Datenschutz

Die Reichweite des Auskunftsanspruch nach Art 15 DSGVO ist immer wieder Thema bei Rechtsstreitigkeiten. Das Landgericht Köln hat aktuell entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO umfassend zu verstehen ist und auch bloße Gesprächsvermerke und Telefonnotizen mit umfasst sind.

Die Kläger war Kunde bei einer Krankenkasse und hat dort im Zuge einer gerichtlichen Auseinandersetzung seinen Auskunftsanspruch geltend gemacht. Nach Auffassung des Gerichts umfasst dieser Anspruch sämtliche Informationen die zu der Person vorliegen. Hierzu gehören auch  Gesprächsvermerke und Telefonnotizen erfasst.

Das Gericht führt insoweit wie folgt aus:

„Das Auskunftsbegehren der Kläger umfasst damit insbesondere auch sämtliche in der Klageschrift (…)  aufgeführten Elemente, als auch die im Rechtsstreit mehrfach zur Sprache gebrachten Gesprächsvermerke und Telefonnotizen.

Das Begehren ist in diesem Umfang auch nicht rechtsmissbräuchlich. Insoweit ist festzuhalten, dass die DS – GVO zu Artikel 12 Abs. 5 lediglich einen begrenzten Tatbestand im Kontext enthält, der bei „offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person“. eingreift. Vom Vorliegen dieser Voraussetzungen kann betreffend die von den Klägern gemachten Auskunftsrechte nicht die Rede sein.“

Das Gericht setzte sich weiter auch mit dem Code of Conduct der Versicherungswirtschaft auseinander. Dieser könne nicht zu einer Einschränkung des Auskunftsanspruch führen.

Das Gericht führt insoweit wie folgt aus:

„Sofern sich die Beklagte in diesem Zusammenhang auf Artikel 40 DS – GVO und die hierzu ergangenen „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft“ (sog. Code of Conduct – CoC) bezogen hat, dringt sie mit diesem Einwand nicht durch.

Es widerspricht evident dem Sinn und Zweck der Regelungen der DS – GVO und in diesem Rahmen dem weit gefassten Begriff der „personenbezogenen Daten“ nach Artikel 4 DS – GVO, wenn „Verbände und andere Vereinigungen“ (vgl. Artikel 40 Abs. 2 DS – GVO) berechtigt wären, den Auskunftsanspruch gemäß Artikel 15 Abs. 1 DS – GVO inhaltlich zu begrenzen. Eine solche Befugnis ist auch dem Artikel 40 DS – GVO, der insbesondere bestimmte „Verhaltensregeln“ in Bezug nimmt, nicht zu entnehmen.“

Letztendlich meinte die beklagte Krankenkasse, dass der Anspruch unverhältnismäßig und somit rechtsmissbräuchlich sei. Auch hiermit konnte  sich die Krankenkasse nicht durchsetzen. So  sei es grundsätzlich Aufgabe und Pflicht der verarbeitenden Stelle, ein ausreichendes technisches System zu betreiben, sodass die Datenauskunft ohne weitreichende Probleme erfolgen könne-

„Das geltend gemachte Auskunftsbegehren ist darüber hinaus in keinem Fall „unverhältnismäßig“ wie die Beklagte im Hinblick auf die Vielzahl ihrer Versicherungsnehmer meint (vgl. zu den Seiten 8 bis 11 des Schriftsatzes vom 13.03.2020 = Blatt 568 bis 571 der Akte).

Die Entscheidung ist in mehrfacher Hinsicht interessant. Zum einen sieht man immer häufiger, dass Auskunftsansprüche auch in bereits bestehenden Rechtsstreitigkeiten geltend gemacht werden. Zum anderen müssen Unternehmen bei sowohl bei der Erhebung und Verarbeitung der personenbezogenen Daten als auch später bei der  Auskunft sehr sorgfältig agieren.  Wir empfehlen dringend die Prozesse in den Unternehmen zu überprüfen und entsprechende Maßnahmen vorzunehmen, um spätere Fallstricke bei der Auskunft zu vermeiden.

 

 

Das Landesarbeitsgericht  Hannover musste sich mit der Reichweite des Auskunftsanspruchs eines Arbeitnehmers nach Art 15 DSGVO befassen. Insbesondere ging es um die Frage ob der Auskunftsanspruch auch E-Mails umfasst, die der Arbeitnehmer selber verfasst hat. So verlangte der Arbeitnehmer die Vorlage einer Kopie sämtlicher E-Mails, die er während seiner beruflichen Tätigkeit verfasst hatte.

