Fragen & Antworten

Ich biete Datenschutz-Coaching-Mitglieder und manchmal auch Newsletter-Lesern die Möglichkeit Fragen zum Datenschutz zu stellen. Die Antworten finden sich dann in dieser Kategorie.

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis?

Über das Corona-Virus-Fragenformular ist diese Frage hereingekommen:

Muss ich für die Corona Thematik wie z.B. die Datenerfassung "Erkrankte Mitarbeiter" als separate Verarbeitung im Verarbeitungsverzeichnis führen? Wie ist der Zweck, die Rechtsgrundlage, die Löschfristen etc.?

Meine Antwort

Das ist eine sehr schöne Frage. Ich würde vermuten, dass das Meinungsbild der Datenschutzrechtler zu dieser Frage sehr uneinheitlich sein dürfte. Und das hat mit dem Begriff der „Verarbeitung“ und dem Sinn und Zweck des Verarbeitungsverzeichnisses zu tun.

Letztlich kommt es für die Beantwortung der Frage darauf an, wie „eng“ bzw. wie „weit“ wir den Begriff der Verarbeitung fassen wollen. So gibt es durchaus die berechtigte Sichtweise, dass der Begriff einer Verarbeitung weit zu fassen sei. So wäre es z.B. ausreichend im Verarbeitungsverzeichnis alle Verarbeitungen, die die Verarbeitung von Beschäftigtendaten betreffen unter eine Verarbeitung „Personaldatenverarbeitung“ zusammenzufassen.

Ist diese Auffassung korrekt? Das kann niemand sagen, denn – wie gesagt – der Begriff der Verarbeitung ist insoweit nicht konkret definiert. Andere würden bei der Verarbeitung von Beschäftigtendaten sehr feingranular vorgehen und z.B. auch jede Excel-Datei, in der mal Beschäftigtendaten stehen, zum Verarbeitungsverzeichnis nehmen. Das führt praktisch zu einer „Aufblähung“ des Verarbeitungsverzeichnisses und einer entsprechend schwierigeren Pflege und Aktualisierung.

Die Wahrheit dürfte wohl in der Mitte liegen. Um auf die Frage zurückzukommen, kann ich sagen, dass ich die Aufnahme einer Verarbeitung zu „Corona-Virus-Erkrankten“ im Unternehmen sehr sinnvoll finden würde. Denn dann wäre besser sicherzustellen, dass diese Daten streng zweckgebunden verarbeitet würden, und auch die Zugriffe auf diese Daten könnten besser eingeschränkt werden. Schließlich ließe sich die Frage der Löschung der Daten („Löschfrist“) besser umsetzen.

Der Zweck der Datenverarbeitung wäre für mich der Schutz von Beschäftigen sowie der Infektionsschutz für Beschäftigte. Die Rechtsgrundlage wäre für mich § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO. Das deckt sich übrigens mit der Meinung der „Datenschutzkonferenz“ zu diesem Thema.

Als Löschfrist halte ich persönlich derzeit 3 Monate für angemessen. Hier wird man aber ggf. etwas flexibel sein dürfen und ggf. anpassen, wenn sich die Corona-Virus-Lage weiter verändert.

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus

In der heutigen Podcast-Episode geht es um die Beantwortung von Fragen, die über das der Corona-Virus-Fragenformular hier eingegangen sind. Einige der eingegangenen Fragen zielen auf das Arbeitsrecht ab.

Da ich kein Arbeitsrechtler bin und hier nicht gefährliches Halb- oder 2/3-Wissen kundtun möchte, habe ich mir in diesem Podcast Verstärkung dazugeholt. Und zwar hat sich der geschätzte Kollege Alexander Hausner bereit erklärt, mir einige Fragen am Telefon zu beantworten.

Alexander Hausner ist Rechtsanwalt und Fachanwalt für Arbeitsrecht in der Kanzlei Roser Rechtsanwälte Steuerberater Wirtschaftsprüfer in Hamburg. Außerdem berät er auch im Datenschutzrecht. Ich kenne Alexander als kompetenten Ansprechpartner. Ein Kollege, an den ich mich sehr gerne wende, wenn ich in einer datenschutzrechtlichen Fragestellung mit Bezug zum Arbeitsrecht nicht so richtig weiterkomme.

In dem Podcast beantwortet Alexander Hausner diese Fragen:

  • Ist ein Arbeitgeber verpflichtet, Infektionsfälle/-verdachte an Behörden zu melden und ist er verpflichtet, seine Mitarbeiter und ggf. Kunden, die mit dem Mitarbeiter Kontakt hatten, über den Infektionsfall und ggf. die konkrete Person zu informieren?
  • Ist die stundenweise Freistellung zur Betreuung der Eltern (Senioren über 75 Jahre alt) auch gegen den Willen des Arbeitgebers möglich?
  • Kann der Arbeitgeber verlangen, dass Angestellte Kundenkontakt haben müssen, z.B. in Dienstleistungsbereichen, in denen ein sehr naher oder direkter Körperkontakt erforderlich ist?
  • Kann der Datenschutzbeauftragte zu 100% in Kurzarbeit geschickt werden, sodass er faktisch nicht mehr seiner Arbeit nachgehen kann?
  • Darf ich meine Mitarbeiter dazu zwingen in Skype für alle Kunden etc. mit Status sichtbar zu sein?
  • Kontrolle der Einhaltung von TOMs im Home Office durch Arbeitgeber? Sind Kontrollen zulässig, wenn ja in welchem Umfang?

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung

Im Rahmen der Corona-Virus-Fragen ist diese Frage aufgekommen:

Mit unserem IT-Dienstleister haben wir einen Auftragsverarbeitungsvertrag zu Fernwartung, Nutzereinrichtung, Hardwarebereitstellung usw. geschlossen. Normalerweise erhalten neue Mitarbeiter während des Onboardings die entsprechende Hardware. Neue Mitarbeiter werden in diesen Tagen nicht persönlich in Empfang genommen und sollen daher die Hardware per Post direkt von unserem IT-Dienstleister erhalten. Nun haben wir in der AVV die "persönlichen Kontakt- und Adressdaten" NICHT inkludiert.

Können wir die Datenverarbeitung ausnahmsweise auf Art. 6 Abs. 1 lit. f) DSGVO stützen oder muss zwangsläufig die AVV für die einmalige Datenverarbeitung erweitert werden? Wie können wir in dem Fall vorgehen?

Ein Wechsel auf eine andere Rechtsgrundlage ist zwar nicht unmöglich, hier aber gar nicht erforderlich. Der Auftragsverarbeitungsvertrag wird in der Regel die Möglichkeit bieten, sog. ergänzende Weisungen zu erteilen. Und genau das wäre hier die Lösung.

