Am 21.01.2020 fanden die Office Hours für Profis statt. Es gab wieder jede Menge Fragen.
Eine Ergänzung habe ich noch. Bei der Frage nach den „Diätassistenten“ hat sich herausgestellt, diese tatsächlich nicht nur zu den Gesundheitsberufen von Art. 9 DSGVO i.V.m. § 22 BDSG zählen, sondern auch Berufsgeheimnisträger i.S.d. § 203 StGB sind. Das macht die Sache für diese Berufsgruppe daher etwas leichter.
Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier anhören (oder herunterladen):
So…ja…das ist neu. Denn im Jahr 2020 werden Datenschutz-Coaching-Mitglieder jeden Monat zusätzlich zu den sonstigen Inhalten (Webinare, Office Hours, Online-Kurse) auch 4 Folgen Audio-Coaching erhalten.
Was ist das? Technisch ist es zwar kein Podcast, aber es geht in eine ähnliche Richtung. Denn du kannst als Datenschutz-Coaching-Mitglieder die jeweilige Folge entweder auf der Website anhören oder als MP3-Datei herunterladen und dann z.B. auf Reisen, beim Joggen oder in der Badewanne anhören.
Jede Audio-Coaching-Folge behandelt im jeweiligen Monat das Monatsthema des Datenschutz-Coachings. Und im Monat Januar 2020 ist unser Thema die Auftragsverarbeitung.
Am 16.01.2020 fand ein Webinar zum „Ablauf von Bußgeld- und Anordnungsverfahren bei Aufsichtsbehörden (und Gerichten)“ statt.
Auch viele Datenschutzbeauftragte in Unternehmen und öffentlichen Stellen wissen ggf. nicht, wie ein „Verfahren“ bei einer Aufsichtsbehörde abläuft und vor allem auch, wie sich Unternehmen (oder öffentliche Stellen) am besten verhalten.
Datenschutz-Coaching-Mitglieder können die Aufzeichnung hier ansehen:
Das erste Mal in diesem Jahr fanden die Office Hours für Beginner statt.
Diesmal ging es u.a. um folgende Themen:
Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung der Office Hours hier herunterladen.
In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen.
Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn ich mit diesem Fall als Anwalt betraut gewesen wäre, hätte die Behördenleitung Konsequenzen aus diesem rechtswidrigen Verhalten folgen lassen müssen.
Um für rechtliche Klarheit in diesem Bereich zu sorgen, hat der deutsche Gesetzgeber nun eine Änderung des Steuerberatungsgesetzes (StBerG) beschlossen, die seit dem 18.12.2019 in Kraft getreten ist.
Dort ist § 11 StBerG neu gefasst worden:
§ 11 Verarbeitung personenbezogener Daten
(1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(2) Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(3) § 83 dieses Gesetzes und § 30 der Abgabenordnung stehen dem nicht entgegen.
Damit sind nun folgende, zuvor nicht ganz klare Probleme gelöst:
Dass der Gesetzgeber gerade auch das Problem, dass z.B. von einigen Aufsichtsbehörden vertreten wurde, dass die Lohnbuchhaltung eine Auftragsverarbeitung sei, lösen wollte, lässt sich übrigens ausdrücklich der Gesetzesbegründung entnehmen:
In § 11 Absatz 2 Satz 1 StBerG wird ergänzt, dass die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. D. h. dies gilt auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen. Mit dieser Regelung werden die berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung sichergestellt.
Quelle: BT-Drs. 19/14909, S. 58
Dass der deutsche Gesetzgeber diese Frage der Berufsausübung im Bereich der freien Berufe so regelt, widerspricht im Übrigen auch nicht dem Europarecht. So wird man hier also nicht über einen Vorrang der DSGVO argumentieren können, dass dennoch eine Auftragsverarbeitung bei Steuerberatern in Frage käme.
Update, 30.12.2019: Da die Diskussion bei Twitter aufkam, ob der nationale Gesetzgeber überhaupt festlegen kann, wer Verantwortlicher und wer Auftragsverarbeiter ist, weise ich ergänzend darauf hin, dass der nationale Gesetzgeber nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten vorgeben kann. Dies hat der Gesetzgeber im vorliegenden Fall in zulässiger (wenn vielleicht auch nicht eleganter) Weise getan, in dem in seiner Gesetzesbegründung erläutert hat, warum Steuerberater auch bei einer Lohnabrechnung etc. eigenverantwortlich tätig werden. Im Ergebnis kann so eine Verantwortlichkeit faktisch vom nationalen Gesetzgeber vorbestimmt werden.
Ich betrachte diese Rechtsfrage damit als geklärt. Daraus ergibt sich: Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt KEINE Auftragsverarbeitung vor.
