Liebe Kunden und Geschäftspartner,

frohe Weihnachten und ein gutes neues Jahr!

Wir wünschen Ihnen und Ihren Familien eine besinnliche und friedliche Weihnachtszeit.

Lassen Sie sich von der warmen Atmosphäre des Weihnachtsfestes verzaubern und genießen Sie die Zeit mit Ihren Liebsten.

Wir bedanken uns für Ihr Vertrauen und die gute Zusammenarbeit im vergangenen Jahr.

Wir freuen uns, auch im neuen Jahr an Ihrer Seite zu sein und Sie bei Ihren Datenschutzfragen zu unterstützen.

Bleiben Sie gesund und munter!

Ihr Team der EDV-Beratung Dölle

Liebe Kundinnen und Kunden,

am 07.11. und 08.11 ziehen wir um und sind über unsere alten Telefonnummer nicht mehr erreichbar.

Die neue Nummer lautet:  02151 93 52 739

An beiden Tage haben wir umzugsbedingt allerdings nur eine schlechte Erreichbarkeit.

Vielen Dank für Ihr Verständnis

Immer wieder kommt es zu Anfragen zum Thema Cookies und DSGVO. Teilweise durch übermotivierte Datenschutzbeauftragte, teilweise auch durch die Berichterstattung. Im folgenden sind die wichtigsten Punkte zusammengefasst:

EuGH Rechtsprechung

Explizit wird das Thema Cookies in der DSGVO nicht genannt. Die Verordnung trifft keine Regelung zum Thema Cookie-Hinweis und -Datenschutz. Der EuGH hat das Thema zuletzt am 1. Oktober 2019 behandelt. In seiner Entscheidung urteilte er, dass, sofern das Cookie nicht unbedingt erforderlich ist, eine ausdrückliche Cookie-Einwilligung seitens der Webseiten-Betreiber eingeholt werden muss.

Was ist zu beachten?

Gemäß der DSGVO können personenbezogene Daten neben dem Einverständnis auch zum Zwecke der Direktwerbung auf der Rechtsgrundlage des "berechtigten Interesses" verarbeitet werden. Die Abwägung im Einzelfall muss sich ausserdem am Grundsatz der Datensparsamkeit ausrichten. Daten dürfen daher nur erhoben werden, wenn sie zur Erreichung eines bestimmten Zweckes notwendig sind.

Bei der Benutzung von Tracking und / oder Targeting Cookies (z.B. für Reichweitenanalyse oder ähnliches) ist nach Ansicht der deutschen Aufsichtsbehörden regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich.

Neben dem sog. Cookie Banner, welches explizit zur Einwilligung benutzt wird muss auch in der Datenschutzerklärung auf der Webseite eine Erklärung erfolgen. Hierbei ist es seht wichtig, dass sowohl im Cookie Consent Tool als auch in der Datenschutzerklärung sehr ausführlich beschrieben wird, welche Daten zu welchem Zweck erhoben werden.

Ganz wichtig ist der Punkt, dass vor der Zustimmung noch KEINE Daten erhoben werden dürfen (Ausnahme sind die unbedingt erforderlichen Cookies).

Zusammenfassung

• Nicht für alle Cookies wird eine Einwilligung benötigt.
  Session-Cookies, Cookies für Logins oder Warenkörbe, die keine personenbezogene Daten weitergeben (technisch notwendige Cookies), sind vom berechtigten Interesse abgedeckt.
• Tracking und Werbe-Cookies, vor allem von Drittanbietern benötigen eine Einwilligung
  Das sind vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen.

• keine verfänglichen Gespräche in der Öffentlichkeit 

• Auskünfte am Telefon erst erteilen, wenn das Gegenüber identifiziert und berechtigt ist 

• Wenn Faxe gesendet werden, die Zielnummer prüfen 

• kein Schriftgut in öffentlichen Bereichen liegen lassen 

• Schriftverkehr und wichtige Dokumente gehören nachts unter Verschluss 

• keine Weitergabe von Passwörtern an andere Personen

• private von dienstlichen Passwörtern trennen 

• keine Weitergabe von Schlüsseln, für die Sie verantwortlich sind 

• keine Schriftstücke, Akten oder Computer sichtbar im Fahrzeug liegen lassen 

• das „clean desk“ Prinzip ist zu beherzigen 

• Sobald man den Schreibtisch verlässt, ist der Bildschirm (Computer) zu sperren!

