Podcast

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus

In der heutigen Podcast-Episode geht es um die Beantwortung von Fragen, die über das der Corona-Virus-Fragenformular hier eingegangen sind. Einige der eingegangenen Fragen zielen auf das Arbeitsrecht ab.

Da ich kein Arbeitsrechtler bin und hier nicht gefährliches Halb- oder 2/3-Wissen kundtun möchte, habe ich mir in diesem Podcast Verstärkung dazugeholt. Und zwar hat sich der geschätzte Kollege Alexander Hausner bereit erklärt, mir einige Fragen am Telefon zu beantworten.

Alexander Hausner ist Rechtsanwalt und Fachanwalt für Arbeitsrecht in der Kanzlei Roser Rechtsanwälte Steuerberater Wirtschaftsprüfer in Hamburg. Außerdem berät er auch im Datenschutzrecht. Ich kenne Alexander als kompetenten Ansprechpartner. Ein Kollege, an den ich mich sehr gerne wende, wenn ich in einer datenschutzrechtlichen Fragestellung mit Bezug zum Arbeitsrecht nicht so richtig weiterkomme.

In dem Podcast beantwortet Alexander Hausner diese Fragen:

  • Ist ein Arbeitgeber verpflichtet, Infektionsfälle/-verdachte an Behörden zu melden und ist er verpflichtet, seine Mitarbeiter und ggf. Kunden, die mit dem Mitarbeiter Kontakt hatten, über den Infektionsfall und ggf. die konkrete Person zu informieren?
  • Ist die stundenweise Freistellung zur Betreuung der Eltern (Senioren über 75 Jahre alt) auch gegen den Willen des Arbeitgebers möglich?
  • Kann der Arbeitgeber verlangen, dass Angestellte Kundenkontakt haben müssen, z.B. in Dienstleistungsbereichen, in denen ein sehr naher oder direkter Körperkontakt erforderlich ist?
  • Kann der Datenschutzbeauftragte zu 100% in Kurzarbeit geschickt werden, sodass er faktisch nicht mehr seiner Arbeit nachgehen kann?
  • Darf ich meine Mitarbeiter dazu zwingen in Skype für alle Kunden etc. mit Status sichtbar zu sein?
  • Kontrolle der Einhaltung von TOMs im Home Office durch Arbeitgeber? Sind Kontrollen zulässig, wenn ja in welchem Umfang?

Lebenszeichen – Der Podcast lebt

Ja…es ist nun wirklich schon eine ganze Weile her, dass es eine Podcast-Episode gab. Und ich bin ehrlich. Es war gar nicht so klar, dass es überhaupt noch einmal eine neue Folge geben wird.

Aber nun ist sie da. Und es wird auch weitere Folgen geben. Nur zu welchen Themen und wann…das ist derzeit noch nicht klar.

Die Hintergründe kannst du in dieser Podcast-Folge nachhören.

Wenn „Datenschutz“ zur Gefahr der Pressefreiheit wird…

Diese Podcast-Folge möchte ich allen ans Herz legen, die Werbung auf Internetseiten nur auf Basis einer Einwilligung für zulässig halten.

Denn das Abfordern einer Einwilligung kann hier ein ganzes Demokratieproblem auslösen. Das mag sich dramatisch anhören, ist es aber meines Erachtens auch. Mehr dazu im Podcast.

Und hier die Infos zur im Podcast angesprochenen Freikartenverlosung für die Konferenz „Digital Shift“ am 25.09.2019.

Ich verlose
4 Freikarten in Form von Gutscheincodes für die Onlinebestellung für die Teilnahme an der Konferenz.

Trage dazu einfach bis
12.09.2019 (18:00 Uhr) im nachfolgenden Formular deine E-Mail-Adresse ein. Unter allen Einsendungen verlose ich dann 4 Freikarten. Die Gewinnerinnen und Gewinner erhalten eine E-Mail mit einem Gutscheincode zur Bestellung eines Tickets auf der Website des Veranstalters. Die Daten werden nicht an Dritte weitergegeben und nach Durchführung der Verlosung gelöscht.

Wenn du nicht gewonnen hast oder zu spät teilgenommen hast, du aber gerne zur Konferenz gehen möchtest, dann kannst du im Online-Shop der „Digital Shift“ diese Rabattcode hier verwenden: shift4guru

Und nein, ich bekomme keine Provision o.ä. dafür. Ich denke einfach, dass es für einige Hörerinnen und Hörer interessant sein kann.

OLG Frankfurt a.M. – niedrige Latte bei Kopplungsverbot bzgl. Einwilligungen

Diese Woche ist eine bemerkenswerte Entscheidung des OLG Frankfurt (Urteil vom 27.06.2019, Az.: 6 U 6/19) in einer kostenpflichtigen juristischen Datenbank („juris“) veröffentlicht worden.

