Autor: Max Macht (Volljurist)

Am 1. Dezember ist das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das die ePrivacy-Richtlinie in nationales Recht umsetzt. Das Gesetz enthält u.a. Regelungen für Webseitenbetreiber, die Cookies oder ähnliche Technologien einsetzen möchten.

Schutz der Privatsphäre bei Endeinrichtungen

Die zentrale Regelung, die Betreiber von Webseiten beachten müssen, ist § 25 TTDSG.

Nach § 25 Absatz 1  Satz 1 TTDSG ist  „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, (…) nur zulässig, wenn der Endnutzer (…) eingewilligt hat.“

Das Gesetz stellt – im Einklang mit der höchstrichterlichen Rechtsprechung – klar, dass das Gesetz bereits dann zur Anwendung kommt, wenn Informationen in der Endeinrichtung (z. B. Laptop, Smartphone oder Tablet) gespeichert oder ausgelesen werden. Das bedeutet, dass Cookies oder sonstige Technologien auch dann von der Regelung erfasst werden, wenn keine personenbezogenen Daten verarbeitet werden, also Informationen, die keine Rückschlüsse auf die Identität des Webseitenbesuchers zulassen. Damit geht die Regelung über die DSGVO hinaus. Denn Zweck der Norm ist nicht nur der Schutz von personenbezogenen Daten, sondern der Schutz vor Fremdzugriffen.

Werden die Information auf einer Endeinrichtung gespeichert oder ausgelesen, so ist nach § 25 Absatz 1  Satz 1 TTDSG die Einwilligung des Besuchers der Website notwendig. Zu beachten ist, dass es nicht nur um die Speicherung/Auslesung von Cookies geht, auch wenn dies der häufigste Anwendungsfall ist, sondern auch um andere Technologien wie:

• Web Storage: Wie ein Cookie, aber mit größerer Kapazität.
• Web-Beacons, auch Zählpixel genannt, sind kleine 1×1-Pixel-große Grafiken. Beim Zugriff auf diese Internetinhalte wird der Pixel vom Server geladen und dokumentiert den Abruf der Website.
• Browser-Fingerprinting: Beim Browser-Fingerprinting wird der Besucher anhand von Informationen wie Bildschirmauflösung, Betriebssystemversion oder installierte Schrift wiedererkannt.

Abgrenzung zur DSGVO

Beim Speichern und Auslesen von personenbezogenen Daten konkurriert das TTDSG mit der DSGVO.

Werden Cookies oder andere Technologien, die keine personenbezogenen Daten erfassen, eingesetzt, so ist § 25 TTDSG anwendbar. Möglich ist jedoch auch die Speicherung bzw. der Zugriff auf Cookies mit personenbezogenen Daten. In dem Fall ist das TTDSG vorrangig (vgl. Artikel 95 DSGVO), da es das speziellere Gesetz darstellt.

Die weitere Verarbeitung, z. B. die Bildung von Nutzerprofilen, wird vom § 25 TTDSG nicht erfasst, weshalb die Erlaubnisnormen der DSGVO zu beachten sind. In diesem Zusammenhang ist darauf hinzuweisen, dass die Verwendung von Pseudonymen z. B. in Form einer eindeutigen Identifizierungsnummer nicht dazu führt, dass kein Personenbezug vorliegt, da IDs oder Kennungen dazu genutzt werden können die einzelnen Besucher zu unterscheiden und zu adressieren.

Kommt sowohl das TTDSG als auch die DSGVO zur Anwendung, sind keine separaten Einwilligungen erforderlich. Die Besucher müssen jedoch ausreichend über die Verarbeitungen informiert werden.

Ausnahme

Nach § 25 Absatz 2 Nr. 2 TTDSG ist die Einholung einer Einwilligung entbehrlich, wenn der Dienst unbedingt erforderlich ist, um einen Dienst zur Verfügung zu stellen, den der Besucher der Website ausdrücklich wünscht. Das sind z. B. Warenkorb-Cookies oder Systeme zur Betrugsprävention.

