsichtsbehörde den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinweisen. So kann beispielsweise auf Verstöße im Rahmen der Allgemeinen Geschäftsbedingungen eines Unternehmens hingewiesen werden.

4. Zugang zu allen personenbezogenen Daten und Informationen und Betretungsrecht

Jede Aufsichtsbehörde kann von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchst. e DSGVO).

Des Weiteren kann Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters verlangen (Art. 58 Abs. 1 Buchst. f DSGVO). Im Rahmen dieses Betretungsrechts ist das mit der Kontrolle beauftragten Personen befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist,

• während der Betriebs- und Geschäftszeiten,
• Grundstücke und Geschäftsräume der der Kontrolle unterliegenden Stelle zu betreten und dort,
• Prüfungen und Besichtigungen vorzunehmen.

Dabei können die Aufsichtsbehörden geschäftliche Unterlagen (z. B. das Verzeichnis der Verarbeitungstätigkeiten und das Datensicherheitskonzept) sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme einsehen, sich Notizen machen und gegebenenfalls die Aushändigung von Fotokopien (nicht jedoch Originalunterlagen) verlangen. Der Einsichtnahme unterliegen auch Daten, die zum Brief-, Post und Telekommunikationsgeheimnis, dem Amtsgeheimnis und dem Berufsgeheimnis gehören bzw. der ärztlichen Schweigepflicht unterliegen.

Der Auskunftspflichtige, d. h. die der Kontrolle unterliegende Stelle sowie die mit deren Leitung betraute Person, hat diese Maßnahmen zu dulden.

Dieses Betretungs-, Besichtigungs- und Prüfungsrecht kann nach einhelliger Rechtsmeinung auch unangemeldet ausgeübt, d.h. es können auch Stichprobenkontrollen durchgeführt werden. Dies kann insbesondere erforderlich sein, um eine Vernichtung von belastenden Beweisen, z. B. durch Datenlöschung, zu verhindern. Allerdings wird eine Prüfung in der Regel angekündigt, damit gewährleistet ist, dass entsprechende Ansprechpartner des Unternehmens im Rahmen der Prüfung anwesend sind.

Eine Aufsichtsbehörde muss sich allerdings nicht auf einen späteren Prüfungszeitpunkt verweisen lassen, um die Anwesenheit bestimmter Mitarbeiter der zu prüfenden Stelle zu ermöglichen. Vor allem dann nicht, wenn die Verantwortlichen nicht in unmittelbarer zeitlicher Nähe in der Lage sind, der Prüfung beizuwohnen.

Die Ankündigung, während der üblichen Geschäftszeit die Betriebsräume gegenüber den Beschäftigten der Aufsichtsbehörde zu verschließen, ist bereits Ausdruck der gesetzeswidrigen Nichtduldung der Prüfung. Den Beschäftigten der Aufsichtsbehörde ist es auch nicht zuzumuten, sich einschließen zu lassen.

Das Betretungsrecht bezieht sich auf Grundstück und Geschäftsräume der speichernden Stelle, nicht jedoch auf Privatwohnungen. Bei Heim- und Telearbeit muss der Unternehmer ein entsprechendes Betretungsrecht vereinbaren.

Die Datenschutzaufsichtsbehörden fordern aufgrund des Verbots des Privacy Shields Auskunft darüber, wie künftig die Datenübermittlungen in die USA gestaltet werden. Außerdem hat sich der Europäische Datenschutzausschuss (EDSA) auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs geeinigt.

Der EDSA hat sich am 23. Juli 2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt.

Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat der EDSA mit der Veröffentlichung dieser Frequently Asked Questions (FAQ) entscheidende Fragen geklärt, die sich nach dem Urteil stellen. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“

Das Dokument sei aber nicht abschließend. Der EDSA werde weitere Antworten ergänzen. Jetzt komme es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hebt in einer Pressemittelung vom 24.07.2020 hervor, dass der Privacy Shield ungültig sei und keine Datenübermittlung in die USA rechtfertige könne. Als Konsequenz aus diesem Urteil werde der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich sei, müssten von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.

Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union seien auf der Grundlage von Standardvertragsklauseln weiterhin möglich, sie müssten aber ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeute dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich seien, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden könnten. Dies sei eine Frage des Einzelfalles. Zugleich müssten die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt.

