|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 03. August 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Steuerberatung und Auftragsverarbeitung
- Neues EuGH-Urteil
- Aktuelles aus dem Datenschutz
|
1. Steuerberatung und Auftragsverarbeitung
Das war bereits im letzten Newsletter Thema und es hat bei einigen Kunden zu Nachfragen geführt. Ich möchte es noch einmal von einer anderen Seite beleuchten: Wie ist es mit dem Datenschutz, wenn man so gar keinen Vertrag mit seinem Steuerbüro für Lohnbuchhaltung hat, indem das Thema Datenschutz irgendwie geregelt ist?
|
Nehmen wir einmal an, der Steuerberater S hat den Kunden A mit dem Mitarbeiter X. Es werden Gehaltsabrechnungen von S im Auftrag für A erstellt. S schickt die Abrechnungen, 100 Mitarbeiter:innen, per Paket an A. Leider passiert bei S jemanden ein Versehen und man vertauscht die Paketlabels, so dass die Gehaltsabrechnungen an eine andere Firma geschickt werden. Schlichtes menschliches Versagen. Die erste Frage, die sich stellt: Muss S jetzt A darüber informieren? Vertraglich geregelt ist das nicht. Wenn S nicht Auftrags-verarbeiter ist, sondern eine eigene verantwortliche Stelle, muss er das auch nicht. S kann nach eigenem Ermessen entscheiden, wie mit der Datenpanne umgegangen wird. Und dann ist die Frage, ob S überhaupt eine Eigenmeldung machen kann, wenn A verantwortliche Stelle für alle Mitarbeiter:innen ist. Denn die Mitarbeiter:innen des A haben kein Vertragsverhältnis mit S.
|
Weiter: Jetzt liest ein Bekannter von Mitarbeiter X, der bei der anderen Firma arbeitet, wo die Abrechnungen versehentlich gelandet sind, dessen Gehaltsabrechnung und kommt in Kenntnis sensibler Informationen, die er dem X und anderen auf einer Grillparty erzählt. Mitarbeiter X sieht seine Datenschutzrechte verletzt und beschwert sich bei seiner Firma A, die bis zu dem Zeitpunkt gar nichts von dem Vorfall wusste. Firma A ist aber für X verantwortliche Stelle und nicht S. Fragestellungen:
|
- Muss A jetzt eine Datenpanne an die Aufsichtsbehörde melden oder S?
- Wenn S meldet, dann ist die 72 Stundenfrist abgelaufen und es gibt in jedem Fall ein Bußgeld für S.
- Wenn X sich an die Aufsichtsbehörde wendet oder Firma A meldet, dann ist A in jedem Fall verantwortlich, und nicht S, obwohl S der Fehler passiert ist. Kann A dann S in Regress nehmen?
- Wenn A der Aufsichtsbehörde mitteilt, dass S verantwortlich ist: Bekommt S dann ein Bußgeld wegen Überschreiten der 72 Stunden Meldepflicht oder arbeitet man sich an A ab, weil dieser ja keinen Regelung mit S nachweisen kann und für X die verantwortliche Stelle ist?
- Und wenn die Aufsichtsbehörde fragt, ob die Mitarbeiter:in von S, der der Fehler unterlaufen ist, auf den Datenschutz verpflichtet und regelmäßig geschult war, was S dann verneinen muss: Geht dann das Bußgeld, kommt es dazu, an A oder an S? Theoretisch geht es an A, denn A ist die verantwortliche Stelle und hat keinen Vertrag mit S.
Wie man sieht ist dieses alles für beide Seiten, die Steuerbüros und die Firmen, höchst unbefriedigend. Es ist daher gut, AV-Vertrag hin oder her, wenn man die wesentlichen Punkte zum Datenschutz regelt und beide Seiten dann auch wissen, wie man, im Falle des Falles, mit Datenpannen umgeht. Und dass man im Falles des Falles den Aufsichtsbehörden Regelungen nachweisen kann oder die gegenseitige Haftung klar ist. Auf den Punkt gebracht: Es sollte vereinbart werden, dass, im Falle einer Datenpanne, das Steuerbüro die verantwortliche Stelle umgehend informiert, und wer dann die Verantwortung für die Meldung und weiteres hat.
|
2. Neues EuGH Urteil
Mit dem Urteil C-252/21 vom 4.7.2023 hat der EuGH einige vorgelegte Fragen zu einem Verfahren gegen den META Konzern beantwortet, welche Grundsatzbedeutung haben. Bei Randnote 178 auf Seite 12 des Urteils kommt man dann auch zu der ersten von insgesamt sieben Fragen, die behandelt werden. Diese Urteile des EuGH haben immer einen gewissen Charm.
|
In der ersten Frage geht es darum, ob auch eine Wettbewerbsbehörde, also das Kartellamt, ein Verfahren eröffnen und führen kann, wenn Nutzungsbedingungen oder AGBs gegen datenschutzrechtliche Vorschriften verstoßen und dabei eine Marktverhaltensregel verletzen, oder dürfen Datenschutzverstöße nur durch die Datenschutzaufsichtsbehörden untersucht und geahndet werden. Das EuGH bejaht, dass auch Wettbewerbsbehörden datenschutz-rechtliche Verstöße verfolgen dürfen, wenn dadurch das Wettbewerbsrecht berührt ist. Aber sie müssen dieses in Zusammenarbeit mit den Aufsichtsbehörden für den Datenschutz machen.
