Datenschutz

In einer Pressemittelung vom 30.06.2020 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg mitgeteilt, dass wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) die  Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt hat.

Zugleich habe Sie  – in konstruktiver Zusammenarbeit mit der AOK – die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

Pressemitteilung:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/

 

Stichwörter: DSGVO, Datenschutz, Datenschutzbeauftragter, Bußgeld, Datenschutzbehörde,

Das Arbeitsgericht Düsseldorf, Urteil vom 05.03.2020, Az.: 9 Ca 6557/18 hat ein Unternehmen dazu verurteilt, an einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu leisten.

Das Gericht kam zu der Feststellung, dass das Unternehmen auf einen vom ehemaligen Arbeitnehmer gestellten Auskunftsantrag gemäß Art 15 DSGVO verspätet und nicht vollständig Auskunft erteilt hat.

Gemäß Artikel 15 DSGVO besteht für Verantwortliche eine Verpflichtung dazu, Auskünfte über die Verarbeitung personenbezogener Daten zu erteilen. Der genaue Umfang dieser Auskunftspflicht ist allerdings aktuell noch umstritten.

Gemäß Art. 12 Abs. 3 DSGVO sind die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann bei komplexen Fällen um zwei Monate verlängert werden.

Wegen der verspäteten und zudem unvollständigen Auskunft seht nach der Auffassung des Gerichts dem Auskunftssuchenden ein immaterieller Schadenersatz zu. Dieser ergibt sich aus Art 82 DSGVO. Hinsichtlich der Höhe hat das Arbeitsgericht Düsseldorf festgestellt, dass im Sinne europarechtlichen Effektivitätsgrundsatzes wirksamer Anspruch auf Schadensersatz voraussetze, dass dieser abschreckend wirke.

Das Urteil ist nicht rechtskräftig. Das Arbeitsgericht Düsseldorf hat die Berufung zum Landesarbeitsgericht Düsseldorf zugelassen.

Das Urteil zeigt nochmal deutlich,  dass Unternehmen Auskunftsansprüche nicht auf leichte Schultern nehmen sollen, sondern hierbei eine besondere Sorgfalt an den Tag legen sollten.

Gerne stehen wir Ihnen im Bereich Datenschutz und Arbeitsrecht mit Rat und Tat zur Seite.

Der Einsatz von Google Analytics stellt Webseitenbetreiber nach wie vor vor datenschutzrechtliche Fragen.

Hierzu hat nun die Datenschutzkonferenz (DSK) ein aktuelles Grundsatzpapier herausgebracht.

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Zwar haben die Stellungnahmen der DSK keinen verbindlichen Charakter, doch kann ihnen entnommen werden, wie die datenschutzrechtlichen Grundsätze der Behörden gehandhabt werden. Die Überprüfung unterliegt allerdings auch nach wie vor den Gerichten.

Die DSK geht grundsätzlich davon aus, dass Google Analytics theoretisch datenschutzkonform einsetzbar ist.

Danach ist als Rechtsgrundlage für den Einsatz des Analysetools nur die Einwilligung des Nutzers einschlägig. Die Rechtfertigung über das sog. „berechtigte Interesse“ des Verwenders (Art. 6 Abs. 1 f) DSGVO) kommt indes nicht in Betracht.


Mit einfachen Worten ausgedrückt bedeutet das: in jedem Fall muss nach Ansicht der DSK die Einwilligung des Nutzers vor dem Einsatz von Google Analytics eingeholt werden.


Die DSK stellt auch Mindestvoraussetzungen an diese Einwilligung auf:

 

Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete

Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit

verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

  • In der Einwilligung muss klar und deutlich beschrieben werden, dass die

Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym

sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen

Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um

Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und

Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit

verbundenen Verarbeitungen nicht transparent gemacht werden.

  • Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne

Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus,

vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine

Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der

Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine

Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das

bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

  • Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und

eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne

dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an

die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen

Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die

Einwilligung nicht freiwillig und damit unwirksam ist. „

 

Die DSK erteilt des Weiteren konkrete Gestaltungshinweise:

 

  • Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die 5 Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“. – Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
  • Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

 

Nach Ansicht der DSK muss zudem auch jeder Webseite eine Opt-Out-Möglichkeit vorgehalten werden. Dabei sei der bloße Hinweis auf die Möglichkeit der Deaktivierung von Google Analytics über das Browser-Add-On nicht allein nicht ausreichend.

 

Generell ist zu sagen, dass der Einsatz von Google Analytics bereits deswegen nur scheinbar rechtskonform möglich ist, weil die Einwilligung des Nutzers „informiert“ erfolgen muss. Der Nutzer muss also vor der Einwilligung genau erfahren können, was mit seinen Daten geschieht. Da Google diese Angaben jedoch selbst nicht herausgibt, ist jede Einwilligung bereits per se schon nicht vollständig informiert.

Wir empfehlen jedoch, wenigstens die Vorgaben der DSK umzusetzen.

Gerne sind wir Ihnen bei der Umsetzung behilflich und beraten Sie zu dem Thema.

 

Das Arbeitsgericht Wesel hat in einem einstweiligen Verfügungsverfahren, Beschluss vom 24.4.2020 – 2 BVGa 4/20 hat einem Unternehmen aufgegeben, es zu unterlassen, Bilder oder Videos von Arbeitnehmern, die mittels Kameras oder anderer technischer Systeme im Betrieb erzeugt werden, zu verarbeiten oder an Dritte zu übermitteln mit dem Zweck, Abstandsmessungen oder Abstandsüberwachung von Arbeitnehmern vorzunehmen, ohne dass zuvor mit dem Antragsteller über die Einführung und Anwendung eine Einigung erzielt oder die fehlende Einigung durch den Spruch der Einigungsstelle ersetzt worden ist, es sei denn, es lägen Notfälle vor oder es läge ein Sachverhalt vor, der ausschließlich in der Person des Arbeitnehmers liegt und keinen kollektiven Bezug hat.

Antragsteller ist Betriebsrat eines Logistik- und Versandunternehmen. Dieser hatte den Arbeitgeber wegen der Verletzung seiner Mitbestimmungsrechte auf  Unterlassung in Anspruch genommen.

Der Arbeitgeber kontrolliert anhand  von Bildaufnahmen der Arbeitnehmer die Einhaltung der im Rahmen der Corona-Pandemie empfohlenen Sicherheitsabstände von mindestens 2 Metern im Betrieb. Dazu verwendet er die im Rahmen der betrieblichen Videoüberwachung erstellen Aufnahmen, die er auf im Ausland gelegenen Servern mittels einer Software anonymisiert.

Das Arbeitsgericht stellte zum einen fest, dass  dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht.

Zudem anderen sah das Gericht die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt.

Der Beschluss ist nicht rechtskräftig.

Der Beschluss zeigt, dass Unternehmen auch oder gerade in Zeiten von Corona trotzdem sowohl den Datenschutz als auch arbeitsrechtliche Vorgaben zu beachten haben.  Für Maßnahmen wie der Videoüberwachung zur Einhaltung des Mindestabstands sollte der Datenschutzbeauftragte als auch der Betriebsrat involviert werden  oder wenn nicht vorhanden anderweitig rechtlich geprüft werden.

Wenn Sie Fragen zum Arbeitsrecht oder Datenschutz haben stehen wir ihnen gerne zur Verfügung.