Die am 25.05.2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) wird heute nach zweijähriger Übergangsfrist wirksam. Zeitgleich tritt das „neue“ BDSG in Kraft, welches im durch die DSGVO eingeräumten Rahmen (sog. Öffnungsklauseln) Konkretisierungen vornimmt und dort, wo diese nicht anwendbar ist, die datenschutzrechtlichen Grundlagen schafft.

Highlights der Verordnung sind u.a.:

• Rechenschaftsprinzip (Art. 5 Abs. 2 DSGVO)
• Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens
• Privacy by Design und by Default (vgl. Art. 25 DSGVO)

Ein Rechtsanwalt aus Mittelfranken hatte gegen einen Bescheid des Bayerischen Landesamtes für Datenschutzaufsicht (Anmerkung: Aufsichtsbehörde für Privatunternehmen mit Sitz in Bayern) geklagt. Der Bescheid untersagte ihm, mit der in seinem Fahrzeug eingebauten On-Board-Kamera während der Autofahrt permanente Aufnahmen des befahrenen öffentlichen Bereichs zu machen. Zugleich wurde aufgegeben, Aufnahmen, die mit der Kamera gemacht wurden, zu löschen. Zwar hat das Verwaltungsgericht Ansbach der Klage aus formalen Gründen stattgegeben, da das Landesamt das ihm eröffnete Ermessen für die Entscheidung eine Untersagungsverfügung zu erlassen, nicht ordnungsgemäß ausgeübt hatte. Die Kammer machte in der mündlichen Verhandlung aber deutlich, dass der permanente Einsatz einer Dashcam zu dem verfolgten Zweck, die Aufnahmen im Falle einer Verwicklung in verkehrsrechtliche Streitigkeiten oder in einen Unfall an die Polizei weiterzugeben, nach dem Bundesdatenschutzgesetz nicht zulässig ist.

Wie die WAZ online berichtet  hat der Landesdatenschutzbeauftragte NRW (LDI NRW), die zuständige Aufsichtsbehörde für den Datenschutz, ein Bußgeld gegen das Unternehmen Mr. Wash wegen Datenschutzverstößen erlassen.

Interessant ist dabei, dass nicht nur ein Bußgeld in Höhe von 54000 EUR für laut Auffassung des LDI unzulässige Videoüberwachungen erlassen wurde, sondern auch das Fehlen eines betrieblichen Datenschutzbeauftragten mit einem Bußgeld von 10.000 EUR belegt wurde. Der Fall zeigt, dass man bei Verstößen gegen den Datenschutz – insbesondere bei unzulässiger Videoüberwachung – mit einem Bußgeldverfahren der Aufsichtsbehörde rechnen kann. Wer daher eine regelmäßig mit einem Imageschaden verbundene und kostenintensive Auseinandersetzung mit den Aufsichtsbehörden vermeiden möchte, der sollte sich frühzeitig anwaltlich beraten lassen und daraus entsprechende Schlüsse ziehen. Gerade im Zusammenhang mit der direkten oder indirekten Überwachung von Mitarbeitern sind Videokameras ein heißes Thema.

Unabhängig davon macht aber auch die Bestellung eines betrieblichen Datenschutzbeauftragten Sinn. Damit vermeidet man nicht nur Bußgelder wie im vorliegenden Fall, sondern hat einen kompetenten Ansprechpartner, der die Kommunikation in allen Fragen des Datenschutzes übernehmen kann. Wer es dann allerdings bei der Bestellung eines Papiertigers belässt, der seine Aufgabe nicht tatsächlich wahrnimmt, der wird sicherlich nicht auf Gegenliebe bei den Aufsichtsbehörden stoßen.

Wie FAZ und Zeit berichten, hat der Bundesjustizminister nun einen Gesetzentwurf vorgelegt, der die Änderung des Unterlassungsklagengesetzes (UKlaG)  dahingehend vorsieht, dass künftig auch Verbraucherverbände gegen Unternehmen vorgehen können, wenn diese beim Erheben, Verarbeiten und Nutzen personenbezogener Daten von Verbrauchern gegen datenschutzrechtliche Vorschriften verstoßen.  Ziel dieser gesetzgeberischen Aktivität ist es, die Eindämmung des missbräuchlichen Handels mit Verbraucherdaten. Sollte sich der Bundesjustizminister hier tatsächlich durchsetzen, dann darf damit gerechnet werden, dass im Falle von Datenschutzverstößen zukünftig auch Ärger mit Verbraucherverbänden droht.

Dem Anspruch des Betriebsrats auf Einblick in die Bruttoentgeltlisten stehen datenschutzrechtliche Belange nicht entgegen. Zwar enthalten Bruttoentgeltlisten personenbezogene Daten, die von Arbeitgebern zur Durchführung des Arbeitsverhältnisses nach § 32 Abs. 1 Satz 1 BDSG zulässigerweise erhoben, verarbeitet und genutzt werden dürfen. Gewährt ein Arbeitgeber einem Betriebsratsmitglied nach § 80 Abs. 2 BetrVG Einsicht in die Bruttoentgeltlisten, handelt es sich dabei jedoch um eine zulässige Form der Datennutzung (§ 32 Abs. 1 BDSG). Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten werden nach § 32 Abs. 3 BDSG durch die nach Absatz 1 dieser Bestimmung erlaubte Datennutzung aber gerade nicht berührt. Zu den Interessenvertretungen der Beschäftigten in diesem Sinne zählt schließlich auch der Betriebsrat. Im Übrigen ist der Betriebsrat selbst auch Teil der verantwortlichen Stelle (vgl. § 3 Abs. 7 BDSG). Die Einsichtsgewährung stellt daher insbesondere auch keine Weitergabe von Daten an Dritte dar (vgl. z.B. Fitting § 80 Rn. 58; Gola/Schomerus BDSG 11. Aufl. § 3 Rn. 49).

