Die damit einhergegangenen organisatorischen Herausforderungen an die Arbeitgeber bei der Einführung bzw. Umsetzung der Kontrollpflicht im Betrieb sind vermutlich überwiegend in alltägliche Abläufe übergegangen.

Bei der Kontrolle müssen Arbeitgeber die Datenschutzregeln einhalten. Derzeit gibt es noch keine Verordnung, die die genauen Dokumentationspflichten bestimmt. Daher wird die Dokumentationspflicht zunächst durch die Dokumentation der Prozesse der Kontrollen zu erfüllen sein.  

Angaben über Impf-, Genesenen- oder Teststatus sind sensible Informationen, welche als Gesundheitsdaten besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) darstellen und zurecht durch die DSGVO geschützt werden.

Die Daten dürfen ausschließlich zu den im Infektionsschutzgesetz genannten Zwecken verarbeitet werden und sind auch sonst getrennt und vor dem Zugriffen Dritter geschützt aufzubewahren.  Insbesondere gehört die Liste bzw. die Dokumentation der Nachweise nicht in die Personalakte. 

Aus diesem Grund darf die Dokumentation zum einen nur durch einen zur Verschwiegenheit verpflichteten Personenkreis durchgeführt und zum anderen muss sie durch geeignete technische und organisatorische Maßnahmen vor dem Zugriff unbefugter Personen geschützt werden.

Wenn die Zutrittskontrolle nicht durch den Arbeitgeber selbst  bzw. einen geeigneten Beschäftigten durchgeführt, sondern durch z.B. einen externen Dienstleister betreut wird, muss unbedingt geprüft werden, ob es sich dabei um eine Auftragsverarbeitung handelt und ggf. ein Auftragsverarbeitungsvertrag geschlossen werden muss.

Um dem Grundsatz der Datenminimierung nach Artikel 5 Abs. 1 Buchst. C DSGVO zu entsprechen, ist es ausreichend, wenn tagesaktuell der Vor- und Zuname der Beschäftigten auf einer Liste abgehakt werden, nachdem der jeweilige Nachweis vorgezeigt worden ist. In dem Zusammenhang ist zu beachten, dass der Betroffene auch über die Verarbeitung der erhobenen Daten zu informieren ist.

Bei geimpften Mitarbeitern kann der gültige Impfnachweis nur einmal erfasst und dokumentiert werden, was grundsätzlich auch für Genesense gilt, wobei hier zusätzlich das Ablaufdatum des Genesenen- Status erfasst werden sollte, um dafür Sorge zu tragen, nach dem Ablauf einmalig einen Impfnachweis oder täglich einen Testnachweis vorzulegen.
Nach der einmaligen Kontrolle und der damit einhergehenden Erfassung über den Genesenen- oder Impfstatus, können die Beschäftigten für die Dauer der Gültigkeit des Nachweises anschließend von den täglichen Zugangskontrollen ausgenommen werden. Es ist geimpften und genesenen Mitarbeitern aber weiterhin freigestellt, auch tagesaktuelle Testnachweise vorzulegen.

Die Dokumentation kann händisch in Listenform oder auch in digitaler Form erfolgen, wichtig in beiden Abläufen ist, dass die Vertraulichkeit sowie die Nachvollziehbarkeit der Einträge sichergestellt sind.

Arbeitgeber dürfen die erhobenen Informationen des G-Status ihrer Beschäftigten zum Zweck der erforderlichen Nachweiskontrolle nutzen. Angesichts der Anpassung des betrieblichen Hygienekonzepts auf Grundlage der Gefährdungsbeurteilung nach §§ 5 und 6 des Arbeitsschutzgesetzes ist es dem Arbeitgeber zudem gestattet, die erhobenen G-Status-Daten zu nutzen, was aber unbedingt individuell zu prüfen ist.

