Neue Urteile zur Reichweite des Auskunftsanspruchs aus Art. 15 DSGVO

Nach Art. 15 Abs. 1 der DSGVO sind Verantwortliche dazu verpflichtet, den Betroffenen auf Wunsch Auskunft darüber zu erteilen, welche Daten sie über sie erhoben haben und in welcher Form diese Daten verarbeitet werden.  Art. 15 Abs. 3 DSGVO regelt, dass der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt. Welche Daten der Auskunftsanspruch und das Recht auf eine Kopie genau umfasst, ist bisher nicht klar definiert.

Der Wortlaut der DSGVO schränkt den Auskunftsanspruch nicht wirklich ein. So kann der Verantwortliche dazu verpflichtet sein, umfassende Kopien aller Unterlagen herauszugeben, die personenbezogene Daten des Betroffenen enthalten. Das wird z. B. in arbeitsrechtlichen Auseinandersetzungen zunehmend genutzt, um den Druck auf den (ehemaligen) Arbeitgeber mit umfassenden Ansprüchen auf Herausgabe z. B. der gesamten E-Mail-Korrespondenz zu erhöhen.

In der Rechtslehre ist deshalb streitig, ob der Anspruch aus Art. 15 DSGVO nicht beschränkt werden kann. Zum Umfang des Anspruchs auf Datenkopie haben sich in letzter Zeit unter anderem das Bundesarbeitsgericht (BAG) und das Oberverwaltungsgericht Münster beschäftigt.

Urteil des BAG vom 27.04.2021 – 2 AZR 342/20

In seiner Entscheidung vom 27. April 2021 beschäftigte sich das BAG mit dem Auskunftsanspruch ehemaliger Arbeitnehmer.

Sachverhalt

Der Kläger verlangte von seinem ehemaligen Arbeitgeber Auskunft über seine personenbezogenen Daten und verlangte zudem pauschal Kopien des E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie Kopien von allen E-Mails, in denen er namentlich erwähnt wurde.

Entscheidung

Das Bundesarbeitsgericht lehnte den Anspruch auf Erteilung einer Kopie der Daten in seinem Urteil ab. Als Begründung führte das Gericht aus, dass der Klageantrag zu unbestimmt sei. So könne sich der Auskunftsanspruch nicht auf eine unbestimmte Anzahl von E-Mails beziehen. Das Auskunftsbegehren müsse vielmehr auf bestimmte Dokumente und E-Mails konkretisiert werden. Anträge müssen vom Arbeitnehmer so genau bezeichnet werden, dass im Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich die Verurteilung beziehe.

Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20

Wie weit der Auskunftsanspruch nach Art. 15 Abs. 3 reicht, zeigt auch das Urteil des Oberverwaltungsgericht Münster 8. Juni 2021 (Urteil des OVG Münster vom 08.06.2021 – 16 A 1582/20).

Sachverhalt

Ein Examenskandidat forderte die unentgeltliche Zusendung von Kopien seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege. Das Prüfungsamt war jedoch nur zur Übersendung der Kopien gegen eine Vorschusszahlung bereit. Der Kandidat reichte daraufhin Klage ein und begründete seinen  Anspruch auf Erhalt der Kopien nach Art. 15 Abs. 3 DSGVO i. V. m. Art. 12 Abs. 5 DSGVO. Das Gericht gab dem Kläger Recht und stellte fest, dass der gesamte Inhalt der Aufsichtsarbeiten des Klägers digital oder postalisch als Kopie unentgeltlich herauszugeben ist.

Entscheidung

Auch in der Berufungsinstanz wurde bestätigt, dass der Kläger einen Anspruch auf Zurverfügungstellung einer unentgeltlichen Datenkopie seiner Aufsichtsarbeiten inklusive Prüfergutachten in elektronischer Form oder auf postalischem Wege habe.