In der Umsetzung muss natürlich geschaut werden, dass die Regelungen des Auftragsverarbeitungsvertrages insoweit eingehalten werden. So kann z.B. für die ergänzende Weisungen eine bestimmte Form vorgesehen werden. Ich weiß schon, warum ich meinen Mandanten seit Jahren empfehle, hier nur die Textform statt der Schriftform vorzusehen. Denn so kann das Ganze per E-Mail erfolgen.

In der E-Mail würde man dann einfach die erweiterten Leistungen und den Umgang mit den Daten als Weisung aufnehmen. Hier sind keine großen Anforderungen an die Formulierung zu stellen. Es reicht aus, wenn sinngemäß aus der E-Mail hervorgeht, dass der Auftragsverarbeitung den Ablauf nun wie oben beschrieben zu gestalten hat und im Übrigen natürlich die Regelungen des Auftragsverarbeitungsvertrages unberührt bleiben.

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist:

Die Frage

Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik:

Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen?

Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt.

Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern?

Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 StGB (Heilberuf mit staatlich geregelter Ausbildung). Darf er ohne Einwilligung des Patienten den Zugriff nicht erlauben?

Besteht vielleicht doch ein Recht auf Einsichtnahme aus anderen Vorschriften?

Meine Antwort

Die Rechtslage

Die Frage, ob und inwieweit die Finanzverwaltung bei Betriebsprüfung Zugriff zu Daten bekommen darf, die einem Berufsgeheimnis i.S.d. § 203 StGB unterliegen, ist schon seit Jahrzehnten immer wieder Gegenstand von Streit.

Bereits 1957 hat der Bundesfinanzhof (BFH) entschieden (BFH, Beschluss vom 11.12.1957, Az.: II 100/53 U), dass Ärzte bei einer Betriebsprüfung die Vorlage der von ihnen geführten Patientenkarteien zwecks Einsichtnahme durch das Finanzamt verweigern dürfen, wenn darin Eintragungen enthalten sind, die sich ihr auf ihre Recht zur Auskunftsverweigerung aus der Abgabenordnung (AO) erstrecken.

Heute ist dieses Auskunftsverweigerungsrecht in § 102 AO geregelt. Es gibt sog. Berufsgeheimnisträgern das Recht, die Auskunft zu verweigern, wenn die Angaben Informationen erhalten würden, die dem Berufsgeheimnis wie z.B. der ärztlichen Schweigepflicht unterliegen.

An dieser Rechtsprechung hat der Bundesfinanzhof im Wesentlichen festgehalten. Weitere Entscheidungen haben sich zwar insbesondere auf die Einsichtnahme von Daten durch die Finanzverwaltung bei Rechtsanwälten bezogen, können aber in gleicher Weise für medizinische Berufe herangezogen werden.

So ist mittlerweile durch den BFH entschieden worden, dass die Auskunft nicht verweigert werden darf, wenn der Patient oder Mandant sie von der Verpflichtung zur Verschwiegenheit entbunden hat, wobei dies (sic!) auch stillschweigend erfolgen könnte (vgl. BFH, Urteil vom 27.09.2017, Az.: XI R 15/15).

Bzgl. der stillschweigenden Entbindung von der Verschwiegenheit möchte ich zur Beruhigung allerdings anführen, dass der BFH dies vorrangig bei Steuerberatern als Möglichkeit annimmt, bei denen schon gegenüber der Finanzverwaltung mitgeteilt wurde, dass insoweit ein Mandatsverhältnis besteht.

Im Zuge der Jahrzehnte hat sich die Rechtsprechung des BFH und der anderen Finanzgericht dahingehend konkretisiert, dass zwar die Einsichtnahme „in vollständiger Form“ durch den Berufsgeheimnisträger verweigert werden darf, das Finanzamt aber die Vorlage der zur Prüfung erforderlich erscheinenden Unterlagen in neutralisierter Form verlangen kann (vgl. BFH, Urteil vom 28.10.2009, Az.: VIII R 78/05).

Eine neue Dimension hat die Frage des Datenzugriffs natürlich durch die zunehmende Digitalisierung gewonnen. Auch hier gehen die Finanzgerichte aber offenbar tendenziell davon aus, dass auch insoweit eine Überlassung von Datenträgern von Berufsgeheimnisträgern an das Finanzamt verlangt werden kann.

Begründung ist, dass der Berufsgeheimnisträger dafür verantwortlich sei, dass er die Datenbestände so organisiert, dass im Falle einer Einsichtnahme nicht zugleich die geschützten Daten betroffen sind (vgl. FG Nürnberg, Urteil vom 30.07.2009, Az.: 6 K 1286/08).

Die datenschutzrechtliche Dimension

Unabhängig von der Schweigepflicht des § 203 StGB gilt nach h.M. parallel dazu auch das jeweils anzuwendende Datenschutzrecht, also hier die DSGVO.

In rechtlicher Hinsicht ist die Einräumung der Einsichtnahme ggü. dem Finanzamt eine Offenlegung von Daten, für die eine Rechtsgrundlage erforderlich ist.

Einschlägige Rechtsgrundlage wäre hier „Caesar“, also Art. 6 Abs. 1 lit. c) DSGVO, da es eine Rechtspflicht aus der Abgabenordnung zur Auskunft gibt.

Nur ist hier zu berücksichtigen, dass diese Rechtspflicht nur soweit greift, wie es das Berufsgeheimnis zulässt.

Hier kommen also wieder die o.g. Grundsätze zum Tragen. Eine Volleinsicht in die Patientendaten ist nicht zulässig, solange keine Einwilligung bzw. besser formuliert eine Schweigepflichtsentbindung der Patienten vorliegt.

Eine andere Rechtsgrundlage ist schon wegen des Verbots der Verletzung der Schweigepflicht aus § 203 StGB nicht ersichtlich.

Die konkrete Antwort auf die Frage…

…lautet daher, dass ohne eine Schweigepflichtsentbindung keine vollständige Überlassung der Patientenkartei oder einzelner Patientendatensätze zulässig ist.

Ich muss es zudem ganz deutlich sagen. Nach meiner Meinung kann sich der Physiotherapeut nach § 203 StGB strafbar machen, wenn er die Daten vollständig im Rahmen einer Betriebsprüfung durch die Betriebsprüfer einsehen ließe oder sogar Daten überließe.