Alle im Zusammenhang mit der 3G-Pflicht am Arbeitsplatz erhobenen Daten sind spätestens nach 6 Monaten zu löschen. Sobald der G-Status nicht mehr als Zugangsvoraussetzung nach §28b Abs. 3 erforderlich ist, wird die Dauer der Speicherung durch den Erforderlichkeitsgrundsatz begrenzt und die Daten sind sofort zu löschen. Abschließend bleibt noch zu erwähnen, dass die Durchführung des 3G-Nachweises am Arbeitsplatz in das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO aufzunehmen ist. Je nach Umfang der Verarbeitung kann eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich sein.

Sandra Grassow

Zertifizierte Datenschutzbeauftragte

Dennoch war er erst vor kurzem in einem Berliner Testzentrum zugegen.

Das ehrenamtlich arbeitende IT-Kollektiv „Zerforschung“ hat Anfang Oktober wieder einmal Corona-Testzentren in Berlin überprüft und dabei erneut grobe datenschutzrechtliche Vergehen durch die genutzten IT-Anwendungen aufgedeckt.

Bei ihrer Untersuchung hat sich schnell eine völlig ungeschützte Schnittstelle gezeigt, durch die eine Datenbank voller personenbezogener Daten sämtlicher Kunden ohne Einschränkungen für Dritte im Internet einsehbar waren. Konkret konnte das IT-Kollektiv Daten mehrerer hunderttausender Getesteten einsehen. Neben den Testergebnissen konnten unter anderem vollständige Namen und Anschriften sowie Telefonnummern und Emailadressen abgerufen werden. Sie konnten außerdem digitale Test-Zertifikate umschreiben bzw. komplett neue ausstellen.
IT-Interessierte mit einem entsprechenden Wissenstand hätten sich auf diesem Weg unzählige negative PCR Testergebnisse erstellen können, ohne dafür auch nur in die Nähe eines Corona-Testzentrums kommen zu müssen.

So kam es auch dazu, dass Robert Koch, geboren am 11.12.1843, mit seinen rüstigen 177 Jahren problemlos ein negatives Corona-Testzertifikat mit dem gängigen „BärCODE*“ Sicherheitsmerkmal erhalten hat, welches eigentlich eine digitale COVID19-Testverifikation darstellt.

Nach der Aufdeckung dieser massiven Sicherheitslücken hat Zerforschung den Betreiber der Software über die aktuelle Situation informiert. Dieser hat die Datenpanne zugegeben und versichert, dass die Lücken inzwischen geschlossen seien. Außerdem sei geplant, die Betroffenen in der kommenden Woche über den Vorfall zu informieren.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erklärt, dass in Deutschland hohe Standards bei den IT-Lösungen im Gesundheitswesen gewahrt werden, dies mitunter aber bei den Corona Testzentren nicht der Fall sei. Hier wurde eine Aufgabe, die eigentlich der Staat sowie die gesetzlichen Krankenversicherungen erfüllen müssen, dem freien Markt überlassen, was angesichts der vielen Meldungen diesbezüglich scheinbar nicht funktioniert.

Laut den ehrenamtlichen IT-Forschern gehen viele Teststellen unverantwortlich mit den Daten ihrer Kunden um, so seien die zuvor genannten Sicherheitsprobleme weiterverbreitet als vorstellbar. „Die Fehler im Datenschutz seien so vielfältig, dass wir uns nur auf die besonders problematischen Fälle fokussieren können, so wie in diesem Fall, wo eine Datenbank komplett offensteht.“ An eine zügige Besserung der Situation glauben die IT-Sicherheitsforscher nicht.

Lesen Sie gerne den kompletten Bericht hier: https://zerforschung.org/posts/meinschnelltest/

Von Sandra Grassow, Zertifizierte Datenschutzbeauftragte

Wir haben unsere Kanzlei seit Anfang an auf Home-Office und Remote Work Möglichkeiten ausgerichtet, aktuell erreichen uns daher vermehrt Anfragen von Mandanten, wie wir das machen.

