Autor: Online Redaktion

Durch die Video­überwachung des Arbeitsplatzes fühlte sich ein Tankstellen-Mitarbeiter massiv in seinen Persönlichkeits­rechten verletzt und klagte dagegen. Dabei bezog sich der Kläger nicht auf die sichtbaren Kameras zur Über­wachung des Verkaufsraums oder der Zapfanlage, sondern auf die Kameras im Kassen- und Lager­bereich der Tankstelle. Diese seien nach Einschätzung des Mitarbeiters ausschließlich auf ihn und die Kollegen als Arbeitnehmer der Tankstelle ausgerichtet.

Dazu erklärte das Gericht, dass eine anlasslose Überwachung der Belegschaft zum Schutz vor Vermögens­schädigungen des Arbeitgebers verboten ist. Das war bereits nach dem alten § 32 BDSG so und gilt auch unter dem neuen § 26 BDSG (in Kraft seit 25.5.2018). Im vorliegenden Fall kam daher nur eine „anlassbezogene“ Überwachung nach § 26 BDSG in Betracht. Dafür müsste der Arbeitgeber aber konkrete Anhaltspunkte für ein berechtigtes Misstrauen gegenüber den Angestellten haben, dass diese beispiels­weise einen Diebstahl oder sonst ein Delikt begehen könnten. Für diese Anhaltspunkte sah das Gericht keinerlei Anlass.
Weiterhin sei eine Einwilligung als Rechtsgrundlage für die Video­überwachung nicht gegeben. Es ist für die Wirksamkeit einer Einwilligung nach § 4a Absatz 1 Satz 2 BDSG erforderlich, dass der Arbeitnehmer vor Abgabe der Einwilligungs­erklärung über die beabsichtigte Daten­verwendung informiert wird. Denn nur eine „informierte Einwilligung“ ist wirksam. Hier sah das Gericht nicht, dass der Arbeitgeber den Beschäftigten entsprechend informiert und dieser seine Einwilligung zur Video­überwachung abgegeben habe.

Das Landes­arbeits­gericht Mecklenburg-Vorpommern erhöhte das erste Urteil des Arbeits­gerichts Rostock, das zunächst 1.500,00 € zugesprochen hatte, auf 2.000,00 €.

Eine Video­überwachung am Arbeits­platz ist immer ein Eingriff in die Persönlichkeits­rechte der Beschäftigten. Eine Erlaubnis dazu kann sich nur aus dem BDSG ergeben. Eine anlasslose Überwachung ist nicht erlaubt.

Quelle: LAG Mecklenburg-Vorpommern (24.05.2019) Aktenzeichen 2 Sa 214/18

https://www.adresshandel-und-recht.de/urteile/Schadensersatz-bei-nicht-erlaubter-Videoueberwachung-in-TankstelleLandesarbeitsgericht-Rostock-20190524/

 

Der Gesetzgeber hat mit einem neugefassten §11 Steuerberatungsgesetz Klarheit zu einer bis zuletzt nicht eindeutig gelösten Frage geschaffen:

Steuerberater sind nicht Auftragsverarbeiter, und zwar auch dann nicht, wenn sie „nur“ die Lohnbuchhaltung durchführen.

In dem neu geschaffenen §11 Abs. 2 StBerG heißt es konkret:

„Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679.“

Eine Verarbeitung im Auftrag durch Steuerberater, Steuerberatungsgesellschaften etc. ist somit per se ausgeschlossen.

Auch wenn die deutlich überwiegende Meinung bereits seit geraumer Zeit davon ausgegangen ist, dass Steuerberater bei der Ausübung ihrer geschäftsmäßigen Tätigkeit keine Auftragsverarbeiter sind, so hatte es doch immer wieder auch durchaus relevante gegenläufige Meinungen gegeben.

So schreibt zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg:

„Während Steuerberater und ihre berufsständischen Vertretungen hier bisher klar die Position vertreten, dass die Leistung des Steuerberaters immer eine eigenverantwortlich erbrachte fachliche Beratung sei und der Steuerberater, gleich, welchen Auftrag er übernimmt, grundsätzlich keine weisungsabhängige Tätigkeit ausübe, wird dies jedenfalls von einzelnen Datenschutzaufsichtsbehörden genau anders bewertet. Auch ich bin diesbezüglich dezidiert anderer Auffassung. Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht.“ (Stand: 30.12.2019).

Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hatte bisher eine ähnliche Position vertreten.

Die Auffassung der Landesbeauftragten ist aber spätestens nach der am 19.12.2019 in Kraft getretenen Gesetzesänderung in dieser Form eindeutig nicht mehr haltbar.