Als Begründung führt das Gericht aus, dass sich dies aus der DSGVO, die vorliegend über die Regelungen im Landesdatenschutzgesetz NRW anwendbar sei, ergebe. Der damit aus Art. 15 Abs. 3 DSGVO folgende Anspruch auf Zurverfügungstellung einer Datenkopie umfasse eine unentgeltliche Kopie sämtlicher vom Landesjustizprüfungsamt verarbeiteter, den Kläger betreffender personenbezogener Daten, worunter auch die angefertigten Aufsichtsarbeiten einschließlich der Prüfergutachten fielen.

Das Recht aus Art. 15 Abs. 3 DSGVO unterliege keiner einschränkenden Auslegung auf bestimmte Daten oder Informationen. Weiter führt das Gericht aus, dass keine anderen  Gründe für einen Ausschluss des geltend gemachten Anspruchs vorlägen. Insbesondere seien keine Anhaltspunkte für ein rechtsmissbräuchliches Verhalten des Klägers zu erkennen. Auch lasse sich kein unverhältnismäßig großer Aufwand für das Landesjustizprüfungsamt feststellen.

Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.

Es bleibt hier abzuwarten, wie das Bundesverwaltungsgericht entscheiden wird.

Fazit

Die vor allem von Arbeitgebern erhoffte Klärung haben die Entscheidungen leider nicht geschaffen. Das BAG hat seine Klageabweisung in erster Linie prozessrechtlich begründet: um zu einem vollstreckbaren Titel zu kommen, muss der Klagegegenstand konkret bestimmt sein. Dem Grunde nach umfasst der Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO aber offenbar auch nach Auffassung des BAG die gesamte E-Mail-Korrespondenz, soweit diese personenbezogene Daten des Klägers enthält (z. B. seinen Namen). Diese dem Grunde nach umfassende Herausgabepflicht von Dokumenten bestätigt die Entscheidung des OVG Münster.

Es bleibt zu hoffen, dass der Gesetzgeber das Auskunftsrecht aus Art. 15 DSGVO sinnvoll einschränkt.

Formularhandbuch Datenschutzrecht erscheint in neuer Auflage mit Beiträgen von Stephan Schmidt

Die neue Auflage des im Verlag C.H.BECK erscheinenden Formularhandbuch Datenschutzrecht von Koreng/ Lachenmann ist nun im gut sortierten Buchhandel erhältlich.

Wie bereits die bisherigen Auflagen bietet auch diese stark erweiterte Auflage des Handbuchs einen guten Überblick und zahlreiche Muster zu den komplexen und vielfältigen Themen des Datenschutzrechts. Neben vielen anderen ausgewiesenen Datenschutz-Experten hat sich an dieser Auflage auch erneut unser Mainzer Partner Stephan Schmidt beteiligt. Wie bereits in der Vorauflage, hat er zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink ein Vertragsmuster zur Auftragsverarbeitung beigesteuert. Neu in dieser Auflage sind zwei weitere Beiträge von Stephan Schmidt: eine Checkliste zu Aufgaben und Umfang des Vertreters nach Art. 27 DSGVO und ein Muster für einen Vertrag über die Benennung eines Vertreters nach Art. 27 DSGVO.

Die Neuauflage berücksichtigt die bisherigen Erfahrungen mit der DSGVO. Es wurden alle bisherigen Muster aktualisiert und neue Entscheidungen von Aufsichtsbehörden und Gerichten berücksichtigt. Die neue Auflage enthält darüber hinaus diverse neue Kapitel, z.B. zum Gesundheitsdatenschutz, anwaltlichem Berufsrecht und der Verwendung von Personenbildnissen. Die Unterstützung von KMU und Vereinen wurde zudem durch spezielle Muster vertieft. Der internationale Kontext wird durch die Sicht auf Österreich abgerundet.

Zum Werk gehört ein Zugang zur Online-Version bei Beck-Online. Bestellungen sind auch direkt beim Verlag möglich.

