Kundenportal myGINDAT: neue Funktionen

Seit der Einführung unseres Kundenportals myGINDAT (https://www.gindat.de/anmeldung.html) arbeiten wir permanent an dem Ausbau und Erweiterung der Website.

Im Vergleich zum Vorjahr können wir Ihnen noch mehr Funktionen anbieten, die Sie beim Aufbau und Überwachen Ihres Datenschutzmanagementsystems unterstützen.
Neben der Erstellung Ihrer Verarbeitungsverzeichnisse, können Sie zwischenzeitlich auch Ihre Dienstleisterliste online pflegen sowie Ihre technischen und organisatorischen Maßnahmen dokumentieren.

Auch der Upload von Dokumenten, wie z.B. die verabschiedete Datenschutzrichtlinie (Richtlinie Betriebliche Datenschutzorganisation_DSGVO), ist bereits seit einigen Monaten möglich.

Ab sofort bietet Ihnen das Kundenportal aber auch die Möglichkeit, alle notwendigen Audits, die Ihr Datenschutzbeauftragter in seiner Funktion durchführen muss, zu überwachen.
Sehen Sie jederzeit, wann der nächste Datenschutz-Jahresbericht fällig ist, oder wann wieder ein Website-Security-Audit durchgeführt wird.

Auch die Fälligkeit einer neuen Gebäudebegehung zur Prüfung der physikalischen Sicherheit Ihrer Organisation oder die Notwenigkeit eines neuen Netzwerkscans zur Überprüfung der internen Infrastruktur, können Sie ab sofort einsehen.
Falls ein geplanter Termin unserseits mal nicht passt, können Sie diesen auch bequem im Portal direkt neu terminieren. Bitte beachten Sie jedoch, dass der Termin eine Frist von 3 Monaten nicht übersteigen kann.

Derzeit arbeiten wir an einem Hinweisgebersystem, damit Sie die Whistleblower-Richtlinie in Ihrem Unternehmen rechtskonform umsetzen können.

Sollte ein Termin dennoch einmal nicht passen, können Sie uns weiterhin auch telefonisch erreichen.
Bei Fragen zum Kundenportal stehen wir Ihnen wie gewohnt montags bis freitags von 08:00 Uhr bis 17:00 Uhr unter der 02191 909 430 oder per Mail unter info@gindat.de zur Verfügung.

Polizei nutzte Luca-Daten von Kneipenbesuchern ohne Rechtsgrundlage

Dass die Daten der Luca-App auch für die Strafverfolgung interessant sind, dürfte wenig überraschen. Da die Privatsphäre der App nicht auf technischer Ebene gesichert ist, war es auch nur eine Frage der Zeit, bis Behörden Zugang auf die Daten anfordern. Noch fehlt dazu eine klare Rechtsgrundlage um die Daten zur Ermittlung von Zeugen zu nutzen, was der Staatsanwaltschaft aber erst im Nachhinein aufgefallen sein will.

So geschehen, als es in einer Kneipe zu einem Sturz kam. Die betroffene Person verstarb mehrere Tage später an den Folgen, woraufhin die Polizei ermittelte und zwecks Zeugenbefragung die Luca-Daten der Kneipe erfragte. Als sie die Daten zunächst nicht erhielten, wandte sich die Polizei an das Gesundheitsamt, welches ebenfalls bei der Kneipe eine Herausgabe anforderte, die daraufhin auch erfolgte.

Diese Nutzung der Daten außerhalb der ursprünglich gedachten Kontaktverfolgung ist mittlerweile nur ein weiterer Kritikpunkt. Denn angesichts der zurückgegangenen Nutzung (in Bayern wurden 2 Wochen lang keine Daten abgefragt) dürfte sie mittlerweile zur tatsächlichen Bekämpfung der Pandemie kaum noch nützen. Dazu kommt, dass Luca scheinbar auch in Erwägung zieht, die Nutzerdaten in Zukunft nicht mehr für die Pandemie-Nachverfolgung, sondern auch gewinnbringend zu nutzen, indem die Luca-App für Events oder die Gastronomie eingesetzt wird.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/mainz-polizei-nutzte-luca-daten-von-kneipenbesuchern-ohne-rechtsgrundlage/

Datenschutzrechtliche Anforderungen an eine Website (Teil 1): Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Abgrenzung zur DSGVO

Am 1. Dezember ist das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das die ePrivacy-Richtlinie in nationales Recht umsetzt. Das Gesetz enthält u.a. Regelungen für Webseitenbetreiber, die Cookies oder ähnliche Technologien einsetzen möchten.