Die Frage der Auftragsverarbeitung durch Steuerberater ist Dank der Klarstellung im Gesetzestext vielmehr abschließend beantwortet: Steuerberater sind bei Ausübung ihrer geschäftsmäßigen Tätigkeit nicht Auftragsverarbeiter im Sinne der DSGVO.

Einige Bundesbehörden sind aus noch ungeklärtem Grund mit der gefährlichen Schadsoftware Emotet infiziert worden. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind dabei zwar keine Schäden bei den Behörden aufgetreten, jedoch werden im Namen des Staates gefährliche E-Mails versendet, die aber auf keinen Fall von staatlichen Stellen stammen.

Die Schadsoftware konnte von den Behörden E-Mail-Adressen sowie ganze Mail-Verläufe auslesen und versucht diese Tarnung zu nutzen, um sich weiter zu verbreiten. Laut BSI ist die Schadsoftware in der Lage, auf bestehende E-Mail-Konversationen zu antworten und daher als authentische Mail zu wirken. „Emotet gilt derzeit als die gefährlichste Schadsoftware der Welt“, warnt das BSI. Einmal infiziert, könnten bei betroffenen Rechnern weitere gefährliche Schadsoftware nachgeladen werden, so zum Beispiel Banking-Trojaner die Konten knacken oder Ransomware, die Dateien verschlüsseln und damit Lösegeld von den Betroffenen fordern.

„Sollte eine verdächtige Mail oder ein entsprechende Anhang dennoch geöffnet worden sein, sollten Anwenderinnen und Anwender umgehend ihren IT-Sicherheitsbeauftragten informieren“ rät das BSI. Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik einige Hinweise zur Prävention und Empfehlungen für Betroffene auf ihren Internetseiten zur Verfügung gestellt.

Mehr zum Thema finden Sie hier:
Süddeutsche Zeitung
oder hier:
Bundesamt für Sicherheit in der Informationstechnik

Händler sind nicht gezwungen, beim Smartphone-Kauf auf Sicherheitslücken oder fehlende Updates hinzuweisen. Dies bestätigte der 6. Zivilsenat des Oberlandesgerichts Köln nach einer Klage der Verbraucherzentrale Nordrhein-Westfalen gegen einen Elektronikmarkt. Die Verbraucherschützer hatte in einem Markt mehrere Smartphones erworben und auf Sicherheitslücken durch das Bundesamts für Sicherheit in der Informationstechnik (BSI) prüfen lassen. Dabei zeigten sich bei einem Gerät zum Beispiel 15 Schwachstellen, die zu einem eklatanten Sicherheitsrisiko für die Käufer führen kann. Das Bundesamt versuchte nach der Überprüfung sich an den Hersteller zu wenden, was allerdings keinen Erfolg brachte.

Daraufhin verlangte die Verbraucherzentrale vom Elektronikmarkt, zumindest die Käufer auf bestehende Sicherheitslücken bei dem Erwerb eines Smartphones hinzuweisen. Dieses Verfahren kann jedoch laut OLG nicht von den Händlern verlangt werden, da dies ein unzumutbarer Aufwand darstelle, sich Informationen über mögliche Sicherheitslücken für jedes einzelne von ihnen angebotene Smartphone-Modell zu verschaffen, begründete die Kammer ihr Urteil.

Mehr zum Thema finden Sie hier:
https://www.channelpartner.de/a/haendler-muss-nicht-auf-sicherheitsluecken-und-fehlende-updates-hinweisen,3336690

Gegen den Immobilienkonzern Deutsche Wohnen hat die Berliner Datenschutzbehörde auf Grund von DSGVO-Verstößen das bisher höchste Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Die Gesellschaft hatte Daten ihrer Mieter gesammelt, ohne zu prüfen, ob diese überhaupt erforderlich sind oder waren. So wurden Informationen über Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten in den Datenbanken gespeichert. Außerdem soll das Archivsystem keine Möglichkeit vorsehen, veraltete und damit nicht mehr erforderliche Daten löschen zu können.

Die Aufsichtsbehörden aller Bundesländer sind dazu verpflichtet, die Datenschutzgrundverordnung verhältnismäßig aber auch abschreckend durchzusetzen. Die gesetzlich vorgegebene Bußgeldbemessung in diesem Fall läge, gemessen am ausgewiesenen Jahresumsatz von über einer Milliarde Euro, bei 28 Millionen Euro. Da die Immobiliengesellschaft jedoch einige, wenn auch wenige Schritte zur Verbesserung eingeleitet habe, konnte das Bußgeld abgesenkt werden.

Da die Bußgeldentscheidung bisher nicht rechtskräftig ist, kann die Gesellschaft noch Widerspruch einlegen.

Mehr zum Thema finden Sie hier:
https://www.datenschutz.de/berliner-datenschutzbeauftragte-verhaengt-bussgeld-gegen-immobiliengesellschaft/

Das Landesarbeitsgericht Mecklenburg-Vorpommern hat einen Arbeitgeber zu einer Schadensersatz-Zahlung in Höhe von 2.000 Euro verurteilt.