Darüber hinaus könnte diese Einsichtnahme auch zu einem datenschutzrechtlichen Bußgeld führen, da keine Rechtsgrundlage für die Offenlegung der Daten ohne Einwilligung des Patienten ersichtlich ist.1

ABER: Nach der Rechtsprechung ist der Physiotherapeut hier verpflichtet, die Informationen in neutralisierter Form zur Verfügung zu stellen.

Und nicht nur das. Nach der Rechtsprechung einiger Finanzgerichte ist der Physiotherapeut zudem generell verpflichtet, seine Verarbeitung seiner Patientendaten so zu organisieren, dass eine Einsichtnahme in buchhaltungsrelevante Daten erfolgen kann, ohne dass das „Patientengeheimnis“ verletzt wird.

Noch ein paar Hinweise zu Detailproblemen

(Ergänzung vom 27.11.2019)

In vielen medizinischen Berufen sind Angaben zu ICD-10 Codes in Rechnungen für die Abrechnung mit Krankenkassen verpflichtend (z.B. nach § 295 SGB V). Hier stellt sich im Kontext mit Prüfungen durch das Finanzamt de facto eine „Unmöglichkeit“ dar, keine Gesundheitsdaten an das Finanzamt zu offenbaren. Dieses Problem ist nicht Gegenstand meines Beitrages.

Eine Lösung könnte hier aber darin bestehen, dass es in § 29 Abs. 2 AO eine Befugnis der Finanzämter gibt, besondere Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten unter bestimmten Umständen zu verarbeiten.

Der § 29b Abs. 2 AO würde dann zugleich Grundlage für eine Befugnis zur Offenlegung der Gesundheitsdaten gegenüber dem Finanzamt im Hinblick auf Art. 9 Abs. 2 lit. f) DSGVO eröffnen. Vielleicht greift aber auch Art. 6 Abs. 4 DSGVO als alleinige Rechtsgrundlage (Hintergrund: Wenn wir die Entscheidung des BGH zur Art. 6 Abs. 4 DSGVO (BGH, Beschluss vom 24.09.2019, Az.: VI ZB 39/18) zu Ende denken. Das Ganze ist rechtlich derart komplex und ungeklärt, dass es derzeit einem Blick in eine milchige Glaskugel entsprechen würde, wenn wir hier belastbare Aussagen treffen wollten.

  1. Denn für den Fall, dass keine Entbindung von der Schweigepflicht vorliegt, mangelt es an einer Rechtsgrundlage in datenschutzrechtlicher Hinsicht. Falls eine Entbindung von der Schweigepflicht erfolgt ist, liegt nach Ansicht der Finanzgericht offenbar eine Rechtspflicht zur Herausgabe der Daten vor, so dass wir hier von einer datenschutzrechtlichen Befugnis zur Offenlegung nach Art. 6 Abs. 1 lit. c) DSGVO ausgehen können (Fußnote eingefügt am 27.11.2019).↩︎

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht

Letzte Woche hatte ich mich mit dem Thema „Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?“ beschäftigt.

Zu dem Beitrag gab es nun eine Nachfrage:

Die Frage

Wie verhält es sich mit § 6 Abs. 4 BDSG, wenn der DSB noch aufgrund einer Pflicht benannt wurde, diese Pflicht jedoch durch die Erhöhung der möglichen Mitarbeiteranzahl auf 20 jetzt entfällt oder sich aber die Mitarbeiteranzahl im Betrieb reduziert? Ist der interne DSB dann dennoch weiterhin geschützt oder hat er Pech gehabt?

Meine Antwort

Die Lösung ist in diesem Fall – wie so häufig – im Gesetz zu finden. Einschlägig ist hier die Regelung in § 38 Abs. 2 2. Halbsatz BDSG, in der im zweiten Satz auf die Regelung zur Abberufung und zum Kündigungsschutz nach § 6 Abs. 4 BDSG Bezug genommen wird.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Dort steht wörtlich „verpflichtend ist“. Dort steht nicht „verpflichtend war“.

Es wird also stets auf den aktuellen Stand abgestellt werden müssen.

Allerdings ist zu beachten, dass eine Benennungspflicht nicht nur aufgrund der Anzahl der Beschäftigten bestehen kann (siehe § 38 BDSG).

Und dann ist auch noch das Benachteiligungsverbot des Art. 38 Abs. 3 DSGVO zu beachten. Nur wird man aus diesem schwerlich einen Kündigungsschutz pauschal herleiten können.

Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?

In der letzten Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf:

Die Frage

Was ist bei einer freiwilligen Benennung eines Datenschutzbeauftragten im Gegensatz zur gesetzlich erforderlichen Benennung eines Datenschutzbeauftragten zu beachten?
Besonders in Hinblick auf den Wegfall der Gesetzesgrundlage zur Heraufsetzung der Bestellgrenze. Ändert sich etwas bei der Haftung, den Aufgaben oder der Möglichkeit der Abberufung?

Meine Antwort

Es gibt einige Unternehmen, die einen Datenschutzbeauftragte benennen, obwohl sie weder nach § 38 BDSG noch nach Art. 37 DSGVO verpflichtet sind, einen Datenschutzbeauftragten zu benennen.

Ob nun freiwillig benannte Datenschutzbeauftragte oder nicht…grundsätzlich gibt es nur wenige Unterschiede. Weder die Aufgaben noch die Haftung sind unterschiedlich geregelt.

Die einzige, wesentliche Änderung bei freiwillig benannten sieht § 38 Abs. 2 Satz 2 BDSG vor. Dort ist nämlich für interne Datenschutzbeauftragte geregelt, dass bei freiwilliger Benennung von Datenschutzbeauftragten § 6 Abs. 4 BDSG nicht zur Anwendung kommt.

Und das wiederum bedeutet, dass ein Unternehmen einen freiwillig benannten Datenschutzbeauftragten jederzeit abberufen kann.

Dies bedeutet für externe Datenschutzbeauftragte jedoch nicht zwingend, dass dies auch zur fristlosen Kündigung des „DSB-Vertrages“ berechtigt. Hier ist der Einzelfall häufig entscheidend und sollte dann im Fall der Fälle unter Zuhilfenahme einer Anwältin oder eines Anwaltes erfolgen.

Auftragsverarbeitungsvertrag bei Softwaretest erforderlich?

In dieser Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf:

Die Frage

Unsere Marketingabteilung möchte eine Trackingsoftware (SaaS) für die Firmenwebseite ausprobieren. Der Test soll 14 Tage dauern (Angebot des Anbieters). Sehe ich das richtig, dass ich aus Sicht Datenschutz auch für diesen Test "das volle Programm" benötige, also AV-Vertrag, Info für Besucher (Art. 13 DSGVO) und technische Widerspruchsmöglichkeit?

