Empfohlen

Beiträge, die ich besonders empfehle.

Wenn „Datenschutz“ zur Gefahr der Pressefreiheit wird…

Diese Podcast-Folge möchte ich allen ans Herz legen, die Werbung auf Internetseiten nur auf Basis einer Einwilligung für zulässig halten.

Denn das Abfordern einer Einwilligung kann hier ein ganzes Demokratieproblem auslösen. Das mag sich dramatisch anhören, ist es aber meines Erachtens auch. Mehr dazu im Podcast.

Und hier die Infos zur im Podcast angesprochenen Freikartenverlosung für die Konferenz „Digital Shift“ am 25.09.2019.

Ich verlose
4 Freikarten in Form von Gutscheincodes für die Onlinebestellung für die Teilnahme an der Konferenz.

Trage dazu einfach bis
12.09.2019 (18:00 Uhr) im nachfolgenden Formular deine E-Mail-Adresse ein. Unter allen Einsendungen verlose ich dann 4 Freikarten. Die Gewinnerinnen und Gewinner erhalten eine E-Mail mit einem Gutscheincode zur Bestellung eines Tickets auf der Website des Veranstalters. Die Daten werden nicht an Dritte weitergegeben und nach Durchführung der Verlosung gelöscht.

Wenn du nicht gewonnen hast oder zu spät teilgenommen hast, du aber gerne zur Konferenz gehen möchtest, dann kannst du im Online-Shop der „Digital Shift“ diese Rabattcode hier verwenden: shift4guru

Und nein, ich bekomme keine Provision o.ä. dafür. Ich denke einfach, dass es für einige Hörerinnen und Hörer interessant sein kann.

OLG Frankfurt a.M. – niedrige Latte bei Kopplungsverbot bzgl. Einwilligungen

Diese Woche ist eine bemerkenswerte Entscheidung des OLG Frankfurt (Urteil vom 27.06.2019, Az.: 6 U 6/19) in einer kostenpflichtigen juristischen Datenbank („juris“) veröffentlicht worden.

In der Entscheidung ging es u.a. darum, ob die Teilnahme an einem Gewinnspiel davon abhängig gemacht werden kann, dass die Teilnehmerin eine Werbeeinwilligung für E-Mail bzw. Telefon abgibt. Das ist eines der Fallszenarien, in der wir datenschutzrechtlich sofort an das Nichtkopplungsgebot des Art. 7 Abs. 4 DSGVO denken, das einige ja „fälschlicherweise“ (😉) auch „Kopplungsverbot“ bezeichnen.

Dem OLG Frankfurt war dieses Kopplungsverbot nicht einmal eine Erwähnung wird, wie sich aus dem Urteil ergibt. Hier aber erst einmal der Leitsatz der Entscheidung:
Ist die Teilnahme an einem Gewinnspiel von der Einwilligung in den Erhalt künftiger E-Mail-Werbung abhängig gemacht worden, bestehen gegen die Wirksamkeit dieser Einwilligung jedenfalls dann keine Bedenken, wenn der Verbraucher der Werbung durch nicht mehr als acht konkret bezeichnete Unternehmen zugestimmt hat und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist (im Streitfall: „Strom & Gas“). Die Einwilligung in die Werbung dieses Unternehmens ist auch unabhängig davon wirksam, ob der Geschäftsbereich der anderen bezeichneten Unternehmen ausreichend klar beschrieben worden ist.

Warum es in dem Urteil ab und an ein bisschen durcheinander geht, kannst du der Podcast-Episode entnehmen. Hier aber zunächst noch ein paar bemerkenswerte Zitate aus der Entscheidung (Hervorhebungen von mir):

Zum Merkmal der Freiwilligkeit der Einwilligung führt das Gericht wie folgt aus:
„Freiwillig“ ist gleichbedeutend mit „ohne Zwang“ iSd des Art. 2 lit. h RL 95/46/ EG (engl. beide Male „freely“). Der Betroffene muss also eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 DS-GVO). Insbesondere darf auf den Betroffenen kein Druck ausgeübt werden. Ein bloßes Anlocken durch Versprechen einer Vergünstigung, etwa – wie hier – einer Teilnahme an einem Gewinnspiel, reicht dafür aber nicht aus (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rn. 149f). Einer Freiwilligkeit steht nach der Rechtsprechung des Senats (vgl. GRUR-RR 2016, 421 – Überschaubare Partner- liste, juris-Rn. 18; GRUR-RR 2016, 252 – Partnerliste, juris-Rn. 24) nicht entgegen, dass die Einwilligungserklärung mit der Teilnahme an einem Gewinnspiel verknüpft ist. Der Verbraucher kann und muss selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.
Und hier zu der Anforderung, dass eine Einwilligung für einen bestimmten Fall erteilt werden muss:
Eine Einwilligung erfüllt diese Voraussetzung, wenn sich aus ihr klar ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, dh auf welche Waren oder Dienstleistungen welcher Unternehmen sie sich bezieht (BGH GRUR 2013, 531 Rn. 24 – Einwilligung in Werbeanrufe II; BGH WRP 2017, 700 Rn. 25). Unabhängig von einer etwaigen AGB-Kontrolle ist eine Einwilligungserklärung unwirksam, wenn sie nicht klar erkennen lässt, auf welche Werbemaßnahmen welcher Unternehmen sich die Einwilligung erstrecken soll (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rnr. 149g). An der erforderlichen Klarheit kann es fehlen, wenn bereits die Anzahl der Unternehmen, zu deren Gunsten eine Werbeeinwilligung erteilt werden soll, so groß ist, dass sich der Verbraucher realistischer Weise nicht mit all diesen Unternehmen und deren Geschäftsfeldern befassen wird (vgl. Senat – Partnerliste a.a.O., Rn. 26: 59 Unternehmen). Davon kann hier jedoch angesichts der acht in der Einwilligungserklärung aufgeführten Unternehmen noch nicht die Rede sein.
Schließlich führt das Gericht bzgl. der Konkretheit des Produktbezuges ein Hinweis in der Einwilligung auf „Finanzdienstleistungen aller Art“ nicht ausreichend sei. Die Bezeichnung „Strom & Gas“ hingegen hielt das Gericht im konkreten Fall für konkret genug.
Viel Spaß bei dieser Podcast-Episode!

