Datenschutz

Beiträge zu Datenschutz-Themen

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist?

Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt.

Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt):

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer (…)
2. als Halter eines Kraftfahrzeugs anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat (…).

Das beantwortet aber noch nicht die Frage, ob hierfür auch die Kopie eines Führerscheins zulässig ist oder nicht.

Finden einer Rechtsgrundlage

Also müssen wir uns auf die Suche nach einer Rechtsgrundlage begeben. Denn zweifelsohne stellt die Anfertigung einer Kopie eines Führerscheins im Kontext mit einem Beschäftigungsverhältnis eine Verarbeitung personenbezogener Daten dar.
Nach § 26 Abs. 7 BDSG gelten die Regelungen zur Verarbeitung von personenbezogenen Daten von Beschäftigten nämlich auch für Daten, die nicht-automatisiert verarbeitet werden.

Apropos § 26 BDSG – da wären wir auch schon bei der ersten einschlägigen Rechtsgrundlage, an die wir beim Anfertigen von Kopien von Führerscheinen von Beschäftigten denken könnten.

§ 26 BDSG als Rechtsgrundlage?

Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.

Knackpunkt – Erforderlichkeit

Knackpunkt ist hier (wie so häufig) die Erforderlichkeit – und…da wir uns im (zunächst) deutschen Recht befinden…wohl auch eine „Erforderlichkeit“ i.S.d. deutschen „Verhältnismäßigkeitsgrundsatzes“.

So würden jedenfalls die Arbeitsgerichte mit hoher Wahrscheinlichkeit sozusagen „reflexartig“ auf die Prüfung der Verhältnismäßigkeit springen, wenn sie den Begriff der Erforderlichkeit hören. Und ja…ich muss mir das auch gerade mühsam abtrainieren. Denn genau genommen ist sehr fraglich, ob bei einer Regelung wie z.B. § 26 BDSG, die nach meinem Verständnis wohl eine Art spezifischerer Regelung zu Art. 6 Abs. 1 lit. b) DSGVO darstellt, der deutsche Grundsatz der Verhältnismäßigkeit anzuwenden ist.

Aber egal…ich würde jedenfalls vermuten, dass ein Arbeitsgericht genau diesen Schritt aus o.g. Gründen („Reflex“) durchführen würde. Also schauen wir uns das mal an:

Wann liegt eine „Erforderlichkeit“ nach dem Grundsatz der Verhältnismäßigkeit im deutschen Recht vor?

Eine Maßnahme (wie die Kopie von Führerscheinen) ist verhältnismäßig, wenn

  1. die Datenverarbeitung geeignet ist, um den verfolgten Zweck der „Führerscheinüberprüfung“, zu erfüllen („Eignung“),
  2. es kein milderes Mittel gibt, dass gleich effektiv ist, um den Zweck zu erfüllen und schließlich („Erforderlichkeit“)
  3. die Schwere des mit der Datenverarbeitung einhergehenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten nicht außer Verhältnis zum „Gewicht“ des verfolgten Zwecks steht („Angemessenheit“)

Zweck der Verarbeitung ist hier übrigens nicht die Überprüfung des Vorliegens einer Fahrerlaubnis, sondern meines Erachtens vielmehr die Vermeidung einer Halterhaftung der Arbeitgeberin nach dem StVG. Die Überprüfung der Fahrerlaubnis und die Anfertigung einer Kopie sind hier nur Mittel zum Zweck. Das sollte man also immer differenziert betrachten.

Prüfen wir das also einmal durch.

Beispiel 1: Nehmen wir mal eine Vertriebsmitarbeiterin im Außendienst. Die soll einen Firmenwagen zur Verfügung gestellt bekommen. In dem Kontext möchte man eine Kopie des Führerscheins zu ihrer Personalakte nehmen. Ist das nach § 26 BDSG rechtlich zulässig?

Eignung: Zunächst einmal ist eine Überprüfung des Führerscheins und das Anfertigen einer Kopie zweifelsfrei geeignet, den Zweck der Vermeidung einer Halterhaftung wegen der schuldhaften Überlassung eines Fahrzeuges an Personen ohne eine Fahrerlaubnis zu erfüllen. Dahinter können wir also einen „Haken“ machen.

Anmerken möchte ich hier, dass es nach der Rechtsprechung des BVerfG bei der Frage der „Eignung“ oder „Geeignetheit“ noch nicht einmal erforderlich ist, dass das verwendete Mittel den Zweck erreicht. Es reicht aus, wenn das verwendete Mittel die Erreichung des Zwecks fördert. Das ist also schon sehr weit auszulegen. Zumindest wohl hier im deutschen Recht (§ 26 BDSG), in dem wir uns gerade befinden.

Erforderlichkeit: Diese Stufe der Verhältnismäßigkeitsprüfung ist die „Skeptikerinnen-Stufe“. Und die werden wir häufig bei Aufsichtsbehörden vorfinden. Denn Aufsichtsbehörden setzen „Datenschutz“ gerne auf genau dieser Ebene um. Und zwar indem sie den Standpunkt vertreten, dass es ein milderes Mittel gibt, um den Zweck zu erreichen.

So einfach ist das aber nicht. Denn das BVerfG (und die Rechtswissenschaft) hat den Grundsatz der Verhältnismäßigkeit zunächst einmal für staatliches Handeln in den o.g. Stufen der Eignung, Erforderlichkeit und Angemessenheit geprägt. Und zwar als unmittelbaren Ausfluss des Rechtsstaatsprinzips. Und danach gibt es für die Stufe der Erforderlichkeit ein dem „Gesetzgeber“ zugestandenen Beurteilungs- und Ermessensspielraum.

In der Folge können wir bei Gesetzen z.B. sehr häufig viele mildere Mittel finden, die gleich geeignet wären. Aber der Gesetzgeber hat hier eben einen Spielraum der Beurteilung und Entscheidung, in dem er sich bewegen kann. So sollen Gerichte eben nicht „Gesetzgebung“ spielen, sondern vielmehr nur die Schranken aufweisen, bei denen durch Gesetzte z.B. unzulässig in die Rechte von Bürgerinnen eingegriffen wird.

Nur gilt dieser o.g. Spielraum eben nicht in gleicher Weise für die Exekutive. Und fraglich ist auch, ob und inwieweit dieser Spielraum für die nichtöffentlichen Stellen, d.h. die Unternehmen gilt. Es ist aber unbestritten, dass die Verwaltung und auch Unternehmen auf der Stufe der „Erforderlichkeit“ einen eigenen Einschätzungsspielraum haben. Nur die „Weite“ ist halt unklar.

Das bedeutet im Ergebnis auch – zumindest hier im BDSG als einschlägig anzuwendendes Recht – dass eine Aufsichtsbehörde nicht ohne Weiteres ihre eigene Ansicht über ein milderes Mittel ansetzen darf, um eine Maßnahme z.B. für unzulässig zu halten.

Dass die Aufsichtsbehörden dies gleichwohl gerne so vertreten, können wir unlängst im Hinblick auf eine Erforderlichkeit bei der Datenverarbeitung für Vertragszwecke bei Online-Services nachlesen. Und zwar in den „Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (PDF) des Europäischen Datenschutzausschusses. Das ist allerdings wiederum ein anderes Thema, dessen Abhandlung hier den Rahmen sprengen würden.