Das Landesarbeitsgericht Hannover, Urteil vom 09.06.2020 – Az.: 9 Sa 608/19 hat nun entschieden, dass sich der Auskunftsanspruch hierauf nicht erstreckt. Begründet wurde das Urteil insbesondere damit, dass  ihm die elektronischen Nachrichten selbst bekannt seien.

In der Begründung heißt es wie folgt:


„…Sinn  und Zweck der Auskunftserteilung und Zurverfügungstellung einer Kopie ist es, den betroffenen Per- sonen  eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten über sie enthal- ten sind (EuGH vom 17.07.2014, C-141/12 u.a.  ZD 2014, 515, Rn. 60 zur früheren Datenschutzrichtlinie 95/46)….


Zudem musste sich das Gericht auch mit der Frage beschäftigen, ob die Übersendung verschlüsselter ZIP-Dateien mit getrennter Zusendung des Passwortes ausreichend war, der datenschutzrechtlichen Auskunftspflicht nachzukommen.

Dies wiederum ließ das Gericht nicht ausreichen. Das Gericht führt insoweit wie folgt aus:

 

„Der Anspruch  auf Erteilung von Kopien hinsichtlich der personenbezogenen Daten …. ist noch nicht erfüllt.  

Leistungsort der Auskunft ist grundsätzlich der Wohnort des Anspruchstellers, ggfs. auch  bei Überlassung einer  elektronischen Datenkopie. In Erwägungsgrund Nr. 63 zur DSGVO wird eine zusätzliche Möglichkeit der Auskunft bzw. Datenkopie angesprochen, nämlich der Fernzugriff des Betroffenen auf ein sicheres System, in dem die personenbezogenen Daten direkt abrufbar sind.  Das ersetzt  aber nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit  einverstanden erklärt.  

Es ist daher ausgeschlossen, dass der Verantwortliche sich gegen den Willen des Anspruchstellers darauf zurückzieht, die angeforderten  Daten nur über einen  Fernzugriff zur Verfügung zu stellen, da der Fernzugriff gerade für in IT-Sachverhalten unerfahrene Personen zu Hürden führen  kann  und damit die praktische Relevanz von Art. 15 DSGVO durch den Verantwortlichen unzulässig beschränkt werden könnte ….“.


Das Urteil zeigt einmal mehr wie eng das Arbeitsrecht und Datenschutzrecht miteinander verknüpft ist und auch wie komplex und schwierig die Rechte und Pflichten im Bereich Auskunftsansprüche sind. Wir beraten und vertreten sowohl Arbeitgeber als auch Arbeitnehmer im Bereich Datenschutz als auch im Arbeitsrecht und kennen beide Rechtsmaterien.

 

 

 

 

 

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat geprüft, ob der Einsatz von Microsoft Office 365 mit Artikel 28 der DSGVO vereinbar ist.

Unter dem Namen Microsoft 365 bündelt der Hersteller seine Cloud-basierte Büro-Suite, die bis Mitte 2020 als Office 365 vertrieben wurde. Enthalten sind die flächendeckend verbreiteten und kaum mehr wegzudenkenden Software-Lösungen Word für Textverarbeitung, Excel für Tabellenkalkulation, Powerpoint für Präsentationen sowie Outlook und Microsoft Teams für Kommunikation und Kollaborationen.

Am 22.09.2020 wurde nun entschieden, dass ein datenschutzkonformer Einsatz aktuell nicht möglich sei.  Beanstandet wurden gleich mehrere Punkte. So sei etwa Es unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange diese gespeichert werden. Darüber hinaus bestehe außer dem Auftragsverarbeitungsvertrag keine Rechtsgrundlage für den Transfer von Telemetrie-Diagnosedaten von den Usern an Microsoft.

Wer 100 %  rechtssicher arbeiten will muss auf den Einsatz von Microsoft 365 verzichten. Dies dürfte allerdings für die Mehrheit der Unternehmen keine Option sein, da die Software nicht einfach ausgetauscht werden kann.

Mit einer entsprechenden Konfigurationen der Software kann der  Datenschutz verbessert werden. Ein Restrisiko kann aber nicht ausgeschlossen werden. Ob die Behörden der einzelnen Länder hier aktiv werden, ist aktuell nicht abschätzbar.

Verantwortliche sollten in jedem Fall aufmerksam verfolgen, ob der Einsatz von Microsoft 365 bei Prüfungen durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.

Gerne stehen wir Ihnen mit Rat und Tat zu Seite.

 

Dr. Stephan Schenk

Zertifizierter Datenschutzbeauftragter (DSB-TÜV)

 

Es kommt regelmäßig vor, dass in den Kitas und in der Schulen Fotos oder auch Videos aufgenommen werden. Sie dienen als Erinnerung für die Kinder und Eltern oder auch um die Kita/Schule zu präsentieren, etwa durch Veröffentlichung auf der Webseite im Internet auch durch Aufhängen im Eingangsbereich.

Aber ist das eigentlich so erlaubt? Braucht man eine Einwilligung? Wie muss eine Einwilligung aussehen? Viele Lehrkräfte sind hier unsicher, was sie beachten müssen.

Grds. gilt zunächst, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Sie darf grundsätzlich selbst über die Preisgabe  und  Verwendung  ihrer  persönlichen  Daten  bestimmen.  Dies gilt natürlich auch für Kinder. Bei Bild-, Ton- und Videoaufnahmen von Kindern im Kindergartenalter sind dann die Erziehungsberechtigten entscheidungsbefugt.

Das wichtigste ist, dass es für jedes Foto jede Videoaufzeichnung einer Einwilligung der Erziehungsberechtigten (Eltern bedarf). Dies muss auch schon bei der Fertigung der Fotos eingeholt werden nicht erst, wenn diese veröffentlicht werden!

Dies gilt auch für Gruppen und Klassenfotos!

Eine einzige Ausnahme gibt es, wenn die Personen auf dem Foto der Videoaufnahme „nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“.  Wenn also etwa das Gebäude der Schule aufgenommen wird und am Rand ein Schüler zu sehen ist.

Welchen Inhalt muss eine Einwilligung haben.

Zunächst muss die Einwilligung informiert und freiwillig sein. Es muss beschriebenen werden, für welche möglichst genau beschriebenen Zwecke die Fotos/Videoaufzeichnungen angefertigt werden sollen. Auch bedarf es der Festlegung, was mit den Aufnahmen geschehen soll und wie lange diese aufbewahrt werden. Auch müssen die Eltern darüber informiert werden, dass sie die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Folgende Punkte müssen in der Einwilligungserklärung enthalten sein:

  1. Zweckbestimmung der Aufnahmen

In der Einwilligung muss der Rahmen, in denen die Aufnahmen gemacht werden, genannt werden (z.B. Sportfest) und zum anderen zu welchem Zweck (i. d. R. Beobachtung und Dokumentation, Erinnerung an die Kita-Zeit) die Kita/die Schule beabsichtigt, Fotos bzw. Video- und Tonaufnahmen der Kinder anzufertigen.

Der Zweck sollte genau beschrieben werden. Gegebenenfalls  bietet  es  sich  an,  zwischen Foto-, Video- und Tonaufnahmen in der Einwilligung auch zu differenzieren.

 

  1. Nutzung der Aufnahmen

 In der Einwilligungserklärung muss darüber aufgeklärt werden, in welcher Weise die Fotos/Videoaufnahmen  genutzt  werden und auch wem sie  gezeigt  oder  vorgeführt  werden.  Die Eltern sollten  hier auch Angaben machen können, ob sie einer Nennung des Namens und/oder des Alters ihrer Kinder unter Bildern zustimmen oder nicht.

  1. Aufbewahrungszeit und Zeitpunkt der Löschung

In eine wirksame Einwilligungserklärung ist auch zu informieren wie lange die Aufnahmen aufbewahrt und wann diese gelöscht bzw. vernichtet werden. Aufnahmen, die z. B. nach einem Entwicklungsgespräch nicht mehr gebraucht werden, sind zu löschen.

werden von den Festplatten oder mobilen Datenträgern gelöscht oder vernichtet. Das Gleiche gilt, wenn ein Kind die Einrichtung verlässt. 

  1. Freiwilligkeit/Möglichkeit des Widerrufs

Die Eltern sollten ebenso darauf hingewiesen werden, dass die Einwilligung freiwillig ist und ihnen keine Nachteile entstehen, wenn sie die Einwilligung nicht erteilen oder sie widerrufen möchten.

Insbesondere darf die Aufnahme eines Kindes in die Kita nicht von der Erteilung  der  Einwilligung  abhängig  gemacht  werden.  Eine erteilte Einwilligung kann für die Zukunft wiederrufen werden. Bei Druckwerken ist ein Widerruf nicht mehr möglich ist, wenn der Druckauftrag bereits erteilt ist.

Wenn Sie Fragen haben oder Hilfe brauchen stehen wir Ihnen gerne mit Rat und Tat zu Seite.