Der LfDI Rheinland-Pfalz weist darauf hin, dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung, wie sie der EuGH in dem Urteil Schrems II konkretisiert hat, nicht entsprechen. Darüber hinaus müssten die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des Privacy Shield übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, werde der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kämen auch weitere Sanktionen in Betracht: „Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Fundstellen:

• Pressemitteilung des BfDI zum Thema „EDSA beschließt FAQ zu Schrems II – abrufbar im Internet unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/19_FAQ-zu-Schrems-II.html;jsessionid=5DA640A21AC6E97C48B9DD556A972A7A.2_cid507
• „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“ des EDSA – abrufbar im Internet unter https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en (in englischer Sprache)
• Pressemitteilung „Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil Schrems II“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 24.07.2020 – abrufbar im Internet unter https://www.datenschutz.de/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-schrems-ii/

Die früheren nationalen Regelungen, wonach ein interner Datenschutzbeauftragter nur aus wichtigem Grund gekündigt und nur aus wichtigem Grund von seinem Amt abberufen werden kann (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG-alt), sind mit Art. 38 Abs. 3 Satz 2 DSGVO vereinbar (LAG Nürnberg – 2 sa 274/19).

Sachverhalt

Eine Klägerin ist auf Grundlage eines Arbeitsvertrages seit 15.01.2018 bei der Beklagten als „Teamleiter Recht“ beschäftigt gewesen. Die Beklagte beschäftigt regelmäßig mehr als 10 Vollzeitarbeitnehmer ausschließlich der Auszubildenden.

Mitte Januar 2018 wurde die Klägerin von der Beklagten mit Wirkung vom 01.02.2018 zur betrieblichen Datenschutzbeauftragten (auch der Tochterunternehmen) bestellt. Die Beklagte war zur Bestellung eines betrieblichen Datenschutzbeauftragten nach § 38 Abs. 1 Satz 1 BDSG-alt verpflichtet.

Mit Schreiben vom 13.07.2018 wurde das Arbeitsverhältnis der Klägerin (noch während der Probezeit) durch die Beklagte mit Wirkung zum 15.08.2018 gekündigt. Im Kündigungsschreiben wurde der Klägerin mitgeteilt, dass ihre bisherige Stellung als Datenschutzbeauftragte – vorsorglich auch im Auftrag der Tochterunternehmen – spätestens zum 15.08.2018 enden und hilfsweise aus wichtigem Grund widerrufen wird.

Mit Klageschriftsatz vom 02.08.2018 begehrte die Klägerin gegenüber der Beklagten die Feststellung der Unwirksamkeit der Kündigung des zwischen beiden bestehenden Arbeitsverhältnisses sowie die Feststellung des Bestehens einer Rechtsstellung der Klägerin als interne Beauftragte für den Datenschutz.

Die Beklagte erklärte, aufgrund veränderter wirtschaftlicher und rechtlicher Rahmenbedingungen die Funktion des Zentralbereichsleiters im Teilbereich Recht zu streichen, den Bereich Datenschutz extern zu vergeben und die interne Rechtsberatung durch eine Stelle im Stile eines Brückenkopfs hin zu externen Anwälten auszugestalten und im Übrigen auf eine externe Kanzlei zu übertragen. Dies habe zu einem Wegfall des Beschäftigungsbedarfs der Klägerin geführt.

Die Klägerin könne sich auf keinen Sonderkündigungsschutz als Datenschutzbeauftragte berufen. Die Regelung in § 6 Abs. 4 Satz 2 BDSG-alt verstoße gegen Art. 38 DSGVO und sei daher unwirksam. Der Betriebsrat sei ebenfalls ordnungsgemäß angehört worden. Die Benennung eines Sonderkündigungsschutzes sei gerade nicht erforderlich gewesen.

Das Arbeitsgericht Nürnberg hat mit Endurteil vom 22.07.2019 den Klageanträgen stattgegeben und die Beklagte zur Weiterbeschäftigung als Teamleiterin Recht verurteilt. Hinsichtlich der Weiterbeschäftigung als betriebliche Datenschutzbeauftragte hat es die Klage abgewiesen.

Gegen dieses Urteil legte die Beklagte Berufung beim Landesarbeitsgericht Nürnberg ein.

Urteil

Das LAG Nürnberg erklärte die Berufung für unbegründet. Bezüglich der Kündigung als interne Datenschutzbeauftragte positionierte sich das Gericht wie folgt:

1. Die Klägerin genoss zum Zeitpunkt der Kündigung den besonderen Kündigungsschutz für Datenschutzbeauftragte nach §§ 38 Abs. 2, 6 Abs. 4 Satz 2 BDSG. Danach ist die Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten unzulässig, es sei denn, dass Tatsachen vorliegen, die den Arbeitgeber zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach einer wirksamen Abberufung als Datenschutzbeauftragter gilt dies noch für ein Jahr weiter (§§ 38 Abs. 2, 6 Abs. 4 Satz 3 BDSG-alt).
   