Jedenfalls wird es in der Praxis beim Merkmal der „Erforderlichkeit“ in der Praxis interessant. Denn viele Aufsichtsbehörden erkennen hier einen Spielraum nicht oder kaum an.

Praktisch würde ich empfehlen, das Merkmal der „Erforderlichkeit“ bei der Datenverarbeitung durch Unternehmen im unmittelbaren Kontext mit der „Angemessenheit“ zu prüfen. Warum? Weil es so zu sachgerechteren Ergebnissen führt. Um das durchführen zu können, müssen wir uns aber um die „Angemessenheit“ kümmern.

Angemessenheit: Eine Datenverarbeitungsmaßnahme ist in ihrer konkreten Ausgestaltung dann angemessen, wenn die Beeinträchtigung, die der Datenverarbeitung für den Betroffenen bedeutet und der mit der Verarbeitung verfolgte Zweck in einem wohl abgewogenem Verhältnis zueinander stehen.

Und hier schlägt dann auch die Stunde der Abwägungen unterschiedlicher Rechtspositionen und vor allem der Grundrechte. Und im Ergebnis sind dann hier gute Argumente gefragt.

Da die oben angeführte „Erforderlichkeit“ – also die Frage nach einem milderen Mittel, das gleich geeignet zur Zweckerreichung ist – kann ehrlicherweise wohl nur dann praktisch erfolgen, wenn wir die rechtlichen Ansprüche, Interessen oder Schutzgüter von Verantwortlichen und Betroffenen miteinander abwägen. Daher würde ich immer dazu raten, im Datenschutzrecht die Prüfung der Erforderlichkeit und Angemessenheit zusammenzuziehen.

Zurück zum Beispiel 1

Also tun wir das noch mal im Hinblick auf das konkrete Beispiel 1 . Die Geeignetheit hatten wir oben ja schon festgestellt. Offen sind also noch Erforderlichkeit und Angemessenheit.

Gibt es ein milderes Mittel, das Vorliegen einer Fahrerlaubnis für eigene Zwecke zu dokumentieren, um seine Risiken aus der Halterhaftung zu minimieren? Ja, das gibt es. Denn es wäre ein milderes Mittel, sich den Ausweis vorzeigen zu lassen, und sich einen Vermerk darüber anzufertigen (bzw. es geeignet zu dokumentieren), dass Mitarbeiterin X am Tag X im Besitz einer Fahrerlaubnis der Fahrerlaubnisklasse Z war.

Ich kenne einige Arbeitgeberinnen, die hier jetzt sofort einwerfen würden, dass die Anfertigung einer Kopie viel weniger Aufwand bereiten würde und zudem nur so „beweissicher“ eine Halterhaftung vermieden werden könnte.

Tja…und dann geht es los. Denn jetzt müssen wir hier die entgegenstehenden Positionen miteinander abwägen. Und hier werden wir auch die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO heranziehen müssen. Und dort speziell Art. 5 Abs. 1 lit. c) DSGVO – den Grundsatz der Datenminimierung. Danach muss die Verarbeitung personenbezogener Daten insbesondere „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Erinnern wir uns diesbezüglich noch einmal um den Zweck. Der Zweck ist die Vermeidung der Halterhaftung aus § 21 StVG. Für diesen Zweck muss eine Maßnahme getroffen werden, die sicherstellt, dass nur die Beschäftigten ein Firmenfahrzeug fahren, die im Besitz einer gültigen Fahrerlaubnis sind.

Sicher kann da das Anfertigen einer Kopie ein geeignetes Mittel für die Dokumentation der Prüfung sein.

Nur wiegt das Argument nicht schwer. Denn auch eine Kopie einer Fahrerlaubnis ist nicht geeignet, sicherzustellen, dass eine Beschäftigte zu einem späteren Datum noch im Besitz einer gültigen Fahrerlaubnis ist.

Genau genommen ist das Anfertigen einer Kopie nur ein Mittel der Dokumentation der erfolgten Überprüfung der Fahrerlaubnis. Ist diese erforderlich, um die Gefahren der Halterhaftung zu minimieren. Unter Berücksichtigung der Angemessenheit der Maßnahme muss ich das ehrlicherweise verneinen. Denn ein Gericht würde keine Verurteilung vornehmen dürfen, nur weil ein Unternehmen entgegen seinen datenschutzrechtlichen Pflichten zur Datenminimierung keine Kopie von Fahrerlaubnissen angefertigt hat. Das Argument der „Beweissicherheit“ überzeugt daher hier auch insgesamt nicht.

Denkbar wäre, dass einige KfZ-Haftpflichtversicherer die Anfertigung von Kopien von Führerscheinen als vertragliche Pflicht der Versicherungsnehmerin in Versicherungsverträgen vornehmen. Das ist derzeit aber wohl nicht bzw. nicht häufig der Fall. Mir ist jedenfalls kein Versicherer bekannt, der dies fordert. Entsprechende Klauseln dürften zudem mit hoher Wahrscheinlichkeit unzulässig sein, da sie einer gesetzlichen Regelung zum Datenschutz (s.o.) widersprechen bzw. mit dieser nicht in Einklang zu bringen wären.

Damit bliebe als „PRO“-Argument für die Kopie nur noch eine Arbeitserleichterung für die Arbeitgeberin. Nur ist diese wiederum bei einer Gesamtschau unter Berücksichtigung der Rechte der Betroffenen nicht angemessen. Insbesondere weil es nicht schwierig sein dürfte, hier einen effektiveren „Workflow“ einzurichten, der eine schnelle Dokumentation einer Überprüfung der Fahrerlaubnis ohne Mehraufwand ermöglicht.

Ergebnis:

§ 26 BDSG ist keine ausreichende Rechtsgrundlage für die Anfertigung von Führerscheinkopien

Ergebnis zu Beispiel 1: Ich halte § 26 BDSG nicht für eine Rechtsgrundlage, die das Anfertigen von Kopien von Führerscheinen erlaubt.

Rechtlich ist übrigens auch ein anderes Ergebnis vertretbar, überzeugt mich aber nicht. Dann wäre eine Zulässigkeit nach § 26 BDSG nach meinem Dafürhalten allerdings nur dann vertretbar, wenn es sich um Beschäftigte handelt, die deren Tätigkeit für das Unternehmen einen „fahrbaren Untersatz“ in Form eines Kraftfahrzeugs voraussetzt.

Rechtspflicht zur Anfertigung von Führerscheinkopien?

Auf der nächsten Stufe könnte man sich überlegen, ob es nicht eine rechtliche Verpflichtung zum Anfertigen von Kopien von Führerscheinen gibt.

Aus dem StVG ergibt sich dies jedenfalls nicht direkt. Insoweit wird man also auch hier keine Rechtsgrundlage für die Anfertigung von Führerscheinkopien finden können.

Zulässigkeit auf Basis einer Interessenabwägung

Nächste Station beim Finden einer Rechtsgrundlage für das Anfertigen von Führerscheinkopien wäre dann die Datenverarbeitung aus Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Hier muss ich zunächst ein Interesse an der Datenverarbeitung für den Verantwortlichen oder einen Dritten bestehen.

Hier reicht jedes Interesse aus, das von der Rechtsordnung gebilligt wird. Dazu kann auch gehören, dass ich mich möglichst gut, gegen eine etwaige Haftung oder gar Strafbarkeit absichern möchte und daher z.B. gerne Führerscheinkopien vorhalten möchte. Und dazu kann es „erforderlich“ sein, die Kopien zu speichern.

