Gilt bei privater Nutzung von E-Mail und Internet am Arbeitsplatz für Arbeitgeber das Fernmeldegeheimnis?

Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 76f

„Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden. Die LDI NRW empfiehlt im Beschäftigtenverhältnis dennoch weiterhin schriftliche Regelungen zur privaten Nutzung von E-Mail und Telefon.“

Nach Ansicht des LDI NRW seien ArbeitgeberInnen nicht mehr an das Fernmeldegeheimnis gebunden, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden. Nach dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) unterlägen sie nicht mehr dem Telekommunikationsrecht und müssten das Fernmeldegeheimnis gegenüber ihren Beschäftigten nicht garantieren. Dies gelte vor allem für Anbieter von öffentlich zugänglichen und geschäftsmäßig angebotenen Telekommunikationsdiensten.

Der LDI NRW schreibt weiter, dass ArbeitgeberInnen früher die Einwilligung der Beschäftigten für den Zugriff auf deren Protokolldaten oder E-Mails benötigt hätten. Mit dem TDDDG gelten nun die Vorschriften der DSGVO, die ein ähnlich hohes Schutzniveau für personenbezogene Daten bietet. Auch nach der DSGVO ist eine Rechtsgrundlage für den Zugriff erforderlich. Die LDI NRW empfiehlt weiterhin schriftliche Regelungen zur privaten Nutzung von Internet und E-Mail, um Fragen des Zugriffs, der Protokollierung und der Kontrolle eindeutig zu klären. Beschäftigte sollten über mögliche Überwachungsmaßnahmen und Sanktionen informiert werden. Obwohl sich die Rechtslage geändert hat, sollten Arbeitgeber*innen weiterhin regeln, ob Internet und E-Mail privat genutzt werden dürfen.

Vgl. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 76f

Fazit:

Wir sind der Ansicht, dass das Fernmeldegeheimnis noch nie für Arbeitgeber gegolten hat. Große Teile der Literatur und auch viele Datenschutz-Aufsichtsbehörden hatten diese Auffassung zwar immer vertreten, die Gerichte sind dem allerdings nie gefolgt. Der Grund für die Gerichte, die Diensteanbieter-Eigenschaft der Arbeitgeber abzulehnen, war immer, dass Arbeitgeber (nur) durch das Zurverfügungstellen von Internet, E-Mail und Telefon nicht automatisch zum Diensteanbieter werden, da weitere Voraussetzungen diesbezüglich fehlten und auch Sinn und Zweck der Vorschrift dieser Auslegung zuwiderlief.

Stand: 17.07.2024

Welche Streitwerte werden bei Scraping-Vorfällen angesetzt?

Aus dem Sachverhalt - Oberlandesgericht Celle: Beschl. v. 10.06.2024, Az.: 5 W 46/24

Der Beschluss des Oberlandesgerichts Celle vom 10. Juni 2024 behandelt die Streitwertfestsetzung einer Klage, bei der Ansprüche aus der DSGVO gegen einen international tätigen Musik-Streaming-Dienst aufgrund eines Cyberangriffs auf Kundendaten geltend gemacht werden.

Der Kläger machte im Rahmen eines Massenverfahrens gegen den Musik-Streaming-Dienst D. Ansprüche aufgrund eines Cyber-/Hackerangriffs geltend. Die Beklagte betreibt einen internationalen Musikstreaming-Dienst, der in über 180 Ländern verfügbar ist und Musik, Hörbücher, Hörspiele sowie Podcasts anbietet. Der Kläger forderte:

Immateriellen Schadensersatz in Höhe von 1.000 Euro

Feststellung der Ersatzpflicht der Beklagten für zukünftige materielle Schäden

Unterlassung weiterer DatenschutzverstößeAuskunft über die gespeicherten Daten

Das Landgericht Lüneburg hatte der Klage nur teilweise stattgegeben und den Streitwert für das erstinstanzliche Verfahren auf 3.500 Euro festgesetzt, was auf folgende Weise verteilt wurde:

1.000 Euro für den Zahlungsantrag, 2.000 Euro für den Unterlassungsantrag, 250 Euro für den Feststellungsantrag, 250 Euro für den Auskunftsantrag.

Die Prozessbevollmächtigten des Klägers erhoben Beschwerde gegen diese Streitwertfestsetzung und forderten eine Erhöhung auf mindestens 6.000 Euro. Sie veranschlagten:

1.000 Euro für den Schadensersatzanspruch, 4.000 Euro für den Unterlassungsanspruch, 500 Euro für den Feststellungsanspruch, 500 Euro für den Auskunftsanspruch.