Verpflichtung auf das Sozialgeheimnis (Muster)

Das Sozialgeheimnis (§ 35 SGB I) gilt – auch wenn man dies häufig anderswo falsch liest – nur für Sozialleistungsträger i.S.d. § 12 SGB I.

Sozialleistungsträger sind die staatlichen Stellen, die in den §§ 18 bis 29 SGB I genannten Körperschaften, Anstalten und Behörden, die Leistungen nach den Sozialgesetzbüchern erbringen.

Auch wenn „Private“ – also z.B. Unternehmen – an dieser Leistungserbringung mitwirken können, so werden sie dazu dennoch nicht automatisch zu Sozialleistungsträgern. Ob und wie nun für diese „Privaten“ auch das Sozialgeheimnis zu wahren und ob die Beschäftigten in diesen Unternehmen oder Vereinen auf das Sozialgeheimnis zu verpflichten sind…dazu kommen wir später.

Nur wenn Unternehmen im Wege der Auftragsverarbeitung für Sozialleistungsträger tätig werden gilt das Sozialgeheimnis wegen § 35 Abs. 6 SGB I direkt auch für die Auftragsverarbeiter.

Sozialleistungsträger sollten ihre Beschäftigten gesondert über das „Sozialgeheimnis“ und damit den sorgsamen Umgang mit Sozialdaten i.S.d. § 67 Abs. 2 SGB X informieren. Dies kann über eine Verpflichtung auf das Sozialgeheimnis erfolgen. Wenn du dich im Internet auf die Suche nach entsprechenden Mustern begibst, wirst du häufig veraltete Muster wiederfinden, die noch nicht an die DSGVO und die damit einhergegangenen Änderungen an den Sozialgesetzbüchern angepasst sind.

Ich stelle hier ein Muster für die Verpflichtung auf das Sozialgeheimnis von Beschäftigten bei Sozialleistungsträgern zur Verfügung:

Dieses Muster passt jedoch nicht für Unternehmen, die im Zusammenhang mit der Erbringung von Sozialleistungen mitwirken, also z.B. technische oder organisatorische Dienstleistungen erbringen.

Wenn ein Sozialleistungsträger Sozialdaten an eine nicht-öffentliche Stelle übermittelt, dann muss der Sozialleistungsträger nach § 78 Abs. 1 Satz 2 SGB X dies nur tun, wenn die Empfängerin der Daten sich gegenüber der übermittelnden Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dem sie ihr übermittelt werden.

Dies wird in der Praxis häufig dadurch erfolgen, dass die Empfängerin der Daten sich zur Einhaltung des Sozialgeheimnisses verpflichtet. Dieses Sozialgeheimnis gilt aber dann eben nicht automatisch deswegen, weil es sich um „Sozialdaten“ handelt, die empfangen werden. Sondern diese Verpflichtung auf das Sozialgeheimnis wirkt dann „vertraglich“. Vertraglich deswegen, weil man sich gegenüber dem Sozialleistungsträger zur Wahrung des Sozialgeheimnisses verpflichtet.

In diesen Fällen passt das o.g. Muster nicht mehr Daher sollte für Unternehmen dieses Muster zur Verpflichtung auf das Sozialgeheimnis verwendet werden:

Das Muster kann gerne an eigene Bedürfnisse angepasst und verwendet werden.

Neue Mitarbeiterin oder neuer Mitarbeiter? Was ist datenschutzrechtlich zu „regeln“ (mit Muster)?

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter in einem Unternehmen beschäftigt wird, dann gibt es einiges zu regeln.

Die Kollegin muss in der Personalabteilung „aufgenommen“ werden. Dafür gibt es in der Regel ein sog. Stammdatenblatt, das alle Angaben enthält, die man zur Berechnung und Auszahlung von Lohn oder Gehalt sowie der Bezahlung von Lohnsteuer, sonstigen Abgaben und auch den Krankenkassenbeitragen etc. benötigt.

Außerdem muss der neue Kollege natürlich auch das Unternehmen und vor allem die Abläufe im Unternehmen kennenlernen und in seinen Arbeitsplatz eingewiesen werden. Das ist alles andere als trivial. Ein gutes „Onboarding“ ist hier hilfreich.