Dann muss ich auf der nächsten Stufe jedoch mit einem möglicherweise überwiegenden entgegenstehenden Interesse der betroffenen Beschäftigten abwägen.

Wenn wir es mal plastisch machen wollen, wäre das Interesse der Arbeitgeberin im Hinblick auf Sinnhaftigkeit und Erforderlichkeit der Speicherung von Führerscheinkopien auf einer Skala von 1 – 10 vielleicht auf „2“ einzuordnen. Zumindest wäre das meine persönliche Einordnung.

Das Interesse der durchschnittlichen Betroffenen, dass ihre Führerscheinkopien beim Arbeitgeber nicht digital gespeichert werden, da diese bereits vorgezeigt wurden, dürfte auf der Skala nach meiner Einschätzung aber sicher bei 8 – 9 liegen.

Ohne lange herumdiskutieren zu wollen, meine ich nicht, dass die Interessenabwägung hier zugunsten der Speicherung durch die Arbeitgeberin ausfallen kann.

Daher kann die Speicherung nicht auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgen.

Wenn nichts mehr hilft, hilft die Einwilligung…

Da alle anderen Rechtsgrundlagen offensichtlich ausscheiden, bleibt noch die Einwilligung.

Nach Art. 6 Abs. 1 lit. a) DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Und nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Dabei werden diese Anforderungen an die Einwilligung in Deutschland im Beschäftigungsverhältnis hinsichtlich der Freiwilligkeit durch § 26 Abs. 2 BDSG konkretisiert.

Hier können wir schon daran zweifeln, ob insoweit eine Regelungskompetenz der Bundesrepublik Deutschland bestand, aber lassen wir das mal so stehen. Denn sinnvoll ist die Regelung in § 26 Abs. 2 BDSG aufgrund des im Arbeitsverhältnis ggf. bestehenden Ungleichgewichts zwischen Arbeitgeberin und Arbeitnehmerin im Hinblick auf die Freiwilligkeit meines Erachtens schon.

Was ist denn nun dort zur Freiwilligkeit in § 26 Abs. 2 BDSG geregelt? Wörtlich heißt es dort:

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Dass Beschäftigte generell eine Einwilligung erteilen können, weil sie – übertrieben formuliert – ihr Gehirn nicht am Werkstor abgeben, hat das BAG schon vor einiger Zeit entschieden (vgl. dazu mein Beitrag hier).

Festgestellt werden kann, dass eine Einwilligung die Speicherung von Führerscheinkopien zulässig sein kann.

Voraussetzung ist aber, dass dann eine freie Wahl besteht. Und daran könnten u.U. Zweifel bestehen, weil fraglich ist, was denn die Konsequenz ist, wenn die Einwilligung nicht erteilt wird. Darf der Arbeitgeber dann ggf. die Nutzung eines Firmenwagens untersagen? Das ist tatsächlich nicht so einfach zu beantworten.

Meine Empfehlung

Da sich der Sinn für eine Speicherung von Führerscheinkopien mir nicht gänzlich erschließt und diese vor allem rechtlich nicht geboten sind, würde ich generell eher davon abraten, diese Kopien zu speichern.

Es gibt aber ein in der Praxis wichtiges Ausnahme-Szenario. Dieses kann vor allem bei Unternehmen mit mehreren Standorten einschlägig sein. Oder auch dann, wenn z.B. Lebenspartner von Beschäftigten den Dienstwagen mitnutzen können sollen.

In diesen Fällen kann es sein, dass aufgrund einer nicht vorhandenen örtlichen Nähe eine Speicherung von Führerscheinkopien zulässig sein kann. Denn dann ist im Interesse des Beschäftigten, z.B. über eine Internet-, Intranetportal oder über eine App, Bilder von seinem Führerschein zu übermitteln, damit diese dann für Zwecke der Prüfung des Vorliegens einer Fahrerlaubnis gespeichert werden können.

Und für die Angehörigen von Beschäftigten, für die insoweit nicht die Einschränkungen von § 26 Abs. 2 BDSG greifen, kann eine Einwilligung in diesem Szenario ebenfalls zulässig erteilt werden.

Voraussetzung ist hier immer eine transparente und verständliche Beschreibung der Verarbeitungszwecke und der Verarbeitungsumfangs (inkl. Speicherdauer) sowie ein Hinweis auf den Widerruf der Einwilligung und dessen Folgen.

Wenn die Einwilligung dann noch entsprechend protokolliert wird, steht der Speicherung von Führerscheinkopien im o.g. Szenario grundsätzlich nichts im Wege.

Neue Versionen der Musterverträge für externe DSB

Für Datenschutz-Coaching-Mitglieder stehen seit heute überarbeite Versionen der Musterverträge für die Tätigkeit des externen DSB zur Verfügung.

Ich habe nur kleine Änderungen vorgenommen. Die neuen Vertragsversionen finden Datenschutz-Coaching-Mitglieder hier:

Die Änderungen sind jeweils hier (Pauschalvergütung) und hier (aufwandsbasierte Vergütung) kenntlich gemacht.

Datenschutz-Mittwoch – Kostenlose Kurzwebinare im November / Dezember 2019

Das Jahr nähert sich nun mit dem November so langsam dem Ende. Und da auch dieses Jahr im Hinblick auf Umsatz und Gewinn wieder sehr erfreulich war, habe ich mir gedacht, dass es eine gute Idee ist, auch für „Nicht-Datenschutz-Coaching-Mitglieder“ etwas Gutes zu tun.

Und da kam mir die Idee, so etwas Ähnliches zu machen, wie die „Tutorial Tuesdays“. Das ist eine zweiwöchentliche Kurz-Webinarreihe von Joanna Wiebe von den Copyhackers. Das hat nun gar nichts mit Datenschutz zu tun. Ich bin allerdings ein großer Fan dieser Webinarreihe. Und das Beste ist…sie ist kostenlos.

Und es gibt etwas Besonderes an dieser Webinarreihe: Sie beginnt und endet jeweils pünktlich. Den Ansatz mag ich.

Und so ist bei mir der Datenschutz-Mittwoch entstanden. In der Zeit vom 06.11.2019 bis einschließlich 11.12.2019 werde ich jeden Mittwoch in der Zeit von 10:00 Uhr bis 10:15 Uhr ein Kurz-Webinar zu einem Datenschutz-Thema machen. Das jeweilige Thema wird zuvor über meinen Newsletter Datenschutz-Tipps mitgeteilt und natürlich auch der Einwahl-Link.

Die Termine kannst du jederzeit auch im Terminkalender finden.

Dich erwarten da übrigens in der Regel nicht Folienvorträge, sondern meine Wenigkeit vor einer Kamera…mit einem Mikrofon. That’s it. Ein locker-flockiges Format…hoffe ich jedenfalls. Schau dann doch einfach mal rein.

Die Webinare werden aufgezeichnet. Die Aufzeichnungen sind dann allerdings nicht kostenlos, sondern nur für Datenschutz-Coaching-Mitglieder zugänglich.

Ich möchte ja auch von etwas leben… 😊

Bye, bye Passwortwechsel-Zwang (Update Oktober 2019)

Update, 20.10.2019: Auch das Bundesamt für die Sicherheit in der Informationstechnik passt sich an. Dazu eine Ergänzung am Ende des Textes.