Meine Antwort

Die Antwort lautet: Ja (keine Pointe)

Datenschutzrechtlich ist es nicht relevant, ob der Zweck der Datenverarbeitung nur ein Test ist oder nicht. Rechtlich werden hier personenbezogene Daten im Auftrag durch den SaaS-Anbieter verarbeitet. Daher ist ein Auftragsverarbeitungsvertrag zu schließen.

Und wenn es um „Tracking“ geht, müssen auch die weiteren rechtlichen Voraussetzungen bzgl. des Vorliegens einer Rechtsgrundlage (Interessenabwägung oder ggf. sogar Einwilligung) eingehalten werden.

Und ja…auch Informationspflichten bzgl. der Verarbeitung sowie ein Hinweis auf ein etwaiges Widerspruchsrecht (oder falls mit einer Einwilligung gearbeitet wird bzgl. des Widerrufs derselben) sind bei einem reinen Test erforderlich.

Daher macht es durchaus Sinn, diese Tests in einer reinen Staging-Umgebung zu machen, auf die z.B. nur die Tester Zugriff haben oder auf denen Zugriffe simuliert werden, bevor das jeweilige Tool in der „Live-Umgebung“ zum Einsatz kommt. Denn in der reinen Test-Umgebung („Staging“) sind Datenschutzhinweise regelmäßig entbehrlich, wenn diese nicht allgemein zugänglich ist.

Nachweis von Double-Opt-Ins bei Wechsel des E-Mail-Marketing-Providers

Wenn du einen professionellen Newsletter hast, wirst du in aller Regel den E-Mail-Versand über einen E-Mail-Marketing-Provider abwickeln. Bei mir ist das z.B. „mailchimp“.

Und natürlich sind Nutzer dann auch mal mit ihrem Dienstleister nicht zufrieden und möchten zu einem anderen Anbieter wechseln. Nur: Was ist denn mit den Nachweisen für einen Double-Opt-In?

Darauf bezog sich eine Frage aus dem Kreise der Datenschutz-Coaching-Mitglieder:

Die Frage

Wenn ein Kunde Daten von eMail-Provider A zu eMail-Provider B transferiert, wie kann dann die bei Provider A dokumentierte Einwilligung (Double Opt-In) für Provider B sichergestellt werden?

Hintergrund ist, dass die Features von Provider B besser sind als bei Provider A. Der Kunde aber nun Probleme mit der Belegbarkeit des Opt-Ins befürchtet, wenn der die Daten bei Provider A exportiert und bei Provider B importiert.

Wie kann hier rechtssicher gearbeitet werden?

Meine Antwort

Rechtssicherheit beim Nachweis von Double-Opt-Ins (DOI) ist nie ganz sicher zu erreichen. Letztlich geht es ja im Zweifel darum, dass der Empfänger einer E-Mail behauptet, er habe den Newsletter nicht „bestellt“.

Der Versender der E-Mail ist dann darlegungs- und beweispflichtig für die Tatsache, dass die betreffende Person den Newsletter wirklich selbst bestellt hat. Hierbei verlangt die Rechtsprechung in Deutschland, dass ein DOI-Verfahren zur Anwendung kommt, damit sichergestellt ist, dass vor dem Versand eines Newsletters eine Verifizierung der E-Mail-Adresse erfolgt ist.

Das läuft praktisch so ab:

  1. Eine Person trägt sich in ein Formular für einen Newsletter ein („Opt-In“).
  2. Das Unternehmen, das den Newsletter versendet, sendet vor dem Versand des Newsletters eine E-Mail an die betreffende E-Mail, in der ein Aktivierungs- oder Verifizierungslink enthalten ist.
  3. Erst wenn dieser Link vom Inhaber der E-Mail-Adresse geklickt worden ist („Double-Opt-In), wird die betreffende E-Mail-Adresse in den Newsletter aufgenommen.

Der E-Mail-Marketing-Provider wird für diesen DOI in der Regel diverse Daten speichern. Das werden regelmäßig mindestens diese Daten sein:

  • E-Mail-Adresse
  • Datum und Uhrzeit des Opt-Ins inkl. Zeitzone
  • IP-Adresse während des Opt-Ins
  • Datum und Uhrzeit des Double-Opt-Ins
  • IP-Adresse während des Double-Opt-Ins

Diese Daten werden im System des jeweiligen E-Mail-Marketing-Providers vorgehalten.

Wenn dieser Anbieter nun gewechselt wird, werden diese Daten in der Regel nach dem Ende des jeweiligen Vertragsverhältnisses nicht mehr verfügbar sein.

Was sollte man vor dem Wechsel des E-Mail-Marketing-Providers tun?

Jeder seriöse E-Mail-Marketing-Provider bietet die Möglichkeit die o.g. Opt-In-Daten zur jeweiligen Liste zu exportieren. Dies wird meist im CSV-Format angeboten.

Diese Daten sollten also vor dem Wechsel exportiert werden. Und zwar rechtzeitig einmal vorher, damit geprüft werden kann, ob die Daten ausreichend und vollständig sind.

Und dann sollte unmittelbar vor dem Wechsel auf den neuen Provider ein aktueller Export der Daten vorgenommen werden.

Mit diesen Daten lassen sich dann die Opt-Ins und Double-Opt-Ins belegen.

Aber: Ist das „gerichtsfest“?

Nicht wirklich. Denn natürlich können CSV-Dateien jederzeit geändert werden. Wenn Unternehmen also sicherer sein wollen, könnten wir folgendes Vorgehen überlegen:

  • Der Export der CSV-Datei wird nach dem 4-Augen-Prinzip vorgenommen. Es ist also mindestens ein Zeuge anwesend.
  • Ferner könnte ggf. ein Screencast des Exports als Video mitgeschnitten werden.
  • Nach dem Export der Datei könnte die CSV-Datei (und die Screencast-Datei) gleich in ein Dokumentenmanagementsystem oder Archiv überführt werden, das eine revisionssichere Speicherung ermöglicht.
  • Der Zeuge des Exports sollte sich einen schriftlichen Vermerk erstellen, aus dem sich ergibt, dass am betreffenden Tag, zur betreffenden Uhrzeit ein Export der Daten aus dem System des E-Mail-Marketing-Providers „X“ vorgenommen und die Dateien im Archivsystem „Y“ abgelegt worden sind.

Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen?