Unabhängig davon gibt es auch noch jede Menge weiterer Dinge zu regeln, die dann auch weiter Bezug zum „Datenschutz“ haben können. So erhält die Kollegin in der Regel eine E-Mail-Adresse und auch Berechtigungen für IT-Systeme. Das beinhaltet den Zugang zu internen Inhalten, die z.B. wie im Fall von Windows in der Regel über das „Active Directory“ geregelt werden.

Aber was muss ich nun nach der Datenschutz-Grundverordnung (DSGVO) mit der neuen Kollegin bzw. dem neuen Kollegen „regeln“?

In den Köpfen vieler Mitarbeiterinnen schwirrt da noch dieser Gedanke:

Es muss eine Verpflichtung auf das „Datengeheimnis“ erfolgen.

Das war früher – in „Vor-DSGVO-Zeiten“ – richtig. Mit der DSGVO gibt es das Datengeheimnis nicht mehr. Daher sollte ich Beschäftigte auch nicht mehr auf ein nicht relevantes Datengeheimnis verpflichten.

Aber…es gibt doch noch ein Datengeheimnis…schließlich steht das ja auch in § 53 BDSG – und zwar dem „neuen“ BDSG. Nun…das ist richtig. Allerdings gelten alle Vorschriften ab dem § 45 BDSG (und damit auch § 53 BDSG) nur „für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Das ergibt sich ausdrücklich aus § 45 BDSG.

Und damit bleibt es dabei: Es gibt grundsätzlich kein Datengeheimnis in Unternehmen mehr, auf das verpflichtet werden könnte.

Die DSGVO enthält zwar keine Regelungen zu einem „Datengeheimnis“. Sie setzt aber an mehreren Stellen voraus, dass Unternehmen (und öffentliche Stellen) ihre Beschäftigten auf die Vertraulichkeit verpflichten.

Eine ganz konkrete Regelung existiert z.B. für Auftragsverarbeiter in Art. 28 Abs. 3 lit. b) DSGVO. Danach muss ein Auftragsverarbeiter gewährleisten, dass „sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Für Verantwortliche, die nicht Auftragsverarbeiter sind, gibt es eine solche unmittelbare Regelung nicht. Jedenfalls nicht direkt. Denn so lässt sich aus der Mutter-„Compliance“-Norm der DSGVO (Art. 24 Abs. 1 DSGVO) in Verbindung mit den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO durchaus ableiten, dass Verantwortliche ihre Beschäftigten auf den vertraulichen Umgang zu verpflichten haben.

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche technische und organisatorische Maßnahmen um, die sicherzustellen und den Nachweis dafür erbringen können, dass die Verarbeitung im Unternehmen gemäß der DSGVO erfolgt.

Hieraus wird man neben einer Einarbeitung in die Datenverarbeitungsvorgänge im Unternehmen auch eine schriftliche Verpflichtung der Beschäftigten auf die Vertraulichkeit ableiten können. Selbst wenn man diese nicht für zwingend erachten würde, macht eine Verpflichtung in jedem Fall Sinn.

Wie kann nun so eine Verpflichtung aussehen?

Da hat das Unternehmen ziemlich freie Hand. In Deutschland macht es jedoch Sinn neben den Regelungen zur DSGVO auch das BDSG und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) anzusprechen. Das kann z.B. ungefähr so erfolgen.

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

Dann sollten die wesentlichen Strafvorschriften gerne (auszugsweise) abgedruckt werden.

Und natürlich sollte das Ganze vom Beschäftigten unterschrieben werden und im Unternehmen aufbewahrt werden (z.B. in der Personalakte).

Datenschutz-Coaching-Mitglieder können hier ein Muster einer Vertraulichkeitsverpflichtung für Beschätigte als Word-Dokument herunterladen:

Kostenloser Mustervertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Es scheint ein guter Tag für Musterverträge zu Art. 26 DSGVO zu sein. Nachdem die Aufsichtsbehörde in Baden-Württemberg ihr Muster heute veröffentlicht hat, stelle ich hier nun meinen Mustervertrag für eine „Vereinbarung zur gemeinsamen Verantwortlichkeit“ kostenlos zur Verfügung.

Haftungsausschluss:
Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.

Und hier ist der Mustervertrag:

Nutzungsbedingungen:
Urheber für das nachfolgende Vertragsmuster ist Rechtsanwalt Stephan Hansen-Oest. Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind erlaubt und erwünscht.

Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung des Urhebers als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln: Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Wann darf ich nach der DSGVO personenbezogene Daten verarbeiten – Art. 6 „einfach“ erklärt (Video)

Immer wieder merke ich, dass selbst bei „gestandenen“ Datenschutzbeauftragten Unsicherheiten in der Anwendung der Zulässigkeitstatbestände der DSGVO – also primär des Art. 6 DSGVO – bestehen.

In meinem neuen Onlinekurs für Datenschutzbeauftragte (6 Wochen) liegt daher auch der Fokus auf den „Grundlagen“. Denn die dürfen sitzen. Und wenn die sitzen, können wir von dort weiter „ableiten“.

Einen kleinen Eindruck, wie das im Online-Kurs so abläuft, kannst du hier im Video sehen:


Bei mir heißen die verschiedenen Alternativen des Art. 6 Abs. 1 DSGVO übrigens so:

  • a) ALTernative
  • b) Dickes „B“ (frei nach Peter Fox…„Dickes „B“ – oben an der Spree) – kriegst du nie mehr aus dem Kopf 😉
  • c) CAESAR
  • d) dead.
  • e) „echt jetzt?“
  • f) FETT

Und warum das alles Sinn macht, kannst du im Video oben „nachschauen“.