Schutz der Privatsphäre bei Endeinrichtungen

Die zentrale Regelung, die Betreiber von Webseiten beachten müssen, ist § 25 TTDSG.

Nach § 25 Absatz 1  Satz 1 TTDSG ist  „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, (…) nur zulässig, wenn der Endnutzer (…) eingewilligt hat.“

Das Gesetz stellt – im Einklang mit der höchstrichterlichen Rechtsprechung – klar, dass das Gesetz bereits dann zur Anwendung kommt, wenn Informationen in der Endeinrichtung (z. B. Laptop, Smartphone oder Tablet) gespeichert oder ausgelesen werden. Das bedeutet, dass Cookies oder sonstige Technologien auch dann von der Regelung erfasst werden, wenn keine personenbezogenen Daten verarbeitet werden, also Informationen, die keine Rückschlüsse auf die Identität des Webseitenbesuchers zulassen. Damit geht die Regelung über die DSGVO hinaus. Denn Zweck der Norm ist nicht nur der Schutz von personenbezogenen Daten, sondern der Schutz vor Fremdzugriffen.

Werden die Information auf einer Endeinrichtung gespeichert oder ausgelesen, so ist nach § 25 Absatz 1  Satz 1 TTDSG die Einwilligung des Besuchers der Website notwendig. Zu beachten ist, dass es nicht nur um die Speicherung/Auslesung von Cookies geht, auch wenn dies der häufigste Anwendungsfall ist, sondern auch um andere Technologien wie:

  • Web Storage: Wie ein Cookie, aber mit größerer Kapazität.
  • Web-Beacons, auch Zählpixel genannt, sind kleine 1×1-Pixel-große Grafiken. Beim Zugriff auf diese Internetinhalte wird der Pixel vom Server geladen und dokumentiert den Abruf der Website.
  • Browser-Fingerprinting: Beim Browser-Fingerprinting wird der Besucher anhand von Informationen wie Bildschirmauflösung, Betriebssystemversion oder installierte Schrift wiedererkannt.

Abgrenzung zur DSGVO

Beim Speichern und Auslesen von personenbezogenen Daten konkurriert das TTDSG mit der DSGVO.

Werden Cookies oder andere Technologien, die keine personenbezogenen Daten erfassen, eingesetzt, so ist § 25 TTDSG anwendbar. Möglich ist jedoch auch die Speicherung bzw. der Zugriff auf Cookies mit personenbezogenen Daten. In dem Fall ist das TTDSG vorrangig (vgl. Artikel 95 DSGVO), da es das speziellere Gesetz darstellt.

Die weitere Verarbeitung, z. B. die Bildung von Nutzerprofilen, wird vom § 25 TTDSG nicht erfasst, weshalb die Erlaubnisnormen der DSGVO zu beachten sind. In diesem Zusammenhang ist darauf hinzuweisen, dass die Verwendung von Pseudonymen z. B. in Form einer eindeutigen Identifizierungsnummer nicht dazu führt, dass kein Personenbezug vorliegt, da IDs oder Kennungen dazu genutzt werden können die einzelnen Besucher zu unterscheiden und zu adressieren.

Kommt sowohl das TTDSG als auch die DSGVO zur Anwendung, sind keine separaten Einwilligungen erforderlich. Die Besucher müssen jedoch ausreichend über die Verarbeitungen informiert werden.

Ausnahme

Nach § 25 Absatz 2 Nr. 2 TTDSG ist die Einholung einer Einwilligung entbehrlich, wenn der Dienst unbedingt erforderlich ist, um einen Dienst zur Verfügung zu stellen, den der Besucher der Website ausdrücklich wünscht. Das sind z. B. Warenkorb-Cookies oder Systeme zur Betrugsprävention. Was jedoch unter dem Begriff unbedingt erforderlich zu verstehen ist, erfahren Sie in Teil 2 unserer Reihe.

Max Macht
Volljurist

Was die EU netzpolitisch für 2022 plant

Digitale-Dienste-Gesetz und Digitale-Märkte-Gesetz:

Mit diesen beiden Verordnungen sollen Grundregeln für die digitale Welt geschaffen werden, u. a. um große Plattformen wie Google, Amazon und Apple in deren Macht einzuschränken.