Max Macht
Volljurist

Wenn man durchs Internet surft, so fällt auf, dass ein großer Teil der rechtlichen Anforderungen nicht erfüllt werden. Was aufgrund der steigenden Komplexität auch nicht verwundert. Als Betreiber einer Website hat man u.a. die nachfolgenden Fragestellungen zu beachten:

• Was muss bei der Einholung einer Einwilligung beachtet werden?
• Was ist das TTDSG? Was muss beachtet werden?
• Muss man auch eine Einwilligung bei Cookies ohne Personenbezug einholen?
• Darf man noch Daten in die USA übermitteln?
• Welche rechtlichen Tücken gibt es bei Consent-Tools (z.B. Cookiebot)?
• Wer haftet bei einer datenschutzrechtswidrigen Website?
• Welche technischen und organisatorischen Anforderungen sind zu berücksichtigen?

Die GINDAT möchte Sie gerne in der neuen Reihe – Datenschutzrechtliche Anforderungen an eine Website – auf die aktuellen Schwierigkeiten aufmerksam machen. In Teil 1 wird es um das TTDSG (Das Telekommunikation-Telemedien-Datenschutzgesetz) gehen und die Abgrenzung zur DSGVO.

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

• CLOUD Act
• USA Patriot Act
• USA Freedom Act
• Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

 Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

• Serverstandort in Deutschland/ Europa
  Problem: Marketingmaßnahme, hilft nicht weiter.

• Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
  Problem: Wird von den meisten Dienstleistern nicht unterstützt

• Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
  Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.

• Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
  Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist

Derzeit wird vermehrt diskutiert, ob das Fax noch datenschutzkonform eingesetzt werden kann.

Insbesondere die Datenschutzbehörden in Bremen und Hessen sehen den Einsatz des Fax als kritisch ein.
(https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/zur-%C3%BCbermittlung-personenbezogener-daten-per-fax,
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen-und-handlungshilfen/telefax-ist-nicht-datenschutz-konform-161119)

Die Behörden gehen davon aus, dass in vielen Fällen durch Nutzung von Faxgeräten der datenschutzrechtliche Grundsatz der Vertraulichkeit nicht mehr gewahrt werden kann.

Rechtliche Anforderungen
Die Vertraulichkeit stellt einen der wichtigsten Grundsätze in der DSGVO dar. Darunter versteht man, dass personenbezogene Daten nur von denjenigen eingesehen werden dürfen, die auch dazu berechtigt sind (Artikel 5 Absatz 1 f DSGVO). Die für die Datenverarbeitung verantwortliche Stelle (z.B. Unternehmen, Verein, Behörde) hat sicherzustellen, dass die Vertraulichkeit der Daten durch angemessene Maßnahmen auch gewährleistet wird (Artikel 5 Absatz 1 f DSGVO, Artikel 32 DSGVO).

Die Vertraulichkeit muss auch bei der Übertragung von Daten sichergestellt werden, z.B. beim Versand einer E-Mail, per Post. Oder eben auch per Fax.

Beim Versand von Daten per Fax kann die Vertraulichkeit z.B. in den folgenden Fällen verletzt werden:

• Es wird versehentlich die falsche Zielfaxnummer eingegeben, sodass die Daten bei einer unbefugten Person landen.
• Eine unbefugte Person nimmt Einsicht in die übermittelten Daten per Fax, da jeder Zugang zu dem Empfängergerät hat, was der Absender nicht wissen kann.

Technik
Das Fax galt früher als besonders datenschutzkonforme Methode, da die Daten über die Telefonleitung Ende-zu-Ende- übermittelt wurden. Das ist heute in der Regel nicht mehr der Fall, da die meisten Faxgeräte auf Internet-Technologie beruhen.

Die hessische Datenschutzbehörde stellt das Problem wie folgt dar:

Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.