Tipps zur Erstellung eines Auditberichts

Ein Hinweis vorab: Für Datenschutz-Coaching-Mitglieder gibt es am Ende des Beitrages auch ein Muster eines Auditberichts zum Download.

Es gibt verschiedene Situationen, in denen du als Datenschutzbeauftragter einen Auditbericht schreiben musst. Ich kenne die Situation nicht als Datenschutzbeauftragter (bzw. nicht mehr), sondern wenn mich Mandanten bitten, einen Auftragsverarbeiter unter die Lupe zu nehmen, um prüfen zu lassen, ob dieser den Anforderungen der DSGVO und den jeweiligen individuellen Vorgaben der Mandanten entspricht. Und manchmal wird dann auch die Erstellung eines Auditberichts beauftragt.

Neben der Prüfung von Auftragsverarbeitern werden Auditberichte aber auch von Datenschutzbeauftragten selbst für das Unternehmen oder die Organisation geschrieben, für die du als Datenschutzbeauftragter benannt bist.

Unabhängig von der Konstellation haben Auditberichte aber immer eine bestimmte Struktur. Diese ist allerdings nicht formal vorgegeben. Sie entspringt vielmehr einem gesundem Menschenverstand.

Wer schon einmal eine gute Ausbildung im Bereich der Strafverfolgung (z.B. bei Staatsanwaltschaft, Polizei oder Gericht) genossen hat, kennt vielleicht den Ausspruch, dass eine gute Akte sich „wie ein Buch“ lesen muss. Und genau das Gleiche gilt auch für Auditberichte:

Ein guter Auditbericht muss sich lesen wie ein Buch.

So einfach ist das. Gemeint ist damit, dass eine fremde (auch sachlich nicht „kundige“ Person) beim Lesen des Berichts in der Lage sein muss, sich ein Bild über die Untersuchung, also das Audit zu machen und die Bewertungen nachvollziehen kann.

Damit dieses Ziel erreicht wird, sollte ein Auditbericht folgende Bestandteile haben:

  1. Management Summary (eine Zusammenfassung der wesentlichen Ergebnisse, um eine schnellen Überblick gewinnen zu können)
  2. Auditmethoden (welche Methoden wurden angewendet. Gab es z.B. eine Dokumentensichtung und/ oder eine Vor-Ort-Kontrolle, ggf. Interviews etc.)
  3. Beschreibung des Ist-Zustandes
  4. Abgleich mit dem Soll-Zustand (der Soll-Zustand leitet sich von den rechtlichen Vorgaben und den ggf. individuellen Anforderungen des Auftraggebers des Audits ab)
  5. Beschreibung der Abweichungen des Ist- vom Soll-Zustand
  6. Bewertung der Abweichungen (und deren „Erheblichkeit)
  7. Ggf. ein Maßnahmenplan mit Empfehlungen, ob und wie die Abweichungen behoben werden können.
  8. Gesamtbewertung

Etwas weitergehende Informationen kannst du diesem Video entnehmen:


Wenn du jetzt vor der Aufgabe stehst, einen Auditbericht zu schreiben, dann fragst du dich vielleicht immer noch, wie das geht. Die Antwort lautet: Fange einfach an!
Das klappt dann schon.

Ich empfehle hier immer den Mut zum „shitty first draft“, also dem ersten dreckigen Entwurf. Setzte dich in einen Raum, in dem du möglich ungestört bist, mache nach Möglichkeit Musik an (wenn dich das nicht stört), stelle das Telefon aus und dann „Go!“. Apropos Musik: Gut funktioniert bei mir die Musik des Albums Monument Valley (z.B. hier bei Apple Music oder Spotify). Das ist sozusagen eine meiner Schreib-Musik – beruhigend und hilft dabei, den Fokus auf das Schreiben zu behalten.

Für Datenschutz-Coaching-Mitglieder gibt es hier dann allerdings auch mal ein Beispiel-Muster für einen Auditbericht, der sich auf eine Prüfung einer Agentur bezieht, die vom Auftraggeber für den Betrieb einer Software-as-a-Service-Lösung beauftragt werden soll.

Datenschutz & das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) – ein erster Überblick

Das Gesetz zum Schutz von Geschäftsgeheimnisses (GeschGehG) dient der Umsetzung der EU-Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Die Bundesrepublik Deutschland ist mit der Umsetzung der Richtlinie in Verzug.

Aber durch die Verabschiedung des GeschGehG im Bundestag wird es wohl 2019 noch in Kraft treten.

Das GeschGehG ist auch bei „Datenschützern“ derzeit in aller Munde. Denn: Um in den Genuss des Schutzes von Geschäftsgeheimnissen kommen zu können, müssen „Rechteinhaber“ etwas machen: Sie müssen „angemessene Schutzmaßnahmen“ treffen. Nur…was das konkret bedeutet, sagt uns der Gesetzgeber nicht.

Vielmehr sieht der Gesetzgeber es mit etwas abenteuerlicher Begründung so, dass nur Kleinstunternehmen und Startups derzeit noch Handlungsbedarf hätten. Für alle anderen Unternehmen seien es „Sowieso-Kosten“, also Kosten, die ohnehin anfallen.