Viele Praktiker können meine Erfahrungen bei Mandanten vor Ort sicher bestätigen:
Der in Unternehmen vorgegebene Zwang zum Wechseln von Passwörtern (i.d.R. alle 90 Tage) kann zu bunten Zetteln am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann eben die Passwörter. Und das wiederum macht IT-Systeme eben nicht unbedingt sicherer. Im Gegenteil.

Wir Menschen sind eben gerne ein wenig „faul“. Und das ist auch gut so. Ein ehemaliger VWL-Professor, der an der rechtswissenschaftlichen Fakultät der Uni Göttingen lehrte, erzählte uns in dem Kontext immer vom „Homo Oeconomicus“ und warum das dazu führe, dass z.B. auf Freiflächen immer Trampelpfade neben dem eigentlich vorgesehenen Weg entstehen, wenn der eigentlich vorgegebene Weg keinen Sinn macht oder eben einfach einen Umweg darstellt.

Und so ähnlich ist das auch mit den Passwörtern und den Zetteln. Wenn uns das Unternehmen vorgibt, dass wir alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass „Trampelpfade“ entstehen. Nur, dass es dann eben kleine gelbe Klebezettel sind – mit Passwortinformationen.

Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab.

Und in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern .

Einen förmlichen Luftsprung vor Begeisterung habe ich wegen dieser Passage hier gemacht:

2) Keine regelmäßige Änderung erzwingen
Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Endlich äußerte sich eine deutsche Behörde dazu. Leider, leider scheint das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch etwas vorsichtiger zu sein. Das BSI schreibt in seinem 2019 überarbeiten IT-Grundschutz-Kompendium immer noch wörtlich (Hervorhebung durch Fettdruck von mir):

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden.

Eines möchte ich jedoch deutlich sagen. Ich bin kein IT-ler, sondern Jurist. Und da immer noch umstritten, ob ein Passwortwechsel-Zwang sinnvoll sein kann oder nicht, kann ich nicht zweifelsfrei sagen, was nun die beste Lösung ist. Aus meiner Erfahrung mit Klebezetteln an Monitoren bei der Mandantschaft neige ich jedoch sehr stark dazu, dass Passwortwechsel-Zwänge in der Regel nicht sinnvoll sind.

Und jetzt gibt es auch etwas Neues und weitere Unterstützer der neuen „Lehre“. Denn nunmehr hat sich – wie ich heute erfahren habe – auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

Und dort können wir unter Ziff. 2.2 wörtlich lesen:

2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Ich persönlich begrüße diese Entwicklung sehr und bin gespannt, ob sich auch das BSI in dieser Angelegenheit auch noch einmal deutlicher zu Wort melden wird. Denn – wie gesagt – es gibt durchaus immer noch Befürworterinnen von Passwortwechsel-Zwängen.

Update, 20.10.2019:

In seinen im Oktober 2019 vorgestellten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ (PDF) hat das BSI nun die Vorgaben zum Passwortwechsel geändert.

Wörtlich heißt es dort nun in „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B):

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Insbesondere die Formulierung „Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ macht deutlich, dass sich nun auch das BSI von dem Passwortwechsel-Zwang abkehrt. Eine – wie ich finde – gute Entwicklung.

Was bedeutet das „Planet49“-Urteil des EuGH für deine Cookies? Nicht jedes Cookie braucht ‘nen „Daumen hoch“

Am 01.10.2019 ist eine kleine Keksbombe geplatzt. Am morgen hat der EuGH sein Urteil in der Rechtssache „Planet49“ verkündet.

Und im Ergebnis hat das für ein bisschen mehr Klarheit im Bereich der Verwendung von Cookies gesorgt. Natürlich haben jetzt viele über das Urteil geschrieben. Beispielhaft nenne ich hier mal die Beiträge von Nina Diercks, Thomas Schwenke und Stefan Hanloser.

Vorwort

Ich will mich hier gar nicht so sehr mit den Details des Urteils beschäftigen. Ehrlich gesagt lohnt sich das auch gar nicht wirklich. Wirklich überraschend war die Entscheidung nämlich nicht. Mir kam es eher so vor, dass die „Cookie-Setzenden“ sowie ihre Beratenden wie z.B. wir Anwältinnen und Anwälte die Hoffnung hatte, dass die frühere „Cookie-Praxis“ doch noch vom EuGH gerettet wird. Eine Hoffnung, die mir von vornherein so vorkam, wie die Hoffnung, dass ein Klimawandel nicht stattfindet.

Die Vorlagefragen

Aber zu Sache:

Der EuGH hatte vom BGH einige Fragen gestellt bekommen. Und die hat er beantwortet.

Es handelte sich um diese Fragen, die ich von „Jura“ zu „Deutsch“ übersetzt habe, es sind also nicht die Originalfragen:

  1. Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  4. Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Um es vorwegzunehmen ist hier aber auch wichtig zu erkennen, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ i.S.d. Art. 5 Abs. 3 ePrivacy-RL ist. Gefragt wurde auch nicht danach, inwieweit ich für das Setzen des Cookies verantwortlich bin, wenn ein Dritter („3rd-Party“ das Cookie setzt. Und schließlich hat der BGH auch nicht danach gefragt, ob das Setzen von Cookies bei nicht vorhandener Umsetzung der ePrivacy-RL in Deutschland ggf. auf anderen Rechtsgrundlagen der DSGVO als Art. 6 Abs. 1 lit. a) DSGVO basieren kann.

Die Antworten des EuGH

Keine Einwilligung bei vorangekreuzter „Checkbox“

Die Antworten des EuGH fielen deutlich aus. Und glücklicherweise müssen uns noch nicht einmal alle Ausführungen zu interessieren. Denn viele Ausführungen des Urteils beziehen sich auf die alte EG-Datenschutzrichtlinie, die seit Anwendung der DSGVO nicht mehr in Kraft ist. Die Antwort auf die Frage ein bzgl. der EG-Datenschutzrichtlinie möchte ich daher hier gar nicht weiter thematisieren.

Da die Vorgaben der DSGVO zur Einwilligung insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war klar, dass der EuGH in einer vorangekreuzten Checkbox keine wirksame Einwilligung erkennen kann.

Hier war nichts anderes zu erwarten, zumal Erwägungsgrund 32 der DSGVO dieses Szenario von „bereits angekreuzte“ Kästchen konkret adressiert.

Damit war die o.g. erste Frage denn auch schon klar beantwortet.

Gilt das auch, wenn die Informationen in den Cookies nicht personenbezogen sind?

Bei dieser Frage war das Ergebnis mal nicht ganz klar und insoweit spannend. Jetzt könnte man sagen, dass das doch eigentlich egal wäre, da Art. 5 Abs. 3 ePrivacy-RL ja nicht von personenbezogenen Daten spricht, sondern es hier nur darum geht, das in das Recht auf Privatheit i.S.d. Art. 7 GRCh eingegriffen wird.

Das könnte man allerdings mit Blick auf die unklaren Schutzgüter und die Wechselwirkung mit der DSGVO und dem Recht auf den Schutz personenbezogener Daten i.S.d. Art. 8 GRCh ggf. auch anders sehen.