   a)  Die Klägerin war wirksam schriftlich zur Datenschutzbeauftragten nach § 4f Abs. 1 BDSG in der bis 24.05.2018 geltenden Fassung (BDSG aF) bestellt worden. Zum Zeitpunkt der Kündigung war die Beklagte unstreitig verpflichtet, einen Datenschutzbeauftragten zu bestellen (§ 38 Abs. 1 und 2, 2. HS BDSG in der vom 25.05.2018 – 25.11.2019 geltenden Fassung). Dieser Sonderkündigungsschutz gilt auch bereits in der Probezeit.
   
   b)  Dieser besondere Kündigungsschutz auf nationaler Ebene verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO. Nach dieser Vorschrift darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Zwar ist davon auszugehen, dass die DSGVO als EU-Verordnung unmittelbar und zwingend im Sinne einer Vollharmonisierung gilt und nicht lediglich Mindeststandards setzt („Mindestharmonisierung“). Die Mitgliedstaaten dürfen somit von ausdrücklichen Vorgaben der DSGVO nur insoweit abweichen, wie dies die DSGVO ausdrücklich oder durch Auslegung ermittelbar zulässt, und im Übrigen die Vorgaben der DSGVO lediglich konkretisieren.
   Eine ausdrückliche Öffnungsklausel für den nationalen Gesetzgeber, einen besonderen Kündigungsschutz für Datenschutzbeauftragte zu regeln, findet sich in der DSGVO nicht. Allerdings ergibt die Auslegung, dass die DSGVO spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten zulässt, soweit der Schutz nicht hinter des DSGVO zurückbleibt.
   Der Art. 38 DSGVO regelt die Stellung sowohl des intern als auch des extern bestellten Datenschutzbeauftragten allgemein. Im Bereich des Arbeitsrechts sind die Mitgliedstaaten nicht gehindert, strengere Schutzmaßnahmen beizubehalten oder zu treffen, die mit den EU-Verträgen vereinbar sind (Art. 153 Abs. 4, 2. Spiegelstrich AEUV). Dem nationalen Gesetzgeber ist es daher nicht verwehrt, spezifisch arbeitsrechtliche Regelungen für den Datenschutzbeauftragten, der auf Grund eines Arbeitsvertrages als solcher tätig ist („interner Datenschutzbeauftragter“) zu erlassen, soweit sie den in Art. 38 Abs. 3 Satz 2 DSGVO gewährleisteten Abberufungs- und Benachteiligungsschutz nicht beeinträchtigen.
   Hierfür spricht auch der Wortlaut des Art. 38 Abs. 3 Satz 2 DSGVO. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er darf deshalb also nicht gekündigt werden. Art. 38 Abs. 3 Satz 2 DSGVO enthält aber keine spezifischen Regeln des Kündigungsschutzes für Datenschutzbeauftragte und verbietet somit auch vom Wortlaut her keinen darüber hinaus gehenden Kündigungsschutz, um die Unabhängigkeit des im Übrigen abhängig beschäftigten Arbeitnehmers von der Einflussnahme seines Arbeitgebers auf die Arbeit als  Datenschutzbeauftragten zu gewährleisten. Dies dient dem in Erwägungsgrund 97 der DSGVO niedergelegten Ziel, dass der Datenschutzbeauftragte unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
   Der Ausschluss der ordentlichen Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten während seiner Bestellung und ein Jahr danach steht daher mit der DSGVO in Einklang.
   
   c)  Da die Beklagte keine außerordentliche, sondern eine ordentliche Kündigung ausgesprochen hat, ist die Kündigung schon deshalb gem. § 38 Abs. 2 iVm § 6 Abs. 4 Satz 2 bzw. Satz 3 BDSG unwirksam. Eine Umdeutung gem. § 140 BGB in eine außerordentliche Kündigung ggf. mit Auslauffrist ist nicht möglich. Auch wurde der Betriebsrat nicht zu einer außerordentlichen Kündigung angehört.
   
   d) Darüber hinaus hat das Arbeitsgericht zu Recht und überzeugend begründet, dass ein wichtiger Grund für die Kündigung des Arbeitsverhältnisses nicht vorlag. Dem schließt sich das erkennende Gericht unter Bezugnahme auf das Urteil des Arbeitsgerichts an. Weiterer Ausführungen hierzu waren nicht veranlasst.
2. Die Beklagte bedurfte auch für die Abberufung der Klägerin als ihre interne Datenschutzbeauftragte eines wichtigen Grundes. Diese nunmehr in §§ 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG enthaltene nationale Regelung verstößt nicht gegen Art. 38 Abs. 3 Satz 2 DSGVO.
   