Dieser Beitrag ist zugleich ein Beitrag dazu, warum es niemals eine gute Idee ist, Datenschutzhinweise neben AGB bei einer Registrierung via Checkbox akzeptieren zu lassen. AGB und Datenschutzhinweise sind getrennte Dinge und sollten unbedingt getrennt behandelt werden.

Sehr häufig finden wie z.B. auf Internetseiten die Bezeichnung „Datenschutzerklärung“ für Informationen zum Datenschutz, die als Informationen zum Datenschutz i.S.d. Art. 13 DSGVO dienen sollen.

Ich empfehle meinen Mandantinnen und Datenschutz-Coaching-Mitglieder immer, statt dessen lieber den Begriff „Datenschutzhinweise“ zu verwenden.

Passend dazu ist diese Frage eines Datenschutz-Coaching-Mitglieds:

Ich erinnere mich, dass Du ausdrücklich darauf hingewiesen hastm für den Datenschutzhinweis auf der Internetseite nur diese Begrifflichkeit zu benutzen und nicht den Begriff Datenschutzerklärung.

Kannst Du das bitte noch einmal erklären und begründen?

Meine Antwort

Datenschutzinformationen i.S.d. Art. 13, 14 DSGVO sind einseitige Informationen, die ein Verantwortlicher gegenüber Betroffenen angibt. Diese können sich jederzeit ändern.

Wenn ich jedoch einen Vertrag mit einem Betroffenen habe, kann ich den nicht jederzeit ändern. Änderungen sind dann nur möglich, wenn der Vertrag eine Änderungsklausel vorsieht.

Bei AGB, die z.B. wirksam in ein Vertragsverhältnis einbezogen werden (z.B. bei der Registrierung auf einer Internetseite), werden meist Regelungen zur Änderung der AGB enthalten sein, die z.B. eine Änderung ermöglichen, wenn der Verwender der AGB z.B. 6 Wochen vorher über die Änderungen informiert und ein Widerspruchsrecht gegen die Änderungen einräumt.

Datenschutzhinweise müssen schnell änderbar sein – jeden AGB-Bezug vermeiden

Da Informationen zum Datenschutz teilweise sehr schnell geändert werden müssen, muss immer deutlich sein, dass es sich bei den Datenschutzhinweisen eben nur um „Informationen“ zum Datenschutz handelt.

Jeder Bezug zu AGB oder Umstände, die nahelegen könnten, dass die Datenschutzhinweise als AGB eingestuft werden könnten, sollten unbedingt vermieden werden, damit man nicht in ein „Änderungs-Vorbehalts-Dilemma“ hineingleitet, wie es bei AGB der Fall wäre.

Warum der Begriff der „Datenschutzrichtlinie“ aktuell kritisch ist

Das hat mit einem Urteil des KG Berlin (Urteil vom 27.12.2018, Az.: 23 U 196/13) zu tun, dass sich mit den AGB bzw. der Datenschutzrichtlinie von Apple befasst. Das Urteil ist zum Zeitpunkt der Erstveröffentlichung dieses Beitrages nicht rechtskräftig. Die Beschwerde bzgl. der Nichtzulassung der Revision durch das KG ist momentan beim BGH anhängig (Az.: VIII ZR 25/19).

In den Ausführungen des KG Berlin findet sich folgende Passage (Hervorhebungen von mir):

Die vom Kläger beanstandeten Klauseln können ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden. Bereits die Überschrift des Klauselwerks („…Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden. Dass im weiteren Text der Richtlinie der Gebrauch eines spezifisch rechtlichen Vokabulars strikt vermieden und statt von einem „Dürfen“ stets von einem „Können“ oder schlicht von einem „Tun (Werden)“ gesprochen wird, ändert nichts daran, dass der Leser die Klauseln als Inanspruchnahme von Rechten verstehen muss. Die Vermeidung von Rechtsbegriffen, die auf eine Einräumung von Rechten, auf eine Einwilligung in bestimmte Handlungen oder eine Zustimmung zu bestimmten Verfahrensweisen hindeuten, befördert nicht die Vorstellung, dass die dargestellten Regelungen für den Kunden unverbindlich seien; sie erweckt vielmehr die Fehlvorstellung, dass die Regelungen für den Verbraucher, der Vertragsbeziehungen zu der Beklagten anknüpft, ohne weiteres bindend seien, dass er sich diesem Reglement, ob er will oder nicht, zu fügen habe und es auf seine Meinung zu der beschriebenen Praxis nicht ankomme. Im Einleitungssatz der „Richtlinie“ wird dem Leser nahegelegt, sich mit den Praktiken der Beklagten vertraut zu machen; ihm wird auch gestattet, Fragen zu stellen. Die Möglichkeit, dass der Kunde die Praktiken der Beklagten auch ablehnen könnte, wird vollständig ausgeblendet. Da die Beklagte nicht vorträgt, dass ihre – ausdrücklich so bezeichneten – Allgemeinen Geschäftsbedingungen den klarstellenden Hinweis enthielten, dass sie abschließender Natur seien, erscheinen dem rechtlich nicht vorgebildeten Durchschnittskunden, auf den es ankommt, die Allgemeinen Geschäftsbedingungen der Beklagten und die …Datenschutzrichtlinie als eine Einheit, die er insgesamt akzeptieren muss, wenn er von der Beklagten beliefert werden will (vgl. BGH, Urteil vom 02.07.1987 – III ZR 219/86 Rn. 14 = BGHZ 101, 271).

Keine gute Idee, sondern gefährlich

Wenn Unternehmen ihre Datenschutzhinweise auf ihrer Internetseite als „Datenschutzrichtlinie“ bezeichnen und – schlimmer noch – bei der Registrierung von Nutzern diese „Datenschutzhinweise“ durch eine Checkbox akzeptieren lassen, riskieren sie, dass ihre Datenschutzhinweise als AGB eingestuft werden.

Und das ist wegen der daraus folgenden Konsequenz der Erschwernis, Änderungen an Datenschutzhinweisen vorzunehmen, niemals eine gute Idee.

Datenschutzhinweise sollten daher immer einen rein informatorischen einseitigen Charakter haben. Jeder Hauch von einer zweiseitigen Vereinbarung mit dem Nutzer sollte unterbunden sein.

Daher bitte „Datenschutzhinweise“ und nicht „Datenschutzrichtlinie“ verwenden

Daher sollte die Informationen zum Datenschutz i.S.d. Art. 13 DSGVO deutlich als reine Information gekennzeichnet sein.

Hier bietet sich der Begriff der „Datenschutzhinweise“ an.

Ähnlich unverbindlich wäre aber z.B. auch diese Begriffe:„Datenschutzinformation“, „Informationen zum Datenschutz“, oder „Informationen zur Datenverarbeitung“.