Daher hier ein paar Tipps, wie man als Unternehmen noch schnell Home-Office tauglich werden kann.

1. Internet, Internet, Internet

Sie können alle Ihre Remote Work Pläne in die Tonne werfen, wenn das Internet streikt. Sofern Ihr Unternehmen noch nicht komplett in die Cloud gezogen ist, muss ihr Standort mit dem Internet verbunden sein und bleiben. Sie brauchen Redundanzen!

Wenn ihr DSL oder Kabelanschluss wegbricht, kann über mobile Hotspots oder UMTS-Sticks die Verbindung aufrechterhalten werden. Die Sticks gibt es zusammen mit den notwendigen SIM-Karten in den Online-Shops der Mobilfunk-Provider. Wenn Sie auf Prepaid-Modelle setzen, entstehen Ihnen erstmal keine laufenden Kosten.

2. Die richtige Hardware

Idealerweise haben Ihre Mitarbeiter Laptops, die sich von selbst mit ihrem Firmennetzwerk verbinden und es erlauben von jedem Ort der Welt zu arbeiten. Idealerweise.

Realistisch haben Ihre Mitarbeiter stationäre PCs oder vielleicht Laptops, die sie aber nicht einfach von außerhalb mit ihrem Netzwerk verbinden können.

Eine einfache und schnelle Lösung kann hier folgendes sein:

Die Rechner bleiben in der Firma und zwar angeschaltet. Der Mitarbeiter verbindet sich z.B. mit TeamViewer von seinem privaten Tablet oder PC auf den Firmen-PC. Das Ganze ist datenschutzrechtlich in Ordnung, wie wir hier dargelegt haben. Dort haben wir auch beschrieben, wie Ihre Mitarbeiter Ihre privaten Geräte für Home-Office Zwecke nutzen können.

3. Bereiten Sie jetzt Ihre Mitarbeiter vor und unterstützen Sie sie dabei

Wenn Ihre Mitarbeiter ins Home-Office gehen, helfen diese Ihnen den Betrieb aufrechtzuerhalten. Die wenigsten Mitarbeiter werden ein ausgerüstetes Büro haben. Überlegen Sie, inwieweit Schreibtische, Bürostühle oder Monitore mit nach Hause genommen werden können. Der Rücken Ihrer Mitarbeiter wird es Ihnen danken, so stellen Sie sicher, dass Ihre Mitarbeiter nicht in wenigen Tagen wegen Rückenschmerzen ausfallen.

Das ist dabei nicht nur einfach so gesagt, sondern entspricht auch Ihren Pflichten als Arbeitgeber. Die Vorschriften zum Arbeitsschutz gelten auch im Home-Office, d.h. Sie müssen als Arbeitgeber dafür sorgen, dass Ihr Mitarbeiter dort sicher und ohne Gesundheitsgefährdung arbeiten kann.

Im Übrigen: Zuschüsse für Mitarbeiter zum Internetanschluss sind abgaben- und lohnsteuerfrei.

4. Überlegen Sie, wie Sie mit Mitarbeitern kommunizieren und koordinieren

Die Koordination von Teams, bei denen alle Mitglieder im Home-Office sind, verlangt sowohl den Führungskräften als auch den Teams einiges ab.

Aktuell haben einige Hersteller ihre Tools für kleine Teams kostenlos zur Verfügung gestellt. Der Anbieter Atlassian bietet z.B. seine Cloud-Lösungen wie die Ticketverwaltung JIRA oder die Projektmanagementlösung Trello für kleine Teams bis zu 10 Personen kostenlos an.

Auch Microsoft bietet seine Kommunikations- und Chatlösung Teams aktuell kostenlos an. Gleiches gilt für die Kommunikationslösung von Slack gibt es in einer kostenfreien Version.