Mit „nicht verschlüsselt“ meint die Behörde wohl, dass der Versand nicht Ende-zu-Ende-verschlüsselt erfolgt, da die sogenannte Transportverschlüsselung auch beim Fax zum Standard gehört.

Unter Transportverschlüsselung versteht man das unverschlüsselte Senden von Daten über einen verschlüsselten Kanal. Bei der Ende-zu-Ende- Verschlüsselung wird dagegen auch der Inhalt verschlüsselt, sodass nur der Berechtigte den Inhalt entschlüsseln und lesen kann.

Anforderungen an die Sicherheit
Wie beim Versand einer E-Mail müssen auch beim Fax geeignete Maßnahmen getroffen werden, um das Risiko zu minimieren, dass unbefugte Personen den Inhalt einsehen können. Es kommt dabei auf die Art der Daten an, die verschickt werden sollen.

Soweit keine sensiblen personenbezogenen Daten (z.B. Bankdaten, Finanzinformationen) oder personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten, politische Meinungen, religiöse Ansichten) an den Empfänger übermittelt werden oder andere sensible Daten (z.B.  personenbezogene Daten zu Schulden, Pfändungen, Höhe des Einkommens, Sozialleistungen), reicht die Transportverschlüsselung aus. Diese bietet einen Basisschutz und gilt als Mindestanforderung zur Sicherung der Vertraulichkeit personenbezogener Daten und sensibler Informationen.

Bei der Versendung von sensiblen Daten ist zusätzlich eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) nach Art. 32 DSGVO verpflichtend, um das Risiko zu minimieren, dass eine unbefugte Person mitliest. Man kann als Absender jedoch nicht sicher sein, dass die Daten auch inhaltlich verschlüsselt ankommen, da man in der Regel nicht weiß, welche Technik der Empfänger nutzt und ob diese auch kompatibel ist.

Alternativen
Bei Versand von sensiblen Daten gelten der postalische Versand und die inhaltlich verschlüsselte Mail als datenschutzkonform. Besteht man dennoch auf die Nutzung des Fax, sollte man auf Ende-zu-Ende-Verschlüsselung setzen und mit dem Absender absprechen, ob eine geeignete und mit der eigenen Technik kompatible Verschlüsselung eingesetzt wird.

In bestimmten Situationen kann auch der Versand nicht inhaltlich verschlüsselter sensibler Daten per Fax rechtskonform sein, wenn es besonders wichtig und dringend ist, dass der Empfänger die Informationen enthält und keine geeignete Alternative zur Verfügung steht.

Auch das Fax kann noch datenschutzkonform eingesetzt werden, wenn die erforderlichen Verschlüsselungsmethoden eingesetzt werden.

Max Macht (Volljurist)

Bund und Länder haben sich am 23. August 2021 für die Einführung der 3G-Regel (geimpft, genesen, getestet) entschieden. Viele Arbeitgeber gehen daher fälschlicherweise davon aus, dass sie deshalb auch dazu berechtigt sind den Impfstatus Ihrer Beschäftigten abzufragen. Nach der derzeitigen Rechtslage ist das aber nicht ohne weiteres möglich. Die 3G Regel gilt zunächst nur für öffentlich zugänglichen Innenräume, wie die Innengastronomie und Beherbergungen, Krankenhäuser- und Pflegeheime, Kinos, Fitnessstudios, Schwimmbäder, körpernahe Dienstleistungen wie Frisöre und bei Veranstaltungen in Innenräumen und auch hier nur für die Besucher. Möchte der Arbeitgeber dennoch den Impfnachweis seiner Beschäftigten erheben, muss er derzeit nach rechtlichen Alternativen suchen.