   a)  Auch die Abberufung des Datenschutzbeauftragten ist in der DSGVO nicht abschließend geregelt. Nach Art. 38 Abs. 3 Satz 2 DSGVO darf der Datenschutzbeauftragte zwar nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden. Damit ist aber nicht geregelt, unter welchen weitergehenden Voraussetzungen eine Abberufung des Datenschutzbeauftragten tatsächlich erfolgen kann. Mit der Bestellung zum Datenschutzbeauftragten überträgt der Arbeitgeber dem Arbeitnehmer die entsprechenden Aufgaben als Teil seiner arbeitsvertraglichen Pflichten. Die Abberufung als interner Datenschutzbeauftragter zielt auf eine Änderung der arbeitsvertraglichen Pflichten. Damit handelt es sich auch beim besonderen nationalen Abberufungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 Satz 1 BDSG im Kern um eine arbeitsrechtliche Regelung. Es bedurfte daher auch bezüglich der arbeitsrechtlichen Regeln über die Abberufung keiner ausdrücklichen Öffnungsklausel.
   Ebenso wie der Kündigungsschutz dient auch verstärkte nationale Abberufungsschutz gerade dem Ziel, dass der als Arbeitnehmer abhängig beschäftigte interne Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann (s. Erwägungsgrund 97 der DSGVO). Der externe Datenschutzbeauftrage steht hingegen nicht in einem Arbeitsverhältnis zum Verantwortlichen und ist somit gerade nicht abhängig beschäftigt. Dies alles spricht dafür, dass die DSGVO bezogen auf interne Datenschutzbeauftragte einen national verstärkten Abberufungsschutz nicht ausschließen wollte.
   Mit dem Bundesgesetzgeber vertritt die Berufungskammer daher die Auffassung, dass es sich auch bei dem besonderen Abberufungsschutz eines internen Datenschutzbeauftragten um eine arbeitsrechtliche Regelung handelt, die ergänzend zu den Vorgaben der DSGVO auch im BDSG n. F. beibehalten werden kann.
   
   b)  Ein wichtiger Grund für die Abberufung der Klägerin als Datenschutzbeauftragte lag nicht vor. Ein wichtiger Grund liegt insbesondere nicht darin, einen internen Datenschutzbeauftragten durch einen externen Datenschutzbeauftragten aus organisatorischen, finanziellen oder personalpolitischen Gründen zu ersetzen.
   
   c)  Unabhängig davon folgt nach Überzeugung des erkennenden Gerichts auch aus dem Vortrag der Beklagten, dass die Abberufung jedenfalls auch wegen der Erfüllung der Aufgaben der Klägerin als Datenschutzbeauftragte erfolgte und damit nicht in Einklang mit Art. 38 Abs. 3 Satz 2 DSGVO stand. Die Beklagte beruft sich darauf, dass die Abberufung der Klägerin als Datenschutzbeauftragte wegen des relativ hohen Risiko- und Haftungspotenzials für Anwendungs- und Ausführungsfehler im Bereich Datenschutz und der daraus resultierenden Notwendigkeit der dringend notwendigen Professionalisierung für den Aufgabenbereich des Datenschutzbeauftragten erfolgt sei.
   Diese Risiken und Notwendigkeiten lagen jedoch bereits bei der Einstellung der Klägerin zum 15.01.2018 vor. Die DSGVO stammt vom 27.04.2016. Das diese ergänzende BDSG wurde am 30.06.2017 verkündet. In beiden Regelungswerken ist als Datum des Inkrafttretens von Anfang an der 25.05.2018 bestimmt gewesen. Die Klägerin wurde praktisch unmittelbar nach Beginn des Arbeitsverhältnisses mit Datum vom 15.01./31.01.2018 zur Datenschutzbeauftragten gem. § 4f BDSG aF bestellt. Die Bestellung zur Datenschutzbeauftragten war Teil der Aufgabenbeschreibung 9155, aus der sich gem. § 3 Abs. 1 des Arbeitsvertrages die Arbeitsaufgaben der Klägerin ergaben. Wenn die Beklagte nunmehr anführt, die Verlagerung der Aufgaben auf einen externen Datenschutzbeauftragten sei aus Gründen der Professionalisierung notwendig, die Klägerin andererseits aber von Anfang an mit der Aufgabe der Datenschutzbeauftragten betraut wurde, so heißt das, dass die Klägerin ihre Aufgaben insoweit nicht ausreichend professionell wahrgenommen hat, um die von Anfang an absehbaren Risiken zu beherrschen.
   Dies steht im Widerspruch zu der Behauptung, die Abberufung der Klägerin als Datenschutzbeauftragte sei nicht im Zusammenhang damit erfolgt, wie die Klägerin ihre Aufgaben als Datenschutzbeauftragte erfüllt habe. Die Beklagte hat keinerlei Gründe vorgetragen, warum eine ausreichende Professionalisierung nicht durch Einräumung von mehr Zeit für die Klägerin für den Datenschutz hätte erreicht werden können. Werden jedoch nach Art. 38 Abs. 3 Satz 2 DSGVO nicht explizit verbotene Gründe für die Abberufung nur vorgeschoben, ist die Abberufung unwirksam.
   Im Übrigen wird der europarechtlich gewährte Abberufungsschutz weit auszulegen sein, um zu gewährleisten, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann, wie in Erwägungsgrund 97 des DSGVO festgehalten ist.