Wichtiger Anhaltspunkt für die Entschädigung ist das „erhebliche“ Ausmaß der Verletzung des Persönlichkeitsrechts. Dabei hat das LAG insbesondere die Art sowie das Ausmaß der Verfehlung gegen die Vorgaben des Bundesdatenschutzgesetzes gesehen.

Die Rostocker Richter haben in ihrem bereits im Mai 2019 ergangenen Urteil festgestellt, dass die anlasslose Überwachung der Belegschaft zum Schutz vor Schädigungen des Vermögens des Arbeitgebers durch einzelne Beschäftigte, bereits nach §32 BDSG aF verboten war und dass dieses Verbot gemäß BDSG weiterhin Bestand hat. 

Bemerkenswert ist, dass das Gericht nicht nur die Überwachung des unmittelbaren Arbeitsbereichs (Kassenbereich) für unzulässig erklärten, sondern auch die Überwachung an Orten, die die Beschäftigten gezwungenermaßen auch bei Ankunft und Verlassen des Geländes sowie beim Aufsuchen der Toiletten durchqueren mussten. 

Eine Kameraüberwachung ist demnach allenfalls dann anlassbezogen erlaubt, wenn der Arbeitgeber konkrete Anhaltspunkte dafür hat, dass er von einzelnen Beschäftigten geschädigt wird und wenn die Überwachung unter Berücksichtigung der Schutzinteressen der Beschäftigten erforderlich ist, es also keine mildere Alternative zu der Kameraüberwachung gibt.

Bei der Videoüberwachung am Arbeitsplatz sind grundsätzlich insbesondere die Regelungen des Abs. 1, Satz 2 BDSG zu berücksichtigen. Danach dürfen zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn 

1.  zu dokumentierende, tatsächliche Anhaltspunkte den Verdacht begründen,
   dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, 
2.  die Verarbeitung zur Aufdeckung erforderlich ist und 
3.  das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Anderenfalls kann, wie nunmehr vom Landesarbeitsgericht in Mecklenburg-Vorpommern unmissverständlich festgestellt, eine empfindliche Schadensersatzzahlung drohen.
Das Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern finden Sie hier. 

Der Bundesverband der Verbraucherzentralen bereitet erste Abmahnungen auf Grund unerlaubten Nutzertrackings vor. Dabei stehen acht Medienunternehmen im Fokus des Verbandes gegen Trackingmethoden wie Google Analytics. Hier werden Login-Daten gesammelt als auch das Nutzerverhalten sowie deren Präferenzen aufgezeichnet. Diese Daten dürfen nach neuestem Stand aber nur aufgezeichnet werden, wenn der Nutzer diesem Vorgang aktiv zugestimmt hat. Ein vorausgefüllter Nutzungsbanner ist somit nicht erlaubt. Auch deutsche Datenschutzbehörden werden aktiv und wollen konsequent gegen Verstöße vorgehen. So kündigt die Behörde in Bayern an, dass sie die ersten Bußgeldbescheide gegen Unternehmen erlassen werde. Wie hoch die angekündigten Strafen werden könnten, liegt an der neu erstellten DSGVO Bußgeldbemessung. 

Mehr zum Thema finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/abmahnungen/131904-erste-abmahnungen-wegen-setzen-von-cookies-durch-google-analytics

Der Europäische Gerichtshof (EuGH) fordert eine aktive Zustimmung der Nutzer zum Setzen und Abrufen von Cookies. Damit hat das Gericht im Sinnen des Datenschutzes gehandelt und die Privatsphäre von Internetnutzern deutlich gestärkt. Grund dieses Urteils ist eine Klage des Bundesverbandes der Verbraucherzentralen (vzbv) gegen den Gewinnspielanbieter Planet49. Das Unternehmen hat sich nicht nur durch ihre Nutzungsbedingungen das Recht auf Datenweitergabe zusichern lassen, sondern gleichzeitig das Zustimmungskästchen für Tracking-Cookies vorausgefüllt. Mit diesen Cookies können Website-Anbieter wichtige und umfangreiche Informationen über ihre Besucher sammeln und diese Daten an Partnerunternehmen weiterreichen.

Dieses Urteil des EuGH bedeutet aber nicht das Ende der Cookies, sondern lediglich, dass alle Website-Anbieter keine vorausgefüllten Cookie-Banner mehr verwenden dürfen. Der Nutzer muss aktiv seine Zustimmung zur Nutzung von Cookies geben können.

Mehr zum Thema finden Sie hier:
https://www.golem.de/news/eugh-urteil-jeder-cookie-erfordert-einwilligung-der-nutzer-1910-144187.html