Zwei Jahre nach dem Start ist es um die Datenschutz-Grundverordnung etwas ruhiger geworden, doch nach wie vor gibt es bei Unternehmen, Verbänden und Vereinen Defizite. Jetzt werden die Aufsichtsbehörden aktiver, daher lohnt sich ein zweiter Blick auf den eigenen Datenschutz.

Seit Mai 2018 ist die DSGVO – die Datenschutz-Grundverordnung – am Start. Viele Unternehmen haben sich mit der Umsetzung der Regeln schwergetan. Und ein Jahr später glaubten laut einer Studie des Capgemini-Research Instituts nur 28 Prozent der Unternehmen, dass sie DSGVO-konform seien.

Die große „Bußgeldwelle“, die alle gefürchtet haben, ist bislang ausgeblieben. Wird also gar nicht kontrolliert?

Doch! So verhängte der Bundesdatenschutzbeauftragte ein Bußgeld in Höhe von 9,5 Millionen Euro gegen das Telekommunikationsunternehmen 1 & 1 (heute IONOS). Die Deutsche Wohnen war mit 15 Millionen Euro dabei. Man sollte sich also nicht in Sicherheit wiegen.

Die Aufsichtsbehörden werden zunehmend aktiver. Dabei betrifft die DSGVO nicht nur Unternehmen, sondern auch Verbände und Vereine und natürliche Personen, wenn sie für die Datensicherheit zuständig sind.

Nicht in jedem Fall muss das Bußgeld auch gezahlt werden, es ist durchaus möglich, in der Angelegenheit vor Gericht zu ziehen. Aber aus anwaltlicher Sicht ist vorsorgliches Handeln empfehlenswerter.

„Das betrifft doch nur meine Homepage!“

Eine Aussage, die man in Unternehmenskreisen häufiger hört. Aber sie stimmt nicht. Die DSGVO betrifft durchaus auch andere Bereiche eines Unternehmens. Es lohnt sich also, das eigene Unternehmen in datenschutzrechtlicher Hinsicht genau zu prüfen und beispielsweise folgende Fragen zu beantworten:

  • Sind die erforderlichen Verträge über Auftragsverarbeitung geschlossen, wenn Dritte Daten im eigenen Auftrag verarbeiten (IT-Wartung, Webhosting-Unternehmen, externe Buchhaltung)?
  • Sind alle Mitarbeiter auf das Datengeheimnis verpflichtet?
  • Gibt es ein Verarbeitungsverzeichnis?
  • Ist die Notwendigkeit einer Datenschutzfolgenabschätzung geprüft?
  • Ist die Datenschutzerklärung auf der Webseite auf dem aktuellen Stand?

Die Homepage ist hier also das eher kleinere Problem.

Grundsätzlich geht es um Abläufe, um Prozesse. Hierzu gehört, dass man den Datenschutz laufend verbessert und bei neuen Projekten und Aktivitäten den Datenschutz immer miteinbeziehen muss.

Die Rechtsprechung und die Empfehlungen von Aufsichtsbehörden entwickeln sich weiter – und das bedeutet für Unternehmen, dass auch sie mit den datenschutztechnischen Entwicklungen Schritt halten müssen.

Neue Software – ist sie DSGVO-konform?

In einer arbeitsrechtlichen Auseinandersetzung ging es um die Frage, ob und inwieweit ein Arbeitgeber ein Zeiterfassungs-System, das mittels Fingerabdrücken Daten erfasst, ohne Zustimmung der betroffenen Arbeitnehmer betreiben darf. Laut § 26 BDSG ist das nur unter engen Voraussetzungen möglich.

Im verhandelten Fall gab es für eine solche Art von Kontrolle keinerlei Anlass. Fingerabdrücke sind personenbezogene Daten und ihre Abnahme und Weiterverarbeitung verletzte Grundsatz der Datensparsamkeit, der sich aus der DSG-VO ergibt

Bei Fingerabdrücken handelt es sich nämlich um biometrische Daten, die besonders sensibel zu handhaben sind. Die Verarbeitung derart heikler Daten war für den Zweck der Arbeitszeiterfassung nicht notwendig. Es gab andere Möglichkeiten, dieses Ziel zu erreichen, die weniger stark in die persönlichen Rechte eines Einzelnen eingreifen.

„Corona-Schutz“ hebelt keine Persönlichkeitsrechte aus

In einem weiteren Fall ging es um Mitarbeiterschutz, der mit dem Datenschutz kollidierte. Viele Arbeitgeber sind aktuell bemüht, ihre Mitarbeiter vor dem Coronavirus zu schützen. Die Überwachung solcher Maßnahmen gestaltet sich allerdings oft schwierig.

Das Arbeitsgericht Wesel hat sich mit dem Versuch eines Arbeitgebers auseinandergesetzt, der die Abstandsregelungen mit Kameras überwachen wollte. Der Einsatz von Kameras war sogar durch eine Betriebsvereinbarung gedeckt.

Das Problem lag in der Verwendung der Daten. Eine neu installierte Software nahm aus vorhandenen Aufnahmen in einem Intervall von fünf Minuten Standbilder auf und stellte dann automatisiert fest, ob sich auf dem Standbild zwei oder mehr Personen befanden. War dies der Fall, verpixelte sie das Bild.