Fundstelle

Das Urteil ist beispielsweise abrufbar unter https://www.lag.bayern.de/imperia/md/content/stmas/lag/nuernberg/entscheidungen/2020/2_sa_274_19.pdf

Wurde bei der Bewertung des Sachverhalts ein Verstoß gegen die Datenschutz-Grundverordnung festgestellt, muss die zuständige Aufsichtsbehörde die Abhilfemaßnahme(n) ermitteln, die zur Behebung des Verstoßes am besten geeignet ist bzw. sind.1)

Art. 58 DSGVO gibt eine gewisse Anleitung dazu, welche Maßnahmen die Aufsichtsbehörde wählen kann, da die Abhilfemaßnahmen als solche ja unterschiedlicher Art und vorrangig für unterschiedliche Zwecke geeignet sind. Bestimmte Maßnahmen nach Art. 58 können unter Umständen sogar miteinander kombiniert werden, sodass mit mehr als einer Abhilfemaßnahme regulatorisch eingegriffen werden kann. So kann die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zur Abhilfe gegen (voraussichtliche) Verstöße gegen die Datenschutz-Grundverordnung einen Verantwortlichen oder einen Auftragsverarbeiter warnen oder verwarnen und anweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, Verarbeitungsvorgänge in Einklang mit der Datenschutz-Grundverordnung zu bringen oder die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen.

Sie kann auch eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen und die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung ihrer Verarbeitung und die Unterrichtung der Empfänger anordnen.

Des Weiteren ist auch die Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation möglich.

Bereits erteilte Zertifizierungen können von den Aufsichtsbehörden selbst widerrufen oder Zertifizierungsstellen angewiesen werden, erteilte Zertifizierungen zu widerrufen oder neue Zertifizierungen nicht zu erteilen.

Welche geeigneten Maßnahmen dann von der beanstandeten Stelle ergriffen werden, unterliegt im Regelfall der Entscheidungsbefugnis des betroffenen Unternehmens. Dabei sollte die speichernde Stelle aber tunlichst den Empfehlungen der Aufsichtsbehörde folgen, da sie ansonsten mit weiteren Konsequenzen zu rechnen hat.

Die Auflistung der Befugnisse ist nicht abschließend zu sehen. Die Mitgliedstaaten können ihren Aufsichtsbehörden gem. Art. 58 Abs. 6 DSGVO weitere Befugnisse einräumen.

Bei einer Anordnung der Aufsichtsbehörden handelt es sich um einen Verwaltungsakt, gegen den mit Einlegung von Rechtsmitteln (Widerspruch, Klage vor dem Verwaltungsgericht) vorgegangen werden kann.

Bei der Wahrnehmung ihrer Befugnisse müssen die Aufsichtsbehörden die folgenden Grundsätze beachten:¹⁾

a)  Ein Verstoß gegen die Verordnung soll zur Verhängung „gleichwertiger Sanktionen“ führen
Die Aufsichtsbehörden müssen ihre Abhilfebefugnisse gemäß Artikel 58 Absatz 2 einheitlich anwenden, um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen (Erwägungsgrund 10 Satz 1 zur DSGVO). Erwägungsgrund 11 stellt klar, dass ein unionsweit gleichwertiges Schutzniveau für personenbezogene Daten unter anderem „gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung“ erfordert. Des Weiteren werden in Erwägungsgrund 13 der Datenschutz-Grundverordnung gleichwertige Sanktionen in allen Mitgliedstaaten und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten als Möglichkeiten dafür betrachtet, dass „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden“.

Obwohl die Aufsichtsbehörden ihre Wahl der in Artikel 58 Absatz 2 genannten Abhilfemaßnahmen unabhängig treffen können, sollen sie es vermeiden, in vergleichbaren Fällen unterschiedliche Abhilfemaßnahmen anzuwenden.

b)  Abhilfemaßnahmen sollen „wirksam, verhältnismäßig und abschreckend“ sein

Alle Abhilfemaßnahmen sollen der Art, der Schwere und den Folgen des Verstoßes angemessen sein, und die Aufsichtsbehörden müssen alle Aspekte des Sachverhalts in kohärenter und objektiv gerechtfertigter Weise bewerten. Was im Einzelfall als wirksam, verhältnismäßig und abschreckend betrachtet wird, hängt auch vom Ziel der Abhilfemaßnahme ab, das heißt davon, ob mit ihr die Verletzung der Bestimmungen behoben oder rechtswidriges Verhalten bestraft werden soll (oder beides).