In der Entscheidung ging es u.a. darum, ob die Teilnahme an einem Gewinnspiel davon abhängig gemacht werden kann, dass die Teilnehmerin eine Werbeeinwilligung für E-Mail bzw. Telefon abgibt. Das ist eines der Fallszenarien, in der wir datenschutzrechtlich sofort an das Nichtkopplungsgebot des Art. 7 Abs. 4 DSGVO denken, das einige ja „fälschlicherweise“ (😉) auch „Kopplungsverbot“ bezeichnen.

Dem OLG Frankfurt war dieses Kopplungsverbot nicht einmal eine Erwähnung wird, wie sich aus dem Urteil ergibt. Hier aber erst einmal der Leitsatz der Entscheidung:
Ist die Teilnahme an einem Gewinnspiel von der Einwilligung in den Erhalt künftiger E-Mail-Werbung abhängig gemacht worden, bestehen gegen die Wirksamkeit dieser Einwilligung jedenfalls dann keine Bedenken, wenn der Verbraucher der Werbung durch nicht mehr als acht konkret bezeichnete Unternehmen zugestimmt hat und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist (im Streitfall: „Strom & Gas“). Die Einwilligung in die Werbung dieses Unternehmens ist auch unabhängig davon wirksam, ob der Geschäftsbereich der anderen bezeichneten Unternehmen ausreichend klar beschrieben worden ist.

Warum es in dem Urteil ab und an ein bisschen durcheinander geht, kannst du der Podcast-Episode entnehmen. Hier aber zunächst noch ein paar bemerkenswerte Zitate aus der Entscheidung (Hervorhebungen von mir):

Zum Merkmal der Freiwilligkeit der Einwilligung führt das Gericht wie folgt aus:
„Freiwillig“ ist gleichbedeutend mit „ohne Zwang“ iSd des Art. 2 lit. h RL 95/46/ EG (engl. beide Male „freely“). Der Betroffene muss also eine echte oder freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42 DS-GVO). Insbesondere darf auf den Betroffenen kein Druck ausgeübt werden. Ein bloßes Anlocken durch Versprechen einer Vergünstigung, etwa – wie hier – einer Teilnahme an einem Gewinnspiel, reicht dafür aber nicht aus (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rn. 149f). Einer Freiwilligkeit steht nach der Rechtsprechung des Senats (vgl. GRUR-RR 2016, 421 – Überschaubare Partner- liste, juris-Rn. 18; GRUR-RR 2016, 252 – Partnerliste, juris-Rn. 24) nicht entgegen, dass die Einwilligungserklärung mit der Teilnahme an einem Gewinnspiel verknüpft ist. Der Verbraucher kann und muss selbst entscheiden, ob ihm die Teilnahme die Preisgabe seiner Daten „wert“ ist.
Und hier zu der Anforderung, dass eine Einwilligung für einen bestimmten Fall erteilt werden muss:
Eine Einwilligung erfüllt diese Voraussetzung, wenn sich aus ihr klar ergibt, welche einzelnen Werbemaßnahmen welcher Unternehmen davon erfasst werden, dh auf welche Waren oder Dienstleistungen welcher Unternehmen sie sich bezieht (BGH GRUR 2013, 531 Rn. 24 – Einwilligung in Werbeanrufe II; BGH WRP 2017, 700 Rn. 25). Unabhängig von einer etwaigen AGB-Kontrolle ist eine Einwilligungserklärung unwirksam, wenn sie nicht klar erkennen lässt, auf welche Werbemaßnahmen welcher Unternehmen sich die Einwilligung erstrecken soll (Köhler/Bornkamm/Feddersen/Köhler, 37. Aufl. 2019, UWG § 7 Rnr. 149g). An der erforderlichen Klarheit kann es fehlen, wenn bereits die Anzahl der Unternehmen, zu deren Gunsten eine Werbeeinwilligung erteilt werden soll, so groß ist, dass sich der Verbraucher realistischer Weise nicht mit all diesen Unternehmen und deren Geschäftsfeldern befassen wird (vgl. Senat – Partnerliste a.a.O., Rn. 26: 59 Unternehmen). Davon kann hier jedoch angesichts der acht in der Einwilligungserklärung aufgeführten Unternehmen noch nicht die Rede sein.
Schließlich führt das Gericht bzgl. der Konkretheit des Produktbezuges ein Hinweis in der Einwilligung auf „Finanzdienstleistungen aller Art“ nicht ausreichend sei. Die Bezeichnung „Strom & Gas“ hingegen hielt das Gericht im konkreten Fall für konkret genug.
Viel Spaß bei dieser Podcast-Episode!