Aus den Urteilsgründen - Oberlandesgericht Celle: Beschl. v. 10.06.2024, Az.: 5 W 46/24

Der 5. Zivilsenat des OLG Celle wies die Beschwerde zurück und setzte den Streitwert von Amts wegen herab auf 1.900 Euro. Die Aufteilung wurde wie folgt vorgenommen: 1.000 Euro für den Zahlungsantrag, 300 Euro für den Unterlassungsantrag, 300 Euro für den Feststellungsantrag, 300 Euro für den Auskunftsantrag.

Der Senat stellte fest, dass in Massenverfahren wie diesem die Aufnahme von Feststellungs-, Unterlassungs- und Auskunftsanträgen oft hauptsächlich zur Anreicherung des Prozessstoffs erfolgt, ohne dass ein wesentliches eigenes materielles Interesse des Klägers besteht. Der Senat betonte, dass er nicht daran gehindert sei, den Streitwert entgegen dem Ziel der Beschwerde von Amts wegen herabzusetzen. Dies ist im Streitwertrecht grundsätzlich zulässig und üblich. Der Senat verwies auf frühere Entscheidungen, in denen er ähnliche Fälle behandelt hatte (5 U 31/23 und 5 U 77/23). In diesen Verfahren wurden die Klageparteien durch die gleiche Rechtsanwaltskanzlei vertreten, die auch die aktuelle Beschwerdeführerin vertritt, und es handelte sich um massenhaft eingereichte Klagen. Es wurde festgestellt, dass die Kanzlei der Beschwerdeführerin aktiv Kundenakquise im Zusammenhang mit dem Datenschutzvorfall betreibt, was durch Werbung auf ihrer Website und einem YouTube-Video belegt wurde. Dies unterstützte die Annahme eines massenhaften Verfahrens. Der Zahlungsantrag wurde wie üblich mit 1.000 Euro bewertet.

Die restlichen Anträge wurden auf der niedrigsten Wertstufe (jeweils 300 Euro) angesetzt, da der Senat davon ausging, dass kein wesentliches eigenes materielles Interesse des Klägers an diesen Anträgen besteht.

Ergebnis: Das OLG Celle kam zu dem Schluss, dass die Klage Teil eines Massenverfahrens ist, bei dem die zusätzlichen Anträge (Feststellung, Unterlassung und Auskunft) hauptsächlich der Anreicherung des Prozessstoffs dienen und kein wesentliches eigenes materielles Interesse des Klägers besteht. Daher wurde der Streitwert auf insgesamt 1.900 Euro herabgesetzt.

Stand: 17.07.2024

Was gilt es beim Einsatz einer KI zu beachten, wenn Profilbildungen und eine zukünftige Wahrscheinlichkeit in den Handlungen des Betroffenen „berechnet“ werden sollen?

Der Datenschutz bleibt von der KI-Verordnung grundsätzlich unberührt
--> DSGVO, BDSG und TDDDG bleiben anwendbar.

Zusätzlich gibt es (wenn wir nicht in einem Hochrisiko-System unterwegs sind) Transparenzpflichten aus Art. 50 KI-VO. Anbieter von KI-Systemen, die für die Interaktion mit natürlichen Personen bestimmt sind, müssen Mitteilungspflichten einhalten, die die Nutzer darüber informieren, dass sie es mit einem KI-System zu tun haben, es die denn, dies ist aufgrund der Umstände und des Kontexts der Nutzung offensichtlich. Fraglich und für die Daten im Rahmen der Anwendung von KI in Vertriebssystemen von entscheidender Bedeutung bleibt insbesondere, wie und ob eine mittelbare Beteiligung von KI durch Einpflegung/Filterung/Training von erhobenen Kundendaten zum Zwecke der anschließenden Auswertung oder Vermarktung gekennzeichnet und offengelegt werden muss. Handelt es sich um die Verwendung personenbezogener Daten liegt eine Mitteilungspflicht nahe. Auch bei Gesamtanalysen des Kaufverhaltens der Kundengruppen könnte eine Mitteilungspflicht bestehen. Dies ist jedoch noch nicht abschließend geklärt.  Um auf der sicheren Seite zu stehen wäre daher eine Mitteilung an die Nutzer empfehlenswert (vgl. Hero/Ströer: Der Einsatz von KI in Vertriebssystemen, ZVertriebsR 2024,75).