Und warum besser auch nicht Datenschutzerklärung?

Da auch der Begriff der „Datenschutzerklärung“ eher eine Verbindlichkeit darstellen kann, würde ich vorsorglich ebenfalls von diesem Begriff abraten.

Am besten ist m.E. der Begriff der „Datenschutzhinweise“ geeignet.

Anforderungen an eine wirksame Benennung eines Datenschutzbeauftragten

Aus dem Kreise der Datenschutz-Coaching-Mitglieder gab es diese Fragen bzw. Fragen:

  1. Welche Tatbestandsmerkmale müssen zwingend erfüllt sein, sodass eine rechtswirksame Benennung eines (e)DSB tatsächlich stattgefunden hat?
  2. Welche Voraussetzungen für das Vorliegen einer rechtswirksamen Benennung eines Konzern(e)DSB müssen erfüllt sein?

Meine Antwort

Zur ersten Frage

Das ist eine sehr gute Frage. Denn genau genommen sieht die DSGVO hier gar keine konkreten Regelungen vor.

Neulich wurde ich auch einmal gefragt, ob ein Unternehmen auch eine Person als Datenschutzbeauftragten benennen kann, die das gar nicht möchte oder dem gar nicht zugestimmt hat.

Aufgrund der Tatsache, dass ein Datenschutzbeauftragte auch einige Pflichten hat, die von ihm zu erfüllen sind, ist jedoch als rechtliche Voraussetzung für eine wirksame Benennung zu fordern, dass die Person bereits ein Vertragsverhältnis mit dem Verantwortlichen (also z.B. dem Unternehmen) hat, das diese Übernahme der Aufgaben des Datenschutzbeauftragten umfasst. Dies ist üblicherweise bei externen Datenschutzbeauftragten der Fall. Hier wird regelmäßig ein entsprechender Vertrag geschlossen.

Datenschutz-Coaching-Mitglieder finden übrigens hier einen Mustervertrag für externe Datenschutzbeauftragte.

Bei internen Datenschutzbeauftragten wird zwar der Arbeitsvertrag bei Teilzeit-DSB regelmäßig keine Regelungen zur Übernahme der Tätigkeit enthalten. Hier kann aber z.B. ein Annex zum Arbeitsvertrag genommen werden oder – was die üblichste Variante in der Praxis sein dürfte – der Arbeitnehmer erklärt sein Einverständnis, dass er künftig die Tätigkeit des Datenschutzbeauftragten im Unternehmen oder der öffentlichen Stelle übernehmen wird.

Wenn diese Voraussetzungen für ein „Grundverhältnis“ vorliegen, kann der Verantwortliche eine Benennung durchführen. Auch wenn es hierfür keine Formanforderungen gibt, macht es schon aus Gründen der Nachweisbarkeit Sinn, die Benennung schriftlich vorzunehmen.

Ein Muster für eine Benennung finden Datenschutz-Coaching-Mitglieder hier:

Zur zweiten Frage

Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.

Daraus ergibt sich schon einmal, dass wohl ein einziger „Benennungsakt“ ausreichend sein kann.

Davon unabhängig ist jedoch die Tatsache, dass ein interner DSB in einer Unternehmensgruppe, der z.B. in der Holding angestellt ist, im Hinblick auf die Benennung bei einer Unternehmenstochter haftungsrechtlich wohl wie ein externer Datenschutzbeauftragter zu bewerten ist. Dieses Haftungsrisiko wegen einer nicht bestehenden Privilegierung durch die Arbeitnehmerhaftung sollte also „behandelt“ werden.

Ebenso unabhängig davon ist, dass jedes Unternehmen als „Verantwortlicher“ für sich den Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen hat (Art. 37 Abs. 7 DSGVO). Das ist also jeweils von dem jeweiligen Unternehmen der Gruppe selbst zu machen sein.

Muss ich die Namen von eingestellten Bewerbern an die Agentur für Arbeit übermitteln?

Der Bereich Sozialdatenschutz gehört nicht gerade zu den von mir favorisierten Bereichen. Warum ist das so? Das lässt sich leicht erklären.

Das Problem mit dem Sozialdatenschutzrecht

Das deutsche Sozialrecht ist ein historisch dicht gewachsener Rechtsdschungel. Das meine ich gar nicht unbedingt negativ. Schließlich wissen wir heute, wie wichtig z.B. Regenwälder oder dichte Wälder für unser Weltklima sind.

Aber Regenwälder und Dschungel sind eben häufig schwer zu durchdringen und zu durchblicken. Und so ist es auch mit dem Sozialrecht.

Datenschutzrecht im Bereich der öffentlichen Stellen ist in der Regel einfach konstruiert. Denn im Grundsatz dürfen öffentliche Stellen die personenbezogenen Daten verarbeiten, die erforderlich sind, um die die ihnen gesetzlich übertragene Aufgabe erfüllen bzw. wahrnehmen zu können.

Im Sozialdatenschutzrecht kommen dann noch bereichsspezifische Rechtsvorschriften hinzu, die speziell die Sozialdaten schützen. Hintergrund ist der hohe Schutzbedarf der Daten. Und so gibt es nicht nur Sonderregelungen zum Datenschutzrecht im SGB X, sondern auch in Einzelregelungen der einzelnen anderen Sozialgesetzbücher.

Und so ist das Ganze eben doch recht unübersichtlich, wenn damit nicht jeden Tag „Vollzeit“ zu tun hat.

Hier die Frage zur Übermittlung von Namen bei Neueinstellungen

Über die nachfolgende Frage bzw. Anmerkung eines Datenschutz-Coaching-Mitglieds habe ich mich dennoch aber gefreut:

Eine Stellenausschreibung erfolgt (auch) über die Arbeitsagentur. Das Unternehmen erhielt nun von einer Sachbearbeiterin der Arbeitsagentur die Aufforderung, bei einer Stellenbesetzung zwingend auch den Namen des eingestellten Bewerbers mitteilen zu müssen, auch wenn dieser NICHT über einen Vermittlungsvorschlag der Arbeitsagentur vermittelt wurde (und dann den entsprechenden Meldebogen vorgelegt hätte). Eine eingeschränkte Information, DASS die Stelle besetzt wurde, würde nicht ausreichen, es müsse der Name des Eingestellten übermittelt werden. Dementsprechend müsste auch die Datenschutzerklärung des Arbeitgebers angepasst werden.

Die Frage, die sich aus dieser Anmerkung ergibt, ist diese: Sind Arbeitgeberinnen rechtlich verpflichtet, bei Neueinstellungen die Namen der Betroffenen an die Agentur für Arbeit mitzuteilen?