Die EU-Staaten verhandeln aktuell noch mit dem EU-Parlament über einzelne Bestimmen der zwei Gesetze, wie etwa eine Verpflichtung für Netzwerke und Messenger-Dienste, den Austausch von Nachrichten interoperabel (mit anderen Diensten) zuzulassen, stärkeren Schutz vor Online-Tracking und die Forderung, auf Pornoplattformen Handynummer und E-Mail-Adresse zu hinterlegen, bevor man Videos hochladen kann.

Kennzeichnungspflicht für politische Werbung: 

Die Kennzeichnungspflicht soll sowohl online für Facebook, Youtube, etc. als auch offline gelten.

Verhaltenskodex gegen Desinformation:

Mit dem Ziel, Fake News und Wahlbeeinflussung besser bekämpfen zu können, soll der (bereits existierende) Verhaltenskodex zur Bekämpfung von Desinformation der EU überarbeitet werden.

Verordnung zur Regulierung von künstlicher Intelligenz:

KI soll reguliert werden, indem hochriskante Anwendungen genehmigungspflichtig gemacht werden bzw. teilweise ganz verboten werden sollen. Biometrische Videoüberwachungsmaßnahme sollen allerdings weiterhin in „wenigen, eng definierten Ausnahmefällen“ zugelassen sein.

ePrivacy-Verordnung:

Hier existieren noch große Differenzen zwischen dem Gesetzesentwurf des EU-Staaten-Rats (welche den Schutz der Privatsphäre schwächen würde) und der des EU-Parlaments (welche Privatsphäre stärken soll). Die Verhandlungen laufen.

Übrigens existiert eine Ausnahme von der aktuell existierenden ePrivacy-Richtlinie, für die die EU-Kommission einen neuen Vorschlag vorlegen will. Zuvor erlaubt die Ausnahme Netzwerkdiensten wie Facebook, private Nachrichten auf Inhalte bezüglich Kindesmissbrauchs zu untersuchen. Im neuen Vorschlag soll diese Untersuchung sogar verpflichtend vorgeschrieben werden.

Zugriff auf verschlüsselte Inhalte:

Laut geleakten  EU-Dokumenten soll 2022 ein Gesetzesentwurf kommen, der den Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte ermöglichen soll.

Ebenso gibt es neue Überlegungen vonseiten der EU-Kommission, Telekommunikationsdienstleister zu einer Vorratsdatenspeicherung zu verpflichten, obwohl solche Ansätze in der Vergangenheit vom Europäischen Gerichtshof gekippt wurden.

Digitaler Identitätsnachweis

Aus einer ganzen Reihe elektronischer IDs, die auf nationaler Ebene existieren, soll nun eine einheitliche, europaweite Lösung entstehen.

European Cyber Resilience Act

Es soll ein gemeinsamer Standard zum Schutz internetfähiger Geräte entstehen, ausgelöst durch die zunehmenden Ransomware-Attacken in Zeiten von Covid-19.

Einheitliche Ladegeräte und Recht auf Reparatur:

Mit einheitlichen Ladegeräten und Ladeanschlüssen sollen zukünftig elektrische Geräte europaweit nachhaltiger werden. Ebenso soll ein Vorschlag zum Recht auf Reparatur für elektronische Geräte kommen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/jahresvorschau-was-die-eu-netzpolitisch-fuer-2022-plant/

Datenschutzrechtliche Anforderungen an eine Website

Wenn man durchs Internet surft, so fällt auf, dass ein großer Teil der rechtlichen Anforderungen nicht erfüllt werden. Was aufgrund der steigenden Komplexität auch nicht verwundert. Als Betreiber einer Website hat man u.a. die nachfolgenden Fragestellungen zu beachten:

  • Was muss bei der Einholung einer Einwilligung beachtet werden?
  • Was ist das TTDSG? Was muss beachtet werden?
  • Muss man auch eine Einwilligung bei Cookies ohne Personenbezug einholen?
  • Darf man noch Daten in die USA übermitteln?
  • Welche rechtlichen Tücken gibt es bei Consent-Tools (z.B. Cookiebot)?
  • Wer haftet bei einer datenschutzrechtswidrigen Website?
  • Welche technischen und organisatorischen Anforderungen sind zu berücksichtigen?