Die durch die Definition des Geschäftsgeheimnisses neu eingefügte Schutzvoraussetzung der „angemessenen Geheimhaltungsmaßnahmen“ wird voraussichtlich bei einem Teil der Kleinstunternehmen dazu führen, dass diese bisher nicht praktizierte angemessene Geheimhaltungsmaßnahmen treffen, um in den Schutzbereich des Gesetzes einbezogen zu werden.

Ein Großteil der Unternehmen trifft diese Maßnahmen im wohlverstandenen Eigeninteresse schon jetzt. Insbesondere größere und mittlere Betriebe schützen bereits ihre Geschäftsgeheimnisse, zum Beispiel durch eine Zugangskontrolle oder durch vertragliche Geheimhaltungsverpflichtungen, um zu verhindern dass die betreffenden Informationen offenkundig werden. Es handelt sich damit um sogenannte Sowieso-Kosten.

Die rechtswissenschaftliche Literatur meint nun allerdings teilweise, dass angemessene Schutzmaßnahmen durchaus umfangreich sein können. Da der Gesetzgeber hier „null“ Vorgaben zur Angemessenheit gemacht hat und der Maßstab auch nicht unmittelbar der EU-Richtlinie 2016/943 zu entnehmen ist, bin ich gespannt, wie sich das hier entwickelt.

Ich kann aus den vagen Formulierung nicht erkennen, dass z.B. nun Unternehmen zwingend E-Mails verschlüsseln müssten. Allerdings meine ich auch, dass Unternehmen sich nicht auf den Schutz von Geschäftsgeheimnissen berufen können sollen, wenn diese selbst z.B. in Patentsachen unverschlüsselt E-Mails herumsenden.

Im nachfolgenden Video gebe ich einen ersten Überblick über das GeschGehG:

Rezension: Taeger/Gabel, DSGVO BDSG

Der „Taeger/Gabel“ gehörte schon nach Erscheinen der 1. Auflage schnell zu den Standard-Gesetzeskommentaren zum damaligen Bundesdatenschutzgesetz (BDSG), der sich gerade in der anwaltlichen Praxis schnell bewährt hat.

Anfang 2019 ist nun die 3. Auflage des „Taeger/Gabel“ erschienen, die nun eine Kommentierung der Datenschutz-Grundverordnung (DSGVO) und des neuen BDSG enthält.

Neben dem „Simitis“ gehörte der „Taeger/Gabel“ seit Beginn zu den Schwergewichten der Gesetzeskommentare. Und das hat sich auch in der 3. Auflage nicht geändert. Die Ausführungen zu den datenschutzrechtlichen Vorschriften haben einen beträchtlichen Umfang. Und apropos „schwer“: Der Taeger/Gabel bringt gute 1.500g auf die Waage. Das Werk ist also nicht unbedingt für die schmale Aktentasche geeignet. Und auch ein zu schmales Portemonnaie sollten die geneigten Leser nicht aufweisen. Denn der „Tager/Gabel“ nimmt im Ranking der DSGVO-Kommentare derzeit unbestritten den ersten Platz ein…wenn es um den Preis geht. Stolze 298,00 € kostet das gute Stück.

Ist es eine Investition, die sich lohnt? Und wenn ja, für wen lohnt es sich? Ist es mehr Licht als Schatten? Die Auflösung könnt ihr dem nachfolgenden Video entnehmen:

Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?

Update (28.12.2019): Der Beitrag ist mittlerweile "überholt". Denn der deutsche Gesetzgeber hat diese Rechtsfrage nun ausdrücklich geklärt. Mehr Infos dazu in diesem Beitrag: Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

Ich habe das hier im Podcast schon einmal erläutert. Da nicht jeder die Zeit hat, sich einen Podcast anzuhören, habe ich die Gründe hier noch einmal in Textform ausgeführt. Zumal einige Aufsichtsbehörde das mittlerweile anders sehen.

Steuerberater als Auftragsverarbeiter bei der Lohnbuchhaltung?

Um diese Frage zu beantworten, ist juristisches Handwerkszeug gefragt. Denn die Beantwortung der Frage hat auch einen historischen Hintergrund.

Unstreitig ist (bzw. war bis vor kurzem), dass die Lohnbuchhaltung eine „Hilfe in Steuersachen“ i.S.d. § 1 des Steuerberatungsgesetz (StBerG). Und diese Hilfe in Steuersachen darf – wenn sie geschäftsmäßig erfolgt – nur von Personen erbracht werden, die hierzu befugt sind. Das wiederum ergibt sich aus § 2 StBerG.

Wer nun zu geschäftsmäßiger Hilfeleistung in Steuersachen befugt ist, ergibt sich wiederum aus § 3 StBerG. Du merkst, das Gesetz hat einen nachvollziehbaren, prozeduralen Aufbau. Und nach § 3 StBerG dürfen diese Personen in Steuersachen Hilfe leisten:

  1. Steuerberater, Steuerbevollmächtigte, Rechtsanwälte, niedergelassene europäische Rechtsanwälte, Wirtschaftsprüfer und vereidigte Buchprüfer,
  2. Partnerschaftsgesellschaften, deren Partner ausschließlich die in Nummer 1 genannten Personen sind,
  3. Steuerberatungsgesellschaften, Rechtsanwaltsgesellschaften, Wirtschaftsprüfungsgesellschaften und Buchprüfungsgesellschaften.

