Kontakt

Kontaktieren Sie uns!

Zum Kontaktformular

+ 49 3578 7837 197 mail@edelmann-co.de

Fotos von Beschäftigen

Ein häufiges Thema in Unternehmen ist die Abbildung von Mitarbeitern in Infomaterial, Werbematerial, auf Internetpräsenzen oder bei der Berichterstattung. Die Bremer Behörde stuft diese Verarbeitungen als „hochproblematisch“ ein. So sei dies nur dann erlaubt, wenn eine wirksame Einwilligung vorliege, die nur gegeben sein könne, wenn eindeutig dargelegt und klar begrenzt sei, welche Nutzung von welchem Bildmaterial dem Arbeitgeber zu welchem Zweck gestattet ist. Zudem müsse der Arbeitgeber belegen können, dass Beschäftigten, die keine Einwilligung erteilen, keine Nachteile drohen und dies den Beschäftigten deutlich gemacht wurde.
Wesentliche Herausforderung in diesem Bereich stellt insoweit die jederzeitige Widerruflichkeit der Einwilligung (Art. 7 Abs. 3 DSGVO) dar. Infolge der Ausübung des Widerrufsrechts können Unternehmen dazu gezwungen sein, einmal erstellte Materialien nicht weiterzugeben bzw. deren Veröffentlichung zu unterbinden.

Datenschutzverletzungen („Data Breaches“)

Frist für die Meldung nach Art. 33 DSGVO

Im Falle einer Datenschutzverletzung, die voraussichtlich zu einem Risiko für Rechte und Freiheiten betroffener Personen führt, sieht Art. 33 Abs. 1 DSGVO eine Frist von 72 Stunden zur Meldung dieser Datenschutzverletzung an die Aufsichtsbehörde vor, welche mit Kenntnis des Verantwortlichen von der Datenschutzverletzung beginnt. Das Unabhängige Datenschutzzentrum Saarland geht davon aus, dass die Zurechnung der Kenntnis nach allgemeinen zivilrechtlichen Grundsätzen erfolgt. Danach ist der verantwortlichen Stelle die Kenntnis desjenigen Mitarbeiters zuzurechnen, der nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung erwartet werden kann.

Interessant ist jedoch die Ansicht der saarländischen Aufsicht zu der Frage, wie lang diese 72 Stunden dauern können. Die Berechnung der Frist bestimmt sich – jedenfalls soweit der in der datenschutzrechtlichen Literatur ganz überwiegend vertretenen Meinung gefolgt wird – nach der europäischen Fristenverordnung (Verordnung Nr. 1182/71). Nach Art. 3 Abs. 3 und Abs. 5 der Fristenverordnung umfassen Fristen zwar auch Samstage, Sonn- und Feiertage; allerdings hat jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage zu umfassen. Nach Ansicht der Aufsicht gelte diese Vorschrift nicht, sodass eine Fristverlängerung aufgrund von Samstagen sowie Sonn- und Feiertagen ausgeschlossen sei. Erhält beispielsweise ein Angestellter am Karfreitag von einer meldepflichtigen Datenschutzverletzung Kenntnis, würde die Frist am Ostermontag enden – selbst, wenn dabei kein einziger Arbeitstag verstreicht.

Die zusätzliche Zeit kann bei der Meldung eines Data Breaches einen entscheidenden (bußgeldrelevanten) Unterschied machen. In der Praxis würde die Auffassung der Aufsicht bedeuten, dass Unternehmen über Wochenenden und Feiertage eine Art Bereitschaftsdienst für etwaige Datenschutzverletzungen unterhalten müssten und/oder zur Aufklärung und Meldung nur auf eingeschränkte Ressourcen zurückgreifen können. Mit der Rechtslage gemäß Fristenverordnung erscheint diese Ansicht aber nur schwer vereinbar.

Berliner Abgeordnetenhaus veröffentlicht Hintergründe zum Rekordbußgeld in Höhe von 14,5 Mio. € gegen die Deutsche Wohnen SE

Das Berliner Abgeordnetenhaus hat ein Sitzungsprotokoll des Ausschusses für Kommunikationstechnologie und Datenschutz vom 9. Dezember 2019 mit Erläuterungen zu dem durch die Berliner Aufsichtsbehörde verhängten Rekordbußgeld gegen die Deutsche Wohnen SE in Höhe von 14,5 Mio. € veröffentlicht. Negativ fiel in dem Fall insbesondere auf, dass das System der Deutsche Wohnen SE eine Trennung nach Zwecken der Datenverarbeitungen ermöglicht, diese aber nicht genutzt wurde. Zudem war ein Löschkonzept in dem Unternehmen nicht vorhanden.
CP

* die Artikel wurden dem Heft DATENSCHUTZ-BERATER 04/2020 entnommen. www.datenschutz-berater.de