Rechtliche Einordnung

Der Impfstatus ist ein Gesundheitsdatum im Sinne des Art. 9 Absatz 1 DSGVO und deshalb besonders schützenswert. Gesundheitsdaten dürfen in der Regel nur mit einer Einwilligung verarbeitet werden oder wenn eine Ausnahmevorschrift vorliegt. Die Ausnahmetatbestände sind jedoch nur eingeschränkt anwendbar, da Verarbeitungen von personenbezogenen Daten nach Art. 9 Absatz 1 nach dem Willen des Gesetzgebers grundsätzlich nicht erwünscht sind.

Einwilligung

Möchte man nun als Arbeitgeber wissen, ob die Beschäftigten geimpft sind, so kann man eine Einwilligung einholen. Problematisch ist dabei jedoch, dass eine datenschutzrechtliche Einwilligung immer nur dann wirksam ist, wenn sie auch freiwillig erteilt wurde. Man kann die Beschäftigten also nicht dazu zwingen eine Einwilligungserklärung zu unterschreiben, eine unterlassene Unterschrift darf auch nicht zu anderen Nachteilen führen (z.B. den Zutritt zum Betrieb verweigern).
Bei der Einwilligung muss auch das sogenannte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO berücksichtigt werden. Das wird dann relevant, wenn die Beschäftigen durch eine Prämie dazu motiviert werden sollen, einen Impfnachweis vorzulegen. Ein Verstoß gegen das Kopplungsverbot liegt vor, wenn die betroffene Person eine Leistung nur unter der Bedingung angeboten wird, dass in die Datenverarbeitung eingewilligt wird. Dabei schließt nicht jede Unannehmlichkeit die Freiwilligkeit aus. Daher sind kleine Prämien (z.B. Kinogutscheine) zulässig. Beförderungen oder Gehaltserhöhungen als Prämien sind dagegen ein Verstoß gegen das Kopplungsverbot.
Neben der Freiwilligkeit sind unbedingt auch die weiteren datenschutzrechtlichen Voraussetzungen zu beachten (Datenschutz-Information, insbesondere ein Hinweis auf das Widerrufsrecht, Nachweisbarkeit der Einwilligung).
Auch bei einer wirksam erteilten Einwilligung ist der Grundsatz der Datenminimierung zu beachten, der besagt, dass so wenig personenbezogene Daten wie möglich zu verarbeiten sind. Das hat zur Folge, dass die Einwilligung keine Kopie oder Scan des Impfnachweises rechtfertigt. Die Dokumentation der Kontrolle kann durch die Anfertigung einer internen Aktennotiz über Vorlage und Sichtung des Impfausweises erfolgen. Durch die Hinzuziehung einer zweiten beschäftigten Person kann außerdem in datenschutzkonformer Weise Missbrauch verhindert und der Beweiswert der Aktennotiz gestärkt werden (Vier-Augen-Prinzip).

Ausnahmevorschriften

Für Arbeitgeber wird es schwierig sein, ein Hygienekonzept zu entwickeln, das auf einer Datenlage aufbauen soll, die auf Einwilligungen beruht, da man damit rechnen muss, dass einige Beschäftigte diese verweigern werden. Daher liebäugeln viele Unternehmen damit, die Abfrage des Impfstatus auf eine andere rechtliche Grundlage zu stützen.
Einer dieser Rechtsgrundlagen ist der Artikel 9 Absatz 2 b DSGVO iVm § 26 Absatz 3 BDSG. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Arbeitgeber seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit.
Der Knackpunkt der Regelung ist hierbei der Begriff der Erforderlichkeit. Die Verarbeitung ist nach der Ausnahmeregelung erforderlich, wenn sie unabdingbar ist für die Erfüllung der rechtlichen Pflichten aus dem Arbeitsverhältnis.
Die Datenschutzbehörde in NRW stellt auf Ihrer Website klar, dass eine Abfrage des Impfstatus nach der aktuellen Lage nicht als erforderlich angesehen werden kann. Als Argumente führt sie u.a. an, dass die Abfrage des Impfstatus einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Grundrechtseingriffe dürfen jedoch nur durch Gesetze gerechtfertigt werden. Aktuell sieht der Gesetzgeber keine generelle Reglung zur Abfrage des Impfstatus vor.
Daher empfehlen die Behörden das Hygienekonzept auf die bisher bekannten Maßnahmen zu stützen (Abstand, Hygiene, Maske, Lüften).
Eine weitere Ausnahmevorschrift ist § 23a Infektionsschutzgesetz (IfSG). Danach darf der Impfstatus der Beschäftigten unter bestimmten Voraussetzungen verarbeitet werden. Jedoch handelt es sich dabei nur um die folgenden Einrichtungen:

1.  Krankenhäuser
2. Einrichtungen für ambulantes Operieren
3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
4. Dialyseeinrichtungen,
5. Tageskliniken,
6. Entbindungseinrichtungen,
7. Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
8. Arztpraxen, Zahnarztpraxen,
9. Praxen sonstiger humanmedizinischer Heilberufe,
10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
12. Rettungsdienste

Zudem hat die die Bundesregierung beschlossen, dass der Arbeitgeber zukünftig den Impfstatus von Beschäftigten in Pflegeheimen, Kitas, Schulen und Massenunterkünften abfragen darf

Rechtsfolgen

Verarbeitet der Arbeitgeber den Impfstatus, obwohl keine Einwilligung oder gesetzliche Erlaubnis vorliegt, riskiert er damit ein Bußgeld oder setzt sich Schadensersatzansprüchen aus.
Verweigert der Arbeitgeber ohne rechtliche Grundlage einem Beschäftigten den Zutritt zum Betrieb, so behält der Beschäftigte seinen Entgeltanspruch (§§ 615, 612a BGB).

Fazit

Da bis auf die oben genannten Ausnahmen der Gesetzgeber keine rechtliche Grundlage geschaffen hat, die es gestattet den Impfstatus zu verarbeiten, wird die Verarbeitung ohne Einwilligung durch die meisten Unternehmen rechtswidrig sein.
Bis zur Schaffung einer neuen Rechtsgrundlage besteht die Herausforderung darin, neben der Erfüllung der rechtlichen Verpflichtungen zur Bekämpfung der Pandemie auch den Datenschutz im Auge zu behalten, um einer Haftung zu entgehen. Bei dieser Herausforderung stehen Ihnen unsere Experten der GINDAT zur Seite.

Max Macht
Volljurist

Seit der Corona-Pandemie arbeiten viele Beschäftigte im Homeoffice. Bei der Verarbeitung von personenbezogenen Daten im Homeoffice erhöht sich das Risiko, dass datenschutzrechtliche Vorgaben nicht eingehalten werden. Denn der Arbeitgeber hat nur beschränkte Kontrollrechte und Einflussmöglichkeiten.

I. Verantwortlichkeit

Auch wenn die Mitarbeiter im Homeoffice tätig sind, so bleibt der Arbeitgeber für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO verantwortlich. Denn der Arbeitgeber bestimmt Zweck und Mittel der Verarbeitung. Das hat zur Folge, dass Schadensersatzansprüche und Bußgelder gegenüber dem Arbeitgeber geltend gemacht werden, wenn der Datenschutz im Homeoffice nicht ausreichend umgesetzt wurde.

Als Verantwortlicher hat der Arbeitgeber daher nach Art. 24 DSGVO dafür Sorge zu tragen, dass technische und organisatorische Maßnahmen umgesetzt werden, um sicherzustellen, dass personenbezogene Daten auch im Homeoffice datenschutzkonform verarbeitet werden.

Das Ziel der technischen und organisatorischen Maßnahmen ist es die Risiken für die Schutzziele der DSGVO auf ein Minimum zu minimieren. Bei der Wahl geeigneter Maßnahmen sind Art, Umfang, Umstände, Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Folgen einer Verletzung zu berücksichtigen.

II. Schutzziele der DSGVO

Um geeignete Maßnahmen treffen zu können, muss man sich zunächst darüber im Klaren sein, was geschützt werden soll.