Die personenbezogenen Daten der Kunden sind bei Beendigung der Mitgliedschaft grundsätzlich zu löschen oder – soweit sie aus handels- und steuerrechtlichen Gründen noch gespeichert werden müssen – jedenfalls zu sperren. Die Löschungsfristen können unterschiedlich sein. Die Abgabenordnung bzw. das Handelsgesetzbuch sehen Löschungsfristen von bis zu 10 Jahren vor (unter Umständen noch länger). Hierbei ist jedoch immer der Grundsatz der Datenvermeidung und Datensparsamkeit gemäß § 3a Bundesdatenschutzgesetz (BDSG) zu beachten. Mitgliedsfotos beispielsweise sind bei Beendigung der Mitgliedschaft in der Regel zu löschen. Gesperrte Daten sind gesondert abzuspeichern, so dass nur berechtigte Personen Zugang zu diesen Daten haben.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) – die Aufsichtsbehörde für Unternehmen, die ihren Sitz in Bayern haben – hat den Arbeitgeber eines ehemaligen Mitarbeiters mit einem Bußgeld belegt, weil dieser sich unter einem Vorwand das Handy seines Mitarbeiters aushändigen ließ und dann zwei im Kurznachrichtendienst Whats-App gespeicherte Chat-Verläufe an seine eigene E-Mail-Adresse weitergeleitet hatte.

Wie das Landesamt berichtet, hatte der Arbeitgeber sich beim Abschiedsessen eines ehemaligen Mitarbeiters unter einem Vorwand das Handy des Mitarbeiters ausgeliehen, um noch eine dienstliche Mail zu verschicken. Tatsächlich verschafft der Arbeitgeber sich aber auch Zugriff auf zwei in der Anwendung Whats-

Selbst die Nutzung anonymisierender Website Tracking Tools wie Piwik kann ein rechtliches Risiken in Richtung des Datenschutzes darstellen. Der Einsatz ist nach Auffassung des Landgericht-Frankfurt a.M. rechtswidrig, wenn der Seitenbesucher nicht deutlich sichtbar auf Widerspruchsmöglichkeiten hingewiesen wurde. Dieser Rechtsverstoß kann auch von Wettbewerbern abgemahnt werden. Die Richter begründeten ihre Auffassung damit, dass Piwik mit Hilfe anderer Daten, die der Nutzer zwangsläufig auf der Webseite preisgibt, trotz der als Anonymsieriung bezeichneten Verkürzung der IP-Adressen pseudonymisierte Nutzungsprofile im Sinne von § 15 TMG erstellt.

Der datenschutzrechtliche Auskunftsanspruch (vgl. § 34 BDSG) kann ausnahmsweise auch vor dem Arbeitsgericht eingeklagt werden. Nach § 2 Abs. 1 Nr. 3 Buchst. a ArbGG sind die Gerichte für Arbeitssachen ausschließlich zuständig für bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern aus dem Arbeitsverhältnis. § 2 Abs. 1 Nr. 4 Buchst. a ArbGG erweitert diese Zuständigkeit auf bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern über Ansprüche, die mit dem Arbeitsverhältnis in rechtlichem oder unmittelbar wirtschaftlichem Zusammenhang stehen. Ein solcher rechtlicher Zusammenhang mit dem Arbeitsverhältnis besteht, wenn der Anspruch auf dem Arbeitsverhältnis beruht oder durch dieses bedingt ist.

In einem vom Bundesarbeitsgericht zu entscheidenden Fall (BAG, Beschluss vom 3.2.2014, 10 AZB 77/13) beruhte der nach § 34 BDSG erhobene Auskunftsanspruch auf dem Arbeitsverhältnis und war damit auch durch dieses bedingt. Der Kläger stand mit der Beklagten in einem Arbeitsverhältnis. Sein Auskunftsverlangen beruht auf einer Berichterstattung über dieses Arbeitsverhältnis und die Form seiner Beendigung und bezog sich damit auf personenbezogene Daten, die nach § 32 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt wurden. Damit bestand der erforderliche rechtliche Zusammenhang mit dem Arbeitsverhältnis. Das BAG betonte, dass es nicht darauf ankomme aufgrund welcher Motivation der Kläger Auskunft begehre, dies sei für die Rechtswegbestimmung unerheblich. Unerheblich sei  ferner, dass der Anspruch aus § 34 BDSG auch auf anderen Rechtsverhältnissen beruhen und damit ein anderer Rechtsweg eröffnet sein kann.).

Der Bundesministers für Justiz und für Verbraucherschutz Heiko Maas kündigte im Zusammenhang mit dem Safer Internet Day 2014 an, dass eine Verbandsklagebefugnis für Verbraucherschutzorganisationen in Fällen von Datenschutzverstößen in Form eines Referentenentwurfes bis Ende April 2014 vorliegen soll.