Was Sie beim Einsatz dieser Tools beachten müssen, habe wir hier beschrieben. Wie dort beschrieben sollten Sie keine Tools einsetzen, die nicht für Geschäftskunden gedacht sind. Eine Chat-Lösung wie Discord einzusetzen, mag verlockend sein, ist aber datenschutzrechtlich unzulässig.

5. Der Betriebsrat muss zustimmen

Home-Office ist mitbestimmungspflichtig. Da der Betriebsrat nicht seine Sitzungen nicht online vornehmen kann, sollte diese Zustimmung nicht auf die lange Bank geschoben werden.

6. Klare vertragliche Regelungen

Der Einsatz von Home-Office, ist arbeits- und datenschutzrechtlich ein Minenfeld und erfordert von Arbeitgebern und Arbeitnehmern das Einhalten klarer Regelungen. Diese lassen sich am besten vertraglich als Ergänzung zum Arbeitsvertrag festlegen. Darin sollten insbesondere Punkte zur

• Arbeitszeit
• Arbeitsschutz
• Datenschutz
• Schutz der Vertraulichkeit
• Haftung- und Kostentragung
• Kontrollrechte des Arbeitgebers

geregelt werden

Prüfen Sie, wo der Cloud-Anbieter die Daten verarbeitet. Findet eine Verarbeitung außerhalb des EWR statt, muss das Unternehmen sicherstellen, dass Voraussetzungen vorliegen.

Das kann entweder ein Angemessenheitsbeschluss der EU-Kommission oder der Abschluss von Standardvertragsklauseln nach dem Muster der EU-Kommission sein. Für die wichtigsten Cloud-Standorte sieht es so aus:

a. USA

Zulässig, wenn das Unternehmen Privacy-Shield zertifiziert ist. Sie müssen darauf achten, dass die Zertifizierung bei Beschäftigtendaten auch die HR-Daten umfassen muss. Ist das Unternehmen nur NON-HR Daten zertifiziert, dürfen Beschäftigtendaten nicht an diesen Anbieter übertragen werden.

Das Ganze kann auf der Seite https://www.privacyshield.gov/list geprüft werden.

Ist das Unternehmen nicht Privacy Shield zertifiziert, muss zwingend eine EU-Standardvertragsklausel abgeschlossen werden. Dabei ist darauf zu achten, dass die richtigen Klauseln verwendet werden, nämlich die Controller-Processor-Klauseln. Ebenfalls muss der Anhang der Klauseln vollständig und richtig ausgefüllt sein.

b. Andere Länder

Die EU-Kommission hat einen Angemessenheitsbeschluss für die folgenden Länder veröffentlicht:

• Andorra,
• Argentinien, 
• Kanada (beschränkt auf Unternehmen)
• Färöer
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Neuseeland
• Schweiz
• Uruguay

2. Abschluss einer Auftragsverarbeitung oder eines Data Processing Addendums

Wenn Sie Cloud-Produkte einsetzen, wird das im Regelfall als Auftragsverarbeitung nach Art. 28 DSGVO erfolgen. Für Sie bedeutet das, dass sie zwar keine gesonderte Einwilligung zum Einsatz der Cloud-Anbieter in der Datenverarbeitung benötigen, aber die Einhaltung der Datenschutzpflichten sicherstellen müssen. Sie bleiben als Unternehmen verantwortlich für die ordentliche Verarbeitung beim Cloud-Provider. Art. 28 DGSVO fordert für diesen Fall daher einen Abschluss einer Auftragsverabeitungsvereinbarung.

Die meisten Cloud-Anbieter stellen dies als Data Processing Addendum zu ihrem Vertrag online. Teilweise sind diese bereits in den normalen Vertrag integriert, teilweise müssen diese aber extra abgeschlossen werden.

3. Schauen Sie sich an, was der Anbieter mit den Daten macht und wie er sie sichert

Da Sie als Unternehmer weiter verantwortlich bleiben, müssen Sie auch sicherstellen, dass der Cloud-Anbieter die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hat. Die Liste dieser Maßnahmen muss der Anbieter Ihnen zur Verfügung stellen und Sie sollten diese zusammen mit der Auftragsverarbeitungsvereinbarung abspeichern.