Ergänzend hat das Datenschutz-Coaching-Mitglied angegeben, dass die Agentur für Arbeit auf Nachfrage zu den Rechtsgrundlagen der Datenverarbeitung bzw. Auskunftspflicht sinngemäß diese Angaben gemacht hat:

Bei nicht von der Arbeitsagentur vorgeschlagenen Bewerberinnen muss die Arbeitgeberin ihrer Informationspflicht bei Neueinstellungen selbständig nachkommen.

Die Befugnis der Bundesagentur für Arbeit zur Datenerhebung bei der Arbeitgeberin resultiert aus § 67a Abs. 2 Nr. 2b SGB X. Die Übermittlungsgrundlage für die Arbeitgeberin an die Bundesagentur für Arbeit ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 39 SGB III.

Meine erste Reaktion

WTF! Das habe ich noch nie gehört, dass Arbeitgeberinnen bei Neueinstellungen den Namen an die Agentur für Arbeit zu melden haben. Auch die genannten Rechtsgrundlagen scheinen mir da nicht unbedingt einschlägig zu sein.

Nachvollziehbar ist, dass bei Neueinstellungen, bei denen von der Agentur für Arbeit bzw. einem Jobcenter vermittelte Bewerberinnen am Stellenauswahlverfahren teilnehmen, eine Mitteilung an die Bundesagentur für Arbeit zu erfolgen hat, aus der sich ergibt, dass die betreffenden vermittelten Bewerberinnen die Stelle nicht bekommen haben.

Dies ergibt sich auch aus § 39 Abs. 1 SGB III, wonach Arbeitgeberinnen, die Vermittlungsdienstleistungen der Agentur für Arbeit in Anspruch nehmen und die für eine Vermittlung erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.

Ferner lässt sich im Umkehrschluss § 39 Abs. 3 Nr. 2 SGB III heranziehen, wonach sich ergibt, dass die Agentur für Arbeit Vermittlungsleistungen für Arbeitgeberinnen einstellen kann, wenn diese „keine oder unzutreffende Mitteilungen über das Nichtzustandekommen eines Ausbildungs- oder Arbeitsvertrags mit einer oder einem vorgeschlagenen Ausbildungsuchenden oder einer oder einem vorgeschlagenen Arbeitsuchenden macht und die Vermittlung dadurch erschwert wird“.

Das alles ist für den Bereich der freien Vergabe von Stellen ohne Einbindung von Vermittlungsleistungen der Agentur für Arbeit jedoch nicht der Fall.

Meine zweite Reaktion

So…Stephan…nun denk’ noch einmal genau nach. Kann es nicht ggf. doch sein, dass hier eine Pflicht zur Angabe von Namen von „Eingestellten“ besteht. Die Agentur für Arbeit wird doch nicht einfach so behaupten, dass diese Auskunft hier zu erteilen ist, oder?

Also schaue ich mir das noch einmal näher an…und siehe da…es findet sich wieder nichts, was diese Ansicht zum Bestehen einer Pflicht zur Angabe von Namen gegenüber der Agentur für Arbeit stützt.

Im Gegenteil: Je länger ich mir das ansehe, um so „dreister“ finde ich diese Anforderung der Agentur für Arbeit bzw. der betreffenden Sachbearbeiterin oder des Sachbearbeiters.

Wie ist denn nun die Rechtslage?

In rechtlicher Hinsicht besteht eindeutig keine Pflicht von Arbeitgeberinnen, in Stellenbesetzungsverfahren das Ergebnis an die Bundesagentur für Arbeit unter Nennung des Namens der ausgewählten neuen Beschäftigten mitzuteilen, wenn keine Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind.

Der Anwendungsbereich von § 39 SGB III, der hier in Verbindung mit § 67a SGB X für die Datenerhebung seitens der Arbeitsagentur als „Auskunftsnorm“ angegeben werden, ist bei freien Stellenbesetzungsverfahren, bei denen Vermittlungsleistungen der Agentur für Arbeit nicht in Anspruch genommen werden, noch nicht einmal eröffnet.

Die §§ 35 ff. SGB III sind in der geltenden Fassung zu dem Zweck eingeführt worden, Vermittlungsleistungen der Agentur für Arbeit zu regeln und zu fördern.

Ein Rückgriff auf § 39 SGB III ist daher bei der Nichtinanspruchnahme von Vermittlungsleistungen der Agentur für Arbeit nicht zulässig.

Sofern sich die Agentur für Arbeit hier auf den Standpunkt beziehen möchte, dass aber die Nennung von Namen erforderlich sei, um ihre gesetzliche Aufgabe zu erfüllen und insoweit eine Befugnis zur Datenerhebung besteht, ist schon das nicht zutreffend. Denn gerade bei Sozialleistungsträgern ist der Grundsatz der Erforderlichkeit eng auszulegen (vgl. Bieresborn, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kap. 4 Rn. 66).

Und da es hier im Bereich der „freien“ Stellenvergabe schon an einer konkreten Aufgabe der Agentur für Arbeit fehlt (§ 39 SGB III ist – wie gesagt – nicht anwendbar), ist festzustellen, dass die Agentur für Arbeit diese personenbezogen Daten nicht erheben darf.

Arbeitgeberinnen sind zudem gut beraten, sich gut zu überlegen, ob sie dennoch „freiwillig“ der Anforderung von Arbeitsagenturen nachkommen, Namen von Neueinstellungen außerhalb von Vermittlungsleistungen der Arbeitsagentur nachzukommen.

Denn: Eine solche Übermittlung von personenbezogenen Daten könnte wiederum selbst datenschutzrechtlich unzulässig sein.

Und was ist bei Inanspruchnahme von Vermittlungsleistungen der Arbeitsagentur

Selbst wenn Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind, ist nach meiner Auffassung eine Pflicht zur Angabe von vollständigen Namen gegenüber der Agentur für Arbeit ebenfalls fraglich.

Denn Sinn und Zweck von § 39 SGB III ist es, sicherzustellen, dass Vermittlungsleistungen für Arbeitslose effektiv erbracht werden können und vor allem die Internet-Jobbörse aktuelle Daten vorhalten kann. Hierfür kann es ausreichend sein, wenn mitgeteilt wird, dass die vom Arbeitsamt vermittelten Bewerber die Stelle nicht erhalten haben.

Es gibt aber noch dieses Szenario:

Es ist nicht ausgeschlossen, dass ein Bewerber, der bei der Arbeitsagentur als arbeitslos gemeldet war, eine Stelle erhalten hat, ohne dass dieser von der Arbeitsagentur einen Hinweis auf die Stelle bekommen hat.

