+ 49 3578 7837 197 mail@edelmann-co.de

Sehr geehrte Damen und Herren,

an dieser Stelle informiere ich Sie gern wieder über aktuelle Themen und Beobachtungen zum Datenschutz.

Aus unserer Praxis:

Ein Mitarbeiter unseres Kunden wurde bei einer Dienstfahrt mit einem Firmen-PKW aufgrund einer Geschwindigkeitsüberschreitung geblitzt. Im Rahmen des Verfahrens zur Ermittlung des Fahrers schreibt das Landratsamt den Arbeitgeber mit den bekannten Bescheiden und der Aufforderung einer entsprechenden Auskunft an.
Der Arbeitsgeber kennt den Fahrer, möchte jedoch den „Verkehrssünder“ vor den drohenden Sanktionen schützen und verweigert die Auskunft unter Bezug auf die schutzwürdigen personenbezogenen Daten seiner Mitarbeiter im Sinne der DSGVO (Art 4 bzw. 9 DSGVO). Der Arbeitgeber fragte in diesem Zusammenhang bei mir an, ob ich diese Vorgehensweise in meiner Rolle als externer DSB unterstützen können.

Leider kann hier unseren Auftraggeber im Sinne seiner Zielstellung nicht mit den Mitteln des Datenschutzes und der DSGVO unterstützen. Mit dem beschriebenen Sachverhalt ist für mich nicht erkennbar, dass sich aus der Nennung des Fahrers (erhebliche) Risiken für die Rechte und Freiheiten des Fahrzeugführers ergeben können. Dabei reflektiere ich ausschließlich auf die Angaben zu Ort und Zeit, die sich aus dem Schreiben des Landratsamtes ergeben. Die drohenden Sanktionen sehe ich hier nicht im Geltungsbereich der DSGVO

Übrigen handelt es sich beim Schreiben des Landratsamtes um eine Ermittlung einer Behörde. Diese genießt im Rahmen des Ermittlungsprozesses eine besondere Privilegierung. Ein entsprechendes Urteil erging 2019 durch das Verwaltungsgericht Regensburg. Sie finden den Sachverhalt im nachfolgenden Link ausführlich dargestellt.
2020-10 Kein Schweigerecht des Arbeitgebers wegen DS-GVO bei Verkehrsordnungswidrigkeiten eines Arbeitnehmers | WERNER Rechtsanwälte Informatiker

Aus Heft 10 – 2020 Datenschutzberater:

“105.000,– EUR Bußgeld gegen Krankenhaus
Aufgrund von mehreren Verstößen gegen die DSGVO im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme eines Patienten, hat der LfDI Rheinland-Pfalz gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000,– EUR verhängt.
Die maßgebliche Verwechslung des Patienten hatte eine falsche Rechnungsstellung zur Folge und offenbarte nach Ansicht der Behörde strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.
Bei der Bemessung des Bußgeldes wurde allerdings bereits mildernd berücksichtigt, dass das Krankenhaus belast‐ bar vorgetragen habe, die Fortentwicklungen und Verbesserungen des Datenschutzmanagements nachhaltig voranzutreiben zu wollen.”

“Geldbuße wegen unterbliebener Benennung eines Datenschutzbeauftragten

Gegen den Telekommunikationsdienstleister Rapidata GmbH wurde ein Bußgeld in Höhe von 10.000 Euro vom Bun‐ desbeauftragten für Datenschutz und Informationsfreiheit (BfDI) verhängt. Der BfDI forderte das Unternehmen mehr‐ fach dazu auf, seiner gesetzlichen Auflage nach Art. 37 DSGVO nachzukommen und einen betrieblichen Daten‐ schutzbeauftragten zu benennen. Die Rapidata GmbH setzte die Vorgaben der Aufsichtsbehörde jedoch nicht um, sodass die Festsetzung eines Bußgeldes von Nöten erschien. Bei der Höhe der Geldbuße wurde laut BfDI berück‐ sichtigt, dass es sich um ein Unternehmen der Kategorie der Kleinunternehmer handelt.”

(T.Edelmann: Ich habe mir die Homepage der Firma angeschaut. Weder im Impressum noch in der DS-Erklärung auf der Homepage ist der DSB bisher benannt. Das sehe ich kritisch und befürchte hier einen weiteren Disput und Sanktionen mit der Aufsichtsbehörde.)

“Immaterieller Schadensersatz wegen Datenschutzverstößen

Tim Wybitul und Dr. Isabelle Brams
ArbG Düsseldorf, Urt. v. 05.03.2020 – 9 Ca 6557/18

Die Gerichtsentscheidung in Kürze
Nach Art. 82 Abs. 1 DSGVO können von Datenschutzverstößen betroffene Personen den Ersatz etwaiger im‐ materieller Schäden verlangen. Die DSGVO trifft allerdings keine konkreten Vorgaben dazu, wie weit der An‐ spruch auszulegen ist. Das Arbeitsgericht Düsseldorf folgte in einer kürzlich veröffentlichten Entscheidung ei‐ nem sehr weitgehenden Ansatz. So sprach das Gericht einem ehemaligen Arbeitnehmer immateriellen Schadensersatz in Höhe von 5.000 Euro wegen einer angeblich verspäteten und unvollständigen Auskunft im Sinne von Art. 15 DSGVO zu. Sollten sich weitere Gerichte an dieser Rechtsprechung orientieren, könnte dies für Unternehmen zu erheblichen finanziellen Risiken führen.

Den vollständigen Artikel finden Sie hier:
2020-10 Immaterieller Schadensersatz wegen Datenschutzverstößen

… Das Arbeitsgericht Düsseldorf folgte in seinem Urteil weitgehend der Argumentation des Klägers, dass die Beklagte den Auskunftsantrag nach Art. 15 DSGVO verspätet und unvollständig beantwortet habe. Die Beklagte habe den Auskunftsantrag des Klägers nicht innerhalb der in Art. 12 Abs. 3 Satz 1 DSGVO geregelten Monatsfrist erfüllt. Zu‐ dem habe die erteilte Auskunft der Beklagten die Zwecke der Datenverarbeitung und die Kategorien der personenbe‐ zogenen Daten nicht hinreichend klar und transparent benannt. Insbesondere entspräche die bloße Bezugnahme auf eine umfangreiche Anlage nicht dem Transparenzgebot der DSGVO. Der Kläger habe dadurch einen immateriellen Schaden erlitten. …”

Meine Empfehlung: Nehmen Sie jede Auskunftsanfrage sehr ernst und achten Sie auf die 4-Wochen-Frist, um eine erste Antwort zu erstellen. Als externer Datenschutzbeauftragter für Ihr Unternehmen beraten und begleiten wir Sie bei der Erstellung und Umsetzung.

Bleiben Sie gut beraten!

Herzliche Grüße

Thorsten Edelmann
(Datenschutzbeauftragter TÜV)

 

 

 

 

 

Kontakt

Kontaktieren Sie uns!

Zum Kontaktformular