Der EuGH spricht sich hier aber mit Blick auf die Erwägungsgründer der ePrivacy-RL klar dafür aus, dass das Einwilligungserfordernis auch dann gelte, wenn die Informationen im Endgeräte des Nutzers (wie z.B. in Cookies) nicht personenbezogen sind.

Wenn der EuGH das hier anders gesehen hätte, dann hätten viele größere Internetseiten mehr Spielraum gehabt. Denn die Cookies werden in der Regel nicht von ihnen selbst, sondern von den Werbepartnern gesetzt, die wiederum für die Datenverarbeitung für Werbezwecke selbst Verantwortliche sind. Nur für die Phase der Erhebung könnte man ggf. eine gemeinsame Verantwortlichkeit annehmen. Nur dann wäre die Frage für den Internetseitenanbieter gewesen, ob er denn nun die Einwilligung einholen muss oder ob diese Phase der Datenverarbeitung insoweit vielleicht unbedingt erforderlich wäre. Egal…das wären jedenfalls tiefergehende juristische Probleme gewesen, die wir jetzt einfach nicht haben, weil der EuGH hier klare Worte gefunden hat.

Welche Cookie-Infos sind dem Nutzer zu erteilen?

Auch hier muss sich der EuGH zunächst mit der alten EG-Datenschutzrichtlinie befassen, die uns nicht mehr interessiert. Hier führt er aber zunächst grundlegend aus, dass folgende Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a) DSGVO) erforderlich sind:

  • Identität des Verantwortlichen
  • Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
  • weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Dann biegt der EuGH zur DSGVO ab und bestätigt nur kurz, dass sich das nach Art. 13 DSGVO auch ergebe.

Im Ergebnis sind daher Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.

Soweit so gut oder schlecht. Nur…

Was passiert als Nächstes?

Nun der Ball liegt jetzt wieder im Spielfeld des BGH. Der BGH muss nun entscheiden, wie das Ganze im deutschen Recht zu bewerten ist.

Problem ist, dass der BGH wohl vorhatte, den noch geltenden § 15 Abs. 3 TMG richtlinienkonform, d.h. europarechtskonform auszulegen. Nur…wenn wir uns den Wortlaut ansehen, wird das kaum gehen. Er ist schlichtweg nicht europarechtskonform.

Da die ePrivacy-RL nach der Rechtsprechung des EuGH zur unmittelbaren Wirkung von nicht umgesetzten EU-Richtlinien nicht unmittelbar für nicht-staatliche Internetseitenanbieter gilt, liegt nicht zwingend ein Rechtsverstoß vor. Der BGH wird hier wohl am ehesten § 15 TMG für nicht anwendbar erklären und dann zu Art. 6 DSGVO herüberspringen.

Nach den Ausführungen des EuGH würde ich meinen, dass der BGH dann nur Art. 6 Abs. 1 lit. a) DSGVO – also eine Einwilligung – als einschlägige Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland halten wird.

Letztlich müssen wir aber noch abwarten.

Wie geht es weiter? Wird es neue Gesetze geben?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen angekündigt, dass sie eine Änderung des TMG vornehmen wollen, wenn der EuGH in der Rechtssache „Planet49“ entschieden hat.

Ich gehe davon aus, dass dann in Deutschland eine Umsetzung von „Cookie Law“ in Deutschland durch das TMG erfolgen wird. Das wird aber noch ein wenig dauern.

Wegen der Entscheidung des EuGH kann es gut sein, dass nun wieder Dynamik des stockenden Gesetzgebungsprozesses um die ePrivacy-Verordnung kommen wird. Deswegen, weil das eine Chance wäre, die nun in der EU schon länger bestehenden „Cookie-Klickorgien“ mal zu beenden und durch vernünftige (technische) Verfahren zu ersetzen. Aber das wird ebenfalls noch dauern.

Was solltest du jetzt tun, wenn du eine Internetseite hast?

Hier die Handlungsempfehlungen in Kürze:

  1. Don’t panic! Es bringt jetzt nicht, hastig zu reagieren. Lieber das Gehirn noch einmal mit Sauerstoff belüften, durchatmen und dann überlegen, was sinnvoll ist. Hilfreich können die nachfolgenden Schritte sein.
  2. Analysiere, ob und welche Cookies (und für welchen Zweck) beim Aufruf deiner Website im Browser gesetzt werden.
  3. Unterscheide die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
  4. Bei den Session-Cookies schaust du dir an, ob du die wirklich benötigst. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt.
    Es gilt immer, wenn du das nicht wirklich brauchst: Schmeiß’ weg!

    Session-Cookies, die du z.B. für die Warenkorb-Steuerung brauchst, können als unbedingt erforderlich gelten. Für die brauchst du keine Einwilligung.

    Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.

  5. Bei den Persistent-Cookies wird es dann schwieriger. Hier solltest du genau schauen, was du davon brauchst und ob es unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.

    Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und du daher eine Einwilligung benötigst.

    Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

  6. Wenn du eine Einwilligung als Rechtsgrundlage für Cookies benötigst, musst du sicherstellen, dass das jeweilige Cookie gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
  7. Vor einer Einwilligung müssen Nutzer über Zweck des Cookies und Empfänger von Daten informiert werden.

    Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verarbeitung der Cookie-Daten ist.
    ACHTUNG: Das bist du häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit dir verantwortlich. Hier ist auch noch vieles unklar.

    Empfehlen würde ich aber, mit den jeweiligen Anbietern jetzt dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen. Ich gehe davon aus, dass das noch wichtig werden wird.

  8. Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen „conditio sine qua non“. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegen sprechen aber natürlich auch Argumente.
    Das Ganze ist also extrem „wackelig“. Ich würde hier aktuell raten, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

Notfallkarte bei IT-Notfällen – Gute Idee von BSI und DIHK

Heute haben haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Deutsche Industrie- und Handelskammertages (DIHK) eine sehr gute Idee vorgestellt, wie ich finde. Und zwar gleich mit einem Muster bzw. einer Vorlage.

Worum geht es?

Wir allen kennen Notfallkarten, die uns auf „einer Seite“ Aufschluss darüber geben, wie wir uns z.B. in einem Brandfall zu verhalten haben.

Warum diese Idee nicht auch auf die immer häufiger vorkommenden IT-Notfälle übertragen? Genau…das ist eine sehr gute Idee. Und herausgekommen ist eine Notfallkarte für IT-Notfälle“, die sich speziell an kleine und mittlere Unternehmen richtet.

Die Karte sieht so aus:

Download der Noffallkarten

Angegeben wird also lediglich eine Notfrufnummer. Die Notfallkarte kann in zwei Formaten hier heruntergeladen werden:

Weitere Informationen zu der Notfallkarte gibt es hier.

Dazu gehört u.a. auch dieser Maßnahmen-Katalog zum Notfallmanagement (Fokus IT-Notfälle) (PDF)

WhatsApp in der Unternehmenskommunikation – Gute Webinaraufzeichnung von Rechtsanwalt Dr. Martin Schirmbacher

WhatsApp ist in Deutschland und in vielen anderen Ländern der EU nicht mehr wegzudenken.

Und auch heute steht die Nutzung von WhatsApp unter schwierigen rechtlichen Vorzeichen. Auch wenn (derzeit) die Kommunikationsinhalte als „verschlüsselt“ gelten können, bleiben vor allem die Themen des Adressbuch-Uploads und die Auswertung der Metadaten der Kommunikation (wer hat wann mit wem kommuniziert) durch WhatsApp (und damit ggf. auch Facebook).

