BAG: Betriebsratsvorsitzender kann nicht Datenschutzbeauftragter sein

Der Vorsitz im Betriebsrat steht den Aufgaben eines Datenschutzbeauftragten typischerweise entgegen und berechtigt den Arbeitgebenden zum Widerruf, entschied jetzt das Bundesarbeitsgericht (BAG), Urt. v. 06.06.2023 - 9 AZR 383/19. Hintergrund der Entscheidung ist die Klage eines Konzernangestellten, der Vorsitzender des Betriebsrats ist. Der Kläger wurde zunächst von seiner Arbeitgeberin und allen in Deutschland ansässigen Tochtergesellschaften mit Wirkung zum 01.06.2015 als Datenschutzbeauftragter bestellt.  Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte und die weiteren Konzernunternehmen die Bestellung des Klägers am 01.12.2017 wegen Unvereinbarkeit der Ämter mit sofortiger Wirkung.

Einigung beim Whistleblowerschutz

Der Vermittlungsausschuss hat sich am 09.05.2023 auf Änderungen am Hinweisgeberschutzgesetz (HinSchG) geeinigt. Die Änderungen sind weitreichend. So entfällt wohl die Pflicht, auch anonyme Meldungen zu ermöglichen. Hinweisgebende müssen also von Beginn an ihre Identität preisgeben, wollen sie unter den Schutzbereich des Gesetzes fallen. Auch die Höhe von Bußgeldern bei Verstößen gegen das HinSchG wurde erheblich herabgesetzt und der Anwendungsbereich des Gesetzes eingegrenzt. Stimmt der Bundesrat morgen dem geänderten Gesetz zu, so stünde der Unterzeichnung durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt nichts mehr im Wege. Damit könnte das HinSchG etwa Mitte Juni in Kraft treten.

EuGH: Immaterieller Schaden muss nicht erheblich sein

In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht. Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt.

Hohe Strafzahlungen wegen Nichtumsetzung der Whistleblowing Richtlinie

Die EU hatte im Jahr 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sogenannte Whistleblowing Richtlinie, Richtlinie (EU) 2019/1937) verabschiedet. Am 16.12.2022 wurde in Umsetzung der Richtline in Deutschland das Hinweisgeberschutzgesetz (HinSchG) verabschiedet. Dieses scheiterte jedoch Anfang 2023 im Bundesrat. Die Mitgliedstaaten waren verpflichtet, bis zum 17.12.2021 die erforderlichen Maßnahmen zu treffen, um den Bestimmungen der Richtlinie nachzukommen. Die Nichtumsetzung könnte nun teuer werden.

Webseiten datenschutzkonform gestalten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 21.04.2023 eine hilfreiche Handreichung zur Gestaltung datenschutzkonformer Internetauftritte veröffentlicht. Die Handreichung befasst sich mit zentralen Themen wie der Erforderlichkeit einer Einwilligung, der rechtskonformen Gestaltung von Einwilligungsbannern, der Einbindung von Drittinhalten, den Informationspflichten, dem technischen Betrieb und der Konsequenzen bei Missachtung dieser Pflichten. Wir fassen die Kernaussagen zusammen.

E-Mail-Marketing – Erlöschen der Einwilligung durch Zeitablauf?

Eine einmal erteilte Einwilligung in den Erhalt von Newsletter-E-Mails könne durch Zeitablauf entfallen, wenn weitere Umstände hinzutreten, die dem Fortbestand der Einwilligung entgegenstehen, entschied nun das AG München (Urt. v. 14.02.2023 – 161 C 12736/22). Der Kläger hatte bei der Beklagten im Jahre 2015 einen Account im Rahmen seiner Mitgliedschaft im Golfclub erstellt. Hierbei willigte der Kläger auch in den Erhalt von Newsletter-E-Mails ein.

EuGH: deutsche Regelung zum Beschäftigtendatenschutz unvereinbar mit der DSGVO

Das Urteil des Europäischen Gerichtshofes (EuGH) vom 30.03.2023 hat für Unternehmen und Vereine in Deutschland weitreichende Auswirkungen auf den Beschäftigtendatenschutz. Hintergrund der Entscheidung war ein Vorlagefall aus Hessen und die damit verbundene Frage, ob § 23 HDSIG (gleichlautend § 26 BDSG) als Rechtsgrundlage für die Durchführung von Online-Unterricht für Leher:nnen einschlägig ist.

ArbG Oldenburg gewährt 10.000 € Schadensersatz für verspätete Auskunft

Für die verspätete Auskunft gewährte das ArbG Oldenburg (Urt. v. 09.02.2023 - Az.: 3 Ca 150/21) dem Kläger einen Schadensersatzanspruch in Höhe von 10.000 €. Der Beklagte kam dem außergerichtlichen Auskunftsersuchen nach Art. 15 DSGVO des Klägers erst mit einer Verspätung von insgesamt rund zwanzig Monaten nach. Für diese Verspätung verlangte der Kläger Schadensersatz.

Datenschutzkonferenz zur Zulässigkeit von „Pur-Abo-Modellen“

In ihrem neuen Beschluss erklärt die Datenschutzkonferenz (DSK) „Pur-Abo-Modelle“ grundsätzlich für zulässig und sorgt damit für mehr Rechtssicherheit. Seit Einführung der ersten „Pur-Abo-Modelle“ waren diese heftig umstritten. Unter einem „Pur-Abo-Modell“ ist ein erweitertes Cookie-Banner zu verstehen, welches den Nutzenden die Wahlmöglichkeit zwischen dem Besuch der Webseite mit Tracking und dem kostenpflichtigen Besuch der Webseite ohne Tracking eröffnet.

Erweiterte Eingriffsbefugnisse für den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

In ihrer Sitzung am 18.01.2023 hat die Hamburgische Bürgerschaft die Eingriffsbefugnisse des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zur Umsetzung der Vorgaben des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ausgeweitet. Durch den neu erlassenen § 19 Abs. 7 HmbDSG wird der HmbBfDI zur Ausübung der entsprechenden Befugnisse aus dem TTDSG - das u.a. Bußgelder bis zu einer Höhe von 300.000 € für Verstöße vorsieht - ermächtigt.