Stellen sie außerdem sicher, dass der Anbieter die Daten ausschließlich zu Ihren Zwecken und nicht auch zu eigenen Zwecken verarbeitet.

4. Prüfen Sie das Preismodell

Die meisten Cloud-Anbieter stellen zwar kostenlose Angebote zur Verfügung, diese dann aber nur ohne Angebot der Auftragsverarbeitungsvereinbarung. Diese Modelle finanzieren sich häufig durch die Auswertung Ihrer Daten. Solche Systeme dürfen Sie nicht einsetzen, um personenbezogene Daten zu verarbeiten.

Gerade wenn Sie planen nur einen kurzen Engpass zu überbrücken sollten Sie sich die Mindestvertragslaufzeiten anschauen. Häufig sind die Modelle im Monats- oder im Jahrespaket erhältlich. Sie können das Jahrespaket dann in der Regel nicht einfach nach einigen Monaten kündigen.

Dabei gilt: Der Arbeitgeber ist Verantwortlicher für die Datenverarbeitung und daher für Datenschutzverstöße, die im Home-Office passieren, haftbar.

Wir beraten Mandanten regelmäßig bei der Gestaltung von Home-Office Vereinbarungen und der Umsetzung des entsprechenden Konzepts, dabei stellen wir immer wieder fest, dass man sich über die Problemkreise kaum oder zu wenig Gedanken macht.

Erste Überlegung: Die IT-Sicherheit

Ob im normalen Büro oder im Home-Office. Die Anforderungen an den technischen Datenschutz bzw. die IT-Sicherheit sind identisch. Das Unternehmen hat als Verantwortlicher für die Datenverarbeitung die Datensicherheit mittels technischer und organisatorischer Maßnahmen nach dem aktuellen Stand der Technik sicherzustellen.

Nutzt der Mitarbeiter die Unternehmenshardware muss z.B. sichergestellt sein, dass die Verbindung vom Gerät aus sicher ist und dass auch keine Schadsoftware vom Netzwerk des Mitarbeiters auf das Unternehmen überspringen kann.

Wenn Mitarbeiter im Home-Office keine unternehmenseigene Hardware nutzen (können) sondern ihre eigenen privaten Geräte nutzen, sind die Problem vorprogrammiert. Denn dann muss der Arbeitgeber dafür Rechnung tragen, dass diese Geräte ebenfalls dasselbe Schutzniveau aufweisen wir die unternehmenseigenen Geräte.

Dabei können existierende Lösungen wie Mobile Device Management Systeme helfen, diese geraten jedoch schnell dort an die Grenze, wo Privatdaten des Arbeitnehmers betroffen sind.

Besser ist es daher, von Anfang an auf Containerlösungen oder browserbasierte Lösungen zu setzen, bei denen Mitarbeiter Daten nicht auf ihre lokalen PCs herunterladen müssen.

Das kann z.B. bereits der Einsatz eines Webmailers anstatt eines lokalen E-Mail-Programms sein.

Auch die physische Datensicherheit im Blick behalten

Neben der IT-Sicherheit sollte dabei auch der weitere Schutz der Daten beachtet werden. Mitarbeiter dürfen Unterlagen nicht einfach in der Wohnung rumliegen lassen oder gar einfach in den Hausmüll entsorgen. Der GAU für ein Unternehmen dürfte wohl sein, wenn der querulantische Nachbar des Mitarbeiters Vertragsentwürfe in der Papiertonne findet und damit zur Datenschutzbehörde rennt.

Die Unternehmensdaten müssen auch vor neugierigen Blicken von Mitbewohnern oder Familienmitgliedern geschützt sein.

Daten beauskunften und löschen

Schließlich muss das Unternehmen sicherstellen, dass es weiß, welche Daten wo gespeichert sind, um Datenauskunftsanfragen beantworten zu können bzw. diese auf Verlangen oder bei Zweckwegfall löschen zu können.