TCI berät zusammen mit MUTTER & KRUCHEN und WKGT die Aareon AG bei dem Erwerb des PropTech wohnungshelden GmbH

Die Transaktion: Die Aareon AG, Europas führendes Unternehmen für Immobiliensoftware und digitale Lösungen hat sämtliche Geschäftsanteile am PropTech wohnungshelden GmbH, München, erworben. Mit dieser Akquisition setzt die Aareon AG ihren Wachstumskurs fort und ergänzt mit der digitalen Lösung für die Wohnungsvermittlung ihr Produktportfolio in Deutschland.

Die Unternehmen: Die wohnungshelden GmbH mit Sitz in München wurde 2016 gegründet und ist auf die digitale Wohnungsvermittlung spezialisiert. Sie bietet eine Softwarelösung, durch deren Einsatz Wohnungsunternehmen ihren gesamten Vermietungsprozess digitalisieren können. Inzwischen setzen Unternehmen mit insgesamt mehr als 750.000 Wohneinheiten die Lösung von wohnungshelden ein. Die wohnungshelden GmbH wird ihre Wachstumsstrategie auch als Teil der Aareon Gruppe mit dem bestehenden Management und einem eigenständigen Marktauftritt fortsetzen.

Die Aareon Gruppe ist ein internationales Unternehmen mit Standorten in der DACH-Region, Finnland, Frankreich, Großbritannien, den Niederlanden, Norwegen und Schweden. Die Aareon Gruppe beschäftigt über 1.800 Mitarbeiter, davon mehr als ein Drittel in ihren internationalen Tochtergesellschaften. Im Jahr 2020 erzielte die Aareon Gruppe einen Umsatz von rund 258 Mio. EUR und ein Adjusted EBITDA von 62 Mio. EUR.

„Als führender Technologieanbieter für die europäische Immobilienwirtschaft ist es unser Anliegen, unsere Kunden bei ihrem digitalen Transformationsprozess zu unterstützen und ihnen dabei zu helfen, ihre Geschäftsprozesse optimal zu managen. Mit der digitalen Lösung von wohnungshelden bauen wir unser Angebotsportfolio rund um den digitalen Vermietungsprozess weiter aus.“ sagt Dr. Manfred Alflen, Vorstandsvorsitzender der Aareon AG.

TCI-Partner Stephan Schmidt hat gemeinsam mit Joscha Falkenhagen ihm Rahmen der Transaktion die Due Diligence in den Bereichen IT, IP, Datenschutz und Commercial durchgeführt und beim Kaufvertrag beraten und verhandelt.

Daneben haben MUTTER & KRUCHEN (Corporate/M&A) sowie Warth & Klein Grant Thornton AG (Steuern/Finanzen) die Transaktion für die Aareon AG beraten.

TCI Rechtsanwälte berät die Nimbus Beteiligungsgesellschaft im IT- und Datenschutzrecht bei dem Erwerb eines Teils des Kerngeschäfts der EISENMANN

Die Transaktion: Nimbus erwirbt das gesamte Service- Ersatzteilgeschäft des Geschäftsbereich Paint&Assembly der EISENMANN-Gruppe und führt auch das Projekt- und Retrofit-Geschäft fort.

Die mit dem Insolvenzverwalter Joachim Exner erzielte Investorenlösung umfasst neben dem gesamten Service- Ersatzteilgeschäft auch die Fortführung des Projekt- und Retrofit-Geschäftes der Eisenmann-Sparte Paint&Assembly. „Mit dem Verkauf bleiben nicht nur ein wesentlicher Teil des Kerngeschäfts und der Technologie von Eisenmann sondern auch 110 Arbeitsplätze erhalten“, betonte Exner. „Er stellt vor allem auch sicher, dass die weltweit über 500 Eisenmann-Lackieranlagen weiter mit Service und Ersatzteilen bedient werden – und zwar über die gesamte Produktpalette.“