|
In der Frage Zwei geht es um den Art. 9 der DS-GVO und besonders schutzwürdige Daten. Und da wird es jetzt interessant. Wenn Nutzer:innen einer Socialmedia Plattform personen-bezogene Daten dort preisgeben, von sich oder auch von anderen dritten Personen, und nur ein Datum davon ist sensibel, dann ist der ganze Datensatz der Nutzer:innen als unter Art. 9 DS-GVO fallend zu betrachten. Und die Verarbeitung ist dann grundsätzlich erst einmal verboten. Im weiteren geht es dann darum, unter welchen Umständen die Verarbeitung erlaubt sein könnte. Hier sieht der EuGH zuerst immer die Einwilligung als Rechtsgrundlage und erst hiernach, fehlt diese, ist zu prüfen ob andere Rechtsgrundlagen, sprich Art. 9 Abs. 2 lit. b) bis j) DS-GVO anzuwenden sein könnten. Und die Argumentation die Daten im Sinne von Art. 9 Abs. 2 lit. e) DS-GVO offensichtlich öffentlich gemacht zu haben, greift nur dann, wenn von den Nutzer:innen ausdrücklich zum Ausdruck gebracht wurde, dass man sensible Daten einer unbegrenzten Zahl von Personen zugänglich machen wollte. Dieses ist nicht allein damit schon zum Ausdruck gebracht, wenn man zum Beispiel Informationen auf seiner Facebookseite postet. Diese Entscheidung, die in einigen Aspekten meiner Meinung nach wirklichkeitsfremd ist, stellt jetzt viele Fragen zu Online-Foren und Scoialmedia.
|
Im weiterem geht es um die Rechtmäßigkeit einer Datenverarbeitung nach Art. 6 DS-GVO. Auch hier favorisiert der EuGH die Einwilligung. Liegt diese nicht vor, sind die Voraussetzungen nach Art. 6 Abs. 1 lit. b) bis f) zu prüfen, wobei diese immer eng auszulegen sind. Insbesondere geht es dann um das berechtigte Interesse. Dabei verweist das Gericht auf ein früheres Urteil, was ich hier noch einmal zitiere: "Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (Urteil vom 17. Juni 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, Rn. 106 und die dort angeführte Rechtsprechung)." Das ist alles nicht neu, aber mir persönlich kommt hierbei die unternehmerische Freiheit regelmäßig zu kurz. Die Gewichtung der Interessenabwägung geht derzeit sehr deutlich in die Richtung, die Rechte und Freiheiten der zu schützenden Personen sehr sehr hoch anzusetzen. Im Gegenzug die Interessen von Unternehmen sehr gering zu werten. Hier tue ich mich wirklich etwas schwer und würde in manchen Einzelfällen auch andere Abwägungen für möglich erachten.
|
3. Aktuelles aus dem Datenschutz
Aus aktuellem Anlass weise ich mal wieder drauf hin, das bei Pflichtverletzungen in Unternehmen, nicht nur was den Datenschutz angeht, sondern auch auf anderen Compliance-Feldern, am Ende jemand die Haftung übernehmen muss. Und hier gibt es persönliche Haftungsrisiken für Geschäftsführungen und leitende Angestellte. Es ist also gut, wenn diese entsprechend versichert sind bzw. durch das Unternehmen versichert werden.
|
Dann gibt es ein neues Gesetz. Neue Gesetze sind immer toll. In diesem Fall ist es das PUEG, das Pflegeunterstützungs- und Entlastungsgesetz. Warum erzähle ich das beim Thema Datenschutz? Für Arbeitgeber ändert sich folgendes: Gemäß § 55 Abs. 3 S. 6 SGB XI-E ist für die Inanspruchnahme von Pflegeunterstützungsgeld (dieses kann pro Jahr bis zu 10 Tagen von Beschäftigten in Anspruch genommen werden) die Elterneigenschaft (eigeschlossen Stief- und Pflegeeltern) sowie die Anzahl der Kinder unter 25 Jahren gegenüber der beitragsabführenden Stelle nachzuweisen (in der Regel die Pflegekasse). Dafür ist die Verarbeitung von z.B. Geburtsurkunden, Vaterschaftsanerkennungen, Abstammungsurkunden, Bestätigungen des Pflegekindschaftsverhältnisses durch die zuständige Behörde, Adoptionsurkunden etc. notwendig. Dieses ist dann auch auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. c) und Art 9 Abs. 2 lit. g) erlaubt. Es handelt sich aber um sensible personenbezogene Daten, so dass diese nur unter einem hohen Schutzniveau gespeichert und verarbeitet werden dürfen. Ich werde das bei nächster Aktualisierung in den Datenschutzinformationen für Mitarbeiter:innen einarbeiten. Eine Notwendigkeit über diese neue Datenverarbeitung explizit zu informieren, sehe ich nicht. Wird Pflegeunterstützungs-geld in Anspruch genommen, werden die betroffenen Personen, im Laufe des dann dafür notwendigen organisatorischen Prozesses, eh Kenntnis über diese Datenverarbeitung erhalten.