Erlaubt der Arbeitgeber die Nutzung von privaten Geräten, muss er daher sicherstellen, dass er stets Zugriff auf die Unternehmensdaten auf den privaten Geräten hat, um sie beauskunften oder löschen zu können.

Nur mit vertraglicher Lösung

Ohne vertragliche klare Regelung wird man Mitarbeitern kein Home-Office anbieten können. Nicht nur müssen die Verpflichtungen des Mitarbeiters klar benannt werden, auch die Kontrollrechte des Unternehmens müssen gewahrt bleiben.

Mit Inkrafttreten der DS-GVO und der Neufassung des BDSG gingen inhaltliche Änderungen in Bezug auf den Datenschutzbeauftragten einher. Der folgende Beitrag systematisiert den geltenden Sonderschutz des betrieblichen Datenschutzbeauftragten.

1. Schutz vor Benachteiligung

Hätte der Datenschutzbeauftragte wegen seiner Tätigkeit Maßregelungen zu befürchten, könnte er sein Amt nicht effektiv ausüben. Ein bedeutender Bestandteil der Unabhängigkeit ist daher der Schutz vor Benachteiligung, welcher bereits seit 1977 im BDSG verankert ist.

Art. 38 III 2 DS-GVO regelt, dass der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden darf. Dieses allgemeine, tätigkeitsbezogene Benachteiligungsverbot gilt für alle benannten internen und externen Datenschutzbeauftragten öffentlicher und nichtöffentlicher Stellen mit Ausnahme derer, die außerhalb des Anwendungsbereichs der DS-GVO agieren.

Eine Benachteiligung liegt vor, wenn der Datenschutzbeauftragte schlechter behandelt wird als eine Person in vergleichbarer Situation. Alle rechtlichen und tatsächlichen Maßnahmen, die sich objektiv als Benachteiligung darstellen sind unzulässig. Dabei kommt es weder auf eine Benachteiligungsabsicht noch auf ein Verschulden an. Eine Benachteiligung würde beispielsweise in der Übergehung bei einer Beförderung liegen.

Zudem muss die Benachteiligung „wegen der Erfüllung seiner Aufgaben“ erfolgen. Dies führt zu der Schwierigkeit, dass der Arbeitnehmer den Zusammenhang zwischen der Tätigkeit als Datenschutzbeauftragtem und der Benachteiligung beweisen müsste. Hier soll dem Beauftragten jedoch die Möglichkeit des Anscheinsbeweises eingeräumt werden. Das bedeutet, der Kausalzusammenhang ist anzunehmen, wenn eine Benachteiligung objektiv feststellbar ist und der Arbeitgeber keinen sachlichen Grund für die Schlechterstellung plausibel machen kann, welcher keinen Zusammenhang zur Amtsführung aufweist. Den Arbeitgeber trifft daher die Beweislast für seine Entlastung.

Es fehlt allerdings an einer Benachteiligung, wenn alle betriebsangehörigen Personen in vergleichbarer Tätigkeit und Position Schlechterstellungen in Kauf nehmen müssen. Reagiert der Arbeitgeber auf die Überschreitung des Aufgabenbereichs, die nicht ordnungsgemäße Wahrnehmung der Amtsaufgaben oder anderweitige Pflichtverletzungen mittels Abmahnung oder Kündigung, liegt darin jedoch keine verbotene Benachteiligung.

1. Schutz vor Abberufung

Der seit 1990 im BDSG verankerte Schutz vor Abberufung soll ebenfalls die Unabhängigkeit des Datenschutzbeauftragten sicherstellen.

Gemäß dem tätigkeitsbezogenen Abberufungsverbot des Art. 38 III 2 DS-GVO darf der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter nicht wegen der Erfüllung seiner Aufgaben abberufen werden. Dies gilt sowohl für öffentliche als auch nichtöffentliche Stellen.