Erwerber ist der niederländische Beteiligungsfonds Nimbus, die u.a. auch am Anlagenbauer für Oberflächentechnik Sturm Gruppe, Salching, beteiligt ist. Nimbus ist auf die Übernahme von Unternehmen in Turn-Around-Situationen spezialisiert „Nimbus ist ein Investor, der strategisch hervorragend zu Eisenmann passt“, betonte Exner. „Die Gruppe verfügt über ausgeprägtes Branchen-Know-how im Anlagebau.“

Unter Federführung des langjährigen Beraters von Nimbus, Rechtsanwalt und Notar Oliver Thum, haben Stephan Schmidt, TCI Rechtsanwälte Mainz (IT-Recht und Datenschutz), Georg Melzer, Frankfurt am Main (Arbeitsrecht), Markus Fünning, Kanzlei PLUTA, Ulm (Insolvenzrecht) und Florian Heim, Wunderlich & Heim, München (IP-Recht), die als Asset Deal strukturierten Akquisitionen auf Seiten von Nimbus beraten.

Insolvenzverwalter Exner wurde von einem Team von Clifford Chance, Frankfurt a.M. beraten.

Thum, Melzer und Schmidt stehen Nimbus regelmäßig schon seit langem in den deutschen Transaktionen von Nimbus beratend zur Seite. Fünning war das erste Mal auf Seiten von Nimbus tätig, Heim wurde als Berater der Sturm Gruppe für die komplexen patent- und lizenzrechtlichen Themen dieser Transaktion mandatiert.

Die Datenschutzerklärung des Schiedsgerichts

In der aktuellen Ausgabe der Zeitschrift für Schiedsverfahren (SchiedsVZ) ist ein Beitrag unserer Partnerin Dr. Truiken Heydn mit dem Titel „Die Datenschutzerklärung des Schiedsgerichts“ erschienen (SchiedsVZ 2020, 242). Unsere Partnerin Dr. Truiken Heydn ist in internationalen und nationalen Schiedsverfahren als Schiedsrichterin tätig. Die DSGVO gilt nach allgemeiner Meinung auch in Schiedsverfahren. Der Beitrag enthält ein Muster einer Datenschutzerklärung eines Schiedsgerichts und soll Schiedsgerichten, die mit dem Datenschutzrecht weniger vertraut sind, eine Hilfestellung bieten, ein Schiedsverfahren datenschutzrechtskonform durchzuführen.

EuGH er­klärt mit Ur­teil in Sa­chen Schrems II den Pri­va­cy Shield Be­schluss für un­wirk­sam

1. Schrems II – Das Urteil

Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.

Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.

Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.

2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers

Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.

3. Reaktionen der Aufsichtsbehörden

Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.

Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.

Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.

4. Was müssen Unternehmen nun beachten?

Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:

a) Identifizierung von Privacy-Shield basierten Datenflüssen

Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.

b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren

Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.

Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.

Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).

c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist

Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.

d) Einwilligung des Betroffenen

Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.  

e) Nicht betroffene Datenflüsse

Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.

Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.

Rechts­an­walt Dr. Tho­mas Stög­mül­ler re­fe­riert bei Rechts­an­walts­kam­mer Mün­chen zu 2 Jah­ren DS­GVO

Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Aus diesem Anlass referiert Dr. Thomas Stögmüller, Rechtsanwalt und Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte München, bei der Rechtsanwaltskammer München zum Thema „2 Jahre DSGVO – erste Erfahrungen und aktuelle Entwicklungen mit Schwerpunkt im Medienbereich“. Die Veranstaltung findet am Montag, 29. Juni 2020 von 18 – 20 Uhr als Online-Seminar statt und richtet sich an Rechtsanwältinnen und Rechtsanwälte, die Mitglieder der Rechtsanwaltskammer München sind.  