Die GINDAT möchte Sie gerne in der neuen Reihe – Datenschutzrechtliche Anforderungen an eine Website – auf die aktuellen Schwierigkeiten aufmerksam machen. In Teil 1 wird es um das TTDSG (Das Telekommunikation-Telemedien-Datenschutzgesetz) gehen und die Abgrenzung zur DSGVO.

Datenübermittlung in die USA

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

  • CLOUD Act
  • USA Patriot Act
  • USA Freedom Act
  • Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

 Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

  • Serverstandort in Deutschland/ Europa
    Problem: Marketingmaßnahme, hilft nicht weiter.
  • Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
    Problem: Wird von den meisten Dienstleistern nicht unterstützt
  • Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
    Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.
  • Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
    Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist

Neue Cookie-Regelung in Kraft getreten

Seit diesem Monat gilt das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), welches von Webseitenbetreibern eine explizite Nutzereinwilligung für das Speichern und Auslesen von Cookies und ähnlichen Technologien verlangt. Die einzige Ausnahme hiervon sind Cookies, die unbedingt erforderlich sind, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.

Nach mehreren Jahren sind den Anforderungen der E-Privacy-Richtlinie der EU damit endlich genüge getan. Da die meisten Webseitenbetreiber bereits 2020 DSGVO-konforme Cookiebanner eingerichtet haben dürften, sollte sich in der Praxis mit dem neuen Gesetz wenig ändern.

Was bisher allerdings noch nicht umgesetzt wird, sind die Regelungen von Cookie-Managern, PIMS (Personal Information Managementservices) oder Single-Sign-Ons – also Dienste zur Einwilligungsverwaltung. Diese sollen noch per Rechtsverordnung reguliert werden.
Anforderungen an solche Dienste wurden auch schon von der Verbraucherzentrale Bundesverband ausgesprochen: demnach solle der Verbraucher generelle Spezifikationen und Widersprüche festlegen können, sodass diese für jede besuchte Seite einfach übernommen werden können. Für solche Dienste kämen auch Browser-Erweiterungen infrage. Die VZBV betont, dass Einwilligungen so einfach abgelehnt und widerrufen werden müssten, wie sie erteilt werden können. Wichtig ist dabei, dass Bereitsteller eines solchen Einwilligungsdienstes „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/ttdsg-neue-cookie-regelung-in-kraft-getreten-2112-161473.html

Datenschutz-Kritik an 3G-Regelung am Arbeitsplatz

Ulrich Kelber, seines Zeichens Bundesdatenschutzbeauftragter, bemängelt die Umsetzung der 3G-Regeln am Arbeitsplatz als „fehlerhaft“, obwohl er die Regelung als solche grundsätzlich befürwortet.

Anstatt Kontrolle einfach nur zu ermöglichen werden Unternehmen unter Bußgelddrohungen zu selbiger gezwungen. Dabei gibt es innerhalb des Gesetzes auch keine konkreten Schutzmaßnahmen für die Daten der Beschäftigten.

Datenschutzrechtliche Fehler bei der Umsetzung des Gesetzes führen letztlich zu Klagen vor Gericht und ein Herauszögern vor Gerichten würde auch der Pandemiebekämpfung schaden.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/16_3G-am-Arbeitsplatz.html

3-G am Arbeitsplatz

Corona beeinflusst seit nun fast 2 Jahren das tägliche Leben von uns allen.

Dies gilt auch oder besser gesagt gerade für den Arbeitsplatz. Der Arbeitsplatz ist ein Ort, an dem zwangsläufig Kontakte stattfinden und dies über längere Zeiträume hinaus.

Angesichts des sich beschleunigenden Infektionsgeschehens ist die Gefahr von Ansteckungen in Arbeitsstätten daher auch zwangsläufig größer geworden.

Dieser Gefahr soll jetzt die am 22.11.2021 vom Bundespräsidenten unterschriebene und am 23.11.2021 im Bundesanzeiger veröffentlichte Änderung am Infektionsschutzgesetz entgegenwirken.

Dies soll unter anderem durch die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz geschehen.

Rechtsgrundlage

Nach den datenschutzrechtlichen Regelungen gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass jede Datenverarbeitung unzulässig ist, es sei denn es gibt eine gesetzliche Grundlage oder die betroffene Person willigt ein. Die Verarbeitung von Gesundheitsdaten, wozu der G-Status gehört, (geimpft, genesen oder getestet) ist nach der Systematik der DSGVO unerwünscht.