Die nationalen Rechtsvorschriften sollen gegebenenfalls zusätzliche Anforderungen an das von den Aufsichtsbehörden anzuwendende Durchsetzungsverfahren vorsehen. Diese können beispielsweise Anforderungen in Bezug auf Adressmeldungen, Formulare und Fristen für Stellungnahmen, Einsprüche, Ausführungen und Zahlungen einschließen.

Anforderungen dieser Art sollen gleichwohl die Wirksamkeit, die Verhältnismäßigkeit und die abschreckende Wirkung von Abhilfemaßnahmen nicht beeinträchtigen.

Eine genauere Bestimmung dieser drei Merkmale (Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung) wird sich aus der bei den Aufsichtsbehörden entstehenden Praxis im Bereich Datenschutz und aus den Erfahrungen in anderen Regulierungsbereichen sowie aus der Auslegung dieser Grundsätze im Zuge der Rechtsprechung ergeben.

Fundstelle

¹⁾ „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ der Art. 29-Datenschutzgruppe – abrufbar im Internet unter https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf

Eine Verarbeitung personenbezogener Daten eines Kindes im Rahmen eins Angebotes von Diensten der Informationsgesellschaft ist nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Bei Kindern unter 16 Jahren muss ein Sorgeberechtigter der Datenverarbeitung zustimmen.

Gemäß dem Erwägungsgrund 38 der Datenschutz-Grundverordnung verdienen Kinder (eine Unterscheidung zwischen Kindern und Jugendlichen wird nicht gezogen) bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.

Demgemäß ist die Verarbeitung der personenbezogenen Daten eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DSGVO). Somit muss sich ein Verantwortlicher, der einen Dienst der Informationsgesellschaft anbietet, vergewissern, ob das Kind das entsprechende Alter hat (Überprüfungspflicht). Ansonsten muss er angemessene Anstrengungen unternehmen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. Ist dies nicht der Fall, so ist die Einwilligung unwirksam.

Die Frage, wann der Verantwortliche angemessene Anstrengungen unternimmt, wird vom Gesetz nicht beantwortet. Auch welches Verfahren eingesetzt werden soll und kann, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde, bleibt unklar. Diese Fragen müssen noch durch die Datenschutzaufsichtsbehörden und die Rechtsprechung geklärt werden.

Klar ist jedoch, dass eine entsprechende Einwilligungserklärung dokumentiert sein muss und die Sensibilität der zu verarbeitenden Daten bei dem Überprüfungsverfahren zu beachten ist. Je sensibler die Daten sind, desto mehr Aufwand muss betrieben werden.

Ein „Dienst der Informationsgesellschaft“ ist gemäß Art. 4 Nr. 25 DSGVO eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. Dabei handelt es sich um „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Darunter fallen insbesondere Telekommunikations- und Online-Dienste, bei denen personenbezogene Daten erhoben werden. Auch soziale Netzwerke, Messenger-Dienste und Suchmaschinen fallen unter dem Begriff, selbst wenn kein Entgelt erhoben wird.

Ein Indiz dafür, dass sich ein Dienst der Informationsgesellschaft direkt an Kinder wendet, ist, dass er in einer kindgerechten Sprache oder Illustration erstellt wurde. Andererseits fallen Dienste, die sich spezifisch an Erwachsene richten (z. B. Dating-Portale) nicht unter den Art. 8 DSGVO.

Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist die Datenverarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 Satz 2 DSGVO). Somit muss sich der Diensteanbieter (z. B. durch ein Double-Opt-In-Verfahren) vergewissern, dass die Einwilligung eines Erziehungsberechtigten vorliegt.

Die Mitgliedstaaten können zwar durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf (Art. 8 Abs. 1 Satz 3 DSGVO). Somit können Kinder unter 13 Jahren in keinem Fall eine rechtsgültige Einwilligung geben.

Der deutsche Gesetzgeber hat zumindest im neuen BDSG von der Möglichkeit eine niedrigere Altersgrenze vorzusehen nicht Gebrauch gemacht.

Hinsichtlich der Formvorschriften einer entsprechenden Einwilligungserklärung ist Art. 7 DSGVO zu beachten.

Eine Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) über den Zustand deutscher Webseiten zeigt, dass über 41 % der Seiten gravierende Mängel aufweisen, wodurch sie gegen Rechtsvorschriften verstoßen und hochgradig gefährdet für Abmahnungen sind.