5 Tipps zur Wah­rung des Da­ten­schut­zes und des Schut­zes von Ge­schäfts­ge­heim­nis­sen bei der Home Of­fice-Nut­zung

Mit der Covid-19-Krise hat die Bedeutung der Home Office-Nutzung stark zugenommen und das Arbeiten von zu Hause oder von unterwegs wird auch künftig vermehrt erfolgen. Allerdings ist dies anfällig gegen Datenschutzverstöße und es besteht die Gefahr, dass der Schutz von Geschäftsgeheimnissen verletzt wird.

Nachfolgend gibt Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), fünf Tipps für Unternehmen, wie diese bei der Home Office-Nutzung den Datenschutz wahren und ihre Geschäftsgeheimnisse schützen können.

1. IT-Sicherheit

Im Rahmen der Corporate Governance haben Vorstand bzw. Geschäftsführung die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten und für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Wesentlich ist hierbei die Sicherstellung von Datenschutz und IT-Sicherheit. Dies gilt auch und gerade für die Home Office-Nutzung.

Bei einer Verletzung der Datenschutz-Grundverordnung (DSGVO) drohen erhebliche Sanktionen wie Schadensersatzansprüche, aufsichtsrechtliche Maßnahmen der Datenschutzbehörde und Geldbußen, die bis zu 4 % des gesamten weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.

Im Rahmen der IT-Sicherheit muss das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner IT-Systeme sicherzustellen. Für Home Office-Anwendungen bedeutet das u.a. eine wirksame und aktuelle Internet Security-Lösung und den Einsatz geeigneter Sicherheitsmaßnahmen wie Passwortschutz, 2-Faktor-Authentifizierung und ein Virtual Private Network. Zudem müssen sichere Lösung für Web-Konferenzen verwendet oder diese entsprechend konfiguriert werden, um zu vermeiden, dass bspw. nicht zugelassene oder unbekannte Personen daran teilnehmen.

2. Abschluss einer Vereinbarung zur Auftragsverarbeitung

Cloud Provider und Anbieter von Web-Konferenzen müssen unter Berücksichtigung deren DSGVO-Konformität und deren TOM sorgfältig ausgewählt werden und das Unternehmen muss mit ihnen eine  Vereinbarung zur Auftragsverarbeitung schließen, die den Anforderungen des Art. 28 DSGVO entspricht.

3. Wahrung der Schutzes von Geschäftsgeheimnissen

Durch das Geschäftsgeheimnis-Schutzgesetz, das seit 26. April 2019 in Kraft ist, sind die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen, insbesondere muss es „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein. Problematisch ist dies bspw. bei Web-Konferenzen, bei denen Geschäftsgeheimnisse Gegenstand sind, so dass der Teilnehmerkreis streng begrenzt sowie Aufzeichnung und Dokumentenaustausch unterbunden werden sollte. Zudem sollten externe Teilnehmer mittels einer Vertraulichkeitsvereinbarung bzw. eines Non-Disclosure Agreement (NDA) zur Geheimhaltung verpflichtet werden.

Unternehmen sollten zur Wahrung ihrer Geschäftsgeheimnisse generell entsprechende personelle, rechtliche, technische und organisatorische Maßnahmen treffen und unternehmensspezifische Schutzkonzepte und Schutzstrategien implementieren. Andernfalls droht der Verlust des Geschäftsgeheimnisschutzes.

4. Übermittlung nur auf Need-to-Know-Basis

Sowohl hinsichtlich der Übermittlung personenbezogener Daten als auch von Geschäftsgeheimnissen gilt, dass der Empfängerkreis möglichst eng sein soll. Nur solche Mitarbeiter und externen Geschäftspartner, die diese Informationen unbedingt benötigen, dürfen Zugriff darauf haben, d.h. diese Informationen sind nur auf „Need-to-Know-Basis“ zu übermitteln. Unternehmen sollten daher die Zugriffsrechte auf sensible Informationen prüfen und ggf. anpassen. Gerade bei der Home Office-Nutzung besteht nämlich das Risiko, dass einmal abgerufene Daten dauerhaft die Unternehmenssphäre verlassen, wenn sie von einem Mitarbeiter auf dessen eigenem Rechner lokal gespeichert werden. 