Im Homeoffice sollte ein besonderes Augenmerk auf das Schutzziel der Vertraulichkeit gelegt werden. Vertraulichkeit bedeutet, dass schützenswerte Informationen vor unbefugter Preisgabe geschützt werden müssen und ausschließlich Befugten in der zulässigen Weise zugänglich gemacht werden dürfen.

Aufgrund der eingeschränkten Kontrollmöglichkeit im Homeoffice ist hier die Gefahr besonders groß, dass das Schutzziel der Vertraulichkeit verletzt wird. Denn es besteht das Risiko, dass Familienangehörige, Mitbewohner oder Besucher Zugang zu personenbezogene Daten oder vertraulichen Dokumenten erhalten. Ein weiteres Risiko im Homeoffice ist die Entsorgung von Unterlagen. Aufgrund von Unkenntnis oder Nachlässigkeit kommt es häufig vor, dass vertrauliche Daten (z.B. Bewerbungsunterlagen, Verträge, Namen mit Telefonnummern) im Hausmüll landen.

Das Schutzziel der Integrität fordert, dass personenbezogene Daten nicht verfälscht werden dürfen. Auch hier besteht das Risiko, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten.

Die Verfügbarkeit von personenbezogene Daten ist ein Schutzziel, das im engen Zusammenhang mit der Vertraulichkeit und der Integrität steht. Danach müssen Daten zur Verfügung stehen, wenn sie gebraucht werden. Eine Verletzung dieses Schutzziels liegt vor, wenn z.B. Daten durch unbefugte gelöscht werden oder wenn Datenträger gestohlen oder verloren gehen.

III. Maßnahmen zur Gewährleistung der Schutzziele

1. Allgemein

Es gibt keine universellen Vorgaben welche Vorgaben umzusetzen sind, um die oben genannten Schutzziele zu gewährleisten. Denn es kommt generell darauf an, welche personenbezogenen Daten im Homeoffice verarbeitet werden und welche Risiken für Betroffene bestehen (Kunden, Mitarbeiter, Dienstleister).

Daher werden personenbezogenen Daten und Unternehmensdaten in Stufen – ausgehend von ihrer Schutzbedürftigkeit – eingeteilt.

Schutzbedarfskategorie: normales Risiko

Unter diese Kategorie fallen Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen nicht- oder nicht wesentlich beeinträchtigen kann. Dazu gehören z.B. Interne Daten, auf die innerhalb eines

Unternehmens viele Mitarbeiter Zugriff oder öffentliche Quellen (Telefon- und Adressbücher) haben

Schutzbedarfskategorie: hohes Risiko

Dazu gehören Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen kann. Folgende Daten stellen ein hohes Risiko bei der Verarbeitung dar:

• Besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO (Gesundheit, Gewerkschaftszugehörigkeit, Religion, biometrische Daten…)
• Einkommen,
• Sozialleistungen,
• Strafen
• Videoaufzeichnungen
• Steuer-ID/ Krankenversicherungsnummer

Schutzbedarfskategorie: sehr hohes Risiko

Alle Daten, deren Bekanntwerden den Betroffenen in seiner Existenz gefährden kann. Gefahr des Ruins, der Beeinträchtigung der körperlichen Unversehrtheit (Leib- und Leben) oder der persönlichen Freiheit. Das sind insbesondere die nachfolgenden Daten:
• Adresse im Zeugenschutzprogramm
• HIV-Infektion
• Erhebliche strafrechtliche Verfehlungen

Je höher das Risiko, desto höher sind die Anforderungen an die Maßnahmen. Sollten Daten verarbeitet werden, die ein hohes oder sehr hohes Risiko für die Betroffenen darstellen, so muss von der Arbeit im Homeoffice in der Regel abgesehen werden.

