ZAP-2019-21

Weitere Magazine

Empfehlungen

Info

Fach 19, Seite 940 Datenschutz: Kommunalebene Verfassungsrecht/Verwaltungsrecht • Eine weitere Gruppe stellen die „biometrischen Daten zur eindeutigen Identifizierung“ dar. Nach Art. 4 Nr. 14 DSGVO sind biometrische Daten mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen. Beispiele: Gesichtsbilder, Aufnahmen von Smartphones, Dash-Cams und Body-Cams, Videokameras. Demgegenüber fällt die bloße Verarbeitung von Lichtbildern grds. nicht darunter, da hier keine biometrischen Daten verarbeitet werden. Praxistipp: Werden Zugangskontrollen zur Arbeitsstätte durch die Nutzung biometrischer Daten durchgeführt, z.B. durch einen Fingerabdruckscanner am Eingang, so ist die Erforderlichkeit als Ausdruck des Verhältnismäßigkeitsgrundsatzes ebenso zu prüfen wie regelmäßig die Einwilligung des Mitarbeiters einzuholen. Denn ohne Einwilligung dürfte auf die entsprechende Technik auf Zugangskarten oder Karten mit Magnetstreifen nicht einfach zurückgegriffen werden. • Eine weitere, wichtige Gruppe sensibler Daten sind dann auch noch diejenigen über die Gesundheit. Gesundheitsdaten beziehen sich auf die körperliche oder geistige Gesundheit einer Person einschließlich der Erbringung von Gesundheitsdienstleistungen, aus den Information über den Gesundheitszustand hervor gehen (Art. 14 Nr. 15 DSGVO). Beispiele: Gewicht, Größe, Befunddaten, Röntgenbilder, Blutgruppe, Unfälle, Impfungen, medizinische Bewertungen (z.B. Einstufung als Schwerbehinderter), Alkohol, Drogen oder auch die Einnahme von Medikamenten. • Zu guter Letzt sind noch die Daten über „Sexualleben und sexueller Ausrichtung“ im besonderen Maße als Teil der sensiblen Daten geschützt. Hierunter fällt die Wahl der Sexualpartner inkl. bestimmter Vorlieben. Zur sexuellen Orientierung gehören die Zuordnungen zum jeweiligen Geschlecht, aber auch alle anderen Formen der sexuellen Orientierung. Diese Informationen sind beispielsweise bei Dating-Apps von Relevanz; so lassen diese sich teilweise vom Nutzer das Recht einräumen etwa Likes bei Facebook oder Bilder von Instagram auswerten zu dürfen. Auch der kommunale Arbeitgeber hat sicherzustellen, dass er nur solche besonders sensiblen Daten erhält, die auf einer gesetzlichen Grundlage beruhen. Umso wichtiger ist es, dass Daten derartiger Natur nur von demjenigen erhoben und verarbeitet werden, der auch sicherstellen kann, dass keine unbefugten Dritten über diese verfügen können. Praxistipp: Der Arbeitnehmer kann vom Arbeitgeber im Wege des Auskunftsanspruchs nach Art. 15 DSGVO Informationen dahingehend verlangen, welche Daten und hierbei insbesondere welche sensiblen Daten der Arbeitgeber tatsächlich erhalten und verarbeitet hat. Dazu gehört auch die Angabe, aus welcher Quelle diese Daten stammen. Aus der Auskunft können sich damit korrespondierend dann im Nachgang Unterlassungs- und Schadenersatzansprüche gegenüber dem Rechteverletzer ergeben (siehe IV.1). 3. Was hat sich mit der DSGVO geändert? Die Anforderungen an die Informations-, Nachweis- und Dokumentationspflichten sind gestiegen. Bisher gelebte und/oder dokumentierte Verfahren müssen ver- oder geändert bzw. angepasst werden. Organisationsstrukturen sind neu zu bestimmen und insbesondere der Bereich der Datensicherheit ist in erhöhtem Maße zu garantieren. 1142 ZAP Nr. 21 7.11.2019