5. Schulung der Mitarbeiter

Mitarbeiter müssen hinsichtlich der gestiegenen Risiken bzgl. Datenschutz und Schutz von Geschäftsgeheimnissen sensibilisiert und geschult werden. Arbeiten zu Hause birgt größere Risiken, dass unbefugte Dritte – hierzu gehören auch Familienmitglieder und Besucher – Unternehmensinformationen zur Kenntnis nehmen. Klare Verhaltensanweisungen wie z.B. Sperren des Rechners bei Verlassen des Arbeitsplatzes, laufende Aktualisierung des Antiviren-Schutzes und Überprüfung des Kamerafeldes vor Beginn einer Videokonferenz sind dringend zu empfehlen.

Zum Thema „Datenschutz & Geschäftsgeheimnisse im Home-Office in der Covid-19-Krise“ gibt Dr. Thomas Stögmüller auch im DIKT Expertentalk mit Dr. Nikolai A. Behr nähere Auskunft: https://youtu.be/HwhXQS9zxRw

Da­ten­schutz wäh­rend der Co­ro­na-Kri­se – Was ist bei Gäs­te­lis­ten in der Gas­tro­no­mie zu be­ach­ten?

Aktuell finden eine Reihe von Lockerungen statt, die schrittweise wieder zurück zur Normalität führen sollen. Diese stellen jedoch ihrerseits ungewohnte Belastungen für die Betroffenen dar und bringen zugleich rechtliche Herausforderungen mit sich.

Auch der Gastronomiebetrieb soll wieder unter Einschränkungen ermöglicht werden. Diese betreffen neben den allgemeinen Vorsorgemaßnahmen wie Abstandsregelungen oder der Tragepflicht eines Mund-Nasen-Schutzes in einigen Bundesländern auch eine Pflicht zur Erhebung und Speicherung des Namens, der Telefonnummer sowie des exakten Zeitraums des Besuchs.

Wie muss diese Datenerhebung ausgestaltet werden und dürfen Gäste trotzdem bedient werden, wenn sie sich weigern ihre Daten anzugeben?

Je nach Bundesland sind die Regelungen unterschiedlich ausgestaltet. Manche Bundesländer haben eine Pflicht zur Erhebung der Daten eingeführt, andere dagegen nur eine Empfehlung. Gastwirte sollten sich über die exakten, für sie geltenden Vorschriften beispielsweise auf der Webseite ihres Bundeslandes informieren. Eine Sammlung der Verordnungen der verschiedenen Bundesländer finden Sie unter Anderem auch auf www.lexcorona.de.

Eine ausdrückliche Pflicht zur Erhebung der Daten jedes einzelnen Gastes haben die Bundesländer Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Schleswig-Holstein und Thüringen eingeführt. Mecklenburg-Vorpommern und das Saarland haben eine Pflicht zur Erhebung der Daten einer Person pro Haushalt, bzw. Gruppe eingeführt. Bayern, durch die Reservierungspflicht ebenfalls.

In den Bundesländern, in denen keine Regelung getroffen wird oder lediglich eine Empfehlung ausgesprochen wird, steht es den Gastwirten frei, ob sie die Daten vorsorglich dennoch erheben möchten. Ob gemäß Art. 6 Abs. 1 lit. a) DSGVO eine Rechtfertigung durch eine Einwilligung der Gäste, in den Bundesländern ohne Pflicht, vorliegen kann, ist dann fraglich, wenn der Gastwirt ansonsten die Bedienung verweigert, da die Datenerhebung nicht zwingend für die Tätigkeit vorliegen muss. Jedenfalls liegt aber auch für diese Gastwirte aktuell eine Rechtfertigung dieser Datenerhebung gemäß Art. 6 Abs. 1 lit. f) DSGVO vor. Bei Abwägung der entgegenstehenden Interessen überwiegt das Interesse des Gastwirtes am Gesundheitsschutz seiner Kunden, das jedem Betroffenen auch zugutekommt. Zudem steht es Personen frei das entsprechende Restaurant nicht zu besuchen, wenn sie keine Erhebung ihrer Daten in Kauf nehmen möchten.