Welche rechtlichen Probleme bei WhatsApp in der „Service-Kommunikation“ auftreten und welche Lösungen hierfür bestehen, kann man sich in einer ca. 60-minütigen Aufzeichnung der Kanzlei Härting Rechtsanwälte mit dem sehr geschätzten Kollegen – Rechtsanwalt Dr. Martin Schirmbacher als „Dozenten“ – sowie einem „Gast“ (Gerrit Rode, 360Dialog GmbH) anschauen:

Die Rechtsprechung des EuGH zum Datenschutzrecht besser verstehen

Wenn du ein ernsthaftes Interesse daran hast, die Rechtsprechung des EuGH zum Datenschutzrecht ein wenig besser zu verstehen, dann kann ich dir dieses Video von einer Rede, die der derzeitige Präsident des EuGH – Koen Lenaerts – im Jahr 2018 vor dem Europäischen Parlament gehalten hat.

Er geht auf die wesentlichen Entscheidungen des EuGH zum Datenschutzrecht einzeln ein. Und das ist wirklich hilfreich, um die Leitlinien nachzuvollziehen, die der EuGH bei diesen Entscheidungen verfolgt hat.

Es sind wirklich lohnende 63 Minuten:

Verpflichtung auf das Sozialgeheimnis (Muster)

Das Sozialgeheimnis (§ 35 SGB I) gilt – auch wenn man dies häufig anderswo falsch liest – nur für Sozialleistungsträger i.S.d. § 12 SGB I.

Sozialleistungsträger sind die staatlichen Stellen, die in den §§ 18 bis 29 SGB I genannten Körperschaften, Anstalten und Behörden, die Leistungen nach den Sozialgesetzbüchern erbringen.

Auch wenn „Private“ – also z.B. Unternehmen – an dieser Leistungserbringung mitwirken können, so werden sie dazu dennoch nicht automatisch zu Sozialleistungsträgern. Ob und wie nun für diese „Privaten“ auch das Sozialgeheimnis zu wahren und ob die Beschäftigten in diesen Unternehmen oder Vereinen auf das Sozialgeheimnis zu verpflichten sind…dazu kommen wir später.

Nur wenn Unternehmen im Wege der Auftragsverarbeitung für Sozialleistungsträger tätig werden gilt das Sozialgeheimnis wegen § 35 Abs. 6 SGB I direkt auch für die Auftragsverarbeiter.

Sozialleistungsträger sollten ihre Beschäftigten gesondert über das „Sozialgeheimnis“ und damit den sorgsamen Umgang mit Sozialdaten i.S.d. § 67 Abs. 2 SGB X informieren. Dies kann über eine Verpflichtung auf das Sozialgeheimnis erfolgen. Wenn du dich im Internet auf die Suche nach entsprechenden Mustern begibst, wirst du häufig veraltete Muster wiederfinden, die noch nicht an die DSGVO und die damit einhergegangenen Änderungen an den Sozialgesetzbüchern angepasst sind.

Ich stelle hier ein Muster für die Verpflichtung auf das Sozialgeheimnis von Beschäftigten bei Sozialleistungsträgern zur Verfügung:

Dieses Muster passt jedoch nicht für Unternehmen, die im Zusammenhang mit der Erbringung von Sozialleistungen mitwirken, also z.B. technische oder organisatorische Dienstleistungen erbringen.

Wenn ein Sozialleistungsträger Sozialdaten an eine nicht-öffentliche Stelle übermittelt, dann muss der Sozialleistungsträger nach § 78 Abs. 1 Satz 2 SGB X dies nur tun, wenn die Empfängerin der Daten sich gegenüber der übermittelnden Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dem sie ihr übermittelt werden.

Dies wird in der Praxis häufig dadurch erfolgen, dass die Empfängerin der Daten sich zur Einhaltung des Sozialgeheimnisses verpflichtet. Dieses Sozialgeheimnis gilt aber dann eben nicht automatisch deswegen, weil es sich um „Sozialdaten“ handelt, die empfangen werden. Sondern diese Verpflichtung auf das Sozialgeheimnis wirkt dann „vertraglich“. Vertraglich deswegen, weil man sich gegenüber dem Sozialleistungsträger zur Wahrung des Sozialgeheimnisses verpflichtet.

In diesen Fällen passt das o.g. Muster nicht mehr Daher sollte für Unternehmen dieses Muster zur Verpflichtung auf das Sozialgeheimnis verwendet werden:

Das Muster kann gerne an eigene Bedürfnisse angepasst und verwendet werden.

Neue Mitarbeiterin oder neuer Mitarbeiter? Was ist datenschutzrechtlich zu „regeln“ (mit Muster)?

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter in einem Unternehmen beschäftigt wird, dann gibt es einiges zu regeln.

Die Kollegin muss in der Personalabteilung „aufgenommen“ werden. Dafür gibt es in der Regel ein sog. Stammdatenblatt, das alle Angaben enthält, die man zur Berechnung und Auszahlung von Lohn oder Gehalt sowie der Bezahlung von Lohnsteuer, sonstigen Abgaben und auch den Krankenkassenbeitragen etc. benötigt.

Außerdem muss der neue Kollege natürlich auch das Unternehmen und vor allem die Abläufe im Unternehmen kennenlernen und in seinen Arbeitsplatz eingewiesen werden. Das ist alles andere als trivial. Ein gutes „Onboarding“ ist hier hilfreich.

Unabhängig davon gibt es auch noch jede Menge weiterer Dinge zu regeln, die dann auch weiter Bezug zum „Datenschutz“ haben können. So erhält die Kollegin in der Regel eine E-Mail-Adresse und auch Berechtigungen für IT-Systeme. Das beinhaltet den Zugang zu internen Inhalten, die z.B. wie im Fall von Windows in der Regel über das „Active Directory“ geregelt werden.

Aber was muss ich nun nach der Datenschutz-Grundverordnung (DSGVO) mit der neuen Kollegin bzw. dem neuen Kollegen „regeln“?

In den Köpfen vieler Mitarbeiterinnen schwirrt da noch dieser Gedanke:

Es muss eine Verpflichtung auf das „Datengeheimnis“ erfolgen.

Das war früher – in „Vor-DSGVO-Zeiten“ – richtig. Mit der DSGVO gibt es das Datengeheimnis nicht mehr. Daher sollte ich Beschäftigte auch nicht mehr auf ein nicht relevantes Datengeheimnis verpflichten.

Aber…es gibt doch noch ein Datengeheimnis…schließlich steht das ja auch in § 53 BDSG – und zwar dem „neuen“ BDSG. Nun…das ist richtig. Allerdings gelten alle Vorschriften ab dem § 45 BDSG (und damit auch § 53 BDSG) nur „für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Das ergibt sich ausdrücklich aus § 45 BDSG.

Und damit bleibt es dabei: Es gibt grundsätzlich kein Datengeheimnis in Unternehmen mehr, auf das verpflichtet werden könnte.

Die DSGVO enthält zwar keine Regelungen zu einem „Datengeheimnis“. Sie setzt aber an mehreren Stellen voraus, dass Unternehmen (und öffentliche Stellen) ihre Beschäftigten auf die Vertraulichkeit verpflichten.