Merke: Hier steht nichts von Lohnbüros, Buchhalterinnen und Buchhaltern oder anderen Berufsgruppen.

Halten wir also – der Struktur des StBerG – entsprechend diesen Grundsatz fest:

  • Lohnbuchhaltung, inkl. des Führens von Lohnkonten ist eine Hilfe in Steuersachen, die grundsätzlich nur von den in § 3 StBerG genannten Berufsgruppen erbracht werden darf.

Wie nicht nur Juristinnen wissen, gibt es von jedem Grundsatz Ausnahmen, denn sonst wäre es kein Grundsatz.

Und so ist es auch beim Führen von Lohnkonten. Bis Ende der 80er Jahre war die Lohnbuchhaltung zwar den Steuerberatern und den weiteren in § 3 StBerG genannten Berufen vorbehalten. Dann kamen jedoch zwei Entscheidungen des BVerfG zur Berufsfreiheit „dazwischen“. Aufgrund dieser Entscheidungen hat der Gesetzgeber mit dem „Vierten Gesetz zur Änderung des Steuerberatungsgesetzes“ (BT-Drs. 11/3915) Ausnahmen von diesem Grundsatz eingeführt.

Die Ausnahme bzgl. der Lohnbuchhaltung sind seitdem in § 6 Nr. 4 StBerG geregelt. Aus der Begründung des Gesetzgebers ergibt sich jedoch nicht, dass die Lohnbuchhaltung keine steuerberatende Tätigkeit sei. Nein, es wird nur unter Bezugnahme auf die damals neueren Entscheidung des BVerfG geregelt, dass auch Nicht-Steuerberater Lohnbuchhaltungstätigkeiten (übrigens nicht alle) unter bestimmten Voraussetzungen durchführen dürfen, da diese nicht so komplex seien, dass sie die Ausbildung zum Steuerberater erfordern.

Entscheidend ist jedoch, dass der Gesetzgeber hier eine Ausnahme von dem Grundsatz geregelt hat, dass nur Steuerberater etc. die Lohnbuchhaltung durchführen dürfen. Für Steuerberater, die eine Lohnbuchhaltung durchführen, gilt aber auch für diese Tätigkeit unstreitig das StBerG als berufsrechtliche Regelung. Und damit ist auch die Lohnbuchhaltung – wenn sie durch Steuerberater – erbracht wird, keine Auftragsverarbeitung. Denn der Steuerberater übt seine Tätigkeit nach § 32 Abs. 2 StBerG als freien Beruf und damit weisungsfrei aus. Für eine Auftragsverarbeitung ist hier kein Raum, zumal der Auftraggeber hier nicht über Zweck und Mittel der Datenverarbeitung entscheidet.

Einige Datenschutz-Aufsichtsbehörden sehen das anscheinend anders. So z.B. in Nordrhein-Westfalen und in Baden-Württemberg. Leider mit entweder spärlicher (NRW) oder nicht überzeugender (BW) Begründung.

Die Aufsichtsbehörde in Nordrhein-Westfalen hat die Systematik des StBerG nicht berücksichtigt, sondern spricht hier pauschal von „weisungsgebundenen“ und „weisungsunabhängigen“ Tätigkeiten von Steuerberaten, bei denen erstere dann als Auftragsverarbeitung klassifiziert werden könnten. Diese Ansicht ist nur schlichtweg falsch. Sie übersieht die o.g. Regelungssystematik nach Grundsatz und Ausnahmen der Tätigkeiten von Personengruppen bei der Erbringung von „Hilfe in Steuersachen“.

Die Aufsichtsbehörde in Baden-Württemberg hat sich da etwas mehr Mühe gemacht und sich im jüngsten Tätigkeitsbericht und neuerdings auch hier zu dem Thema geäußert. Und sich dabei erfreulicherweise auch etwas eingehender mit der Thematik beschäftigt. So werden z.B. die Entscheidungen des BVerfG angegeben. Leider wurde dabei ebenfalls die Systematik der Umsetzung im StBerG nicht berücksichtigt. – ein handwerklicher Fehler in der Auslegung. So kommt die Behörde dann auch zu dem falschen Schluss:

Für die Frage, ob der Steuerberater solche Arbeiten als Verantwortlicher (…) oder als Auftragsverarbeiter (…) erledigt, kommt diesem Umstand, dass es sich bei der laufenden Lohnbuchhaltung um rein mechanische Verarbeitungsvorgänge handelt, die keine besondere Qualifikation der steuerberatenden Berufe erfordert, entscheidende Bedeutung zu. Denn dies hat zur Folge, dass der für die Mitarbeiterdaten Verantwortliche die Befugnis behält, Zwecke und Mittel der Verarbeitung zu bestimmen. Dem steht auch nicht entgegen, dass der Steuerberater ansonsten, soweit er dem Steuerberaterprivileg unterfallende Arbeiten erledigt, zweifelsfrei als Verantwortlicher tätig wird. Denn es ist anerkannt, dass je nach konkreter Tätigkeit und Zusammenhang dieselbe Organisation hinsichtlich bestimmter Verarbeitungen als Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln kann (…)

Auch hier wurde die bewusste Entscheidung des Gesetzgebers, die Berufsregeln nach einem Grundsatz-Ausnahme-Prinzip zu regeln, nicht beachtet. Diese berufsrechtlichen Regeln beinhalten aber aus den o.g. Gründen, dass Steuerberater insgesamt bei „Hilfe in Steuersachen“ weisungsfrei agieren.