Um einen aktuellen Eindruck zu erhalten, wie es um den Zustand und die Sicherheit deutscher Webseiten bestellt ist, hat der Fachverband deutscher Webseiten-Betreiber im März dieses Jahres eine Studie an 2.500 zufällig ausgewählten Webseiten durchgeführt, diese auf besonders charakteristische Merkmale untersucht und das Ergebnis der Studie am 10 August 2020 veröffentlicht.

Für die Studie hat der FdWB Branchenbucheinträge kleiner und mittlerer Unternehmen verschiedener Branchen aus dem gesamten Bundesgebiet betrachtet. Zu den betrachteten Merkmalen gehörte, ob die Webseiten ein aktives und funktionierendes SSL-Zertifikat für eine verschlüsselte Datenverbindung haben, die Unternehmensdaten in der Datenschutzerklärung vollständig enthalten sind und die Datenschutzerklärung vorschriftsmäßig auf jeder Seite verlinkt ist.

Das Resultat war, dass von den insgesamt 2.500 Seiten 1.023 Webseiten identifiziert wurden, die mindestens eines dieser Merkmale nicht erfüllten. Anders ausgedrückt bedeutet dies, dass 41 % aller betrachteter Seiten fehlerhaft sind und sowohl für Webseitenbetreiber als auch Nutzer nicht sicher waren.

Die Ergebnisse im Einzelnen:

• Die meisten der fehlerhaften Webseiten verfügten über kein oder kein funktionierendes SSL-Zertifikat (87 % der fehlerhaften Seiten), was 36 % aller betrachteter Seiten entspricht.
• Bei 13 % der Webseiten war gar keine Datenschutzerklärung vorhanden (32 % der fehlerhaften Seiten).
• Auf über 14 % der Seiten waren in der Datenschutzerklärung die Unternehmensangaben nicht wie gefordert aufgeführt (35 % der fehlerhaften Seiten).
• 160 Seiten verfügten nicht über die notwendige Verlinkung auf die Datenschutzerklärung, die von jeder Seite aus erfolgen muss (16 % der fehlerhaften Seiten).
• Bei rund 160 Webseiten war der Hinweis im Cookie-Banner unvollständig/fehlerhaft (16 % der fehlerhaften Seiten) und/oder der Cookie-Banner verfügte über keine Möglichkeit der Verwendung von Cookies zu widersprechen (16 % der fehlerhaften Seiten).
• Auf fast 8 % der aller Webseiten war das Impressum unvollständig angegeben (19 % der fehlerhaften Seiten) und
• bei 11 % aller Seiten waren in den verwendeten Formularen zur Kontaktaufnahme oder Newsletter-Anmeldung ein oder mehrere Fehler enthalten (27 % der fehlerhaften Seiten).

Sämtliche betroffene Webseitenbetreiber wurden über die Mängel informiert, mit dem Hinweis diese zu ihrer eigenen Sicherheit und zur Sicherheit ihrer Seitenbesucher zu beseitigen und ihre Seite möglichst vollständig auf mögliche weitere Fehler überprüfen zu lassen.

Die Untersuchungsergebnisse zeigen einmal mehr die Bedeutung und die Relevanz, die wichtigen Punkte, die es zum Betreiben einer Webseite zu beachten gibt, für meist fachfremde Webseitenbetreiber einfach aufzubereiten und auf anschauliche Weise zu zeigen, wie diese umgesetzt werden können.
Eine gute Möglichkeit für Webseitenbetreiber, ihren Nutzern zu zeigen, dass die Webseite sicher ist, ist die Zertifizierung der Seite nach dem International Website Trust Standard (IWTS). Der IWTS-Standard prüft Webseiten auf Cyber-Sicherheit, Einhaltung von Vorschriften zum Datenschutz, Inhaberschaft und Ausweisungspflichten sowie Benutzerfreundlichkeit. Die bestandene Zertifizierung wird den Besuchern der Webseite durch das IWTS-Siegel gezeigt, sodass sie auf einen Blick erkennen, dass sie sich vertrauensvoll darauf bewegen können. Zudem wird durch Einhaltung der geprüften Kriterien das Risiko vor Abmahnungen erheblich verringert.

Fundstelle

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat am 25.08.2020 die „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ veröffentlicht. Darin gibt der LfDI Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) fest.

Gemäß dem Urteil des EuGH findet die Datenschutz-Grundverordnung auf die
Übermittlung personenbezogener Daten in ein Drittland auch in solchen Fällen Anwendung, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt.

