Datenschutz­woche

#58

Bundesarbeitsgericht: Arbeitgeber zur Arbeitszeiterfassung verpflichtet

Mit Beschluss vom 13. September 2022 (Az. 1 ABR 22/21) hat das Bundesarbeitsgericht (BAG) entschieden, dass Arbeitgeber nach dem Arbeitsschutzgesetz verpflichtet sind, ein System bereitzustellen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann.

Die Arbeitszeiterfassung ist eine Verarbeitung von personenbezogenen Daten; daher ist die Entscheidung nicht nur aus arbeitsrechtlicher, sondern auch aus datenschutzrechtlicher Sicht von Bedeutung.

Aus der rechtlichen Verpflichtung zur Erfassung der Arbeitszeit folgt die Erlaubnis zur Verarbeitung der hierfür erforderlichen Daten (§ 26 Abs. 1 BDSG). Damit ist allerdings nicht jede Art der Arbeitszeiterfassung datenschutzrechtlich unproblematisch; der Einsatz von biometrischen Zeiterfassungssystemen zum Beispiel ist weiterhin kritisch zu beurteilen. So hatte das LAG Berlin-Brandenburg mit Urteil vom 04.06.2020 (Az. 10 Sa 2130/19) entschieden, dass ein biometrisches Zeiterfassungssystem in aller Regel nicht erforderlich ist, um arbeitsrechtliche Pflichten zu erfüllen. Dieser Maßstab dürfte sich durch die BAG-Entscheidung nicht ändern.

Cyber Resilience Act: Auswirkungen auf den Datenschutz

In der vergangenen Woche hat die EU-Kommission einen Entwurf für eine neue Verordnung zur Cybersicherheit von digitalen Produkten vorgelegt. Der Cyber Resilience Act (CRA) soll für nahezu alle digitalen Produkte im europäischen Binnenmarkt verbindliche Standards für Cybersicherheit festlegen.

Neben dem offenkundigen Ziel, das Cybersicherheitsniveau in Europa und damit die Resilienz bei Cyberangriffen insgesamt zu erhöhen, verfolgt die EU-Kommission auch datenschutzrechtliche Ziele. So soll der CRA den Prinzipien von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) in der Praxis mehr Wirkung zu verleihen.

Auch bei der Standardisierung und der Marktüberwachung rechnet die EU-Kommission mit Synergieeffekten. Nach Art. 41 (5) der geplanten Verordnung sollen die Marktüberwachungsbehörden mit den Datenschutzaufsichtsbehörden kooperieren. Die Datenschutzaufsichtsbehörden sollen zudem das Recht erhalten, die Herstellerdokumentation zu digitalen Produkten einzusehen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Grundsätzlich hält der CRA die Trennung zwischen Marktüberwachungsbehörden und Datenschutzaufsichtsbehörden aber aufrecht.

Datenschutz bei Microsoft: Neuer Vertrag zur Auftragsverarbeitung

In der vergangenen Woche hat Microsoft mit dem Microsoft Products and Services Data Protection Addendum (DPA) einen neuen Auftragsverarbeitungsvertrag veröffentlicht. Die Änderungen betreffen häufig genannte Kritikpunkte beim Datenschutz:

  • Drittlandsübermittlung: Die alten Standardvertragsklauseln wurden vollständig aus dem DPA entfernt. Das erforderliche Transfer Impact Assessment für eine Datenübermittlung von Microsoft Irland an Microsoft USA wurde durchgeführt.
  • Datenverarbeitung zu eigenen Zwecken: Microsoft verarbeitet weiterhin personenbezogene Daten zu eigenen Zwecken. Die neue Klausel stellt die Datenflüsse und Zwecke der Verarbeitung jedoch transparenter dar.
  • Umgang mit Behördenanfragen: Das neue DPA stellt klar, dass Microsoft Anfragen von Behörden zur Offenlegung von Kundendaten nur auf Basis von Art. 23 Abs. 1 DSGVO nachkommt.

Ob und inwieweit das neue DPA die Anforderungen der Datenschutzaufsichtsbehörden erfüllt, bleibt abzuwarten. Die Datenschutzkonferenz wird sich voraussichtlich im Rahmen ihrer 3. Zwischenkonferenz erneut mit dem Thema beschäftigen (vgl. DatenschutzWoche vom 29.09.2022).

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • LG Hagen, Beschluss vom 31.08.2022, Az. 11 C 47/22 (Volltext): Für die Erfüllung des Auskunftsanspruchs ist wesentlich, ob der Erklärung zu entnehmen ist, dass die Auskunft vollständig ist.

Neuigkeiten aus den Aufsichtsbehörden