Heute präsentieren wir den zweiten Teil unseres Jahresrückblicks, der sich auf die Monate April bis Juni 2023 konzentriert und weitere Einblicke in relevante Entwicklungen im Bereich Datenschutz bietet.
Der Inhalt im Überblick
April – ChatGPT „glänzt“ mit Datentransparenz
Im April sorgte der Dienst ChatGPT des in San Francisco ansässigen Unternehmens OpenAI mit Datenpannen und behördlichen Verboten für negative Schlagzeilen. Daraufhin wurden auch deutsche Datenschutzbehörden aktiv und gaben per Pressemitteilungen Einblicke in die an OpenAI versandten Fragenkataloge. Nach wie vor stehen Nutzer von ChatGPT bei Fragen rund um die von der DSGVO vorgeschriebenen Transparenz und damit verbundenen Informationspflichten wie z.B. den genutzten Datenquellen und den verwendeten Algorithmen vor einer Blackbox.
April, April – der weiß nicht was er will, mal Regen und mal Sonnenschein […] . In diesem Sinne brachte die Entscheidung des Landgerichts Heidelberg (Az.: 6 S 1/22) positives sowohl negatives für die Durchsetzung vom Recht auf Löschung durch Betroffene gegen Internetriesen. Als positiv zu bewerten ist, dass das Landgericht Heidelberg Google LLC mit Sitz in den USA und Google Ireland Ltd. eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO beschien. So können sich Betroffene gemäß Art. 26 Abs. 3 DSGVO aussuchen wem gegenüber sie ihre Rechte geltend machen. Negativ für den Betroffenen war die Schlussfolgerung des Landgerichts Heidelberg, dass in diesem konkreten Fall das Informationsinteresse der Internetznutzer das Recht des Betroffenen auf Achtung der Privatsphäre und Schutz personenbezogener Daten überwiegt.
Weiter geht es mit dem Urteil des EuGH zu Beschäftigtendaten, welches sich mit einer dem § 26 Abs. 1 S. 1 BDSG beinahe identischen Vorschrift des Hessischen Datenschutzgesetzes (HDSIG) als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten auseinandersetzte. Laut Auffassung des EuGH handelt es sich sinngemäß bei § 26 Abs. 1 S. 1 BDSG nicht um eine spezifischere Norm zur Verarbeitung von Daten im Beschäftigtenverhältnis im Sinne von Art. 88 Abs. 1 DSGVO. Somit dürfte die Anwendung des § 26 BDSG als zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten der Vergangenheit angehören.
Mai – die DSGVO feiert ihr fünfjähriges Jubiläum
Die DSGVO gilt seit dem 25. Mai 2018 als Verordnung unmittelbar in allen Mitgliedsstaaten der EU und somit auch in Deutschland. Zu den größten Errungenschaften der DSGVO gehören unbestritten das Herbeiführen eines einheitlichen Datenschutzniveaus in der EU und die Stärkung der Rechte der betroffenen Personen. Letzteres zeigt sich vor allem in der regelmäßigen Sanktionierung datenschutzwidriger Praktiken mithilfe des Verhängens von Bußgeldern. Insbesondere die Entwicklungen rund um Künstliche Intelligenz oder Big Data werfen viele noch ungeklärte Fragen in der Kontroverse mit dem Datenschutz auf.
Gleichzeitig konkretisierte der EuGH mit Urteil vom 04.05.23 (Az.: C-487/21) die Anforderungen an die Herausgabe von Kopien im Rahmen eines Auskunftsanspruches. Das Gericht stellte klar, dass einer betroffenen Person eine originalgetreue und verständliche Reproduktion der betreffenden Dokumente ausgehändigt werden müsse. Dies könne zum Beispiel Kopien von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch Auszüge aus Datenbanken betreffen. In der Praxis dürfte sich mit dieser Entscheidung der Aufwand der Beantwortung von Auskunftsersuchen erneut erhöhen.
Weiterhin schaffte der EuGH im Fall Österreichische Post (C-300/21) Klarheit unter welchen Voraussetzungen Betroffene Schadensersatz nach Art. 82 DSGVO verlangen können. Zum einen muss der betroffenen Person ein individueller materieller oder immaterieller Schaden entstanden sein. Zum anderen muss ein Kausalzusammenhang zwischen dem entstandenen Schaden und dem potenziellen DSGVO-Vorstoß vorliegen. Der EuGH führte weiter aus, dass es keine Erheblichkeitsschwelle für immaterielle Schäden gebe. Somit können betroffene Personen Unternehmen zukünftig häufiger bei DSGVO-Verstößen mit Schadensersatzansprüchen wegen immaterieller Schäden belangen.
Wir erinnern uns an den Whistleblower Edward Snowden. Im beruflichen Kontext sind diese Personen dank des Inkrafttretens des Hinweisgeberschutzgesetzes nun auch in Deutschland geschützt. Das Hinweisgeberschutzgesetz verpflichtet Unternehmen mit in der Regel mehr als 50 Beschäftigten interne Meldestellen einzurichten. Während kleinere Unternehmen mit in der Regel 50 bis 249 Beschäftigten für die Errichtung der Meldestellen bis zum 17. Dezember 2023 Zeit hatten, waren größere Unternehmen verpflichtet die Meldestellen unverzüglich einzurichten.
Im Mai erfreuen wir uns an der immer üppiger sprießenden Pflanzenwelt, die nach dem dunklen und kalten Winter unsere Gemüter erhellt. Weniger erfreulich war die Sicherheitslücke in der Gesundheitsapp edupression der Sofy GmbH, welche das Kollektiv zerforschung aufdeckte. Bei solch sensiblen Gesundheitsdaten gelten neben den allgemeinen datenschutzrechtlichen Anforderungen auch die Vorschriften des Art. 9 DSGVO. Nach Aussagen des Unternehmens wurde die Sicherheitslücke innerhalb weniger Stunden geschlossen und die österreichische Datenschutzbehörde informiert.
Juni – Videoüberwachung vs. Recht auf informationelle Selbstbestimmung
Videoüberwachung bietet Unternehmen die Möglichkeit die Aufklärung von Vandalismus- und Sachbeschädigungsfällen zu erleichtern. Sie stellt jedoch einen enormen Eingriff in das Recht auf informationelle Selbstbestimmung da und ist daher nur unter strengen datenschutzrechtlichen Voraussetzungen erlaubt. Im Streit eines Betreibers einer Selbstbedienungs-Tankstelle im ländlichen Raum über die Aufbewahrungsdauer der Videoaufnahmen entschied das VG Hannover, dass die Aufbewahrung von Aufzeichnungen für einen Zeitraum von sechs bis acht Wochen zu lang sei. Damit hält das VG Hannover an der sich in der Praxis durchgesetzten zulässigen Speicherdauer von 72 Stunden fest.
Kann ein Betriebsratsvorsitzender gleichzeitig Datenschutzbeauftragter sein? NEIN – so urteilte das BAG, dass die gleichzeitige Bekleidung beider Ämter zu einem Interessenkonflikt im Sinne von Art. 38 Abs. 6 DSGVO führe. Diese Tatsache hebe die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit i. S. v. § 4 Abs. 2 Satz 1 BDSG a.F. auf und rechtfertige den Widerruf der Bestellung als Datenschutzbeauftragten durch den Arbeitgeber.
Die Privatnutzung dienstlicher Kommunikationsmittel ist heute kaum wegzudenken. Erlaubt der Arbeitgeber eine solche Privatnutzung, sind verdachtsunabhängige Einsichtsnahmen durch den Arbeitgeber nicht ohne Weiteres möglich. Im konkreten Streitfall des LAG Baden-Württemberg hinsichtlich der Privatnutzung dienstlicher Kommunikationsmittel ging es um einen Arbeitnehmer, dem in der Konsequenz der ungewollten Preisgabe firmenbezogener E-Mails mit Konkurrenzunternehmen verhaltensbedingt gekündigt wurde. Laut Aussage des Gerichts müsse der Arbeitnehmer bei verdachtsunabhängigen Einsichtsnahmen vorab informiert und ihm Gelegenheit gegeben werden, private Nachrichten in einem gesonderten Ordner zu speichern, auf den kein Zugriff erfolgt.
Abschließend beschäftigte sich das Verwaltungsgericht Berlin damit unter welchen Voraussetzungen Auskunftsansprüche verweigert werden dürfen. Im konkreten Fall zweifelte eine Wirtschaftsauskunftei an der Identität des Antragstellers und forderte diesen auf weitere Informationen zu seiner Person zu übermitteln. Der Antragsteller kam der Aufforderung nicht nach, beschwerte sich erfolglos bei der Datenschutzbehörde und wollte sodann gegen diese Entscheidung der Behörde klagen. Das Verwaltungsgericht gab der Aufsichtsbehörde Recht, dass bei begründeten Zweifeln an der Identität des Antragstellers durchaus zusätzliche Informationen angefordert werden dürfen.
Das war ein kurzer Überblick über das zweite Quartal 2023 – morgen folgt der dritte Teil unseres Jahresüberblicks.