Muss ich alle Empfänger von Daten in Datenschutzhinweisen konkret angeben?

Die Informationspflichten in Art. 13 und 14 DSGVO gehören – ich wiederhole mich da immer wieder – zu den mit Abstand schlechtesten Regelungen der DSGVO.

Und es zeigt sich immer mehr, dass die Informationspflichten „europarechtskonform“ ausgelegt werden müssen. Hä? Europarechtlich? Die DSGVO ist doch Europarecht. Ja…richtig. Genau genommen ist die DSGVO aber europäisches Sekundärrecht. Und dieses Sekundärrecht darf europäischem Primärrecht wie z.B. dem Vertrag über die Arbeitsweise der Europäischen Union oder auch der Grundrechte-Charta der Europäischen Union (GRCh) nicht widersprechen.

Und da wären wir auch schon bei dem Problem. Denn eine weit ausgelegte Informationspflicht kann dazu führen, dass andere Grundrechte der GRCh verletzt werden. Nach den Grundsätzen von Art. 52 GRCh sind die Grundrechte hier in ein ausgewogenes Verhältnis zu bringen. Und zwar so, dass der Wesensgehalt des jeweiligen Grundrechts geachtet wird.

Das bedeutet konkret, dass z.B. das Recht auf den Schutz personenbezogener Daten des Art. 8 GRCh nicht den Wesensgehalt der Grundrechte auf Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 GRCh), die Berufsfreiheit und Recht zu arbeiten (Art. 15 GRCh), die unternehmerische Freiheit (Art. 16 GRCh) und das Eigentumsrecht (Art. 17 GRCh) verletzen darf.

Im Ergebnis meine ich, dass daher z.B. eine konkrete Angabe der Empfänger von personenbezogenen Daten nach Art. 13 Abs. 1 lit. e) DSGVO und Art. 14 Abs. 1 lit. e) DSGVO selbst dann durch eine Angabe einer Kategorie von Empfängern ersetzt werden kann, wenn ich die Empfänger konkret kenne. Und ob ich das „muss“ ist z.B. in der rechtswissenschaftlichen Literatur momentan umstritten.

In dieser Podcast-Folge setzte ich mich einmal damit auseinander.

LG Köln zur Beschränkung des Auskunftsanspruchs nach Art. 15 DSGVO

Das LG Köln (Urteil vom 18.03.2019, Az.: 26 O 25/18) hat einen umfassenden Auskunftsanspruch des Betroffenen auf alle Daten, die zu seiner Person gespeichert sind, eine Absage erteilt. Im Ergebnis halte ich das Urteil für richtig. Aber die Begründung kann durchaus als gewagt erscheinen.

Letztlich geht es um die Frage, ob sich der Auskunftsanspruch auch auf Dinge bezieht, der Betroffenen möglicherweise schon selbst hat oder auch ob es eine Art „Ausforschungsanspruch“ des Betroffenen gibt. Das LG Köln verneint dies und bezieht sich bei der Begründung auch auf die alte Rechtsprechung des OLG Köln zur Beschränkung des Auskunftsanspruches von § 34 BDSG a.F.

Warum ich das rechtlich für richtig halte, es aber extrem juristisch strittig ist, bespreche ich im Podcast diese Woche.

OLG Frankfurt a.M. zur Weitergabe von Daten durch KfZ-Haftpflichtversicherer & Löschung

In dieser Podcast-Folge geht es um mein Urteil der Woche. Dabei handelt es sich um Urteil des OLG Frankfurt a.M. vom 12.02.2019, Az.: 11 U 114/17.

In dem Urteil musste sich das OLG Frankfurt a.M. mit der Berufung damit beschäftigen, ob ein KfZ-Haftpflichtversicherer die Daten eines Unfallgeschädigten bzw. Teile dieser Daten aus einem Sachverständigengutachten an eine weitere Firma zur Prüfung des Sachverständigengutachtens geben durfte oder nicht und ob ein Löschanspruch bzgl. der Daten besteht.

Das OLG hat entschieden, dass die Daten gespeichert und wie hier auch im Wege einer Auftragsverarbeitung an eine Firma zur Überprüfung gegeben werden durften. Und ein Löschanspruch besteht nicht, da die Daten nach Art. 17 Abs. 3 lit. e) DSGVO gespeichert werden dürften.

So sehr ich das Ergebnis für richtig halte, geht in dem Urteil dann datenschutzrechtlich doch so einiges durcheinander. Mehr dazu in dieser Podcast-Episode.

FAQ zu Cookies & Tracking der Aufsichtsbehörde Baden-Württemberg

Ich mache da keinen Hehl daraus. Ich finde, dass die Aufsichtsbehörde in Baden-Württemberg momentan im Hinblick auf den öffentlichen „Output“ einen sehr guten Job macht.