Das Bundesarbeitsgericht (BAG) hat am 06.06.2023 entschieden, dass ein Betriebsrats-Vorsitzender nicht gleichzeitig auch Datenschutzbeauftragter (DSB) sein darf (BAG, Urteil vom 06.06.2023, Az.: 9 AZR 383/19). Das BAG hat die Frage vor seiner Entscheidung dem EuGH vorgelegt und der hat sich zu diesem Thema auch klar geäußert.

Begründung

Laut EuGH kann eine Person in einem Unternehmen nicht gleichzeitig DSB sein und über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dann wäre eine wirksamer Datenschutzkontrolle durch den DSB nicht mehr möglich, er würde sich ja selber kontrollieren.

Das BAG hat in seiner Begründung festgestellt, dass zumindest der Betriebsrats-vorsitzende im Zusammenhang mit seiner Funktion im Betriebsrat über Zwecke und Mittel der Datenverarbeitung entscheidet. Somit ist diese Funktion (DSB) nicht mit der Funktion des Betriebsratsvorsitzenden vereinbar und eine Benennung kann daher widerrufen werden.

Welche Auswirkungen hat dieses Urteil?

Alle Unternehmen, bei denen die leitenden Personen der Mitbestimmungsorgane (Betriebs- oder Personalrat) auch gleichzeitig als DSB berufen sind, sollten diese Person dringend abberufen. In diesen Fällen besteht laut dem Gericht KEINE erforderliche Voraussetzung.

Auch wenn das BAG die Frage, ob ein normales Betriebsratsmitglied DSB sein darf bewusst offen gelassen hat, ist unsere Auffassung, dass dieser Zustand auf Dauer auch keinen Bestand haben wird. Deshalb meine Empfehlung, diese Funktionen alsbald zu trennen.

Wer darf noch kein DSB sein?

Durch den job-bedingten Interessenskonflikt scheiden folgende Personengruppen per Definition von vorne herein aus: 

• Geschäftsführer
• Vorstände
• IT-Administratoren
• Prokuristen 
• sowie Anwälte des Unternehmens

Die o.g. Personen handeln in eigenem Interesse für das Unternehmen. Der DSB sollte hingegen frei von Interessenskonflikten und unabhängig sein, um das Ergebnis datenschutzrechtlicher Vorfälle nicht zu „verfälschen“ und somit nicht sich selbst zu kontrollieren.

Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b-f DSGVO. Hiernach dürfen personenbezogene Daten zu folgenden Zwecken verarbeitet werden

• zur Erfüllung vertraglicher- und vorvertraglicher Pflichten ( Art. 6 Abs. 1 lit. b DSGVO),
• zur Erfüllung rechtlicher Pflichten ( Art. 6 Abs. 1 lit. c DSGVO),
• zum Schutz lebenswichtiger Interessen ( Art. 6 Abs. 1 lit. d DSGVO),
• zur Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher Gewalt ( Art. 6

  Abs. 1 lit. e DSGVO) sowie

• zur Wahrung berechtigter Interessen ( Art. 6 Abs. 1 lit. f DSGVO).

Zur Rechtfertigung der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO muss der Verantwortliche prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt also insbesondere aus der vertraglichen Leistungsbestimmung.

Die Verarbeitung im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO erfordert, dass diese erforderlich ist und keine berechtigten Interessen der betroffenen Personen entgegenstehen. Bei dieser Interessenabwägung sind Interessen, Grundrechte und Grundfreiheiten der Betroffenen zu berücksichtigen. In Art. 6 Abs. 1 lit. f DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind.

Aus Art. 6 Abs. 1 lit. f DSGVO und dem Erwägungsgrund 47 ergeben sich die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen. Soweit daher z.B. eine gewachsene Kundenbeziehung zwischen Verantwortlichem und Betroffenen besteht, sind allgemein übliche Datenverarbeitungen leichter zu rechtfertigen. Auch nach der neuen Rechtslage wird es aber auf eine Prüfung und Bewertung des konkreten Verarbeitungszusammenhangs im Einzelfall ankommen.