Datenschutzrechtlich:

Die Verarbeitung personenbezogener Daten im Kontext KI lässt sich in zwei Schritte unterteilen:

  1. die Verarbeitung von Trainingsdaten zur Entwicklung der Anwendung und
  2. die Verarbeitung bei der konkreten Nutzung der fertigen Anwendung.

Zu. 1.
Für das Training der KI ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, Art. 6 Abs. 1 lit. f DSGVO. Das wirtschaftliche Interesse eines Herstellers von KI-Anwendungen kann ebenfalls berechtigtes Interesse sein, wenn es um die Weiterverwendung von Daten geht, die von den Nutzern bereitgestellt wurden. Dieses Interesse an der Weiterentwicklung überwiegt oftmals, muss jedoch im Rahmen einer umfassenden Gesamtbetrachtung bewertet werden.

Zu 2.:
Immer Verfremdung von Daten anvisieren (Oberbegriff für Pseudonymisierung und Anonymisierung). Bei der Pseudonymisierung braucht man eine Rechtsgrundlage, bei der Anonymisierung nicht. Zudem sieht das BfDI eine Datenschutzfolgenabschätzung als Regelfall an. Zudem muss die Verfremdung auch Gegenstand der nach Art. 14 DSGVO vorzuhaltenden Datenschutzhinweise sein. Hierbei sind die Zwecke der Verfremdung sowie die Rechtsgrundlagen und die Möglichkeiten für die Aufhebung der Verfremdung zu nennen.

Zudem ist die Verfremdung auch in das Verarbeitungsverzeichnis gem. Art. 30 DSGVO einzutragen.

Stand: 10.07.2024

Abmahnwelle durch AdSimple

Aktuell gibt es eine neue Abmahnwelle. Die AdSimple GmbH, geführt von einem zertifizierten Datenschutzbeauftragten, nutzt ihren Datenschutzgenerator erfolgreich als Geschäftsmodell.

AdSimple fordert von Nutzern, die bestimmte Nutzungsvorgaben zur kostenlosen Nutzung von rechtlichen Texten nicht eingehalten haben (kein Quellenverweis, kein Link, etc.), entweder die Nutzungsrechte für 499,- Euro zu kaufen oder einen Schadensersatz von 499,- Euro zu zahlen.

Ist das rechtmäßig? Besteht dieser Anspruch seitens AdSimple?

AdSimple weist darauf hin, dass der Datenschutztext nur mit Nennung und Verlinkung genutzt werden darf.

Werden diese Bedingungen nicht eingehalten, entfällt das dem Nutzer eingeräumte Nutzungsrecht und AdSimple kann eine Urheberrechtsverletzung geltend machen. Wir halten dieses Vorgehen für rechtmäßig.

Vorgehen beim Erhalt einer Abmahnung:

Prüfen, ob man rechtliche Beratung benötigt oder alleine handeln kann. Immer innerhalb der gesetzten Frist bleiben, falls sie sehr knapp ist, beim Gegner melden und ein paar Tage mehr heraushandeln. Es kann sich manchmal auch lohnen, hinsichtlich des Preises zu verhandeln.

Mehr Infos

Stand: 10.07.2024

Was regelt die KI-Verordnung (AI-Act) und wann bin ich betroffen?

Vortrag von Rechtsanwältin Sabine Sobola zum Thema "Was regelt die KI-Verordnung (AI-Act) und wann bin ich betroffen?" im Rahmen einer Online-Veranstaltung der IHK Regensburg am 04.07.2024. 

Urteil zum Auskunftsanspruch

Urteil des Finanzgericht Berlin-Brandenburg vom 20.03.2024 – Aktenzeichen 16 K 12118/21

Die Beteiligten streiten um Akteneinsicht in Bewertungsakten und -Daten zum Objekt C…-straße, Berlin, um die Grundlagen für die Einkommensbesteuerung, insbesondere Absetzung für Abnutzung (AfA), zu überprüfen.

Im Jahr 2008 erwarb die Firma E… GmbH das Gesamtobjekt C-straße, modernisierte es und schuf 26 Wohneinheiten, die 2010 verkauft wurden. Nach der Insolvenz des Bauträgers erfolgte 2020 eine Außenprüfung bei der F… GmbH, die die Feststellung der Besteuerungsgrundlagen für die erhöhte AfA und andere steuerliche Aspekte für 2010-2020 zum Gegenstand hatte.