Obwohl der Artikel 9 Absatz 2 b DSGVO nach seinem Wortlaut die Verarbeitung sensibler Daten zur Erfüllung arbeitsrechtlicher Pflichten (z.B. die Gesundheit der Beschäftigten) dem Anschein nach zulässig ist, handelt es sich nur um eine sogenannte Öffnungsklausel, die es unter anderem dem deutschen Gesetzgeber erlaubt Rechtsgrundlagen zur Verarbeitung sensibler Daten schaffen.

Eine solche Rechtsgrundlage ist der § 26 Absatz 3 BDSG i.V.m mit dem neu geschaffenen § 28 b Absatz 1 Infektionsschutzgesetz (IfSG).

Der § 28 b IfSG verpflichtet nun  den Arbeitgeber zu Einführung und Überwachung der 3-G Regeln am Arbeitsplatz.

„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten….. wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des ……. sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne …..mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“.

Dem Arbeitgeber wird jetzt mit dieser Vorschrift ein Nachfragerecht bzgl. von 3-G-Nachweisen seiner Arbeitnehmer eingeräumt. Dies war vor dem § 28 b IfSG  nur unter sehr eingeschränkten Voraussetzungen möglich. Wollte man als Arbeitgeber nun wissen, ob die Beschäftigten geimpft, genesen oder getestet sind, so konnte man dies nur bewerkstelligen, indem man eine Einwilligung einholte.

(Eine Erläuterung zu dieser Problematik finden Sie in unserem Artikel unter der Überschrift „Dürfen Arbeitgeber den Impfstatus abfragen?“ https://www.gindat.de/news/detail///impfstatus.html )

Fraglich ist jetzt, ob der neue § 28 b IfSG die versprochen Abhilfe geschaffen hat.

Problem: Fragerecht

Leider ist der genaue Umfang der Rechte des Arbeitgebers bzgl. eines Nachfragerechts auch in der neuen Vorschrift nicht genau geregelt. So wird ein ausdrückliches Fragerecht in Bezug auf den Impfstatus seiner Arbeitnehmer dem Arbeitgeber auch weiterhin nicht zugesprochen.

Er muss die Einhaltung der 3-G Regeln anordnen und überprüfen, in welcher Form und im welchen Umfang dies zu erfolgen hat, lässt sich aus dem Gesetzestext nicht schließen.

Nach dem Wortlaut darf er personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3-G Nachweises abfragen und dokumentieren.

Bei Erfüllung der Nachweispflicht ist der datenschutzrechtliche Grundsatz der Datenminimierung (Ar. 5 Absatz 1 c DSGVO) zu beachten. Datenminimierung bedeutet, dass unter der Maßgabe gehandelt werden soll, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck vonnöten sind. Für die Zutrittskontrolle reicht es unter diesem Gesichtspunkt aus, dass Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werden kann. So erfolgt auch keine Differenzierung zwischen Geimpften und Ungeimpften, die zur Ausgrenzung und Diskriminierung Ungeimpfter führen könnte. Ein möglicher Check-in kann z.B per Corona-Warn-App oder CovPassCheck App erfolgen, die Apps speichern keine Informationen ab, sondern verifizieren nur die Gültigkeit des QR Codes und das Vorliegen eines der 3 G’s.

Möchte der Arbeitgeber dagegen den Impf- oder Genesenenstatus speichern, ist das nicht mehr erforderlich, um die Pflicht aus dem § 28 Absatz 1 b Infektionsschutzgesetz zu erfüllen, da ein milderes datenschutzfreundliches Mittel zur Verfügung steht. Unerheblich ist dabei, dass der § 28 b IfSG es als zulässig erachtet, dass sogar der Impfnachweis hinterlegt werden kann. Denn durch das tägliche Kontrollieren ist es möglich, sowohl der Pflicht aus dem Infektionsschutzgesetz nachzukommen und die rechtlichen Regelungen des Datenschutzes zu beachten. Möchte man dennoch den Impf- oder Genesenenstatus speichern, so ist das nur mit einer Einwilligung nach Artikel 9 Absatz 2 DSGVO, § 26 Absatz 2 BDSG möglich.