§ 6 IV 1 BDSG gilt hier auch für Unternehmen, soweit „die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist“. Nach § 6 IV 1 ist die Abberufung der oder des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB (wichtiger Grund) zulässig. Zudem kann aber auch die Datenschutzaufsichtsbehörde verlangen, dass der Datenschutzbeauftragte abberufen wird, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde nicht besitzt oder ein schwerwiegender Interessenkonflikt vorliegt.

Ein wichtiger Grund für eine Abberufung besteht, wenn Tatsachen vorliegen, aufgrund derer der benennenden Stelle unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der beiderseitigen Interessen die Fortsetzung der Tätigkeit nicht zugemutet werden kann.

Wichtige Gründe für eine zulässige Abberufung stellen dar:

• Grobe Pflichtverletzungen in der Amtsführung des Datenschutzbeauftragten
• Untätigkeit
• Grobe Verstöße gegen die Vertraulichkeit
• Vorliegen eines Interessenkonflikts, z.B. wenn der Beauftragte zugleich Unternehmensinhaber, Geschäftsführer, Vorstand, Personalleiter oder EDV- Leiter oder externer IT- Dienstleister ist

Betriebsbedingte wichtige Gründe für eine Abberufung wären hingegen:

• Betriebsschließung
• Abwendung einer betrieblichen Notsituation
• Entfall der gesetzlichen Voraussetzungen, z.B. Unterschreiten der Schwellenwerte
• Unternehmensfusion und damit „Verdopplung“ der Amtsträger

Kein wichtiger Grund hingegen wäre das „Outsourcing“ der Tätigkeit auf einen externen Dienstleister aus Kostengründen.

1. Schutz vor Kündigung

Das weitreichendste Privileg ist der echte Sonderkündigungsschutz des Datenschutzbeauftragten, welchen es seit 2009 gibt. Für betriebliche Datenschutzbeauftragte ist dieser in § 6 IV 2,3 BDSG geregelt. Dies gilt aber nur, wenn das Unternehmen verpflichtet war (z.B. aufgrund Erreichen des Schwellenwertes) einen Datenschutzbeauftragten zu benennen. Ein freiwillig ernannter Datenschutzbeauftragter genießt nur den Benachteiligungs- und Abberufungsschutz.

Der Sonderkündigungsschutz beinhaltet, dass eine ordentliche Kündigung (auch schon während der Probezeit) ausgeschlossen ist. Zulässig bleibt allein die außerordentliche Kündigung aus wichtigem Grund. Der Grund muss nicht aus der Funktion als Datenschutzbeauftragter resultieren. Umgekehrt rechtfertigt ein „wichtiger Grund“ , der die Abberufung als Datenschutzbeauftragter legitimiert, nicht zwangsläufig zugleich die Beendigung des Arbeitsverhältnisses.

Der Sonderkündigungsschutz wirkt für die Dauer eines Jahres nach Abberufung fort.

Fazit:

Sind Sie sich als Arbeitgeber unsicher, ob Sie Ihren Datenschutzbeauftragten abberufen oder kündigen können oder sind Sie als Datenschutzbeauftragter einer solchen Situation ausgesetzt, vereinbaren Sie gern bei uns einen Beratungstermin.

Eine in Potsdam tätige Zahnärztin erhielt von der Brandenburgischen Landesbeauftragten für den Datenschutz die Anordnung, die betriebene Videoüberwachung in der Praxis umgehend einzustellen. Die Eingangstür der Praxis ist während der Öffnungszeiten nicht verschlossen; der Empfangstresen ist grundsätzlich nicht besetzt. Oberhalb des Tresens befindet sich eine Digitalkamera, welche laufende Bilder in Echtzeit herstellt. Die Bilder können auf Monitoren im Behandlungszimmer (sog. Kamera- Monitor- System) angesehen werden. Sie werden nicht gespeichert. Überwacht wurde der Bereich, in dem sich Besucher nach dem ungehinderten Betreten der Praxis aufhalten. Ein Schild an der Außenseite der Eingangstür und auch am Tresen wies auf die Videoüberwachung hin.

