Datenschutzrecht

Das Landesarbeitsgericht  Hannover musste sich mit der Reichweite des Auskunftsanspruchs eines Arbeitnehmers nach Art 15 DSGVO befassen. Insbesondere ging es um die Frage ob der Auskunftsanspruch auch E-Mails umfasst, die der Arbeitnehmer selber verfasst hat. So verlangte der Arbeitnehmer die Vorlage einer Kopie sämtlicher E-Mails, die er während seiner beruflichen Tätigkeit verfasst hatte.

Das Landesarbeitsgericht Hannover, Urteil vom 09.06.2020 – Az.: 9 Sa 608/19 hat nun entschieden, dass sich der Auskunftsanspruch hierauf nicht erstreckt. Begründet wurde das Urteil insbesondere damit, dass  ihm die elektronischen Nachrichten selbst bekannt seien.

In der Begründung heißt es wie folgt:


„…Sinn  und Zweck der Auskunftserteilung und Zurverfügungstellung einer Kopie ist es, den betroffenen Per- sonen  eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten über sie enthal- ten sind (EuGH vom 17.07.2014, C-141/12 u.a.  ZD 2014, 515, Rn. 60 zur früheren Datenschutzrichtlinie 95/46)….


Zudem musste sich das Gericht auch mit der Frage beschäftigen, ob die Übersendung verschlüsselter ZIP-Dateien mit getrennter Zusendung des Passwortes ausreichend war, der datenschutzrechtlichen Auskunftspflicht nachzukommen.

Dies wiederum ließ das Gericht nicht ausreichen. Das Gericht führt insoweit wie folgt aus:

 

„Der Anspruch  auf Erteilung von Kopien hinsichtlich der personenbezogenen Daten …. ist noch nicht erfüllt.  

Leistungsort der Auskunft ist grundsätzlich der Wohnort des Anspruchstellers, ggfs. auch  bei Überlassung einer  elektronischen Datenkopie. In Erwägungsgrund Nr. 63 zur DSGVO wird eine zusätzliche Möglichkeit der Auskunft bzw. Datenkopie angesprochen, nämlich der Fernzugriff des Betroffenen auf ein sicheres System, in dem die personenbezogenen Daten direkt abrufbar sind.  Das ersetzt  aber nur dann die Übersendung der Auskunft bzw. Datenkopie im Wege der Schickschuld per Post oder auf elektronischem Wege, wenn sich der Anspruchsteller hiermit  einverstanden erklärt.  

Es ist daher ausgeschlossen, dass der Verantwortliche sich gegen den Willen des Anspruchstellers darauf zurückzieht, die angeforderten  Daten nur über einen  Fernzugriff zur Verfügung zu stellen, da der Fernzugriff gerade für in IT-Sachverhalten unerfahrene Personen zu Hürden führen  kann  und damit die praktische Relevanz von Art. 15 DSGVO durch den Verantwortlichen unzulässig beschränkt werden könnte ….“.


Das Urteil zeigt einmal mehr wie eng das Arbeitsrecht und Datenschutzrecht miteinander verknüpft ist und auch wie komplex und schwierig die Rechte und Pflichten im Bereich Auskunftsansprüche sind. Wir beraten und vertreten sowohl Arbeitgeber als auch Arbeitnehmer im Bereich Datenschutz als auch im Arbeitsrecht und kennen beide Rechtsmaterien.

 

 

 

 

 

Mit Urteil vom 27.03.2019 hat das Bundesverwaltungsgericht (BVerwG) entschieden, dass die Anwendung des § 4 BDSG unionsrechtlich unzulässig ist.

Der Entscheidung lag folgender Fall zu Grunde:

Geklagt hatte eine zahnärztliche Praxis in einem Gebäude, in dem weitere Arztpraxen sowie eine psychiatrische Tagesklinik vorhanden sind. Im Eingangsbereich der Praxis hat die Klägerin eine Videokamera installiert, die den Bereich vor dem Empfangstresen, Flur zwischen Eingangstür und Tresen und ein Teil des vom Flur abgehenden Wartebereichs erfasst.

Eine Aufzeichnung findet nicht statt.

Sowohl an der Außenseite der Eingangstür als auch am Tresen brachte die Klägerin ein Schild mit folgender Aufschrift an „Videogesichert“.

Im Jahr 2012 forderte die zuständige Datenaufsichtsbehörde die Praxis auf, die Video-Überwachung so ausrichten, dass die Bereiche, die Besuchern offenstehen, während der Öffnungszeiten der Praxis nicht mehr erfasst werden.

Hiergegen legte die Praxis Klage ein.

Das Bundesverwaltungsgericht  hat die Klage in der Revisionsinstanz zwar zurückgewiesen, da die angegriffene Anordnung der Aufsichtsbehörde rechtmäßig und die auf § 6b Abs. 1 Satz 1 BDSG a.F. gestützte Videoüberwachung unzulässig war.

Jedoch setzt sich das Gericht weiter mit der seit dem 25.05.2018 geltenden Rechtslage auseinander. Nach der neunen Rechtslage sei  maßgebliche Vorschrift Art. 6 Abs. 1 lit. f DSGVO für de praktizierte Videoüberwachung. Nicht einschlägig sei Art. 6 Abs. 1 lit. e DSGVO.  Daran ändere sich auch nichts, weil der Gesetzgeber mit Schaffung des § 4 Abs. 1 Satz 1 BDSG n.F mit der Videoüberwachung öffentlicher Räume zum Schutz der öffentlichen Sicherheit hoheitliche Aufgaben auf Private übertragen wollte.  Für die von § 4 Abs. 1 Satz 1 BDSG vorgesehenen Anwendungsfälle der Videoüberwachung privater Verantwortlicher bliebe nach Geltung der DSGVO schlicht kein Raum mehr. Die Norm ist daher unanwendbar.

Auch nach der geltenden Rechtslage sei die streitgegenständliche Videoüberwachung allerdings unzulässig, weil insoweit die Ausführungen zur Erforderlichkeit nach § 6b Abs. 1 BDSG a.F. übertragbar wären

Unternehmen sollten eine Videoüberwachung in jedem Fall datenschutzrechtlich überprüfen lassen. Gerne stehen wir mit Rat und Tat zur Seite. Neben seiner Tätigkeit als Rechtsanwalt ist Herr Dr. Stephan Schenk auch als externer Datenschutzbeauftragter tätig.

 

 

 

Facebook und die Daten, ein immer wieder beliebtes Thema. Auch für Gerichte. In einem aktuellen Urteil hat das Kammergericht Berlin wichtige Klarstellungen getroffen, auch wenn diese angesichts der neuen Datenschutzgrundverordnung nicht mehr lange relevant sein dürften.

Ist Facebook kostenlos? Nein. Womit verdient Facebook eigentlich Geld? Mit Informationen. Facebook sammelt täglich eine unglaubliche Menge an Daten über seine Nutzer. Informationen über Aufenthaltsort, Aktivitäten, Freunde oder persönlichen Geschmack sind die Währung, mit der Facebook handelt. Diese sind Werbetreibenden bares Geld wert. Die Jagd auf Informationen macht Facebook und die Werbetreibenden erfinderisch.

Es wundert also nicht, dass Facebook immer wieder ins Fadenkreuz von Datenschützern und Verschwörungstheoretikern landet. Ab und zu landet es auch vor Gericht. Wie im vorliegenden Fall, in dem es darum ging, dass Nutzern von Facebook abverlangt wurde, Zugriff auf ihre Daten zu gewähren, um auf bestimmte Inhalte (Spiele) zugreifen zu können. Mehr noch, die Nutzer sollten sich damit einverstanden erklären, dass die Spiele-App im Namen der jeweiligen Nutzer Posts, also Statusmeldungen, Fotos „und mehr“ veröffentlichen darf. Hierbei war die Zustimmung dadurch zu erteilen, dass ein Button geklickt wird, der mit „Spiel spielen“ beschriftet war.

„So nicht!“ befand ein Verbraucherschutzverband und verklagte Facebook. Aufgrund der oben beschriebenen Ausgestaltung der Einwilligungserklärung könnten gerade Jugendliche und junge Erwachsene könnten die Tragweite ihrer Erklärung nicht richtig einschätzen. Vor dem Landgericht bekam der Verband Recht. Und auch vor dem Kammergericht scheiterte Facebook.

Der „Doppelschlag“ bezieht sich allerdings auf den Inhalt des Urteils. Das Kammergericht hat die Gelegenheit genutzt und zwei wichtige Aspekte klargestellt:

Zum einen hat es deutsches Datenschutzrecht für anwendbar erklärt. Diese Feststellung ist deshalb wichtig, weil Facebook bekanntermaßen kein deutsches Unternehmen ist. Egal, sagt das Kammergericht, wer eine Niederlassung innerhalb eines Mitgliedsstaates der EU unterhält, muss die datenschutzrechtlichen Vorschriften dieses Staates einhalten. Und mehr noch: Wer mehrere Niederlassungen in verschiedenen Mitgliedsstaaten unterhält, muss die jeweils geltenden Regelungen berücksichtigen. Dadurch dürfte endgültig klargestellt sein, dass die – leider – unterschiedlich hohen Datenschutzniveaus innerhalb der EU durch gezielte Wahl der Niederlassungsstandorte ausgenutzt werden können.

