Kein DSGVO-Schadensersatz bei Bagatellschäden
Bei Bagatellschäden gibt es keinen DSGVO-Schadensersatz, das entschied das LG Karlsruhe […]
Immer mehr Unternehmen greifen zurück auf Online-Medien, um ihre Unternehmen aufrecht zu erhalten und ihre Mitarbeiter in Zeiten von Corona zu schützen. So wird auf Tools wie Zoom, Skype oder Slack zurückgegriffen.
Doch auch hier ist einiges zu beachten, wenn es um die Einhaltung der Datenschutzgrundverordnung (DSGVO) geht. Wir zeigen Ihnen, wie die Vorgaben beachtet werden können und warum es wichtig, einen sicheren Dienst auszusuchen.
Werden Video- und Konferenzdienste für persönliche und familiäre Zwecke benutzt und berufliche und amtliche Zwecke dadurch nicht verfolgt, kommt die DSGVO nicht zur Anwendung. Dies ergibt sich aus Art. 2 Abs. 2 lit. c DSGVO.
Die DSGVO besagt, dass der Datenschutz durch die Technikgestaltung und die datenschutzfreundlichen Voreinstellungen zu gewährleisten ist (vgl. Art. 25 DSGVO). Dabei müssen in diesem Sinne bereits bei der Auswahl folgende Dinge beachtet werden.
Zum einen ist zu empfehlen, dass EU-Dienste ausgewählt werden, da diese in der Regel den europäischen Vorgaben zum Datenschutz entsprechen. Hinzukommt, dass ein Dienst gewählt werden sollte, der datenschutzfreundliche Einstellungen zur Wahl stellt.
Hinzukommt, dass die Daten verschlüsselt versendet werden sollten, um ein Lesen der Daten durch Dritte zu vermeiden. Das Tool sollte zudem für die Geschäftsnutzung zugelassen bzw. die geschäftliche Nutzung sollte erlaubt sein. Prüfen Sie, ob es zumindest eine bezahlte Version gibt und nutzen Sie diese.
Auch sollten Bildschirmübertragungen oder Aufzeichnungen im Vorfeld einer ausdrücklichen Zustimmung bedürfen, um so Missbrauch zu vermeiden. Hinzukommt, dass darauf geachtet werden sollte, dass Protokolle und Aufzeichnungen nach Gesprächsende gelöscht werden und keine Verhaltensprofile der Teilnehmer erstellt bzw. eine Funktion dahingehend ausgeschaltet werden kann.
Zu empfehlen ist es, seinen Datenschutzbeauftragten bei der Auswahl desgeeigneten Dienstes einzuschalten und sich mit diesem zu beratschlagen. Dasselbe gilt für Betriebs- und Personalrat. Diese müssen gemäß § 87 Abs. 1 Nr. 6 BetrVG dem Einsatz des Dienstes zustimmen. Die Zustimmung ist deswegen zwingend, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen, selbst wenn dies nicht geplant ist.
Als Drittländer sind Länder außerhalb der EU zu verstehen. Sollte sich ein Unternehmen entscheiden, einen Anbieter aus einem Drittland in Anspruch zu beauftragen, muss sichergestellt sein, dass das das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).
Unter bestimmten Voraussetzungen können Anbieter aus Drittländern bereits aufgrund bereits vollzogenen Prüfungsprozess unbedenklich verwendet werden.
Wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, kann das jeweilige Tool bestimmter Staaten genutzt werden. So existieren sogenannte Angemessenheitsbeschlüsse für z. B. die Schweiz, Neuseeland, Andorra und Argentinien.
Wenn Unternehmen über ein Privacy-Shield-Zertifikat verfügt, kann auch dann ein angemessenes Datenschutzniveau angenommen werden.
Sogenannte Standard Contractual Clauses (SCC) sind vorgefertigte Standardschutzklauseln, die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten.
Wenn Betroffene ihre Einwilligung erteilen, kann die Einhaltung des Datenschutzniveaus angenommen werden. Allerdings sind Mitarbeiter besonders geschützt, sodass die Einwilligung von ihnen nur dann wirksam ist, wenn keine anderweitigen Dienste in Betracht kamen, die datenschutzfreundlicher gewesen wären. Dies nachzuweisen obliegt dem jeweiligen Unternehmen.
Dienstleister sind auch gleichzeitig als Auftragsverarbeiter zu verstehen, wenn sie personenbezogene Daten Ihrer Kunden oder Mitarbeiter für Sie verarbeiten. So sind Anbieter von Video- und Onlinekonferenzdiensten grundsätzlich als Auftragsverarbeiter anzusehen.
Dabei sind auch hier einige Punkte zu beachten, um alles rechtswirksam von statten lassen gehen zu können. Zum einen muss ein Auftragsverarbeitungsvertrag geschlossen werden gemäß Art. 28 DSGVO und zum anderen muss die Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer durch Sie vorgenommen werden.
Wenn ein Dienst in Anspruch genommen werden soll, sollte die Einstellung möglichst datenschutzfreundlich ausgewählt werden (vgl. Art. 25 Abs. 2 DSGVO). In diesem Sinne sollte immer eine Erforderlichkeitsprüfung durchgeführt werden, die bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen prüfen soll, ob diese Funktionen wirklich erforderlich sind.
Auch zu Zeiten von Corona ist das Unternehmen, dass sich solcher Dienste bedient, verpflichtet, die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Online-Meetings aufzuklären (Art. 12, 13 DSGVO).
Auf die dahingehend geänderte oder verfasste Datenschutzerklärung kann per Link z. B. auf Login-Seiten oder in Einladungen zu einem Online-Meeting hingewiesen werden.
Es wird deutlich, dass auch zu Zeiten von Corona die datenschutzrechtlichen Maßgaben und Bestimmungen einzuhalten und zu berücksichtigen sind. Daher sollten die vorstehenden Dinge beachtet werden und die Überprüfung hinreichend protokolliert werden.
Wir helfen Ihnen gerne! Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden. Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORBei Bagatellschäden gibt es keinen DSGVO-Schadensersatz, das entschied das LG Karlsruhe […]
In Bezug auf DSGVO-Verstöße zeichnet sich langsam ein neuer Trend ab. […]
Unter Berufung auf anonyme und bisher unbestätigte Quellen berichtet das Wall […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Schützen Sie Ihren guten Namen und Ihre Online-Reputation und lassen Sie negative Einträge bei Google + Co. löschen.
Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke
Bestimmen Sie selbst, wer Sie vertreten soll, wenn Sie Ihre Angelegenheiten nicht mehr selbst regeln können. Mit einer Vorsorgevollmacht können Sie hierzu alles selbst bestimmen.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.