Wie die Datenerhebung genau ausgestaltet werden soll oder was die Gastwirte dabei zwingend beachten müssen, wurde nicht geregelt. Im Folgenden sollen einige Hinweise aufgestellt werden.

1.       Informierung der Kunden über die Datenerhebung und Speicherung

Der Gastwirt sollte die Kunden über Rechtsgrundlage zur Datenerhebung und Speicherung informieren. Diese stellt Art. 6 Abs. 1, lit. c) DSGVO in Verbindung mit der Verordnung des Landes dar, wenn diese den Gastwirt zur Datenerhebung verpflichtet. Wenn der Gastwirt nicht verpflichtet ist und die Datenerhebung auf freiwilliger Basis der Kunden erfolgt, ist sie durch eine Einwilligung gemäß Art. 6 Abs. 1, lit. a) DSGVO rechtmäßig. Wenn der Gastwirt nicht zur Erhebung verpflichtet ist, den Restaurantbesuch aber dennoch von der Zurverfügungstellung der Daten abhängig macht, ist sie, solange eine erhöhte Gefahr der Ansteckung besteht, nach Art. 6 Abs. 1, lit. f) DSGVO rechtmäßig. Der Gastwirt muss dann aber gegebenenfalls nachweisen können, dass er vor der Erhebung eine Interessenabwägung zwischen den Rechten der betroffenen Kunden auf informationelle Selbstbestimmung und ihrem Gesundheitsschutz vorgenommen hat.  

Weiterhin muss der Gastwirt die Kunden darüber informieren, wie lange die Daten gespeichert bleiben und dass sie hinterher gelöscht oder vernichtet werden.  In den Fällen, in denen die Erhebung durch eine Verordnung verpflichtend ist, muss der Gastwirt diese Dauer angeben. Auch in den übrigen Fällen sollte die Dauer der Speicherung drei bis vier Wochen nicht überschreiten, da hinterher der Zweck der Speicherung wegfällt.

2.       Schutz der Daten

Die Gastwirte sind, als Verantwortliche für die Daten, dazu verpflichtet, diese ausreichend zu schützen. Falls die Daten in Papierform vorliegen, sollten sie nicht offen herumliegen, sondern verschlossen aufbewahrt werden. In digitaler Form sollten übliche Sicherheitsstandards eingehalten werden und auch bei der Löschung dürfen sie nicht noch im Papierkorb verbleiben, wo sie eventuell durch Dritte eingesehen werden könnten.

Der Schutz der Daten beginnt aber bereits beim Schutz gegenüber den anderen Kunden. Jeder Kunde sollte seine Daten also einzeln übermitteln oder abgeben können. Nur eine Tabelle zu verwenden, in die sich alle Kunden des jeweiligen Tages einzutragen haben ist dagegen nicht erlaubt, weil sie allen übrigen Kunden ebenfalls die Einsichtnahme und den Zugriff auf die Daten gewähren würde. An dieser Stelle muss die Anlage der CoronaSchVO NRW kritisiert werden, die die Erhebung in Form von auf den Tisch liegenden Listen vorschreibt. Diese Formulierung ist bestenfalls irreführend und damit datenschutzrechtlich höchst problematisch.

3.       Umfang und Zweck der Datenerhebung

Wichtig ist, dass nur die gesetzlich vorgeschriebenen Daten erhoben werden. Für zusätzliche Daten, wie Anschriften, liegt keine Rechtfertigung vor. Auch bei der freiwilligen Datenerhebung sollte diese auf das Minimum beschränkt sein, das notwendig ist, um den Zweck der Erhebung zu erfüllen: Die Person im Falle der Erkrankung eines anderen Kunden über das Risiko zu informieren. Insofern ist auch der Scan oder die Anfertigung von Kopien des Personalausweises nicht erlaubt, weil damit der Umfang der Datenerhebung überschritten würde.