Eine ganz konkrete Regelung existiert z.B. für Auftragsverarbeiter in Art. 28 Abs. 3 lit. b) DSGVO. Danach muss ein Auftragsverarbeiter gewährleisten, dass „sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Für Verantwortliche, die nicht Auftragsverarbeiter sind, gibt es eine solche unmittelbare Regelung nicht. Jedenfalls nicht direkt. Denn so lässt sich aus der Mutter-„Compliance“-Norm der DSGVO (Art. 24 Abs. 1 DSGVO) in Verbindung mit den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO durchaus ableiten, dass Verantwortliche ihre Beschäftigten auf den vertraulichen Umgang zu verpflichten haben.

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche technische und organisatorische Maßnahmen um, die sicherzustellen und den Nachweis dafür erbringen können, dass die Verarbeitung im Unternehmen gemäß der DSGVO erfolgt.

Hieraus wird man neben einer Einarbeitung in die Datenverarbeitungsvorgänge im Unternehmen auch eine schriftliche Verpflichtung der Beschäftigten auf die Vertraulichkeit ableiten können. Selbst wenn man diese nicht für zwingend erachten würde, macht eine Verpflichtung in jedem Fall Sinn.

Wie kann nun so eine Verpflichtung aussehen?

Da hat das Unternehmen ziemlich freie Hand. In Deutschland macht es jedoch Sinn neben den Regelungen zur DSGVO auch das BDSG und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) anzusprechen. Das kann z.B. ungefähr so erfolgen.

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

Dann sollten die wesentlichen Strafvorschriften gerne (auszugsweise) abgedruckt werden.

Und natürlich sollte das Ganze vom Beschäftigten unterschrieben werden und im Unternehmen aufbewahrt werden (z.B. in der Personalakte).

Datenschutz-Coaching-Mitglieder können hier ein Muster einer Vertraulichkeitsverpflichtung für Beschätigte als Word-Dokument herunterladen:

Kostenloser Mustervertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Es scheint ein guter Tag für Musterverträge zu Art. 26 DSGVO zu sein. Nachdem die Aufsichtsbehörde in Baden-Württemberg ihr Muster heute veröffentlicht hat, stelle ich hier nun meinen Mustervertrag für eine „Vereinbarung zur gemeinsamen Verantwortlichkeit“ kostenlos zur Verfügung.

Haftungsausschluss:
Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.

Und hier ist der Mustervertrag:

Nutzungsbedingungen:
Urheber für das nachfolgende Vertragsmuster ist Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt und erwünscht.

Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung des Urhebers als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln: Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Praxisreihe Videoüberwachung (DSGVO): Das Hinweisschild

Update (21.05.2019): Ich habe das Hinweisschild noch einmal weiter vereinfacht.

Ich beginne hier mit einer kleinen Reihe von Praxis-Beiträgen zur Videoüberwachung. Die Beiträge richten sich – wie der Name schon sagt – an Praktiker. Also z.B. Unternehmen, die Videoüberwachung einsetzen oder einsetzen wollen. Ich blende dabei bewusst juristische Probleme, die wir im Bereich der Videoüberwachung zuhauf haben, weitgehend aus.

Wie hier auf der Seite üblichen verfolge ich den Ansatz der GM-Methode. Das bedeutet, dass die Umsetzung nach gesundem Menschenverstand (GM) erfolgt. Wir schauen uns also den Sinn und Zweck einer Norm an und versuchen die Anforderungen der DSGVO praktikabel umzusetzen.

In diesem ersten Teil geht es um die Erfüllung der Informationspflichten:

Während wir früher relativ einfache Hinweisschilder zur Videoüberwachung benötigten (mein Beitrag zur alten Rechtslage) und nur der Umstand der Beobachtung und die „verantwortliche Stelle“ (heute: „Verantwortlicher“) durch geeignete Maßnahmen erkennbar zu machen war, haben wir es heute mit der gesamten „Armada“ der Informationspflichten aus Art. 13 DSGVO zu tun.

Und das gilt unabhängig von der Streitfrage, ob nun § 4 BDSG als einschlägige Norm für die Videoüberwachung (durch nichtöffentliche Stellen wie z.B. Unternehmen) zum Tragen kommt oder die insoweit meines Erachtens vorrangige Norm des Art. 6 Abs. 1 lit. f) DSGVO anwendbar ist.

Wenn wir alle Pflichtangaben aus den Art. 12, 13 DSGVO auf ein Schild pressen wollten, dann wäre das Schild gänzlich unbrauchbar und würde genau seinen Zweck verfehlen: Die transparente und übersichtliche Information des Betroffenen über die Videoüberwachung. Und das wäre gerade nicht gesunder Menschenverstand.

Auch die deutschen Aufsichtsbehörden haben sich Gedanken über Hinweisschilder zur Videoüberwachung gemacht und auch ein Muster mit Hinweisen dazu veröffentlicht. Das sieht so aus:

Ich habe dieses Muster einigen Mandanten gezeigt. Die Begeisterung hielt sich in Grenzen. Ich habe in den vergangenen Wochen auch diverse dieser Schilder in der Praxis live gesehen. So sehr ich das Bemühen der Aufsichtsbehörden schätze, meine ich, dass das Hinweisschild optimierungsfähig ist. Es hat so viele „Informations-Punkte“, dass es für Passanten oder Besucher „überbordend“ ist.

Ich habe seit Geltung der DSGVO häufiger Freunde und Bekannte angesprochen, wenn wir gemeinsam z.B. bei Veranstaltungen (Hafenfest etc.) vermeintlich „DSGVO-konformen“ Hinweisschildern begegnet sind. Werden diese Schilder wahrgenommen oder gelesen? Wahrgenommen ja, gelesen nicht – war die Regelantwort. Das sei juristisches Kleingedrucktes, das wie AGB nicht gelesen werden würde. Wenn ich ganz ehrlich bin, glaube ich, dass diese Schilder in der Regel nur von „Datenschützern“ gelesen werden, also Menschen, die beruflich mit Datenschutzthemen befasst sind und vielleicht schauen wollen, wie „die anderen“ das so umsetzen. Für alle anderen ist es wohl häufig Verschwendung von Lebenszeit, so der O-Ton eines Bekannten von mir.

Ich habe keine Menschen kennengelernt, die die Hinweise auf den Schildern gelesen haben oder gar lesen wollten. Ein Hinweis, dass eine Videoüberwachung stattfindet, wurde von den meisten Menschen, mit denen ich gesprochen habe, für gut befunden. Dass „Wie“ einer Videoüberwachung hingegen wurde wenig relevant bzw. interessant wahrgenommen.

Kommen wir jetzt zu den Fragen, die sich bei Hinweisen zur Videoüberwachung häufig stellen?

Muss denn nun alles, was in Art. 13 DSGVO als Pflichtinformationen für Betroffene anzugeben ist, auf einem Schild angegeben werden?

Nein, dass muss es nicht. Es dürfte mittlerweile als anerkannt – gerade die europäischen Aufsichtsbehörden waren hier sehr konstruktiv – gelten, dass ein sog. Medienbruch bei Erteilung von Informationen zum Datenschutz zulässig ist.
Was bedeutet Medienbruch? Das ist ganz einfach an z.B. dem Hinweisschild für eine Videoüberwachung zu erklären: Es werden auf dem Schild einige Angaben zur Videoüberwachung und zum Verantwortlichen gemacht. Und dann wird für weitere Informationen auf ein anderes Medium verwiesen. Das kann z.B. das Internet sein. Denn heute hat der Großteil der Bevölkerung Zugang zum Internet – und zwar auch von unterwegs.