Die Software zur Anonymisierung arbeitet auf Servern, die sich in Irland befinden. Die verpixelten Bilder wurden dann an Mitarbeiter des „Amazon Vision Operations Center“ weitergeleitet. Dort wurde ermittelt, ob auf den Bildern ein Sicherheitsabstand von zwei Metern eingehalten wurde. Die Ergebnisse wurden dann dem jeweiligen Standortleiter des Unternehmens übersandt.

Nicht-lokaler Server, unklarer Zeitpunkt, wann genau verpixelt wurde, konnte die Verpixelung rückgängig gemacht werden? All diese Punkte führten dazu, dass das Gericht angerufen wurde und dem Arbeitgeber die Nutzung der Kamera zu diesem Zweck untersagte.

Der professionelle Blick auf den Datenschutz

Es geht nicht nur um die eigene Homepage – es geht um mehr. Der professionelle Blick von außen kann die DSGVO-relevante Prozesse leichter erkennen als man selbst. Sprechen Sie also unsere Kanzlei an, wenn es um Fragen rund um die Datenschutz-Grundverordnung in Ihrem Unternehmen geht.

Ihr Holger Hembach

Rechtsanwalt Holger Hembach berät Unternehmen, Freiberufler und Privatpersonen in Fragen des Datenschutzrechts einschließlich des Beschäftigtendatenschutzes. Darüber hinaus ist er tätig in Verfahren beim Europäischen Gerichtshof für Menschenrechte.

Kontakt

Hembach Legal
Bensberger Strasse 103, 51469 Bergisch Gladbach
Tel.: 02202 81 88 760
Mail: info@hembach.legal
Webseite: https://ra-hembach.de

Holger Hembach

ist seit 1999 Rechtsanwalt. Er war arbeitete mehr als ein Jahrzehnt für verschiedene internationale Organisationen. 2015 kehrt er in seine Heimat Bergisch Gladbach zurück und eröffnete seine Kanzlei Hembach Legal. Er berät Unternehmen, Freiberufler und Privatleute im Datenschutzrecht; darüber hinaus...

Reden Sie mit, geben Sie einen Kommentar ab

2 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

  1. Datenschutz sollte kein Stiefkind sein. Man kann nicht zuerst betonen, dass Daten so etwas wie eine “Digitale Währung” sind und anschließend bemängeln, dass ihr Schutz zu aufwändig wäre. Die EU-DSGVO ist für mich (nicht nur beruflich) eine sehr gute Balance zwischen schutzwürdigen Gütern und dem entsprechenden Aufwand. Wer die Daten seiner Kunden schützt, der schützt fremdes Eigentum.

  2. Ja, Datenschutz sollte man Ernst nehmen. Auch schon vor der Datenschutzgrundverordnung, die ja nun schon vier Jahre am Start ist. Vor zwei Jahren lief die Übergangsfrist aus. Das war dann auch der Zeitpunkt als Datenschutz mehr und mehr in den Fokus trat, was ja generell nicht schlecht ist. Wo aber liegen die wesentlichen Änderungen ggü. der alten EU-Direktive und dem alten BDSG?
    Das Bemühen, die großen Datenkraken wie Facebook und Co. sowie die großen eingetragenen Vereine wie den Deutschen Fußballbund und den ADAC unter die Regelungen zu zwingen, tangiert natürlich auch die kleinen Vereine, ob Sport-, Kaninchenzüchter-, Gesangs-, Karnevals- oder Schützenverein. Dennoch ändert sich nicht so viel, nur weil das Verfahrensverzeichnis seit DSGVO jetzt Verzeichnis der Verarbeitungstätigkeiten (VVT) heißt. Das gilt m.E. auch für das Recht am eigenen Bild gemäß Kunsturhebergesetz (KUG), Videoüberwachnung und Datenverarbeitung im Auftrag.
    Wichtig ist die Darlegung der Erhebungsgründe bei der Erfassung personenbezogener Daten gemäß Art. 6 Satz 1 DSGVO und die Information der Betroffenen nach Art. 13 DSGVO. M.E. haben hier die Branchenverbände gute Hilfestellungen erarbeitet.
    Die überwiegende Zahl der 27 in Deutschland verhängten Bußgelder geht auf Beschwerden von Betroffenen zurück und bewegt sich im Bereich von 115 – 20.000 €. Für die 9,55 Mio musste 1&1 Telecom GmbH (nicht 1&1 Hosting = IONOS) mit der Beauskunftung personenbezogener Daten ohne ausreichende Authentifizierung des Anfragenden sowie für 14,5 Mio € die Deutsche Wohnen mit dem Speichern von Daten längst ausgezogener Mieter schon viel falsch machen. Schließlich ist die Höchstsumme 4% des Jahresumsatzes. Meist sind es über Jahre unterlassene Sicherheitsmaßnahmen (Hacker haben über lange Zeit Zugriff auf personenbezogene Daten). Dann sind es nicht mehr Peanuts wie die 183 und 111 Mio € Bußgelder ggü. Britisch Airways und Marriott zeigen…