Festzuhalten bleibt: Bei aller Notwendigkeit der Vorsichtsmaßnahmen sollte der Datenschutz nicht aus dem Fokus geraten und kann mit einfacher Organisation gewährleistet bleiben.

(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)

Bun­des­re­gie­rung schafft Vor­aus­set­zun­gen für Be­triebs­rats­sit­zun­gen per Vi­deo­kon­fe­renz

Die aktuell, während der Corona Krise, geltenden Kontaktsperren stellen für viele Abläufe Hindernisse dar. Insbesondere für Präsenzveranstaltungen. Davon ist auch die Handlungs- und Beschlussfähigkeit von Betriebsräten stark betroffen, die nicht zuletzt für die mögliche Einführung von Kurzarbeit in einem Betrieb, von großer Bedeutung ist.

Um dem entgegenzuwirken, hat die Regierung einen Gesetzesentwurf vorgelegt, der die Handlungsfähigkeit von Betriebsräten, Gesamtbetriebsräten, Konzernbetriebsräten sowie von Jugend- und Auszubildendenvertretungen stärken soll, indem die Teilnahme an Sitzungen und die Fassung von Beschlüssen per Video- oder Telefonkonferenz ermöglicht wird. Der Entwurf sieht eine rückwirkend zum 01.03.2020 eintretendes Inkrafttreten vor. Den Gesetzesentwurf können Sie hier bereits einsehen.

Zudem sollen in gleicher Weise auch Betriebs-, Betriebsteil-, Abteilungs- und Betriebsräteversammlungen, sowie Jugend- und Auszubildendenversammlungen stattfinden dürfen.   

Die Voraussetzungen für eine Durchführung mit entsprechenden Online-Tools sind folgende:

  1. Dritte dürfen keinen Zugriff auf die Kommunikation haben.
  2. Es darf keine Aufzeichnung der Konferenz stattfinden.

Hierbei werden zwei verschiedene Fragen aufgeworfen:

Welche Voraussetzungen muss man erfüllen, um sicherzustellen, dass Dritte keinen Zugriff haben?

Hierfür muss die Übertragung der Bild- oder Audiodateien in verschlüsselter Form erfolgen. Weiterhin müssen die jeweiligen Teilnehmer dafür sorgen, dass keine Dritten Kenntnis nehmen können, indem sie einen nicht-öffentlichen Raum verwenden und mitteilen, falls Dritte doch den Raum betreten, damit die Sitzung entsprechend unterbrochen werden kann.

Als Beispiel für verwendbare Anbieter von Video- oder Telefonkonferenzen werden Skype und WebEx genannt. Welche Anforderungen die verwendete Verschlüsselung erfüllen soll und ob dies bedeutet, dass Skype und WebEx die notwendigen Voraussetzungen erfüllen, wird nicht gesagt. Insofern ist davon auszugehen, dass im Rahmen dessen, was zumutbar ist, der höchste Sicherheitsstandard gewählt werden sollte.

Wer ist Dritter im Rahmen des Entwurfs?

Eine genauere Erklärung des Begriffs erfolgt nicht, sodass keinerlei weitere Personen Zugriff haben dürfen. Daher muss sichergestellt werden, dass weder der Videodienste Anbieter noch andere Konzern- oder Betriebsangehörige Kenntnis nehmen können.

Sollten Sie weitere Fragen zu Durchführung von Vertreterversammlungen oder -sitzungen per E-Mail haben, stehen wir Ihnen gern zur Verfügung.

(Beitrag ist mit Unterstützung von RA Joscha Falkenhagen verfasst worden)