2023-04-15

Praxisratgeber: Verzeichnis der Verarbeitungstätigkeiten

Die Datenschutzgrundverordnung sieht die Führung eines Verzeichnisses aller datenverarbeitenden Prozesse (mit Personenbezug) für Unternehmen und sonstige Datenschutzrichtlinie Verantwortliche, die mehr als 250 Personen beschäftigen, verpflichtend vor.

Beinhalten muss es folgende Angaben:
- Namen und Kontakt des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
- Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen (z.B. Beschäftigte oder Kunden) und der personenbezogenen Daten (z.B. Zahlungsdaten)
- die Kategorien von Empfängern der Daten
- ggf. Datenübermittlungen
- möglichst Löschfristen
- möglichst die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

In einem vorangegangenen Blogbeitrag haben wir gestanden, große Fans von Verarbeitungsverzeichnissen zu sein. Der Vorteil liegt auf der Hand, wenn man sich die Pflichtinhalte oben näher ansieht.
Das Angabe dieser Inhalte in einer sog. Verfahrensmeldung, die Bestandteil des Verarbeitungsverzeichnisses wird, hilft die Verarbeitungstätigkeit genauestens zu kennen und Verantwortlichkeiten klar zuzuordnen. Auf diese Weise können Datenflüsse leichter nachvollzogen und Datenverarbeitungen schneller geclustert werden.

Dies kann ein unschätzbarer Vorteil in vielen unterschiedlichen Fällen sein.
Etwa bei der Suche nach Möglichkeiten, die Effizienz im Unternehmen zu steigern.
Oder bei der Übertragung von Unternehmensbestandteilen. Bei Asset-Deals sind IT-Anwendungen, die komplexe Datenverarbeitungen vornehmen regelmäßig Gegenstand der Übertragung. Hilfreich ist es dann, die Fachverantwortlichen mit ins Boot zu holen, um etwaige Abhängigkeiten der IT-Anwendungen und Konsequenzen der Übertragung von Unternehmensbestandteilen besser ausloten zu können. Hat man das Verzeichnis der Verarbeitungstätigkeiten von Anfang an sauber und umfassend geführt, fallen diese Schritte leicht.

Daneben bleibt der wesentliche Vorteil einer sauberen Dokumentation. Ist ein Verarbeitungsverzeichnis angelegt und gepflegt, lässt sich bei Zweifeln über die Rechtmäßigkeit der Datenverarbeitung leicht und verhältnismäßig schnell nachvollziehen, wie die Datenverarbeitung aufgestellt ist.

Dass wir uns als Rechtsanwälte daher als Fans von Verarbeitungsverzeichnissen outen, liegt also auf der Hand. Es bietet System und Überblick ohne großen Aufwand.

Nehmen Sie gerne mit uns Kontakt auf, wenn wir Sie bei der Erstellung, Führung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten unterstützen können!

2023-03-07

E-Mail-Werbung: Was ist erlaubt? - OLG Hamm zu den Anforderungen an die Einwilligung von Werbung per Email

Das Oberlandesgericht Hamm hat in seinem Urteil vom 03.11.2022 (OLG Hamm, Urt. v. 03.11.2022 – Az.: I-4 U 201/21) weitere Klarheit zum Thema „Einwilligungserklärung bei elektronischen Werbemaßnahmen“ geschaffen.

Das Gericht hat sich damit beschäftigt, welche Anforderungen nach Art. 4 Nr. 11 DSGVO an eine rechtlich verbindliche Einwilligung in Werbemaßnahmen gestellt werden.

Generaleinwilligung unzulässig
In der Entscheidung vom 03.11.2022 ging es um einen Unterlassungsanspruch gegen einen Online-Händler, der folgende Einwilligungserklärung bei sich veröffentlicht hatte:

„Einwilligung in das Kundenkartenbonusprogramm
Ich bin damit einverstanden, dass die von mir angegebenen persönlichen Daten (… E-Mail-Adresse …) sowie meine Kaufrabattdaten (Kaufdaten und Kaufpreis) zum Zwecke des Kundenkartenprogramms und für Werbezwecke (… per E-Mail) von der Beklagten gespeichert, verarbeitet und genutzt werden.“

Wurde dieser Einwilligung zugestimmt, so erhielten die Kunden zum einen Newsletter aber auch spezifische – abhängig von bereits getätigten Einkäufen – Werbemails.

Unzulässig sind unzumutbare Belästigungen
Das Gericht wies auf § 7 Abs. 1, Abs. 2 Nr. 2 UWG hin, wonach solche geschäftlichen Handlungen unzulässig sind, welche, im Sinne des § 7 UWG, eine unzumutbare Belästigung darstellen. Gemäß § 7 Abs. 2 Nr. 2 UWG stellen Werbemaßnahmen in Form von E-Mails konkret dann eine Belästigung dar, wenn sie ohne ausdrückliche Einwilligung erfolgen. Nach §§ 8 Abs. 1, 7 Abs. 1, Abs. 2 Nr. 2 UWG droht bei solchen unzumutbaren Belästigungen die Gefahr, von dem Betroffenen auf Unterlassung in Anspruch genommen zu werden.

