|
| |
Liebe Abonnentinnen und Abonnenten,
heute erhalten Sie den de lege data Newsletter 7/2021. Ich wünsche Ihnen viel Freude beim Lesen und ein schönes Wochenende.
|
|
|
| |
Aktuelle Beiträge im Blog
|
|
|
| |
|
OLG München: Anspruch auf Kopie nach Art. 15 Abs. 3 DSGVO ist weit auszulegen
|
|
Kunde trägt falsche E-Mail-Adresse beim Online-Shopping ein – Datenschutzverstoß des Unternehmens?
|
|
|
|
|
|
| |
|
OVG Berlin-Brandenburg: Social Media Auftritt einer Behörde mit Kommentarfunktion ist nicht mitbestimmungspflichtig (Abweichung von BAG Ansicht)
|
|
Rechenschaftspflichten der DSGVO: Rechtmäßigkeit der Verarbeitung personenbezogener Daten in Dokumenten und Aufbewahrungsdauer
|
|
|
|
|
|
| |
|
Microsoft Deutschland veröffentlicht "Faktencheck Datenschutz: Wie wir unsere Kundendaten nach dem Schrems-II-Urteil schützen"
Microsoft Deutschland hat auf seiner Webseite einen News-Beitrag rund um Datenübermittlungen in Drittländer und die DSGVO-Anforderungen veröffentlicht. In dem Beitrag erläutert Microsoft, wie es seine Kunden dabei unterstützt, die vom EuGH und dem EDSA geforderten zusätzlichen Schutzmaßnahmen umzusetzen.
|
|
LfDI BaWü veröffentlicht aktualisierte "Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?"
Die Datenschutzbehörde aus Baden-Württemberg hat auf ihrer Webseite eine aktualisierte Version ihrer Orientierungshilfe für Datenübermittlungen in Drittländer veröffentlicht. Berücksichtigt werden hierbei sowohl die neuen EU-Standarddatenschutzklauseln als auch die finalen Empfehlungen 1/2020 des EDSA zu zusätzlichen Schutzmaßnahmen.
|
|
|
|
|
|
| |
|
LfDI BaWü veröffentlicht Positionspapier zum Thema "Lohnfortzahlung im Quarantäne-Fall"
Die Datenschutzbehörde aus Baden-Württemberg hat auf ihrer Webseite ein Positionspapier zu datenschutzrechtlichen Fragen rund um die Verarbeitung von Beschäftigtendaten im Fall der Lohnfortzahung nach § 56 IfSG veröffentlicht. Insbesondere geht es dort auch um die Zulässigkeit der Frage nach dem Impfstatus von Beschäftigten.
|
|
Am 1.12.2021 tritt das neue TTDSG in Kraft
Am 1.12.2021 tritt in Deutschland das neue Telekommunikation-Telemedien-Datenschutzgesetz – TTDSG in Kraft.
Von besonderer Praxisrelevanz dürfte § 25 TTDSG sein, der nun erstmals ausdrücklich in Deutschland die "Cookie-Regelung" des Art. 5 Abs. 3 ePrivacy-Richtlinie umsetzt. Wichtig: § 25 TTDSG gilt auch, aber nicht nur für Cookies, sondern generell für Fälle des Zugriffs auf Informationen in Endeinrichtungen von Nutzern. Das bedeutet auch, dass im Anwendungsbereich des TTDSG (als spezialgesetzliche Regelung ggü. der DSGVO, vgl. Art. 95 DSGVO) der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) nicht mehr gilt.
|
|
|
|
|
|
| |
Frage nach dem Impfstatus - keine Verarbeitung?
Seit längerer Zeit wird über das Fragerecht des Arbeitgebers in Bezug auf den Impfstatus von Beschäftigten diskutiert. Auch datenschutzrechtlich stellt sich die Frage nach der Zulässigkeit, wenn es keine ausdrückliche gesetzliche Vorgabe hierzu gibt (vgl. etwa hierzu das BayLDA).
