DatenschutzWoche vom 19 09.2022

Bundesarbeitsgericht: Arbeitgeber zur Arbeitszeiterfassung verpflichtet

Mit Beschluss vom 13. September 2022 (Az. 1 ABR 22/21) hat das Bundesarbeitsgericht (BAG) entschieden, dass Arbeitgeber nach dem Arbeitsschutzgesetz verpflichtet sind, ein System bereitzustellen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann.

Die Arbeitszeiterfassung ist eine Verarbeitung von personenbezogenen Daten; daher ist die Entscheidung nicht nur aus arbeitsrechtlicher, sondern auch aus datenschutzrechtlicher Sicht von Bedeutung.

Aus der rechtlichen Verpflichtung zur Erfassung der Arbeitszeit folgt die Erlaubnis zur Verarbeitung der hierfür erforderlichen Daten (§ 26 Abs. 1 BDSG). Damit ist allerdings nicht jede Art der Arbeitszeiterfassung datenschutzrechtlich unproblematisch; der Einsatz von biometrischen Zeiterfassungssystemen zum Beispiel ist weiterhin kritisch zu beurteilen. So hatte das LAG Berlin-Brandenburg mit Urteil vom 04.06.2020 (Az. 10 Sa 2130/19) entschieden, dass ein biometrisches Zeiterfassungssystem in aller Regel nicht erforderlich ist, um arbeitsrechtliche Pflichten zu erfüllen. Dieser Maßstab dürfte sich durch die BAG-Entscheidung nicht ändern.

Cyber Resilience Act: Auswirkungen auf den Datenschutz

In der vergangenen Woche hat die EU-Kommission einen Entwurf für eine neue Verordnung zur Cybersicherheit von digitalen Produkten vorgelegt. Der Cyber Resilience Act (CRA) soll für nahezu alle digitalen Produkte im europäischen Binnenmarkt verbindliche Standards für Cybersicherheit festlegen.

Neben dem offenkundigen Ziel, das Cybersicherheitsniveau in Europa und damit die Resilienz bei Cyberangriffen insgesamt zu erhöhen, verfolgt die EU-Kommission auch datenschutzrechtliche Ziele. So soll der CRA den Prinzipien von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) in der Praxis mehr Wirkung zu verleihen.

Auch bei der Standardisierung und der Marktüberwachung rechnet die EU-Kommission mit Synergieeffekten. Nach Art. 41 (5) der geplanten Verordnung sollen die Marktüberwachungsbehörden mit den Datenschutzaufsichtsbehörden kooperieren. Die Datenschutzaufsichtsbehörden sollen zudem das Recht erhalten, die Herstellerdokumentation zu digitalen Produkten einzusehen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

Grundsätzlich hält der CRA die Trennung zwischen Marktüberwachungsbehörden und Datenschutzaufsichtsbehörden aber aufrecht.

Datenschutz bei Microsoft: Neuer Vertrag zur Auftragsverarbeitung

In der vergangenen Woche hat Microsoft mit dem Microsoft Products and Services Data Protection Addendum (DPA) einen neuen Auftragsverarbeitungsvertrag veröffentlicht. Die Änderungen betreffen häufig genannte Kritikpunkte beim Datenschutz:

• Drittlandsübermittlung: Die alten Standardvertragsklauseln wurden vollständig aus dem DPA entfernt. Das erforderliche Transfer Impact Assessment für eine Datenübermittlung von Microsoft Irland an Microsoft USA wurde durchgeführt.
• Datenverarbeitung zu eigenen Zwecken: Microsoft verarbeitet weiterhin personenbezogene Daten zu eigenen Zwecken. Die neue Klausel stellt die Datenflüsse und Zwecke der Verarbeitung jedoch transparenter dar.
• Umgang mit Behördenanfragen: Das neue DPA stellt klar, dass Microsoft Anfragen von Behörden zur Offenlegung von Kundendaten nur auf Basis von Art. 23 Abs. 1 DSGVO nachkommt.

Ob und inwieweit das neue DPA die Anforderungen der Datenschutzaufsichtsbehörden erfüllt, bleibt abzuwarten. Die Datenschutzkonferenz wird sich voraussichtlich im Rahmen ihrer 3. Zwischenkonferenz erneut mit dem Thema beschäftigen (vgl. DatenschutzWoche vom 29.09.2022).

Internationale Nachrichten

• Frankreich: Wegen Verstößen gegen den Grundsatz der Datenminimierung und unzureichender IT-Sicherheit hat die französische Datenschutzaufsicht CNIL ein Bußgeld in Höhe von 250.000 Euro gegen das Registerportal INFOGREFFE verhängt.
• Griechenland: Die griechische Datenschutzaufsicht hat ein Bußgeld in Höhe von 10.000 Euro gegen einen Inkassodienstleister verhängt, weil dieser personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet haben soll.
• Europa: Im Zusammenhang mit einer Stellungnahme zum European Police Cooperation Code hat das EDPB mitgeteilt, dass die Benennung und Stellung des Datenschutzbeauftragten in den kommenden Monaten in den Fokus der europäischen Datenschutzaufsichtsbehörden rücken wird. Außerdem soll der Bericht zur ersten koordinierten Prüfung (Datenschutz bei Clouddiensten im öffentlichen Sektor) noch in diesem Jahr fertiggestellt werden.
• Irland: Auf der Webseite des EDPB ist die Entscheidung der irischen Datenschutzaufsicht zum 405 Millionen-Euro-Bußgeld gegen Meta wegen Datenschutzverstößen bei Instagram im Volltext abrufbar.

Aktuelle Gerichtsentscheidungen

• LG Hagen, Beschluss vom 31.08.2022, Az. 11 C 47/22 (Volltext): Für die Erfüllung des Auskunftsanspruchs ist wesentlich, ob der Erklärung zu entnehmen ist, dass die Auskunft vollständig ist.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Berlin: Nach Medienberichten soll Meike Kamp die neue Berliner Beauftragte für Datenschutz und Informationsfreiheit werden. Die Wahl wird voraussichtlich am 06. Oktober stattfinden.
• Datenschutzaufsicht Nordrhein-Westfalen: „LDI NRW akkreditiert erste Überwachungsstelle für Verhaltensregeln“ – Pressemitteilung vom 14.09.2022
• Bundesdatenschutzbeauftragter: „BfDI gibt Empfehlungen für Eltern heraus“ – Pressemitteilung vom 15.09.2022
• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ – 4. Ausgabe des Newsletters