2. Konkrete Maßnahmen

Die nachfolgenden Maßnahmen sind empfehlenswert. Dabei ist jedoch darauf zu achten, dass die genannten Maßnahmen nicht abschließend sind. Zudem kommt es bei der Auswahl von geeigneten Maßnahmen immer auf den konkreten Einzelfall an.

a) Organisatorische Maßnahmen

Unter organisatorische Maßnahmen versteht man die Umsetzung von Handlungsanweisungen sowie Vorgehens- und Verfahrensanweisungen für Mitarbeiter.

Per Organisationsanweisungen sollten die nachfolgenden Verbote ausgesprochen werden:

-> Keine Mitteilung oder sonstige Kenntnisnahme von Passwörtern durch Dritte
-> Kein Zugriff von Dritten auf betrieblich genutzte Software und Geräte
-> Keine Weiterleitung beruflicher E-Mails auf ein privates Postfach
-> Keine sonstige Überleitung von dienstlichen Daten in den privaten Bereich
-> Keine Vernichtung von Dokumenten im Hausmüll
-> Keine Nutzung von USB-Sticks
-> Keine Anbindung an private Drucker

b) Technische Maßnahmen

Die technischen Maßnahmen bezeichnen dabei jeden Schutz für die Sicherheit der Datenverarbeitung, der durch physische Maßnahmen umgesetzt werden kann.

Einer der wichtigsten technischen Maßnahmen, die der verantwortliche Arbeitgeber ergreifen kann, ist die Bereitstellung der Hard- und Software. Denn die Nutzung privater Geräte bringt eine Vielzahl an Gefahren mit sich.

Zum einen besteht das Risiko der Vermischung von privaten und dienstlichen Daten. Dies kann dann z.B. zu Problemen führen, wenn das Unternehmen auf seine Unternehmensdaten zugreifen will oder die Löschvorgaben der DSGVO umsetzen will. Wegen der privaten Daten wird dazu in der Regel nämlich die freiwillige Einwilligung des Mitarbeiters notwendig sein.

Greifen Mitarbeiter mit ihren privaten Geräten per VPN – Tunnel auf das Unternehmensnetzwerk zu, so besteht die Möglichkeit, dass auf diesem Weg Schadsoftware von dem privaten Gerät auf das Unternehmensnetzwerk gelangt.

Des Weiteren sind die folgenden Maßnahmen zu ergreifen:

-> Zugang zu personenbezogenen Daten nur mit komplexem Passwort oder vergleichbarer Sicherung PIN (ggf. Zwei-Faktor-Authentifizierung)
-> Die Verbindung zum Firmennetzwerk darf ausschließlich über einen VPN-Tunnel erfolgen
-> WLAN – Zugänge müssen mit einem sicheren Passwort abgesichert werden
-> Die vom Arbeitgeber bereitgestellten Geräte sollten zentral administriert und einer einheitlichen Policy unterworfen werden.

c) Räumliche Sicherheit

Auch die räumliche Sicherheit muss im Homeoffice beachtet werden. Geräte und Daten sind sicher aufzubewahren und sorgfältig zu nutzen. Dazu sollten sie, wenn möglich, in einem abschließbaren Zimmer aufbewahrt werden. Sollte das nicht möglich sein ist, so sind die Daten und Geräte zumindest in einem verschlossenen Schrank aufzubewahren. Bei Verlassen des Raums sollte der Bildschirm des PCs gesperrt werden.

IV. Kontrollrechte

Damit die getroffenen Maßnahmen auch eingehalten werden können, sollte sich der Arbeitgeber vertraglich das Recht einräumen lassen, die Wohnung des Beschäftigten kontrollieren zu dürfen. Das Kontrollrecht kann entweder direkt im Arbeitsvertrag oder individuell, einwilligungsbasiert geregelt werden.

V. Vereinbarung

Die getroffenen Regelungen und Maßnahmen müssen in einer Homeoffice-Vereinbarung festgelegt werden. Gerne können Sie dazu unser Muster verwenden auf myGindat im Datenschutz-Gesamtpaket unter 19.08.

 

Max Macht
Volljurist