(Eine Textvorlage bzgl. einer Einwilligung zum Abspeichern von Daten bzgl. der 3 –G Regel finden Sie unter MyGindat unter Punkt 31.).

Eine Abspeicherung der Daten sollte zumindest bis zum 19.03.2022 erfolgen, um nötigenfalls einer Nachweispflicht nachkommen zu können.

Technische und organisatorische Maßnahmen

Zusätzlich hat der Arbeitgeber geeignete technische und organisatorische Maßnahmen zu ergreifen (vgl. § 22 Absatz 2 BDSG). Das bedeutet insbesondere, dass der Arbeitgeber sicherstellen muss, dass unbefugte Personen keinen Einblick in den Impf- oder Genesenenstatus erhalten. Welche Maßnahmen zu ergreifen sind, hängt in erster Linie davon ab, wie die 3-G Kontrolle umgesetzt wird.

Bei der täglichen Kontrolle ist nur eine Person einzusetzen, die den G-Status prüft. Die Prüfung sollte entweder mittels Abhackens auf einer Liste erfolgen, aus der jedoch nicht hervorgeht, ob die Person geimpft, genesen oder getestet ist, oder durch eine App, die den Status nur prüft und nicht speichert (z.B. CovPassCheck App, Corona-Warn-App). Die Liste ist täglich datenschutzkonform zu entsorgen.

Entscheidet sich der Arbeitgeber dafür den G – Status zu speichern, so ist zu beachten, dass erhöhte Risiken für die Beschäftigten bestehen, weshalb andere Maßnahmen zu ergreifen sind (z. B. Verschlüsselung, Berichtigungskonzept, Löschkonzept, Pseudonymisierung).

Fazit

Leider bleibt die Änderung des Infektionsschutzgesetzes aus datenschutzrechtlicher Sicht hinter den Erwartungen zurück.

So wird dem Arbeitgeber zwar eine Pflicht zur Einführung und Überprüfung der 3-G-Regel auferlegt, jedoch nicht geregelt, wie er denn dieser Pflicht nachzukommen hat und im welchen Umfang ihm dafür Ansprüche zustehen.

So wird z.B. lediglich auf die Möglichkeit der Hinterlegung der Impf- oder Genesenennachweise verwiesen.

Eine Pflicht des Arbeitnehmers, seine Nachweise bei seinem Arbeitgeber zu hinterlegen, geht daraus jedoch nicht hervor.

Daher wären auch explizite Regelungen zum Datenschutz wünschenswert gewesen.

So lässt sich eine Schweigepflicht der kontrollierenden Personen gerade gegenüber dem Arbeitgeber nicht aus den Vorschriften entnehmen.

Auch wären Vorschriften für Pseudonymisierungsmaßnahmen hilfreich und wünschenswert gewesen.

Die Abfrage des G-Status ist dennoch begrüßenswert und ein Schritt in die richtige Richtung. Dennoch sind die datenschutzrechtlichen Stolperfallen zu beachten. Bei der datenschutzkonformen Umsetzung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Marc Gennat ( Diplomjurist)

Entwicklungskosten für Covpass-App verfünffacht

Die Kosten für die Entwicklung des digitalen Impfnachweises, auch bekannt als Covpass-App, wurde ursprünglich auf 2,7 Millionen Euro angesetzt. Zuständig waren die Firmen IBM, Bechtle und Ubrich. Mittlerweile beträgt die von der Regierung ausgegebene Summe rund 15,4 Millionen.

Nicht zuletzt die verzögerte Herausgabe der europäischen Vorgaben trieben die Kosten in die Höhe, aber auch die zusätzlichen Entwicklungsleistungen „im Sinne einer agilen Softwareentwicklung und aufgrund der Ergebnisse der Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie dem Bundesamt für die Sicherheit in der Informationstechnik“. Die Anforderungen beinhalteten, dass die App sich mit Programmen von Arztpraxen und einem Callcenter für Bürgeranfragen verknüpft, sowie ein Genesenenzertifikat integriert werden kann.

Zusätzlich wurden 50 Cent an die IBM für jedes ausgestellte Impfzertifikat gezahlt – eine stolze Summe, in Anbetracht von 23,5 Millionen Downloads und 114 Millionen verabreichten Impfungen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/schluessel-zur-generierung-von-impfzertifikaten-wurden-gestohlen-18190