Die zuständige Landesbeauftragte für den Datenschutz erließ nach einer Anhörung u.a. die Anordnung, dass während der faktischen Besuchszeiten der Praxis in den Behandlungszimmern vorhandene Videokameras auszuschalten sind (Nr. 1) und die Kamera beim Anmeldetresen lediglich auf den Mitarbeiterbereich hinter dem Tresen auszurichten und so abzudecken ist, dass ersichtlich ist, dass der öffentlich zugängliche Bereich nicht überwacht wird (Nr. 2). Weitere Anordnungen betrafen den Umgang mit Hinweisschildern (Nr. 3, 4). Gegen den abschlägigen Widerspruchsbescheid erhob die Zahnärztin Klage beim Verwaltungsgericht Potsdam.

Ebenso wie auch die Vorinstanzen erteilte das Bundesverwaltungsgericht der Klage der Zahnärztin eine Abfuhr. Maßgeblich war hier die Unvereinbarkeit der Videoüberwachung mit dem § 6b Abs. 1 Satz 1 des Bundesdatenschutzgesetzes in der alten Fassung, da es nach Auffassung der Richter auf den Zeitpunkt des Erlasses des Widerspruchsbescheides ankommt. Eine Überwachung ist danach erlaubt, wenn – verkürzt formuliert – sie erforderlich ist und eine Abwägung ein Überwiegen der Interessen des Berechtigten gegenüber den Interessen des Betroffenen, von der Beobachtung wegen ihres informationellen Selbstbestimmungsrechts verschont zu werden, ergibt. Es ist dabei Sache des Berechtigten, darzulegen, aus welchen Gründen er eine Videoüberwachung für notwendig hält.

Die Bundesrichter sahen hier keine Erforderlichkeit für die von der Zahnärztin betriebene Videoüberwachung. Insbesondere die Zwecke der Verhinderung und Aufklärung von Straftaten können eine Videoüberwachung nur dann als objektiv begründbar rechtfertigen, wenn eine Gefährdungslage besteht, die über das allgemeine Lebensrisiko hinausgeht. Eine solche Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben; subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus.

Der Umstand, dass in der Praxis Betäubungsmittel und Wertsachen wie etwa Zahngold aufbewahrt werden, ist für sich genommen nicht geeignet, eine besondere Gefährdung in Bezug auf Diebstähle während der Öffnungszeiten zu begründen. Auch das Bestreben, mittels Videoüberwachung Personalkosten einzusparen, konnte das BVerwG nicht überzeugen.

Dieses Urteil entspricht auch in Bezug auf die zwischenzeitlich erlassene Datenschutzgrundverordnung (DSGVO) der geltenden Rechtslage. Rechtsgrundlage für die Aufsichtsbehörde wäre insoweit Art. 58 Abs. 2 d) in Verbindung mit Art. 6 Abs. 1 u), Abs. 1 f) DSGVO.

Kontext der Entscheidung

Entscheidungen aus dem Bereich des Datenschutzrechts stoßen spätestens seit dem Erlass der DSGVO auf breites Interesse in der Öffentlichkeit. Fragen der Videoüberwachung gehören insoweit allerdings zu den „alten“ Themen des Datenschutzrechts, die gegenüber modernen Fragestellungen – etwa zum Datenschutz im Internet und bei Nutzung von Social Media – n Bedeutung verloren haben. Gleichwohl handelt es sich bei der Videoüberwachung um eine besonders verbreitete Form der alltäglichen Datenverarbeitung, die auch viele Privatpersonen betreiben.

Sind Sie sich unsicher, ob die von Ihnen angebrachte und betriebene Videokamera rechtlich zulässig ist? Wir beraten Sie hier gern.