Zum anderen hat das Kammergericht die in dem vorliegenden Fall verwendete Aussage „Diese Anwendungen darf Statusmeldungen, Fotos und mehr in deinem Namen posten“ als eine AGB eingestuft, sodass diese einer entsprechenden Prüfung unterzogen werden konnte. Ergebnis: Sie ist unangemessen i.S.d. § 307 BGB, weil sie zu intransparent ist. Der Nutzer wird nicht in ausreichendem Maße darüber aufgeklärt, welche Folgen eine Einwilligung in diese Klausel für ihn haben kann. Gleichzeitig stellt diese Ermächtigung für den Einwilligungsempfänger aufgrund der hohen Reichweite eine äußerst wertvolle Informations- und Marketingquelle dar. Denn mit mal erreicht der Einwilligungsempfänger mit seinen Posts nicht nur seine eigenen Fans, sondern auch Freunde, Familie und Kollegen aller Nutzer, die eingewilligt haben. Hinzu kommt: Einen Schutz davor, dass diese Einwilligung für unlautere Zwecke missbraucht werden könnte, war scheinbar nicht vorgesehen.

Die Entscheidung des Kammergerichts ist begrüßenswert. Vor allem die Klarstellung, dass datenschutzrechtliche Vorschriften nicht durch eine geschickte Standortauswahl umgangen werden können, verdient Beachtung. Es ist fast schade, dass diese gelungene Entscheidung nicht lange relevant bleiben wird. Der Grund dafür ist aber ein sehr guter: Zum 24.05.2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft, sodass ab dann EU-weit ein einheitliches Datenschutzniveau gilt. Die Wahl des Standortes von Niederlassungen macht dann keinen Unterschied mehr.

Aber auch die pragmatisch wirkende Abhandlung zu dem so harmlos wirkenden Satz dürfte Datenschützer freuen. Das Kammergericht hat dargestellt, dass viel mehr dahinter steckt, als es den Anschein macht. Es ist gut, dass das Gericht diesem Vorgehen einen Riegel vorgeschoben hat.

 

Sie haben  Fragen zum Datenschutz? Dann sind sie bei uns richtig!

 

 

 

 

 

 

 

Spätestens seit der großen Diskussion um den Facebook-Like-Button und das Datenschutzrecht stellt sich vielen Webseitenbetreibern die Frage, ob Verstöße gegen das Datenschutzrecht auch Wettbewerbsverstöße darstellen und somit auch abgemahnt werden können. Entscheidungserheblich dafür ist, ob die Vorschriften zum Datenschutz auch Marktverhaltensregeln sind. Bisher ist dies vom Großteil der Rechtsprechung verneint worden, doch ein Urteil des Oberlandesgerichts Karlsruhe vom 09.05.2012 (Az. 6 U 38/11) dürfte die gesamte Diskussion wieder erneut aufflammen lassen. Ein Energieversorgerunternehmen hat einen ehemaligen Kunden kontaktiert, um ihm ein Angebot für einen neuen Vertrag zu unterbreiten. Die notwendigen Kontaktinformationen hatte das Unternehmen im Rahmen der Kündigung des alten Vertrages erlangt und zur späteren Kontaktaufnahme verwendet. Das OLG Karlsruhe sah darin einen Verstoß gegen §§4, 28 BDSG. Gleichzeitig stufte das Gericht die Vorschriften des BDSG für den Fall als Marktverhaltensregeln ein, wodurch der Verstoß gegen das BDSG auch zu einer Wettbewerbsverletzung mutierte. Nach Ansicht der Karlsruher Richter liegt eine Marktverhaltensregel vor, wenn ein Unternehmer im geschäftlichen Verkehr personenbezogene Daten erhebt oder speichert, um diese später für die Bewerbung eigener Angebote zu verwenden. Vor allem sieht das Gericht einen eindeutigen Marktbezug, wenn Daten aus einer ehemaligen Vertragsbeziehung zu Werbezwecken eingesetzt werden. In dem Fall waren nach OLG Karlsruhe die Vorschriften des BDSG auch als Marktverhaltensvorschriften zu sehen und ein Wettbewerbsverstoß zu bejahen.
Nächste Seite »