Heute folgt der zweite Teil unseres Jahresrückblicks im Datenschutz, der die Monate Mai bis August 2018 zusammenfasst.
Mai
Mit Urteil vom 15. Mai 2018 entschied der Bundesgerichtshof (BGH) über die Verwertbarkeit von Dashcam-Aufnahmen als Beweismittel im Unfallhaftpflichtprozess. Dabei kam der BGH zu dem Ergebnis, dass die datenschutzrechtliche Unzulässigkeit der Anfertigung der Aufnahmen im vorliegenden Fall nicht zu einer Unverwertbarkeit der Bilder im Zivilprozess führe. In diesem Zusammenhang betonte der BGH aber, dass die Frage der Verwertbarkeit stets aufgrund einer Interessen- und Güterabwägung nach den im Einzelfall gegebenen Umständen zu entscheiden sei.
Mit der Frage, ob Arbeitnehmer grundsätzlich verpflichtet seien, ihrem Arbeitgeber ihre private Mobilfunknummer anzugeben befasste sich das Landesarbeitsgericht Thüringen. Das Gericht kam zu dem Ergebnis, dass der Arbeitgeber nur unter besonderen Bedingungen und in engen Grenzen ein Recht auf Kenntnis der privaten Handynummer eines Arbeitnehmers habe.
Und dann war er da, der 25. Mai 2018. In unserem Beitrag zum Stichtag gaben wir einen Überblick über den Weg bis zur Anwendung der DSGVO und verwiesen auf wichtige Anlaufstellen bei Fragen zur Umsetzung der DSGVO. Wir stellten damals die gewagte Vermutung auf, dass sich die Welt auch nach diesem Stichtag weiterdrehen würde und siehe da – wir hatten offensichtlich Recht behalten.
Kurze Zeit nach Anwendung der DSGVO veröffentlichten einzelne Aufsichtsbehörden für den Datenschutz erste, langersehnte Positivlisten für die Datenschutz-Folgenabschätzung. Die veröffentlichten Listen ließen aber noch viel Raum für Unsicherheiten und es zeigt sich einmal mehr, dass es für die verschiedenen Aufsichtsbehörde nicht einfach sein wird „auf einen Nenner zu kommen“.
Juni
Der Monat Juni stand ganz im Zeichen von Facebook. Der Europäische Gerichtshof (EuGH) entschied am 5. Juni 2018, dass nicht nur Facebook, sondern auch die Betreiber von Facebook-Fanpages Verantwortliche im Sinne des Datenschutzes sind. Das Urteil hat weitreichende Auswirkungen auf das Verhältnis zwischen Fanpage-Betreiber und Facebook. Die Entscheidung bringt verschiedene Pflichten für die Betreiber und Facebook mit sich. In der Praxis zeigt sich, dass Betreiber zur Erfüllung ihrer Pflichten zwingend auf Facebook angewiesen sind und sich Facebook bei der Umsetzung der Anforderungen bisher sehr zögerlich verhält.
Die App der spanische Fußball-Liga nutzte die Smartphone-Mikrofone und Standortdaten von Millionen App-Nutzern, um Bars und öffentlichen Einrichtungen ausfindig zu machen, die Spiele übertragen aber keine Pay-TV-Gebühren zahlen. Aufgeflogen war das Ganze, weil die spanische Fußball-Liga aufgrund der erweiterten Informationspflichten der DSGVO ihre Nutzungbedingungen angepasst hatte und auf die erweiterten Zwecke hinwies.
Mit der DSGVO kam es zu einer erheblichen Verunsicherung im Hinblick auf das Erfordernis und die inhaltliche Ausgestaltung von Einwilligungen als Rechtfertigung für eine Datenverarbeitung. In einem Beitrag gingen wir auf das Ausmaß und den Anlass für die Einwilligungsschwemme ein. Dabei ging es insbesondere um die Frage, wann eine Einwilligung überhaupt erforderlich und zulässig ist.
Mit Beschluss vom 8. Mai 2018 kam das Verwaltungsgericht Bayreuth zu dem Ergebnis, dass der Einsatz von Facebook Custom Audiences über die Kundenliste ohne vorherige Einwilligung der Betroffenen rechtswidrig ist. Facebook Custom Audiences ist ein Tool, um Werbeanzeigen auf Facebook noch genauer aussteuern zu können. Auch wenn die Entscheidung noch zum alten Bundesdatenschutzgesetz erging, wird sich an dieser Wertung voraussichtlich auch unter der DSGVO nichts ändern.
Juli
Im Juli beschäftigten wir uns unter anderem mit der Aussage des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, dass § 4 BDSG (neu) europarechtswidrig sei und wagten einen Blick auf den japanischen Datenschutz. Dabei zeigte sich, dass immer mehr Länder Europa als Vorbild sehen und ihre Gesetze an der DSGVO ausrichten.
Aber auch einige Stilblüten waren dieses Jahr wieder dabei. Wie etwa die das Beispiel einer katholischen Kita, die sich aufgrund der neuen Datenschutzregelungen dazu entschlossen hat, Erinnerungsalben nur noch mit geschwärzten Gesichtern anderer Kinder und der Erzieher anzufertigen.
Glücklicherweise waren die Aufsichtsbehörden nicht untätig und lieferten viele nützliche Tipps, Vorlagen und Checklisten für die Umsetzung der DSGVO, insbesondere für Vereine.
Augenmerk legten wir aber auch auf die Frage der Anfertigung von Fotografien im Beschäftigungsverhältnis sowie zur Gesichtserkennung zur Abwehr von Gefahren und deren Ausmaße.
August
Videoüberwachung und deren Auswertung war auch Streitpunkt eines Urteils des Bundesarbeitsgerichts, mit dem wir uns im August kritisch auseinandergesetzt haben. Darin entschied das BAG, dass Aufnahmen aus einer offenen Videoüberwachung auch noch nach vielen Monaten ausgewertet und für eine Kündigung verwertet werden dürfen.
Einmal mehr schauten wir über Tellerrand auf den brasilianischen Datenschutz und konnten uns des Eindrucks nicht erwehren, dass die DSGVO trotz aller Kritik als eine Art weltweiter „Datenschutz-Gold-Standard“ angesehen werden kann.
Umso wichtiger ist natürlich die Berücksichtigung der Aufgaben und Anforderungen der DSGVO für weltweit agierende Konzerndatenschutzbeauftragte sowie das Haftungsgefüge zwischen Verantwortlichem und Auftragsverarbeiter.
Spannende und informative Inhalte also. Morgen geht es weiter mit den Monaten September bis Dezember im Jahresrückblick 2018 – Teil 3.