|
Das neue EU-U.S. Data Privacy Framework, so heißt es jetzt offiziell, ist als Angemessen-heitsbeschluss in Kraft getreten. Der Datenaustausch mit den USA hat also wieder eine vereinfachte Rechtsgrundlage, was in der Praxis allerdings wenig ändert. Es erlaubt nicht mehr und auch nicht weniger, als unter dem seinerzeitigen EU-US Privacy Shield Abkommen. Mit Inkrafttreten hat der Liebe Herr Schrems nun die Möglichkeit seine angekündigte Klage in die Wege zu leiten. In einigen Jahren sehen wir dann ein Schrems-III Urteil des EuGH und durchleben die ganze Thematik erneut.
|
In der Schweiz tritt ein neues Datenschutzrecht ab dem 01.09. in Kraft. Es ist dabei kein Schweizer Käse mit vielen Löchern geworden. Allerdings hat die Schweiz damit dann auch das "Marktort-Prinzip" eingeführt. In einfachen Worten: Alles, wo ein Schweizer datenschutzmäßig drin verwickelt ist oder die Schweiz irgendwie betroffen ist, egal, wo in der Welt es passiert, fällt dann auch unter das schweizerische Datenschutzrecht. Wer also mit Schweizern oder der Schweiz arbeitet, wird dieses Recht einhalten müssen. Mit der EU ist es ebenso, auch bei uns gilt das "Marktort-Prinzip". Dieses Prinzip gilt übrigens auch für Philippiner und die Philippinen sowie für China. Tja, demnächst darf man für jede dritte Nationalität eigene Compliance-Regeln berücksichtigen. Was absolut außergewöhnliches steht ansonsten aber nicht im neuen Schweizer Datenschutzgesetz. Wer also mit der DS-GVO gut aufgestellt ist und mit der Schweiz arbeitet, der kann das erstmal etwas gelassen sehen.
|
Meta hat jetzt auch eine künstliche Intelligenz herausgebracht. Diese heißt "LLaMA2". Der Name klingt ungefähr so, wie der verzweifelte Versuch auf dem Gebiet nachzuziehen, umgesetzt wird. Wie gut diese KI funktioniert, kann gerne jeder selbst testen. Ich weise erneut daraufhin, dass, wenn Sie künstliche Intelligenz zur Verarbeitung personenbezogener Daten in Unternehmen nutzen, die Regeln des Datenschutzes hierfür eingehalten werden müssen.
|
Bei den Sicherheitswarnungen, weiß ich ehrlich gesagt gar nicht, ob man es noch detaillierter Ausführen muss oder wo man anfängt: Das LKA Niedersachsen warnt vor Phishing und Abofallen per E-Mail. Der Verbraucherschutz NRW warnt vor Krypto-Betrug. Die EU-Agentur für Cybersicherheit (ENISA) warnt vor steigenden Bedrohungen im Gesundheitswesen. Das BKA, bzw. deren Präsident, warnt vor zunehmenden Cyber-Angriffen gegen Hochschulen. Tja, und wenn man auf eine Betrugsmasche reinfällt, wird es teuer. So dieser Fall: Das sächsische Gesundheits- und Sozialministerium hat Cyber-Kriminellen EUR 225.000 wegen einer Phishing E-Mail überwiesen. In der Mail stand, dass sich ein Abrechnungskonto für die Bestellung von Schutzzäunen gegen die Afrikanische Schweinepest geändert hat. Ohne diese Information zu prüfen, überwies man dann auf das neue Konto. Nachzulesen bei Heise-Online. Ich kommentiere den Fall nicht.
|
|
Man könnte in der Tat, wie immer, ewig mit Vorfällen weitermachen. Die Saarland-Versicherung wurde angegriffen. Auch die Provinzial und die Bayern-Versicherung wurden angegriffen. Microsoft meldete einen Hackerangriff aus China auf Regierungsbehörden. Eine neue Mehrstufige Phishing-Bedrohung, genannt "Letscall", greift Android-Geräte über Google-Konten an. im Letzten Patchday hat Microsoft 130 Sicherheitslücken, darunter 121 kritische, geschlossen. Alle anderen Internet-Unternehmen haben ähnliches getan. Es wurde auch Malware in 133 Windows-Treibern gefunden, Microsoft kümmert sich darum. ARM-Grafiktreiber haben auch eine Sicherheitslücke, genauso die ArubaOS Firmware. Das ganze geht natürlich auch bei Linux, das eine schwere Schwachstelle im TCP Protokoll hat. Also, es ist alles wie immer. Gehen Sie immer davon aus, dass nichts wirklich sicher ist.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Themen für den nächsten Newsletter habe ich mir noch nicht überlegt, aber es wird sicher bis dahin wieder viel im Datenschutz passieren.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