Es waren heute die letzten Office Hours für dieses Jahr. Und zwar die Office Hours für Profis.
Nächstes Jahr geht es dann weiter mit den Office Hours. Bis dahin können Datenschutz-Coaching-Mitglieder aber erst einmal die Aufzeichnung der Office Hours als MP3-Datei herunterladen:
Das Arbeitsgericht Berlin (ArbG Berlin) hat in einem Urteil vom 16.10.2019 entschieden, dass eine Zeiterfassung über ein Zeiterfassungssystem, das über einen Fingerabdruck der Beschäftigten, die Arbeitszeiten erfasst, nicht ohne Einwilligung der Beschäftigten erfolgen darf. Das Urteil ist im Volltext hier zu finden: ArbG Berlin, Urteil vom 16.10.2019, Az.: 29 Ca 5451/19
Dem Urteil lag folgender Sachverhalt zugrunde:
Bis zur Einführung des neuen, auf einem Fingerabdruck basierenden Zeiterfassungssystems, trugen die Beschäftigten in dem betreffenden Unternehmen auf einem ausgedruckten und ausliegenden Dienstplan per Hand ihre geleisteten Arbeitszeiten ein. Dabei wiesen die eingetragenen Arbeitszeiten auch geleistete Mehrarbeitsstunden aus. Gelegentlich wurden abweichende Dienstzeiten mündlich nachgeliefert. Eine Kontrolle der eingetragenen Zeiten fanden nicht statt.
Der Arbeitgeber hat dann per Rundmail an die Beschäftigten über das neu eingeführte Zeiterfassungssystem informiert und mitgeteilt, dass wenige Tage später nur noch die Arbeitszeiten anerkannt würden, die mit dem neuen Zeiterfassungssystem erfasst worden sind.
Dagegen hat sich ein Beschäftigter gewehrt und letztlich auch (neben anderer Streitpunkte) Klage beim ArbG Berlin erhoben.
Das ArbG Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, wenn keine Einwilligung des betroffenen Beschäftigten vorliege.
Das ArbG Berlin führt dazu zunächst zum Sachverhalt wörtlich aus:
Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.
Dann kommt das ArbG Berlin richtigerweise zu dem Ergebnis, dass es sich bei dem Minutiendatensatz um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO handelt und zudem auch um besondere Arten personenbezogener Daten nach § 26 Abs. 3 BDSG.
Da eine Einwilligung des Betroffenen nicht vorlag, musste das ArbG Berlin sodann eine Prüfung auf Basis von § 26 Abs. 1 BDSG und § 26 Abs. 3 BDSG vornehmen.
Die Prüfung der beiden Tatbestände nimmt das ArbG Berlin hier im Ergebnis nicht getrennt vor. Das Gericht kommt unter Berücksichtigung der Vorgaben von § 26 Abs. 1 und 3 BDSG zu dem Schluss, dass Voraussetzung für eine Zulässigkeit der Verarbeitung von Daten mittels des neuen Zeiterfassungssystems zulässig wäre, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Ferner müsse die Erhebung und Verwendung von biometrischen Merkmalen im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:
Dabei gelte nach der Auffassung des ArbG Berlin folgende Regel:
Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden.
Diese Prüfungen führt das ArbG dann in seinem Urteil durch und stellt zunächst die „Erforderlichkeit“ in Frage:
Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.
Da der Arbeitgeber in dem Verfahren aber nicht dazu vorgetragen hat, dass es in der Vergangenheit zu Missbrauch gekommen ist und zudem nicht dargelegt habe, dass bei Einführung eines anderen neuen (nicht biometrischen) Zeiterfassungssystems ein Missbrauch zu befürchten sei, würden insgesamt die Interessen des Arbeitgebers das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Verarbeitung nicht überwiegen.
Daher sei die Datenverarbeitung mittels des neuen Zeiterfassungssystems unter Verwendung biometrischer Daten datenschutzrechtlich nicht zulässig.
Ich halte das Urteil im Ergebnis für richtig. Im Hinblick auf die Anwendung der Rechtsgrundlagen gibt es m.E. kleine handwerkliche Fehler, die jedoch nicht von Belang sind. Insbesondere sind diese für das Ergebnis nicht von Belang.
Ich habe Unternehmen schon vor Anwendung der DSGVO stets geraten, bei der Einführung von Verarbeitungen, die auf biometrischen Daten basieren besondere Vorsicht walten zu lassen.