Es ist eben nicht juristisch korrekt, die Lohnbuchhaltung nicht als „Hilfe in Steuersachen“ anzusehen. Die Aufsichtsbehörde in Baden-Württemberg schreibt in ihrem Beitrag auf der Website wörtlich:

Soweit es um die Verarbeitung personenbezogener Daten durch den Steuerberater für Zwecke der laufenden Lohnabrechnung geht, kann als Rechtsgrundlage jedenfalls nicht auf § 11 des Steuerberatungsgesetzes abgestellt werden, da es sich insoweit nicht um Daten handelt, die der „Erfüllung der Aufgaben nach diesem Gesetz“ (Hilfe in Steuersachen) dienen.

Und ich bin erstaunt, wie eine Aufsichtsbehörde hier so einen m.E. groben handwerklichen Fehler begeht. Denn schon aus dem Wortlaut des § 6 Nr. 4 StBerG ergibt sich eben ausdrücklich, dass es sich um Hilfeleistung in Steuersachen handelt. Merke: Schon der Titel der Norm heißt „§ 6 Ausnahmen vom Verbot der unbefugten Hilfeleistung in Steuersachen“. Im Umkehrschluss und das lernen wir Juristen ja schon in frühen Semestern heißt das aber auch, dass es eben auch die laufende Lohnabrechnung i.S.d. § 6 Nr. 4 StBerG eine Hilfeleistung in Steuersachen ist.

Im Ergebnis kann also nur festgehalten werden, dass die Lohnabrechnung durch Steuerberater eben keine Auftragsverarbeitung darstellt, da sie in Ausübung eines freien Berufes und weisungsfrei i.S.d. § 32 Abs. 2 StBerG handelt.

Natürlich hätte man aufgrund der Entscheidungen des BVerfG zur Berufsfreiheit in diesem Bereich das so sehen können wie die Aufsichtsbehörde in Baden-Württemberg. Der Gesetzgeber jedoch hat dies ausdrücklich anders geregelt. Und daran hat sich nun glücklicherweise auch eine Aufsichtsbehörde zu orientieren.

Und ich würde es sehr begrüßen, wenn sich Aufsichtsbehörden, die die hier eine Auftragsverarbeitung annehmen, sich mit dieser Argumentation einmal auseinandersetzen und sich dazu äußern. Ich bin sehr gespannt…

Küchendienstplanung im Büro – ein Problem für den Datenschutz?

Dass Geburtstagslisten im Büro ein Problem sein können, sollte landläufig einigermaßen bekannt sein. Der Wirbel um die DSGVO hat dieses Thema ja letztes Jahr noch einmal prominent gemacht. Ich hatte dazu auch hier einen Beitrag geschrieben.

Nun wurde ich gestern gefragt, ob ich nicht einmal etwas zu „Küchenlisten“ schreiben könne. Da würden sich ja ähnliche Probleme stellen. Ein schönes Thema – dachte ich – und vor allem auch nicht so schwer. Denn bei „Küchenlisten“ ist die Problematik bzgl. der Verarbeitung personenbezogener Daten im Vergleich zu Geburtstagslisten deutlich einfacher.

Was ist mit „Küchenliste“ gemeint?

In vielen Unternehmen oder öffentlichen Stellen werden „Küchenlisten“ auch als „Küchendienstplan“ oder „Küchendienstliste“ bezeichnet. Letztlich geht es darum, dass alle Beschäftigten in der Küche des Unternehmens bzw. der Behörde in einer (halbwegs) sauberen und aufgeräumten Umgebung essen und sich aufhalten wollen.

Da hier selten ein Rund-um-die-Uhr-Service des Arbeitgebers eingerichtet sein wird, „müssen“ die Beschäftigten dann also selbst „ran“ und organisieren sich dann selbst bzw. bekommen die Anweisung, sich zu organisieren. Dann werden entsprechend Listen erstellt, aus denen sich ergibt, welche Personen wann Küchendienst zu leisten haben. Also z.B. das Geschirr in den Geschirrspüler einräumen, den Geschirrspüler aktivieren, den Geschirrspüler ausräumen, den Tisch wischen oder was auch immer so zu tun ist. So eine Liste kann z.B. so aussehen:

Und wie hier unschwer zu erkennen ist, befinden sich auch personenbezogene Daten auf diesem Plan. Meist wurde der auch elektronisch erstellt, so dass man schwerlich damit argumentieren kann, dass die DSGVO nicht greift. Auch ist dies keine rein private, familiäre Datenverarbeitung, so dass auch insoweit nicht begründet werden kann, dass die Vorgaben des Datenschutzrechts keine Anwendung finden.

Die DSGVO bzw. die datenschutzrechtlichen Vorgaben finden also grundsätzlich erst einmal Anwendung. Aber wie so häufig steckt auch hier wieder der Teufel im Detail.

Fazit vorab: In aller Regel lässt sich sagen, dass die Angaben von Namen in einer „Küchenliste“ auch ohne Einwilligung der Beschäftigten datenschutzrechtlich zulässig ist.