Im Prüfungsbericht vom 30. November 2020 wurden Kaufpreisaufteilungen und fehlerhafte Fertigstellungszeitpunkte festgestellt. Mit Bescheid vom 11. Dezember 2020 wurden die Grundlagen für die erhöhte AfA und andere steuerliche Abschreibungen festgelegt. Die Kläger beantragten Akteneinsicht, um die Bewertungsgrundlagen nachvollziehen zu können. Der Beklagte lehnte dies teilweise ab und gewährte nur eingeschränkte Einsicht unter Verweis auf das Steuergeheimnis und den Schutzinteressen Dritter. Die Kläger erhoben Einspruch und beantragten umfassendere Akteneinsicht, die vom Beklagten mit Hinweis auf fehlenden gesetzlichen Anspruch und den hohen Aufwand abgelehnt wurde.

Im weiteren Verfahren forderten die Kläger eine detaillierte Offenlegung der Bewertungsgrundlagen und stützten sich auf Art. 15 DSGVO, was der Beklagte aufgrund des Steuergeheimnisses und des erheblichen Aufwands ablehnte. Die Kläger brachten ihren Anspruch im Klageverfahren weiter vor und argumentierten, dass ohne vollständige Akteneinsicht kein effektiver Rechtsschutz möglich sei. Der Beklagte verwies auf die Unterschiede zwischen Akteneinsichtsrecht und datenschutzrechtlichem Auskunftsrecht und argumentierte gegen einen generellen Anspruch auf Akteneinsicht nach der Abgabenordnung.

Die Klage der Kläger ist teilweise begründet. Laut dem Gericht besteht kein Anspruch auf uneingeschränkte Akteneinsicht durch die Übersendung von Kopien der originalen Akten, weder nach der DSGVO, noch nach der Abgabenordnung oder dem Informationsfreiheitsgesetz (IFG). Jedoch ist der angefochtene Bescheid in Bezug auf die Akteneinsicht im Finanzamt rechtswidrig, und die Kläger haben einen Anspruch auf eine neue Bescheidung bezüglich der Akteneinsicht im Finanzamt (§ 101 Satz 2 FGO).

Die DSGVO gewährt zwar ein Auskunftsrecht über personenbezogene Daten, dieses umfasst jedoch nicht das Recht auf die Übersendung von Kopien der gesamten originalen Akten. Das Auskunftsrecht nach Art. 15 DSGVO bezieht sich auf personenbezogene Daten und nicht auf vollständige Dokumente oder Akten. Es gibt keinen gesetzlichen Anspruch auf Akteneinsicht in der Abgabenordnung, jedoch muss die Finanzbehörde eine ermessensfehlerfreie Entscheidung über Anträge auf Akteneinsicht treffen. Das Finanzamt hat ermessensfehlerhaft entschieden, indem es das Akteneinsichtsrecht der Kläger nicht ausreichend berücksichtigt hat. Die Kläger haben Anspruch auf eine ermessensfehlerfreie Neubescheidung durch das Finanzamt, welche die Akteneinsicht an einer Amtsstelle ermöglicht. Das Finanzamt muss die Akten entweder in der eigenen Behörde oder an ein Gericht im Bezirk der Kläger zur Einsichtnahme bereitstellen. Die Entscheidung betont, dass das Recht auf Auskunft nach der DSGVO und das Akteneinsichtsrecht getrennt zu betrachten sind und unterschiedlichen Zwecken dienen. Außerdem verdeutlicht sie, dass die Finanzbehörden auch bei der Ablehnung von Akteneinsicht ihre Entscheidung sorgfältig und ermessensfehlerfrei begründen müssen.

Stand: 03.07.2024

Welche Strategien gegen Ransomware-Angriffe gibt es?

Mehr Infos zum Thema Maßnahmen und Abwehrstrategien gegen einen Ransomware-Cyberangriffe finden Sie in unserem Blog.

Abwehrstrategien gegen Ransomware-Angriffe

Ransomware ist eine der größten Bedrohungen der Cybersicherheit.

Wann liegt eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vor?

Mehr Informationen zur gemeinsamen Verantwortlichkeit finden Sie in unserem Blog.

Gemeinsame Verantwortlichkeit

Die DSGVO definiert verschiedene Rollen in Bezug auf die Verarbeitung personenbezogener Daten.