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 941 Datenschutz: Kommunalebene Hinweis: Behörden ist deshalb anzuraten hier entsprechende „neue“ Maßnahmenpläne zu erstellen, die durch den mandatierten Rechtsanwalt auch im Rahmen einer streitigen Auseinandersetzung eingesehen und bewertet werden können. Datenschutzrechtliche Strukturdefizite sind dann bei der juristischen Gesamtbeurteilung mit zu berücksichtigen. III. Umsetzung der DSGVO 1. Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten Nach Art. 6 Abs. 1 DSGVO ist die Erhebung und Verarbeitung personenbezogener Daten nur rechtmäßig, wenn einer der dort genannten Voraussetzungen (Art. 6 Abs. 1a bis f) gegeben ist. Bei der DSGVO handelt es sich um ein sog. Verbot mit Erlaubnisvorbehalt: Dies bedeutet – alles ist verboten, sofern es nicht ausdrücklich erlaubt ist. Eine Rechtmäßigkeit für die Erhebung und Verarbeitung personenbezogener Daten liegt also nur dann vor, wenn entweder die Einwilligung des Betroffenen gegeben ist oder aber das Gesetz dies ausdrücklich zulässt. Ist beides nicht gegeben, ist jegliche Form der Erhebung und Verarbeitung personenbezogener Daten unrechtmäßig. Hiervon gibt es keine Ausnahme. a) Einwilligung Die „Champions-League-Lösung“ ergibt sich aus Art. 6 Abs. 1a DSGVO, wonach die betroffene Person ihre Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten erteilen kann. Von überragender Bedeutung ist dabei aber, dass für den Einwilligenden der Zweck deutlich erkennbar sein muss. Erfolgt außerhalb des vereinbarten Zwecks die Erhebung und Verarbeitung personenbezogener Daten, so ist auch diese rechtswidrig. Praxistipp: Auch wenn der Gesetzgeber für die Einwilligung keine Schriftform verlangt, so ist dies aber schon aus Beweiszwecken dringend zu empfehlen. Direkte inhaltliche Anforderungen an die Einwilligung macht der Gesetzgeber im Übrigen aber direkt nicht. Wichtig ist nur, dass die Einwilligung aus Sicht des objektivierten Empfängerhorizonts verständlich, leicht zugänglich sein und vor allem den Zweck der Einwilligung erkennen lassen muss. Der Einwilligende muss auch wissen, dass er seine einmal erteilte Einwilligung zum späteren Zeitpunkt auch widerrufen kann. Für die Einwilligungen, die vor dem 25.5.2018 erteilt wurden, kommt es für die Wirksamkeit darauf an, ob diese schon damals DSGVO konform gewesen sind. Denn Einwilligungen erledigen sich im Übrigen nicht durch bloßen Zeitablauf (BGH NJW-RR 2018, 486). In der Praxis geht man davon aus, dass zumindest für solche Einwilligungen, die nicht älter als zwei Jahre sind, diese Vorgehensweise opportun ist. Praxistipp: Beruft sich die Behörde also auf eine solche ggf. auch schon ältere Einwilligung, so ist zu prüfen, ob diese zum damaligen Zeitpunkt bereits den Anforderungen der DSGVO entspricht. Dabei kann auch den Umständen, wie die Einwilligungserklärung zustande gekommen ist, eine entscheidende Bedeutung zukommen. Der Mandant ist hier also entsprechend zu befragen. Dies nicht nur im Hinblick auf mögliche weitere Tatbestände, wie z.B. diejenige nach dem AGG. ZAP Nr. 21 7.11.2019 1143
Seite 1 und 2:
ZAP Zeitschrift für die Anwaltspra
Seite 3 und 4: ZAP Kolumne Kolumne Das LG Köln un
Seite 5 und 6: ZAP Anwaltsmagazin EU sieht Defizit
Seite 7 und 8: ZAP Anwaltsmagazin Mit der Einführ
Seite 9 und 10: ZAP Anwaltsmagazin Bundestag verlä
Seite 11 und 12: ZAP Buchreport Buchreport Berichte
Seite 13 und 14: ZAP Buchreport kommentars Erbrecht,
Seite 15 und 16: ZAP Buchreport kommentiert, u.a. §
Seite 17 und 18: ZAP Buchreport Anwaltsrecht/Anwalts
Seite 19 und 20: ZAP Buchreport sich mit den rechtli
Seite 21 und 22: Eilnachrichten 2019 Fach 1, Seite 1
Seite 29 und 30: Straßenverkehrsrecht Fach 9 R, Sei
Seite 43 und 44: Handelsrecht/Gesellschaftsrecht Fac
Seite 51 und 52: Verfassungsrecht/Verwaltungsrecht F
Seite 53: Verfassungsrecht/Verwaltungsrecht F
Alle anzeigen

ZAP-2019-21

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?