Streiten können wir hier jedoch über die Rechtsgrundlage dieser Datenverarbeitung. Wenn z.B. der Arbeitgeber die Nutzung der Küche davon abhängig gemacht hat, dass die Nutzer dieser Küche die Küche sauber halten, dann spricht einiges dafür, dass die Angabe von Namen in einer Küchenliste, die in der Regel ja von den Beschäftigten selbst erstellt wird, zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Rechtsgrundlage kann dann § 26 Abs. 1 BDSG sein. Da der Arbeitgeber wohl kein Direktionsrecht gegenüber den Beschäftigten hat, dass diese Küche und z.B. Sozialräume sauber zu halten haben, ist die Verwendung dieser Rechtsgrundlage aber abhängig vom Einzelfall. Es kommt also darauf an…so ist das mit den Juristen…

Häufig wird daher aufgrund der Umstände im Unternehmen die sog. Datenverarbeitung auf Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO die passende Rechtsgrundlage für die Angabe von Namen in Küchenlisten sein. Das Unternehmen wird hier wohl (auch darüber ließe sich streiten) der Verantwortliche i.S.d. DSGVO für die Datenverarbeitung sein. Das Interesse des Unternehmens, Daten von Beschäftigten zu verwenden und offenzulegen, um eine „ordentliche und reinliche“ Nutzung der Küche zu gewährleisten, ist in jedem Fall berechtigt. Und ein entgegenstehendes Interesse der Beschäftigten, das dieses Interesse des Unternehmens überwiegt, ist nicht gegeben.

Während es bei Geburtstagslisten über die Geburtsdaten eine „Einwirkung“ in den persönlichen Lebensbereich des Beschäftigten geben kann, ist dies bei Küchendiensten nicht der Fall. Hier haben wir also nicht das gleiche Problem wie bei Geburtstagslisten.

Daher sind sog. Küchenlisten m.E. datenschutzrechtlich zulässig. Es bedarf insoweit auch keiner Einwilligung der Beschäftigten.

Allerdings muss auch über die Datenverarbeitung informiert werden. Und soweit hier die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. f) DSGVO – also der „Interessenabwägung“ – erfolgt, müssen die Beschäftigten auf ein insoweit bestehendes Widerspruchsrecht nach Art. 21 DSGVO informiert werden.

Und wenn nun ein Beschäftigter der Angabe seines Namens auf der Küchenliste nach Art. 21 DSGVO widerspricht?
Dann teeren und federn sie diesen…okay Scherz beiseite. Letztlich muss man dann nach Art. 21 Abs. 1 DSGVO entscheiden, ob es „zwingende schutzwürdige Gründe“ für die Nennung des Namens auf der Liste gibt. Oder die Nennung der Namen für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist…das wird regelmäßig kaum der Fall sein.

Letztlich wird man sich im Falle eines Widerspruchs überlegen müssen, ob die Angabe des Namens wirklich zwingend ist oder es ein „milderes“ Mittel gibt, um den Zweck der Küchenliste zu erfüllen. Hier könnte man z.B. an die Verwendung von Pseudonymen denken. Und jetzt merkst du schon, dass das Ganze spätestens dann doch etwas „affig“ wird.

Wer diese „zoo-artigen“ Umstände vermeiden möchte, der tut gut daran, mit dem Arbeitgeber zu sprechen. Wenn dieser z.B. die Nutzung der Küche davon abhängig machen würde, dass diese von den Beschäftigten selbst unter Verwendung einer Küchenliste „ordentlich“ gehalten wird, der wird sich hier eher auf die Rechtsgrundlage des § 26 BDSG berufen können. Danach ist die Verwendung von Beschäftigtendaten u.a. zulässig, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Alternativ ist übrigens auch die Einwilligung der Beschäftigten eine denkbare Alternative. Auch diese wird meist aber widerrufen werden können. Hier sollte man dann überlegen, ob mit Widerruf der Einwilligung die Erlaubnis zur Nutzung der Küche durch den jeweiligen Beschäftigten entfällt. Nur: Ist das wiederum zulässig und ist ein solche Einwilligung „freiwillig“? Fragen über Fragen…

In der Praxis hoffe ich für dich sehr, dass du in einem Unternehmen oder einer Behörde arbeitet, bei der die Beschäftigten mit der Verwendung einer Küchenliste schon aus eigenem Interesse kein Problem haben. Ich bin ein großer Freund der Überzeugung, dass „Datenschutz“ nicht über allen anderen Interessen steht. Insbesondere dort, wo Daten mit nur geringem Risiko verarbeitet werden, sollte die DSGVO in einer Weise angewendet werden, die einem gesunden Menschenverstand entspricht. Und selbst wenn wir uns bei einer banalen Sache wie einer Küchenliste theoretisch stundenlang darüber streiten können, was denn nun die richtige Rechtsgrundlage für die Datenverarbeitung ist, halte ich diese Diskussion im Ergebnis für eine Verschwendung von Lebenszeit.

Wie so häufig, sind Herauforderungen im „Datenschutz“ vornehmlich Kommunikationsherausforderungen. Wenn ich also den Nutzen einer Küchenliste gut und geeignet mit den Betroffenen kommuniziere, wird die DSGVO hier regelmäßig gar nicht erst auf die Streit-Agenda gelangen. Also: Redet miteinander!