Interessant ist meines Erachtens diesbezüglich die Frage, ob denn überhaupt eine Verarbeitung personenbezogener Daten stattfindet? Denn allein mit Formulierung der Frage "Sind Sie geimpft?" werden noch keine Daten verarbeitet. Nun gilt es im Arbeitsverhältnis freilich noch § 26 Abs. 7 BDSG im Blick zu behalten. Danach sind die § 26 Abs. 1 bis 6 BDSG auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Aber auch hierfür bedarf es mindestens einer "Verarbeitung". Oder anders ausgedrückt: findet eine tatbestandliche Verarbeitung statt, wenn der Pförtner im Eingang zum Betrieb nach dem Impfstatus fragt und/oder diesen sich allein zur Einsicht (ohne Aufzeichnung) vorlegen lässt?
Spannend ist in diesem Zusammenhang die Auffassung der LDI NRW. In ihren FAQ und dort spezifisch zu § 4 Abs. 7 CoronaSchVO NRW äußert sich die Behörde zu dieser Frage. Nach § 4 Abs. 7 CoronaSchVO NRW müssen nicht immunisierte Beschäftigte, die mindestens 5 Werktage nicht gearbeitet haben, am ersten Arbeitstag nach dieser Arbeitsunterbrechung dem Arbeitgeber einen Negativtestnachweis vorlegen oder vor oder bei Beginn der Arbeitsaufnahme am ersten Arbeitstag einen dokumentierten beaufsichtigten Test im Rahmen der Beschäftigtentestung durchführen (ähnliche Regelungen finden sich in anderen Landesverordnungen).
Nach Anscht der LDI NRW besteht das mildeste Mittel zur Erfüllung dieser Vorgaben durch den Arbeitgeber "in einer Kontrolle der Negativtests durch Vorlage seitens der Beschäftigten, ohne dass diese Tests oder die einzelnen Kontrollen mit einem Personenbezug dokumentiert werden". Stattdessen sollen Arbeitgeber lediglich dokumentieren, dass sie einen Prozess zur Durchführung derartiger Kontrollen eingeführt haben. Und jetzt kommt es: "Auf diese Weise findet keine Verarbeitung personenbezogener Daten statt, eine tatsächliche Kontrolle von Negativtestnachweisen wird jedoch durchgeführt".
Bedeutet: die LDI NRW geht gerade von keiner Verarbeitung aus, wenn Beschäftigte nur ihren Negativtest vorzeigen (was man mE auch durch die Vorlage des Impfnachweises ersetzen kann), wenn danach keine Daten aufgenommen und nur der allgemeine Kontrollprozess dokumentiert wird.
|
|
|
|
| |
Löschaufforderung als konkludenter Widerruf der Einwilligung
In einer Entscheidung (PDF) vom 7.6.2021 der Berliner Datenschutzbehörde, befasste sich diese mit der Beschwerde eines Kunden ggü. einem Unternehmen, dass sein Kundenkonto nicht rechtzeitig gelöscht hatte. Die Entscheidung erfolgte im Rahmen des Kohärenzverfahrens.
Die Behörde befasst sich in ihrer Entscheidung mit den Vorgaben des Art. 17 DSGVO zur Löschpflicht. Unter anderem ging es um die Frage, ob eine Datenverarbeitung weiterhin zulässig war, da der Betroffene seine Einwilligung nicht ausdrücklich widerrufen hatte. Er hatte "nur" um Löschung der Daten ersucht.
Die Berliner Behörde geht davon aus, dass soweit die Verarbeitung auf einer Einwilligung beruhte, auch der Löschungsgrund gemäß Art. 17 Abs. 1 lit. b) DSGVO vorliegt. Danach sind die personenbezogenen Daten zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und keine andere Rechtsgrundlage für die Verarbeitung besteht.
Die Behörde geht von einem konkludenten Widerruf aus: "Der Antrag auf Löschung schließt implizit den Widerruf der Einwilligung im Sinne von Art. 7 Abs. 3 S. 1 DSGVO ein".
|
|
|
|