So auch jetzt mit den neuen FAQ zu Cookies & Tracking, die auf der Website der Aufsichtsbehörde verfügbar sind (übrigens auch als PDF).

Dass ich finde, dass die Aufsichtsbehörde um den Landesdatenschutzbeauftragten Dr. Stefan Brink einen guten Job macht, heißt aber natürlich nicht, dass wir in allen Dingen einer Meinung sind. So auch mit den FAQ zu Cookies & Tracking.

Update, 06.05.2019: Da ich mehrere Rückmeldung dazu bekommen habe, dass bei einer Webanalyse ja gar kein „Dritter eingebunden werde, weil eine Auftragsverarbeitung vorliege und ein Auftragsverarbeiter kein „Dritter“ sei, möchte ich hier dazu kurz Stellung nehmen.
Richtig ist, dass der Begriff des „Dritten“ in Art. 4 Nr. 10 DSGVO definiert ist und sich aus der Definition ergibt, dass ein Auftragsverarbeiter eben kein Dritter ist.
Ich denke, dass die Aufsichtsbehörde bei ihren FAQ nicht differenziert hat (und ich entsprechend auch nicht) hat zwei Gründe. Erstens: Die FAQ sind nicht primär an Rechtskundige adressiert, und diese Personengruppe wird sehr häufig nicht zwischen Auftragsverarbeitung und „Dritten“ unterscheiden können. Letztlich bekommt hier ein „anderer“ Zugriff auf personenbezogene Daten von „mir“.
Zweitens: Bei vielen der Webanalyse-Anbieter könnte faktisch eine gemeinsame Verantwortlichkeit und keine Auftragsverarbeitung vorliegen, wenn diese nämlich die Daten kundenübergreifend nutzen. Im Falle von Google Analytics habe ich jedenfalls durchaus Zweifel daran, dass das als reine Auftragsverarbeitung daherkommt. Darüber ließe sich trefflich streiten.

Meinen „Senf“ dazu, kannst du in dieser Podcast-Episode nachhören.

Was macht eine gute Datenschutzbeauftragte aus?

Wir haben eine ungerade Kalenderwoche. Und in ungeraden Kalenderwoche „gendere“ ich weiblich. Kein Scherz. In geraden Kalenderwochen sind dann die Jungs wieder dran.

Und ja…ich tue mich selbst immer noch schwer, das stringent durchzuhalten. Aber der gute Wille zählt je bekanntlich. Und den habe ich.

In der heutigen Podcast-Episode geht es um das Thema, was Datenschutzbeauftragte denn eigentlich wissen müssen, um ihren Job gut auszuüben. Anlass für diesen Podcast war ein Artikel von Prof. Dr. Katrin Gierhake in diesem NJW-Editorial (PDF), der sich mit der Empfehlung zur Rückbesinnung auf Grundlagenwissen im juristischen Studium bezieht. Ein Ansatz, den ich sehr unterstütze. Denn das juristische Studium ist immer noch mit einer Stofffülle „überfüllt“, das gerade eben nicht „gute“ Juristinnen fördert, sondern Menschen, die in der Lage sind, möglichst viel auswendig zu lernen und zum Zeitpunkt des Examens halbwegs anwenden zu können.

Nur macht das keine gute Juristin aus.

Und ähnlich ist das auch mit Datenschutzbeauftragten. Auch hier wäre ein Fokus in der Ausbildung auf die Grundlagen sehr sinnvoll, meine ich. Und das wird auch in dieser Podcast-Episode thematisiert.

Konkrete Angabe der Rechtsgrundlage in Datenschutzhinweisen erforderlich?

In dieser Podcast-Episode geht es um die Beantwortung dieser Frage:

  • Muss ich in meinen Datenschutzhinweisen die Rechtsgrundlage konkret angeben?

In Deutschland wird diese Frage nach herrschender Auffassung mit „Ja“ beantwortet. Für den Rest der Europäischen Union dürfte das aber alles andere als eindeutig sein. Denn ein Großteil der Internetseiten der europäischen Aufsichtsbehörden nennt in ihren Datenschutzhinweise keine konkrete Rechtsgrundlage. Was ist davon zu halten?

Dies, jenes und ein bisschen Betroffenenrechte

Ich muss mich erst einmal wieder so langsam eingrooven, denke ich. Die erste Podcastepisode in diesem Jahr lief nicht so ganz gedanklich rund (haha).

Ich gelobe Besserung. Es geht hier u.a. um die Lage zur DSGVO, Betroffenenrechte und speziell Auskunftsrecht und -beschränkungen.