In diesem Zusammenhang wurde das sogenannte „Privacy Shield“, ein Angemessenheitsbeschluss der Kommission nach Art. 45 DSGVO (2016/1250 vom 12.07.2016, noch zur Datenschutz-Richtlinie 95/46/EC), mit dem diese 2016 beschlossen hatte, dass die USA unter bestimmten Umständen ein angemessenes Schutzniveau für die Daten natürlicher Personen bieten und so die Übermittlung von Daten in die USA allgemein ermöglicht hatte, als für ab sofort ungültig erklärt.

Zwar sind die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (2010/87/EU vom 05.02.2010), Art. 46 Abs. 2 Buchst. c DSGVO, weiterhin gültig, aber es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.

Der LfDI weist in seiner Orientierungshilfe darauf hin, dass der Verantwortliche nunmehr für den Einzelfall prüfen muss, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Denkbare Maßnahmen wären beispielsweise:

• Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann,
• Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.

Wo der Verantwortliche auch mit zusätzlichen Maßnahmen keinen geeigneten Schutz vorsehen kann, muss er den Transfer aussetzen/beenden. Das gilt insbesondere, wenn das Recht des Drittlandes dem Datenimporteur Verpflichtungen auferlegt, die geeignet sind, vertraglichen Regeln, die einen geeigneten Schutz gegen den Zugriff durch staatliche Behörden vorsehen, zuwider zu laufen. Dies gilt beispielsweise – aber nicht ausschließlich – für folgende Fälle:

• Ein Unternehmen steht in Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Ihre Beschäftigten (Verträge, Netzwerke, etc.) aus.
• Ein Verantwortlicher speichert Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.
• Es wird ein Videokonferenzsystem eines US-amerikanischen Anbieters genutzt, der Daten der Teilnehmenden erhebt und in die USA übermittelt.

Ist ein angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann.

Besonders interessant ist für Unternehmen und Behörden (nicht nur in Baden-Württemberg) die im Kapitel 4 der Orientierungshilfe enthaltene Checkliste.

Fundstelle

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 03.09.2020 eine neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht.

Videoüberwachungsanlagen werden in immer größerer Zahl eingesetzt. Das Risiko, dass damit die Rechte von Betroffenen verletzt werden, hat sich in den vergangenen Jahren deutlich erhöht. Grund dafür sind die geringen Anschaffungskosten und die verbesserte Qualität der Technik.

So wird aufgezeichnet, zu welcher Uhrzeit, an welchem Tag, in welchem Zustand, mit welchem Erscheinungsbild, wie lange und an welchem Ort sich Betroffene aufhalten, wie sie diesen Bereich nutzen, wie sie sich dort verhalten und ob sie allein oder in Begleitung sind. Bereits eine einfache Überwachungsanlage verarbeitet in erheblichem Umfang personenbezogene Daten, ohne dass der Großteil der erfassten Informationen für Überwachende je eine Rolle spielt.

Kameras erfassen und verarbeiten Daten von Personen, um personalisierte Werbung anzuzeigen oder Produkte zielgruppengenau anzubieten. Softwaregesteuerte Videotechnik vermisst in der Öffentlichkeit Gesichtszüge und Gefühlsregungen von Personen oder verfolgt das Bewegungs- oder Einkaufsverhalten von Kunden. Betroffene haben kaum Einfluss auf eine solche Erfassung und erfahren selten, was mit den Aufnahmen geschieht.

Im Jahr 2014 hatte daher der sogenannte „Düsseldorfer Kreis“ der DSK die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ erstellt. Diese Orientierungshilfe wurde nunmehr grundlegend überarbeitet und an die rechtlichen Rahmenbedingungen der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung angepasst. Dabei wurden die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, angenommen am 29. Januar 2020, berücksichtigt. Neu hinzugekommen sind die Abschnitte zur Videoüberwachung in der Nachbarschaft und zur datenschutzrechtlichen Bewertung von Tür- und Klingelkameras, Drohnen und Wildkameras sowie Dashcams.

Mit der Orientierungshilfe sollen Betroffene und Verantwortliche Informationen über die Voraussetzungen für eine datenschutzgerechte Videoüberwachung in unterschiedlichen Lebensbereichen erhalten. Im Anhang finden sich Muster für Hinweisschilder, die es den Verantwortlichen erleichtern, den Transparenzpflichten gem. Art. 12 ff. DSGVO nachzukommen. Darüber hinaus wird eine Checkliste mit den wichtigsten Prüfungspunkten im Vorfeld einer Videoüberwachung bereitgestellt.

Fundstellen

Die Pressemitteilung „DSK veröffentlicht neue Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen“ ist unter https://www.datenschutzkonferenz-online.de/media/pm/20200903_pm_oh_video%C3%BCberwachung.pdf abrufbar.

Die Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ kann unter https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_v%C3%BC_dsk.pdf heruntergeladen werden.