ZAP 23/2020, Sichere Kommunikation in Krisenzeiten per A ... / 1. Datenschutzrecht

Beim Datenschutzrecht geht es im Kern um den Schutz von personenbezogenen Daten von natürlichen Personen, reine Unternehmensdaten bleiben außen vor. Vorrangig zu beachtende Regelwerke sind die DSGVO sowie das BDSG. Gemäß Art. 4 Nr. 1 DSGVO sind "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person" oder "Betroffener") beziehen. Dieser Begriff ist sehr weitgehend zu verstehen, nur Statistik- oder Maschinendaten sind davon ausgenommen. Typische Kategorien von Daten mit Personenbezug sind beispielsweise:

• Persönliche Daten (Name, Anschrift, Geburtsdatum etc.),
• Kontaktdaten (Telefonnummer, Faxnummer, E-Mail etc.),
• Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.),
• allgemeine äußere Merkmale (Größe, Gewicht, Haar-/ Augenfarbe etc.),
• Biometrische Daten (Fingerabdruck, DNA-Probe etc.),
• Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.),
• (digitale) Aufnahmen mit erkennbarer Darstellung von Personen,
• Kfz-Kennzeichen oder auch
• IP-Adressen (die "Anschrift" von EDV-Hardware im Netzwerk).

Wie sich exemplarisch am Kfz-Kennzeichen erkennen lässt, reicht die Herstellung eines Personenbezugs mit Hilfe von Dritten – in diesem Fall der Zulassungsbehörde – aus. Im Zweifel sollte also stets davon ausgegangen werden, dass personenbezogene Daten verarbeitet werden. Der Begriff der "Verarbeitung" i.S.v. Art. 4 Nr. 2 DSGVO ist ebenfalls sehr weitreichend, so dass im Grunde jede Einzeltätigkeit, von der Erhebung über das Speichern bis hin zum Löschen, dazu zählt.

Nach Art. 4 Nr. 7 DSGVO ist "Verantwortlicher" (oder auch "verantwortliche Stelle") die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei Einzelanwälten ohne Angestellte sind diese selbst verantwortlich i.S.d. Datenschutzrechts. Im Falle von Kanzleien mit mehreren Anwälten bzw. Angestellten ist die Kanzlei als juristische Person datenschutzrechtlich verantwortlich. Für die Datenverarbeitung durch Beschäftigte ist und bleibt deren Arbeitgeber in der Verantwortung, auch wenn die Arbeitsleistung per mobiler oder Telearbeit erbracht wird.

Das Datenschutzrecht ist als Verbot mit Erlaubnisvorbehalt ausgestaltet, so dass jegliche Verarbeitung von Daten mit Personenbezug untersagt ist, es sei denn, sie ist ausnahmsweise erlaubt. Es lassen sich die folgenden drei Kategorien von Erlaubnistatbeständen unterscheiden:

1. Gesetzliche Ausnahmevorschriften (insb. Art. 6 Abs. 1 S. 1 lit. b-e) DSGVO, § 26 BDSG)
2. Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a) DSGVO)
3. Überwiegende berechtigte Interessen der verantwortlichen Stelle (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)

Die Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO wird in der Praxis häufig als Rechtsgrundlage für die Datenverarbeitung genutzt. Hier gilt es allerdings, die durchgeführte Abwägung mit Bedacht zu treffen, sie sauber zu dokumentieren und diese ggf. auch gegen andere Auffassungen einer Datenschutzaufsichtsbehörde und/oder eines Gerichts zu verteidigen.

Die Einwilligung i.S.v. Art. 6 Abs. 1 S. 1 lit. a) DSGVO klingt zwar erst einmal gut, kann sich in der Praxis aber als "störrisch" erweisen. Denn zum einen sind die Anforderungen an eine rechtskonforme Einwilligung sehr hoch, insb. aufgrund des Merkmals der Freiwilligkeit bei der Verarbeitung von Beschäftigtendaten. Und zum anderen kann eine Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden (Art. 7 Abs. 3 S. 1 DSGVO), worauf bereits bei Einholung der Einwilligung hinzuweisen ist (Art. 7 Abs. 3 S. 3 DSGVO).

Ideal ist daher das Vorliegen eines gesetzlichen Ausnahmetatbestands nach Art. 6 Abs. 1 S. 1 lit. b-e) DSGVO bzw. nach § 26 BDSG in Bezug auf Beschäftigtendaten.

Die Frage, welche Rechtsgrundlage nun i.R.v. Video-Konferenzen oder ganz allgemein bei digitaler Kommunikation einschlägig ist, kann leider nicht pauschal beantwortet werden. Es kommt dabei stets auf den konkreten Verarbeitungszweck sowie den Kontext (Beschäftigungsverhältnis ja oder nein?) an. Fakt ist aber, dass bereits die Übermittlung von Foto- oder Videoaufnahmen einer Person, z.B. via Webcam aus dem Homeoffice, eine Verarbeitung von personenbezogenen Daten darstellt; gleiches gilt für die Übertragung von Audiodaten, also Sprache. Im Falle von Beschäftigten dürfen deren personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG). In Zeiten von Corona oder ähnlichen "Zwangslagen", in denen die persönliche Anwesenheit bei Besprechungen nicht möglich oder zu gefährlich ist, dürfte die Bejahung der Erforderlichkeit i.d.S. regelmäßig kein Problem darstellen. Im Zweifelsfall kommt hierfür auch noch die Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO in Betracht. Diese kann gleichsam im Hinblick auf die Besprechung ...