Art. 4 Nr. 11 DSGVO stellt klar, eine Einwilligung ist „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“

Hier ging das OLG Hamm davon aus, dass die erfolgte „Generaleinwilligung“ gerade nicht unmissverständlich für den Kunden war. Das Gericht stellte fest: „Entgegen der Auffassung der Beklagten ist der Erklärung ist dagegen nicht mit hinreichender Deutlichkeit zu entnehmen, dass sich die Einwilligung einerseits auf den Erhalt von (personalisierten) Newslettern im Rahmen des Kundenkartenprogramms, andererseits – und davon abgegrenzt – auf den Erhalt von allgemeinen „Newslettern“ bezieht. Für ein derartiges Verständnis wäre es vielmehr Voraussetzung, dass die Beklagte diese Unterscheidung und Aufspaltung der Einwilligung für den durchschnittlichen Kunden verständlich erläutert hätte.“
An eine unmissverständliche Einwilligung wird also die Forderung gestellt, dass eindeutig erkennbar ist, für welche spezifischen Werbemaßnahmen sie genau gilt.
Wird dies nicht deutlich stellt die Werbung eine unzumutbare Belästigung dar und ist rechtswidrig.

Einwilligungserklärung immer konkretisieren
Für Unternehmen, die online auftreten, macht diese Entscheidung deutlich, eine eindeutige und transparente Gestaltung von Einwilligungserklärungen notwendig ist, wenn rechtmäßig Werbung verschickt werden soll.
Sinnvoll ist es, für jede einzelne Werbemaßnahme eine gesonderte Einwilligung einzuholen. Nur dann kann der Kunde entscheiden, ob er neben allgemeiner Werbung wie Newslettern auch individuelle Angebote erhalten möchte.

2023-02-22

Ständige Mitarbeiterkontrolle bei Amazons Logistikzentrum zulässig

Das Verwaltungsgericht Hannover hat in seiner Entscheidung vom 09.03.2023  (Urt. v. 9.2.2023 – 10 A 6199/20; PM v. 14.2.2023) die permanente Datenerfassungen bei Mitarbeitertätigkeiten von Amazon am Logistikstandort Winsen (Luhe) erlaubt. Zuvor hatte die Landesdatenschutzbeauftragte Niedersachsen eine entsprechende Überwachung der Mitarbeiter untersagt.

Amazon betreibt in Winsen (Luhe) ein Logistikzentrum. Die Auslieferung von Waren aus dem Onlineversandhandel von Amazon wird dort koordiniert und abgewickelt. Konkret ging es um die Maßnahme, dass der Scannprozess der Ware durch die Beschäftigten sowie wie die Transportbänder überwacht werden. Amazon begründete diese Maßnahme damit, dass das Unternehmen so stets Kenntnis habe, wo sich die Ware gerade befinde, zum anderen könne Amazon seine Arbeitskräfte besser disponieren.

Amazon wurde von der Datenschutzbeauftragten dies jedoch untersagt. Das Unternehmen hatte es danach zu unterlassen, aktuelle und minutiös genaue Qualitäts- und Quantitätsdaten der Mitarbeitenden lückenlos zu erheben und diese zur Erstellung von Leistungsprofilen sowie für Feedbackgespräche und Prozessanalysen zu nutzen.

Der Onlineversandhandel hat gegen diese Untersagungsverfügung Klage eingereicht und dargestellt, dass ein berechtigtes Interesse an der Datenverarbeitung gegeben sei. Damit man bei der Steuerung der logistischen Dienstleistungen im Falle von Schwankungen entsprechend reagieren könne, sei es notwendig, aktuelle und minutengenaue individuelle Leistungswerte vorliegen zu haben.

Dieser Klage hat das VG Hannover am 03.02.2023 nun stattgegeben und die von der Landesdatenschutzbeauftragten Niedersachen ausgesprochene Untersagungsverfügung aufgehoben. Das Gericht teilte die Ansicht der Klägerin, dass im Bereich der Logistikdienstleistungen eine entsprechende Steuerung der Mitarbeiterauslastung und -verfügbarkeit erforderlich sei. Der Zweck der Datenverarbeitung sei die Steuerung der logistischen Abläufe und nicht die Erfassung persönlicher Daten.

Wann ist Mitarbeiterkontrolle grundsätzlich erlaubt?
Grundsätzlich ist das Recht des Arbeitgebers, seine Beschäftigten zu kontrollieren, in Deutschland anerkannt. Und zwar deshalb, damit ein Unternehmen prüfen kann, ob die Mitarbeiter auch wirklich ihren Pflichten nachkommen. Allerdings muss sich die Kontrolle in einem eng gesteckten Rahmen halten. Wichtigste Grenze sind Art. 1 und Art. 2 des Grundgesetzes. Alle Maßnahmen, die der Kontrolle der Mitarbeiter dienen, müssen mit der Menschenwürde und dem Recht auf die freie Entfaltung der Persönlichkeit in Einklang stehen.
Ein Verstoß liegt zum Beispiel vor, wenn ohne Kenntnis und Einwilligung des Mitarbeiters Unternehmen Telefonmitschnitte, Internetprotokolle oder sogar Videoüberwachung durchführen lässt, dies verstößt gegen Art. 2 Abs. 1 GG.

Wann ist Videoüberwachung erlaubt?
Eine Videoüberwachung ist nur in Aufnahmefällen gestattet.
Generell muss zwischen der Überwachung in öffentlich zugänglichen und nicht-öffentlich zugänglichen Räumen unterschiedenen werden. In öffentlich zugänglichen Räumlichkeiten (z.B. Ladenlokal oder Verkaufsbereich) ist die Kameraüberwachung zulässig, wenn seitens des Arbeitgebers ein berechtigtes Interesse vorliegt und es gleichzeitig kein weniger einschneidendes Mittel gibt, um dieses Interesse zu verfolgen. (Ein solches Interesse kann z.B. in der Gefahr von Diebstählen in einem Geschäft bestehen.)
In jedem Fall muss mit Hinweisschildern auf die Videoüberwachung hingewiesen werden und der Betriebsrat den Maßnahmen im Vorhinein zustimmen.
Ganz wichtig: Gibt es rechtlich keinen zulässigen Grund die Mitarbeiter mit Videokameras zu überwachen, ist auch die Kameraattrappe keine Alternative. Denn auch sie setzt die Mitarbeiter einem Beobachtungsdruck aus, der ins Persönlichkeitsrecht eingreift.
Hier bestehen nicht nur Unterlassungsansprüche, sondern auch Schadensersatzansprüche der Arbeitnehmer gegen den Arbeitgeber.

Datenschutzrechtliche Verstöße von Unternehmen bei Mitarbeiterkontrollen.
Die Unternehmen sind aber nicht nur Ansprüchen ihrer Mitarbeiter ausgesetzt, sondern vor allem auch den Ansprüchen von deutschen und europäischen Behörden.
So ist es nicht das erste Mal, dass der Datenschutz von Amazon Gegenstand gerichtlicher Überprüfungen war. Im Juli 2021 verhängte die Datenschutzbehörde von Luxemburg CNPD gegen den Onlinehändler Amazon ein Rekordbußgeld von 746 Millionen Euro wegen Verstöße gegen die DSGVO. Gegenstand damals war das Online-Targeting, die personalisierte Werbung. Gegen die Höhe des Bußgelds ging Amazon vor.

Und es gibt weitere prominente Beispiele:
Nachdem H&M systematisch private Informationen über seine Mitarbeiter im Kundenservice gesammelt hatte, musste das Unternehmen im September 2020 ein Bußgeld von 35 Millionen Euro zahlen.

Ein Jahr später – am 15.06.2021 wurde IKEA Frankreich zu einer Geldbuße von 1 Million Euro verurteilt. Grund dafür: Es wurden hunderte Mitarbeiter über Jahre ausspioniert, indem Daten über angestellte Mitarbeiter gesammelt und verwertet wurden. Und dabei blieb es nicht: Der ehemalige Vorstandsvorsitzende von Ikea Frankreich, der die Anweisungen erteilt haben soll, wurde zu einer Geldstrafe von 50.000 Euro und zwei Jahren Haft auf Bewährung verurteilt. Ein weiterer früherer Verantwortlicher erhielt 18 Monate auf Bewährung und eine Geldstrafe von 10.000 Euro.

Die verhängten Bußgelder verdeutlicht erneut, dass die Datenschutzbehörden in Deutschland und in der EU nicht davor zurückschrecken, Datenschutzverstöße durch für den Einzelnen empfindliche und abschreckende, aber auch general-präventive Geldbußen zu ahnden. Kein Unternehmen sollte insofern das Thema Datenschutz unterschätzen!

2023-02-15

Vom Nutzen eines Verarbeitungsverzeichnisses

Jedes ernstzunehmende Unternehmen, das personenbezogene Daten verarbeitet, sollte und muss in der Regel ein Verarbeitungsverzeichnis führen. Das kann lästige Kleinarbeit sein, stellt sich aber auch als äußerst hilfreich in Fällen heraus, in denen Überblick und eine mögliche Entlastung der Geschäftsführung gewünscht ist. Spätestens seitdem die Datenschutzgrundverordnung in Kraft ist, sind datenverarbeitende Stellen gesetzlich angehalten, ein Verarbeitungsverzeichnis zu führen. Ein Verarbeitungsverzeichnis enthält im besten Fall sämtliche Datenverarbeitungsprozesse eines Unternehmens und bietet auf diese Weise einen Überblick über die IT-Landschaft und die Kartierung von Datenflüssen. Hieraus liest sich ab, wer für welche Datenverarbeitung in welchem Umfang die Verantwortung hält. Doch nicht nur Verantwortlichkeiten, sondern auch die Datenverarbeitungsprozesse im Einzelnen lassen sich auf diese Weise gut abgrenzen.

Warum es daher auch für Asset-Deals ein beliebtes Instrument für den Datenraum ist und warum ein Verarbeitungsverzeichnis manchmal sogar hilft, den Kopf aus der Schlinge zu ziehen, werden wir Ihnen gern an dieser Stelle in Kürze erläutern.