Und so sind z.B. in meinem Muster eines Hinweises zur Videoüberwachung nur Grundangaben zur Videoüberwachung gemacht.

 

Welche Zwecke sind rechtlich zulässig?

Auch wenn umstritten ist, ob § 4 BDSG für Unternehmen im Bereich der Videoüberwachung von öffentlichen Räumen anwendbar ist, können wir aus den dort genannten Zweckangaben „Honig saugen“. Denn diese passen in der Praxis sehr häufig. Legitime Zwecke können daher z.B. sein:

  • Wahrnehmung des Hausrechts („Zutritt nur für Berechtigte“ bzw. Schutz/Ahndung von Zutritten Unberechtigter)
  • Wahrnehmung berechtigter Interessen

Die Wahrnehmung berechtigter Interessen kann insbesondere die Prävention von Straftaten sein („präventiv“). Viel häufiger werden die Interessen aber „repressiver“ Natur sein. Es geht also um die Fälle, in denen z.B. etwas gestohlen oder beschädigt wurde und die Videoaufzeichnungen für Zwecke der Beweissicherung und Ermöglichung der Strafverfolgung und damit auch der späteren Geltendmachung von zivilrechtlichen Ansprüchen wie z.B. Schadensersatz verwendet werden sollen.

Auch weitere Zwecke sind denkbar. Die Auflistung oben ist also nicht abschließend.

Was für berechtigte Interessen muss ich angeben?

In dem Muster für das Videoüberwachungsschild der Aufsichtsbehörden ist die Angabe von „Interessen“ vorgesehen. Hintergrund dafür ist, dass ich meine „Interessen“ angeben muss, wenn ich mich auf die für die Videoüberwachung meist einschlägige Rechtsgrundlage der Verarbeitung auf Basis einer „Interessenabwägung“ stütze. In der Praxis sind die Angaben zu Zwecken und Interessen häufig aber identisch. Es ist hier rechtlich nicht zwingend erforderlich, dies doppelt anzugeben. Entscheidend ist, dass der Betroffene nachvollziehen kann, was Zwecke und Interessen des Verantwortlichen bei der Videoüberwachung sind.

Wieso ist dein Schild denn in „gelb“ und nicht wie bei Videoüberwachung „üblich“ in „blau“?

Seit der DIN 33450 wird häufig ein Piktogramm zur Kenntlichmachung von Videoüberwachung genutzt, das eine weiße Kamera auf blauem Grund zeigt. Ein ähnliches Symbol befindet sich auch in dem o.g. Muster der Aufsichtsbehörden.

Ich mag das „Blau“ dieser Kennzeichen zwar. Aber: Da in meinem Muster die von den Aufsichtsbehörden aufgestellten Anforderungen, die rechtlich unverbindlich sind, unterschritten werden, war meine Überlegung, das Ganze nach gesundem Menschenverstand („GM“) so anzugehen, dass das Schild zwar weniger Informationen, dafür aber mehr Wirkung beim Betroffenen entfaltet.

Und da bietet sich die Verwendung von Warnfarben aus der Natur an. Warnfarben sind in der Regel gelb, orange und rot. Da mir rot zu „krass“ war, ich orange nicht passend fand, lag folgender Gedanke bei umhersummenden Wespen im Spätsommer nahe. Warum nicht also gelb und schwarz für das Hinweisschild verwenden? Yep…that’s it. Und wie passend, dass auch andere Schilder zur Warnung diesen Gedanken nutzen:

Mein Hinweisschild soll also nicht ein neutrales „Blau“, sondern vielmehr eine gelbe Warnung mit schwarzer Schrift darstellen. Das hat den Vorteil, dass Betroffene sehr viel deutlicher auf den Umstand der Videoüberwachung hingewiesen werden als bei der Verwendung der blauen Farbe. Und ich meine, dass es dann aber auch vertretbar ist, den Medienbruch zu nutzen, um nur die wesentlichen Informationen anzugeben.

Muss nicht die Speicherdauer direkt auf dem Schild angegeben werden?

Auch wenn die Aufsichtsbehörden dies verlangen, lässt sich der DSGVO nicht direkt entnehmen, dass ein Hinweis auf die Speicherdauer direkt auf dem Schild zwingend erforderlich ist. Ich meine, dass es das nicht ist.

Denn die Angabe der Speicherdauer kann den Zweck einer Videoüberwachung ggf. sogar gefährden. Wenn z.B. eine Person auf einem Hinweisschild zur Videoüberwachung mit der Nase darauf gestoßen wird, dass die Speicherung nur für 24 Stunden erfolgt (die Aufsichtsbehörden halten fälschlicherweise 24-48 Stunden für maximal zulässig – dazu demnächst mehr in einem weiteren Beitrag), dann könnte er z.B. strafbare Handlungen zeitlich so planen, dass die Beweissicherung für die Geltendmachung rechtlicher Ansprüche ins Leere laufen würde.

Natürlich könnte man jetzt argumentieren, dass auch potentielle Straftäter die Datenschutzhinweise im Internet dann nachlesen könnten. Und genau das ist richtig. Denn das hier vorgebrachte Argument ist ein schwaches Argument.

Genauso schwach ist aber auch das Argument, dass die Videohinweise zwingend auf ein Schild müssten, wenn der Zugang zu den Informationen über das Internet doch (für potentielle Straftäter) so einfach wäre. Was ein potentieller Straftäter kann, wird auch jeder andere Bürger hinbekommen können.

Für eine konkrete Angabe der Speicherdauer gibt es im Hinblick auf den Schutz der Betroffenen m.E. kein zwingendes Erfordernis. Es kann angegeben werden, es reicht aber meiner Meinung nach auch aus, dieses in weiteren Datenschutzhinweisen im Internet anzugeben.

Und hier ist nun das Hinweisschild zur Videoüberwachung

Ich stelle das Hinweisschild im Powerpoint-Format zur Verfügung. So kann es von wohl den meisten verwendet und vor allem nach eigenen Bedürfnissen geändert werden. Die Datei findet ihr hier zum Download:

Nutzungsrechte:
Die Datei kann frei für private und gewerbliche Zwecke verwendet werden. Änderungen sind nicht nur zulässig, sondern erwünscht, um die Hinweise an die „eigene“ Videoüberwachung anzupassen. Die Grafiken in der Datei können ebenfalls weiterverwendet werden. Die Schriftart kann (Source Sans Pro) natürlich auch verändert werden.
Viel Spaß damit!

Okay…und was schreibe ich nun in die Datenschutzhinweise zur Videoüberwachung auf die Website?

Für Datenschutz-Coaching-Mitglieder habe ich da ein Muster entwickelt, das als Vorlage dienen kann:


Hinweis: Du siehst hier keine (weiteren) Inhalte, weil du kein Datenschutz-Coaching-Mitglied bist. Vielleicht möchtest du aber auch die Vorteile des Datenschutz-Coachings nutzen? Dann kannst du hier mehr erfahren, buchen und dann sofort auf die Inhalte zugreifen.