Hier könnte man schon daran denken, dass es eine Erforderlichkeit für die Angabe von Namen von Neueinstellungen bestehen könnte, damit die Arbeitsagentur ihre Daten sofort im o.g. Sinn aktuell halten kann.

Allerdings erhält die Arbeitsagentur sowieso wegen anderer sozialversicherungsrechtlicher Meldungen die Information, wenn eine Person nicht mehr arbeitslos ist.

Auch insoweit kann ich daher keine Erforderlichkeit für die konkrete Angabe von Namen von Neueingestellten gegenüber der Agentur für Arbeit erkennen.

Entscheidend ist aber vor allem hier ein Blick auf den § 39 Abs. 3 Nr. 2 SGB III. Dort können Sanktionen gegenüber Arbeitgeberinnen nur dann erfolgen, wenn diese keine Mitteilungen über das „Nichtzustandekommen“ von Ausbildung- oder Arbeitsverträgen machen, wenn Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind.

Das macht sehr klar, dass es also bei der Inanspruchnahme von Vermittlungsleistungen grundsätzlich nur eine Pflicht der Arbeitgeberin gibt, Informationen darüber zu erteilen, dass vermittelte Personen eine Stelle nicht bekommen haben.

Auch hier hätte ich erhebliche Zweifel daran, dass eine Übermittlung des Namens der Neueinstellung auf Aufforderung der Vermittlungs-Sachbearbeitenden der Agentur für Arbeit datenschutzrechtlich zulässig wäre.

Wie lange „gilt“ eine Einwilligung?

Folgende Frage kam von einem Datenschutz-Coaching-Mitglied:

Frage zur Einwilligung in die längerfristige Aufbewahrung von Bewerberdaten (Pool): für welchen Zeitraum sollte/kann die Einwilligung erfolgen? Ist eine Einwilligung in unbegrenzte Speicherung statthaft?

Meine Antwort

Ich möchte meine Antwort nicht auf die hier in Frage stehende Speicherung im „Bewerber-Pool“ beschränken, sondern eher allgemein auf die Frage eingehen, ob eine Einwilligung zeitlich „abläuft“.

Gerne wird hier z.B. von Aufsichtsbehörden vertreten, dass eine Einwilligung zeitlich ablaufe, also dem „Verfall“ unterliegen würde:

3.5 „Verfall“ der Einwilligung, Verwirkung

Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail- Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist
Quelle: Datenschutzkonferenz (DSK), Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), S. 10 (PDF)

Dass das nicht richtig ist, sollte eigentlich jeder Juristin schon vorher klar gewesen sein. Denn in rechtlicher Hinsicht handelt es sich bei einer Einwilligung um eine einseitige (empfangsbedürftige) Erklärung einer natürlichen Person.

Genauso wenig wie die Erklärung der Annahme eines Vertrages dem zeitlichen „Verfall“ unterliegt, kann dies bei einer Einwilligung der Fall sein. Gleichwohl habe einige Zivilgerichte dies zuvor so vertreten.

Glücklicherweise hat der BGH aber bereits mit Urteil vom 01.02.2018 (Az.: III ZR 196/17) klargestellt, dass eine erteilte Einwilligung nicht zeitlich abläuft:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Mir persönlich ist es ein Rätsel, warum diese Entscheidung des BGH aus dem Februar 2018 (BGH, Urteil vom 1.2.2018, Az.: III ZR 196/17)nicht von der DSK in der oben zitierten „Orientierungshilfe Direktwerbung“ herangezogen worden ist. Es ist einer der „Parade-Entscheidungen“ des BGH zu den Voraussetzungen an datenschutzrechtliche Einwilligungen und sollte der DSK „eigentlich“ bekannt sein. Stattdessen zitiert die DSK in ihrer Orientierungshilfe allein eine einzige Entscheidung und behauptet, dass „die Zivilgerichte“ das so sehen würden. Eine recht krasse Fehlbewertung, die viele Verantwortliche in die Irre führt. Aber nun ja…mit dem Einräumen und der Berichtigung von Fehlern ist es bei der DSK ja auch in anderen Dingen nicht immer allzu gut bestellt.
Wenn ich als Anwalt so beraten würde, könnte ich häufiger Kontakt mit meinem Haftpflichtversicherer aufnehmen.

Hier können die Aufsichtsbehörden in jedem Fall noch besser werden – soviel können wir wohl sagen.

Um auf die Ausgangsfrage zurückzukommen, ist es also nicht nur „statthaft“, sondern „normal“, dass eine Einwilligung unbegrenzt erteilt wird.

Es gibt nun aber ein „ABER“. Denn unabhängig von der unbeschränkten Dauer der Geltung einer Einwilligung kann ich ggf. aus anderen „Prinzipien“ ggf. gebunden sein, eine Verarbeitung irgendwann einzuschränken oder zu beenden.

Ich will hier auf die „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art. 5 DSGVO) hinaus. Dort gibt es das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Dieses Prinzip der Speicherbegrenzung besagt, dass personenbezogene Daten nur solange „nicht anonymisiert“ gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.

Wir müssen also schon schauen, ob der Zweck der Speicherung von Daten, die auf einer Einwilligung des Betroffenen beruht, irgendwann erreicht (oder aufgehoben) ist. Wenn dies der Fall, wären die Daten unabhängig von der unbeschränkten Dauer der Einwilligung zu löschen.

Bezogen auf den Bewerber-Pool würde ich mir als Unternehmen schon die Frage stellen, ob es Sinn macht, Bewerberdaten, die älter als zwei Jahre sind, noch im Bewerber-Pool zu halten. Die Daten sind mit Blick auf die noch vorhandenen „Skills“ der Bewerber möglicherweise schon veraltet und insoweit nicht mehr für den Zweck brauchbar. Wenn das so ist, müssten sie dann wohl gelöscht werden.

Sicher sind auch längere Fristen begründbar. Und genau da kommen wir dann zu einer Anforderung an Unternehmen, die manchmal etwas zu kurz kommt. Die handelnden Personen sollten wirklich einmal konkret nachdenken, wie lange denn eine Speicherung wirklich sinnvoll ist und dies idealerweise dokumentieren. Häufig zeigt sich dann, wie lange eine Speicherung im Hinblick auf den Zweck des Bewerber-Pools erforderlich ist.

Das Schöne daran ist, dass man diese Überlegungen dann zugleich in ein hoffentlich vorhandenes „Löschkonzept“ übertragen kann.