Nach meinem Dafürhalten sind bei der Verarbeitung von biometrischen Daten zudem Datenschutz-Folgenabschätzungen i.S.d. Art. 35 DSGVO durchzuführen. Dies gilt jedenfalls dann, wenn das jeweilige System biometrische Daten in Rohfassung speichert. Bei einem Fingerabdruck wären das z.B. konkrete Messdaten, die ggf. dazu genutzt werden könnten, die Daten z.B. durch Reproduktion zu missbrauchen. Das Risiko für die Betroffenen bei der Verarbeitung von biometrischen Rohdaten ist regelmäßig als sehr hoch einzustufen.
Wir müssen nicht weit in die Zukunft denken, um uns vorzustellen, was ich mit einem „nachgedruckten“ Fingerabdruck alles an Missbrauch anstellen könnte. Ein falscher Fingerabdruck an einem „Tatort“ z.B. ist „nicht lustig“.
Es sind sicher auch unter Verwendung von biometrischen Daten Systeme denkbar, die ohne eine Einwilligung in zulässiger Weise einsetzbar wären. Dann müssten diese Systeme aber zumindest schon einmal konstruiert sein, dass biometrische Rohdaten allenfalls flüchtig im System erfasst und z.B. sofort nach Erfassung durch einen Hashwert ersetzt werden, der nicht rückrechenbar wäre, damit ein Risiko für einen Missbrauch der Daten minimiert werden kann.
Bei der vorgenommenen Interessenabwägung hätte das Gericht also sogar mutiger sein können. Zunächst kommt es schon nicht darauf an, dass die Interessen des Arbeitgebers überwiegen müssen, sondern – und das kann in „Pattsituationen“ mal entscheidend werden – dass das Interesse des Betroffenen gegen die Verarbeitung überwiegen muss.
Und das Interesse des Betroffenen gegen die Verarbeitung seiner biometrischen Daten überwiegt im vorliegenden Fall, zumal weniger „invasive“ Zeiterfassungssysteme marktgängig sind, das Interesse des Arbeitgebers an der Einführung des Systems in erheblicher Weise. Und zwar offensichtlich.
Ich würde im vorliegenden Fall sogar – auch wenn dies nicht vom Gericht zu entscheiden war – so weit gehen, dass eine Verarbeitung von biometrischen Daten „in Rohfassung“ für eine reine Zeiterfassung auf Basis einer Einwilligung als rechtswidrig eingestuft werden könnte, weil ich erhebliche Zweifel an der Freiwilligkeit der Beschäftigten haben würde. Das ist jedoch immer Einzelfallfrage.
Am 12.12.2019 fand das Webinar „Umsetzung von Datensicherheitsmaßnahmen (in KMU)“ für Datenschutz-Coaching-Mitglieder statt.
Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung des Webinars hier ansehen:
Am 10.12.2019 haben die Office Hours für Beginner stattgefunden.
Datenschutz-Coaching-Mitglieder können die Aufzeichnung hier als MP3-Datei herunterladen:
Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein.
Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar).
Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. Du wirst sehr schnell sehen, dass das nicht geht. In der Folge kommt der Frust und häufig auch die Resignation. Und in der Konsequenz stehst du bzgl. Umsetzung von Datenschutz genauso wie im Jahr zuvor. Wahrscheinlich also nicht da, wo du sein wolltest.
Nur wie gehen wir hier vor? Für Datenschutz-Coaching-Mitglieder wird es im Jahr 2020 eine ganze Reihe von Unterstützungen geben. Jeden Monat werde ich Ideen präsentieren, wie du im eigenen Unternehmen oder deiner öffentlichen Stelle die richtigen Fragen stellst oder wie du deine Kunden dazu bewegen kannst, dir die entscheidenden Informationen zu geben, damit „Datenschutz“ letztlich besser dokumentiert und vor allem auch umgesetzt werden kann.
Natürlich kannst du das alles selbst am besten machen. Aber manchmal ist ein bisschen Hilfestellung auch ganz gut. Und dazu ist das Video hier vielleicht auch eine kleine Hilfe für dich:
Wenn dir das nicht ausreicht, kannst du natürlich Datenschutz-Coaching-Mitglied werden (falls du das noch nicht bist) und dann ab Januar 2020 durchstarten. Oder vielleicht möchtest du an einer Schulung „Datenschutz 2020“ teilnehmen, um hier den Impuls und die Vorlagen für das Jahr zu bekommen. Übrigens gibt es für diese Schulungen einen ordentlichen Rabatt für Datenschutz-Coaching-Mitglieder. Ggf. lohnt sich also beides. 😉
Im heutigen „Datenschutz-Mittwoch“ ging es um das Thema „Datenschutz-Schulungen in Unternehmen und öffentlichen Stellen“.
Hier ging es insbesondere um diese Fragen:
Die Aufzeichnung können sich Datenschutz-Coaching-Mitglieder sich hier ansehen:
