EuGH zur Kündigung des Datenschutzbeauftragten

Der EuGH hatte sich in seiner Entscheidung vom 22. Juni 2022 – Rs. C-534/20 mit der Frage zu befassen, ob die deutsche Vorschrift des § 6 Abs. 4 BDSG zum Kündigungsschutz eines Datenschutzbeauftragten, welcher Beschäftigter des Unternehmens ist, im Widerspruch zu den Regelungen der DS-GVO steht.

Regelungen, welche den Kündigungsschutz betreffen, so der EuGH, sind Teil der Sozialpolitik. Für diesen Bereich besteht seitens der EU jedoch nur eine Richtlinienkompetenz, welche lediglich zum Setzen gewisser Mindeststandards ermächtigt. Über ein höheres Schutzniveau, welches über den von der EU festgelegten Mindeststandard hinausgeht, durch strengere Regelungen, entscheiden die Mitgliedstaaten.

Der EuGH hat mithin die nationale deutsche Kündigungsschutzregelung des § 6 Abs. 4 BDSG, nach der eine Abberufung der Datenschutzbeauftragten bzw. des Datenschutzbeauftragten nur aus wichtigem Grund zulässig ist, nicht beanstandet. Die Regelung sei mit den Vorschriften der DS-GVO vereinbar.

Geltung entfaltet der Kündigungsschutz des § 6 Abs. 4 BDSG jedoch nur wenn die Bestellung eines Datenschutzbeauftragten verpflichtend ist und es sich bei dem bestellten betrieblichen Datenschutzbeauftragten um einen Beschäftigten des Unternehmens handelt. Die Kündigung des betrieblichen Datenschutzbeauftragten bedarf dann eines wichtigen Grundes, wobei einfache betriebliche Gründe nicht ausreichen. Es kann für Unternehmen daher mithin schwierig werden, sich von einem einmal bestellten betrieblichen Datenschutzbeauftragten durch Kündigung zu lösen.

Anders sieht es bei der Bestellung eines externen Dienstleisters zum betrieblichen Datenschutzbeauftragten aus. Externe Dienstleister fallen nicht unter die Kündigungsschutzregelungen des § 6 Abs. 4 BDSG. Für diese gilt zwar Art. 38 Abs. 3 DS-GVO, nach dem eine Abberufung oder Benachteiligung des Datenschutzbeauftragten wegen Erfüllung seiner Aufgaben unzulässig ist, eine ordentliche Kündigung des zugrundeliegenden Dienstleistungsvertrages bleibt jedoch jederzeit möglich.

Unternehmen haben bei der Bestellung eines Datenschutzbeauftragten die Wahl: Sie können einen Beschäftigten des Unternehmens oder einen externen Dienstleister zum betrieblichen Datenschutzbeauftragten bestellen. Beide Optionen haben Ihre Vor- und Nachteile. Dass insbesondere im Hinblick auf die Kündigung des Datenschutzbeauftragten erhebliche Unterschiede zwischen der Bestellung eines Beschäftigten und der Bestellung eines externen Dienstleisters zum betrieblichen Datenschutzbeauftragten bestehen, zeigt das Urteil des EuGH

Neben der besonderen Fachexpertise, die ein externer Dienstleister als betrieblicher Datenschutzbeauftragter mitbringt, kann daher auch die vereinfachte Kündigungsmöglichkeit, die gegenüber den Kündigungsmöglichkeiten bei der Bestellung eines Beschäftigten des Unternehmens zum betrieblichen Datenschutzbeauftragten besteht, durchaus ein Argument dafür sein, im Bereich Datenschutz auf externe Experten zu setzen.

Gesundheitsdaten im Gerichtsprozess

von Susanne Werner

Das Verwaltungsgericht Wiesbaden hat entschieden, dass Gesundheitsdaten von einem Rechtsanwalt im Gerichtsprozess verwendet werden dürfen.

Die Zulässigkeit der Verarbeitung von Gesundheitsdaten im Rahmen des rechtsanwaltlichen Vortrags im Gerichtsprozess ist nach Art. 6 Abs. 1 lit. f) DS-GVO i.V.m. Art. 9 DS-GVO zu beurteilen.

Dabei ist für den Inhalt der Schriftsätze im Hinblick auf Haftung und Gestaltung der jeweilige Rechtsanwalt als verantwortliche Stelle im Sinne des Art. 4 Abs. 7 DS-GVO anzusehen. Das berechtigte Interesse an der Verarbeitung besteht für den jeweiligen Rechtsanwalt darin, die vertraglichen Verpflichtungen gegenüber seinem Mandanten zu erfüllen. Um seine rechtsanwaltlichen Aufgaben erfüllen zu können, muss es ihm grundsätzlich gestattet sein, vorzutragen, was sein Mandant ihm mitteilt. Um sich nicht selbst der Anwaltshaftung auszusetzen, ist er entsprechend § 138 Abs. 3 ZPO gehalten, den gegnerischen Vortrag zu bestreiten und den Sachverhalt aus Sicht seines Mandaten darzustellen.

Ist zur Durchsetzbarkeit eines rechtlichen Anspruchs die Verarbeitung von Gesundheitsdaten erforderlich, so dürfen diese im Prozess verwendet werden. Gleiches gilt im Umkehrschluss auch für die Abwendung von Rechtsansprüchen.

Quasi beiläufig hat das Gericht damit noch einmal festgehalten, dass Anwälte für ihre Prozessakten eigene verantwortliche Stelle sind. Die Prozessführung des Anwalts ist keine Auftragsverarbeitung.

Links:

VG Wiesbaden, Urteil vom 19. Januar 2022 – 6 K 361/21.WI – https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002410

EuGH: Speicherung von IP-Adressen

von SICODA Redaktion

Die Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte der Nutzer dar. Internetnutzer dürfen immer erwarten, dass der Schutz ihrer Identität gewahrt und grundsätzlich nicht preisgegeben wird.

Für Unternehmen bedeutet dieses Urteil, dass die Speicherung der vollständigen IP-Adresse in Serverlogs unzulässig ist. Ein berechtigtes Interesse an der Speicherung dieser Daten wird man nach diesem Urteil nicht mehr annehmen können.

Die allgemeine Vorratsdatenspeicherung ist in Europa bereits seit Jahren umstritten. Der Europäische Gerichtshof (EUGH) hat die bisherige Rechtsprechung in Bezug auf Vorratsspeicherung mit dem Urteil von 5. April 2022 (Rechtssache C-140/20) bestätigt.

Der Irische Supreme Court hat im Zuge der Vorabentscheidung das EuGH um Auslegung der (Cookie Richtlinie) gebeten. Das irische Urteil betrifft die, im Fall des wegen Mordes verurteilten Graham Dwyer, angewandten Praktiken zur Abfrage der, im Rahmen der Vorratsspeicherung erhobenen, mobilen Daten des Verdächtigen.

Zum Schutz der nationalen Sicherheit, insbesondere vor terroristischen Aktivitäten, dürfen Verkehrs- und Standortdaten allgemein und unterschiedslos auf Vorrat gespeichert werden. Verkehrsdaten sind alle Informationen, die bei der Nutzung eines Telekommunikationsdienstes gespeichert werden, wie z.B. die Dauer, der Zeitpunkt oder die Datenmenge einer Nachricht.

Unzulässig sind nationale Rechtsvorschriften, die eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten für die Bekämpfung schwerer Kriminalität und zur Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorsehen.

IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, können für einen, auf das absolut Notwendige begrenzten, Zeitraum auf eine allgemeine und unterschiedslose Weise gespeichert werden. Die allgemeine Speicherung von IP-Adressen stellt einen schweren Eingriff in die Grundrechte dar. Internetnutzer dürfen nach Art. 8 der Charta erwarten, dass der Schutz ihrer personenbezogenen Daten gewährleistet und ihre Identität grundsätzlich nicht preisgegeben wird. Jedoch ist die IP-Adresse häufig der einzige Anhaltspunkt im Fall einer im Internet begangenen Straftat, der es ermöglicht, die Identität der Person zu ermitteln, insbesondere in Bezug auf Kinderpornografie. Daher ist die allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen nur erlaubt, sofern sie von der strikten Einhaltung der materiellen und prozeduralen Voraussetzungen abhängig gemacht wird.

Eine allgemeine Vorratsspeicherung der Daten, welche die Identität der Nutzer elektronischer Kommunikationsmittel betrifft, ist ebenfalls erlaubt.

Betreiber elektronischer Kommunikationsdienste können mittels einer Entscheidung der zuständigen Behörde, die einer wirksamen gerichtlichen Kontrolle unterliegt, verpflichtet werden, während eines festgelegten Zeitraums Verkehrs- und Standortdaten umgehend zu sichern (quick freeze).

Was dies für die Zulässigkeit von Beweismitteln, die im Rahmen des Strafverfahrens gegen Graham Dwyer geltend gemacht werden, bedeutet, obliegt dem irischen Gerichtshof, da dies im Einklang mit dem Grundsatz der Verfahrensautonomie der Mitgliedstaaten, Gegenstand des irischen Rechts bleibt.

EuGH: https://curia.europa.eu/juris/document/document.jsf?text=&docid=257242&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=1100425

Geschäftsführer*innen haften persönlich für Schäden aus Datenschutzverletzungen (OLG Dresden)

von Oliver Gönner

Geschäftsführerhaftung

Geschäftsführer*Innen sind „Verantwortlicher“ im Sinne der DS-GVO und haften persönlich für Datenschutzverletzungen gegenüber den Geschädigten.

In einem unscheinbaren Urteil hat das OLG Dresden eher nebenbei eine für Geschäftsführer von Kapitalgesellschaften äußerst relevante und beunruhigende Entscheidung getroffen. In dem Urteil ging es um den Geschäftsführer eines Krankenhauses, der eine rechtswidrige Datenverarbeitung angewiesen hat. Der klagende Patient richtete die Klage sowohl gegen die Krankenhausgesellschaft (Beklagte zu 1)) als auch gegen die Geschäftsführung (Beklagte zu 2)).

Die Urteilsbegründung lautete wie folgt:

Sowohl der Beklagte zu 1) als auch der Beklagte zu 2) sind verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“, die immer dann zu bejahen ist, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet (Gola, Bearb. Gola, DS-GVO-Kommentar, 2. Aufl. 2018, Art. 4 Rz. 48; Ambrock ZD 2020, S. 429 – nach beck-online). Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer, wie es der Beklagte zu 2) zum Zeitpunkt der Beauftragung des Streithelfers war, gilt dies allerdings nicht.

OLG Dresden, Urteil vom 30.11.2021 - 4 U 1158/21 Abs. II Nr. 1

https://oj.is/2381765

Weisungsgebundene Angestellte

Weisungsgebundene Angestellte haften nach Klarstellung des Urteils in der Regel nicht für Datenschutzverletzungen aus Art. 82 DS-GVO.

Das OLG Dresden leitet die Haftung der Geschäftsführung daraus ab, dass diese über die Datenverarbeitung entescheiden kann. Bisher ist die juristische Literatur davon ausgegagen, dass Geschäftsführer im Rahmen ihrer Organschaft für Rechtsverletzungen gegenüber der Gesellschaft haften. Hier wird der Haftungsrahmen allerding so erweitert, dass der Geschäftsführer persönlich für Rechtsverletzungen von den Geschädigten in Anspruch genommen werden kann. Eine “Freizeichnung” durch die Gesellschafter, den Vorstand oder den Aufsichtsrat ist damit zukünftig zumindest für den Anspruch auf Schadensersatz durch Geschädigte nicht mehr möglich.

Name	Cookie Zustimmung
Anbieter	SICODA GmbH, Impressum
Zweck	Dieser Cookie speichert Ihre Auswahl zur Cookie Einwilligung.
Cookie Name	SICODA-COOKIE-CONSENT
Cookie Laufzeit	1 Jahr

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wir binden unsere Youtube Videos auch in unserer Webseite ein. Wenn Sie diesen externen Inhalt akzeptieren, können Sie alle Videos direkt im Design der Webseite sehen. Wenn Sie diese externen Inhalte nicht akzeptieren, können Sie unsere Inhalte immernoch einsehen, Sie müssen dann aber jedes Video einzeln freischalten.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate