allgemein

Sanktionen, Bußgelder und Schadensersatzpflicht – das neue Hinweisgeberschutzgesetz ist da!

Seit 02.07.2023 ist das neue Hinweisgeberschutzgesetz in Kraft – eine echte Herausforderung für Unternehmen. Mit dem Hinweisgeberschutzgesetz (HinSchG) trifft Unternehmen ab einer gewissen Größenordnung die gesetzliche Pflicht, eine interne Meldestelle einzuführen.

Die Einrichtung des Hinweisgeberverfahrens gilt dabei für Unternehmen mit mehr als 250 Beschäftigten bereits seit 02.07.2023. Kleineren Betrieben mit mehr als 50 Beschäftigten, aber weniger als 250 Mitarbeitenden wird noch eine „Schonfrist“ bis zum 17.12.2023 zur Implementierung einer internen Meldestelle eingeräumt.

Die Anschaffung und die Inbetriebnahme eines funktionierenden Hinweisgebersystems verursachen Aufwände in finanzieller und personeller Hinsicht. Gerade kleinere Unternehmen stehen vor der Frage, einen professionellen Anbieter eine Meldestelle zu beauftragen oder eigene betriebsinterne Personalressourcen für die Entgegennahme und Bearbeitung von Hinweisen entsprechend einzusetzen und zu schulen. Nicht zuletzt verlangt das HinSchG für die mit dem internen Meldesystem beauftragten Mitarbeiter eine gewisse Fachkunde, sodass entsprechende Schulungen für das Personal zu empfehlen sind, um eine ordnungsgemäße Bearbeitung von Hinweisen zu gewährleisten.

Die Einführung eines internen Meldesystems sollte von Betriebsinhabern und Geschäftsführern nicht stiefmütterlich behandelt werden, auch wenn die Nicht-Umsetzung eines internen Hinweisgebersystems oder aber eine kostengünstige Hinweisgeberplattform, wie eine einfache E-Mail-Adresse, zunächst lukrativer erscheint.

Ordnungswidrigkeiten nach dem HinSchG – gestaffelte Bußgelder

Verstöße gegen die Vorgaben des HinSchG können als Ordnungswidrigkeiten mit empfindlichen Geldbußen bewertet werden. § 40 Abs. 2 HinSchG normiert als bußgeldbewehrten Tatbestand, die Nicht-Einrichtung und Nicht-Inbetriebnahme einer internen Meldestelle trotz gesetzlicher Verpflichtung der Implementierung eines internen Meldesystems. Gleichzeitig werden die Behinderung der Kommunikation entgegen der gesetzlichen Vorschiften und der Verstoß gegen Repressalien mit Bußgeldern bedroht. Gemäß § 40 Abs. 3 HinSchG stellt auch die Verletzung der Vertraulichkeit ein bußgeldbewährtes Verhalten dar.

Die Bußgelder nach dem HinSchG unterliegen einer Staffelung:

Der Gesetzgeber hat Unternehmen ab 250 Beschäftigten aufgrund der kurzen Frist zwischen Verkündung des Gesetzes und Inkrafttreten ab dem 02.07.2023 eine „Übergangsfrist“ hinsichtlich der Verhängung von Bußgeldern wegen Nicht-Einrichtung einer internen Meldestelle gewährt. So werden Bußgelder wegen Nicht-Einrichtung erst ab dem 01.12.2023 vorgesehen. Während die Nicht-Einrichtung einer internen Meldestelle eine Geldbuße bis zu 20.000 € nach sich ziehen kann, fallen die Bußgelder für die Behinderung der Kommunikation und dem Einsatz von Repressalien deutlich höher aus.

Die Behinderung der Meldung von Hinweisen oder die Kommunikation zwischen hinweisgebender Person und der Meldestelle kann ebenso wie die Androhung oder Anwendung von Repressalien gegenüber hinweisgebenden Personen und die Verletzung der Vertraulichkeit mit einer Geldbuße von bis zu 50.000 € geahndet werden. Unter bestimmten Voraussetzungen verzehnfacht sich das Höchstmaß der Geldbuße im Fall der Behinderung der Kommunikation oder dem Einsatz von Repressalien auf mitunter 500.000 €. Betriebsinhaber, die sich aus finanziellen Gründen weigern eine interne Meldestelle einzuführen und darauf spekulieren, dass die Nicht-Implementierung unentdeckt bleibt, riskieren daher ein erhebliches Bußgeld, welches in der Summe höher ausfallen dürfte als die Einrichtung einer internen Meldestelle und die dazugehörige Personalschulung oder Beauftragung externer Dritter.

Kostengünstige Meldestellenvarianten – Problem der Vertraulichkeit

Die Verunsicherung vieler Unternehmen hinsichtlich der Einrichtung eines internen Meldesystems ist groß. Es gibt daher vielerorts Überlegungen, ein internes Meldesystem durch geringfügige Änderungen zu generieren.

Eigene Meldekanäle wie betriebseigene E-Mail-Adressen über einen allgemeinen E-Mailanbieter werden ebenso wie allgemeine Telefonhotlines den Anforderungen des Vertraulichkeitsgrundsatzes nach dem HinSchG nicht gerecht. Es besteht bei diesen Alternativen keinerlei Garantie, dass ausschließlich die mit dem internen Meldesystem beauftragte Person Zugriff auf interne Meldekanäle erhält und die Anonymität des Hinweisgebenden gewahrt wird.

Nicht zuletzt die interne IT-Administration des Unternehmens oder des Server-Anbieters kann auf das entsprechende E-Mail-Konto zugreifen und so die Kommunikation mitlesen. Die Rufnummer des Hinweisgebers kann gespeichert und ausgelesen werden, sodass Rückschlüsse auf den Hinweisgebenden bzw. sogar auf den Inhalt des Hinweises gezogen werden können.

Dies steht im direkten Widerspruch zum Vertraulichkeitsgebot des HinSchG. Das gesamte Hinweisgebersystem beruht auf dem Schutzgedanken des Hinweisgebers und muss dergestalt konzipiert sein, ein Meldesystem einzurichten, bei welchem die Vertraulichkeit der Identität der hinweisgebenden Person gewahrt wird. Nur die beauftragten Personen, die eingehende Hinweise bearbeiten, sollen auf diese Informationen Zugriff haben, sofern nicht eine Weitergabe nach § 8 HinSchG zulässig ist.

Weitergehende Schutzvorkehrungen wie eine Zwei-Faktor-Authentifizierung sind bei den genannten Konstellationen auch nur schwer realisierbar, aber zum Schutz der Vertraulichkeit dringend anzuraten. Beispielsweise bei Verhinderung der für die Meldestelle beauftragten Person müssen Zugangsbeschränkungen zur Hinweisgeberplattform wie Passwörter etc. an Vertreterpersonen weitergegeben werden. Dies stellt mitunter ein weiteres Risiko dar, dass Unberechtigte Zugang zur Hinweisgeberplattform erhalten oder etwa ausgeschiedene Mitarbeitende auch nach Beendigung des Arbeitsverhältnisses auf ein allgemeines E-Mail-Postfach zugreifen können.

Auch aus datenschutzrechtlicher Sicht bereiten derartige kostengünstigere Varianten Probleme, sodass hier weitere Bußgelder für die Unternehmen oder Betriebe drohen können.

Schadensersatz bei Verstößen – weitere finanzielle Belastung für Unternehmen

Neben den genannten empfindlichen Bußgeldern verpflichtet der Gesetzgeber Unternehmen und Betriebe zur Zahlung von Schadensersatz. Wird eine hinweisgebende Person im Zusammenhang mit ihrer beruflichen Tätigkeit nach einer Meldung benachteiligt, so steht ihr nach dem HinSchG ein Anspruch auf Schadensersatz zu. Dieser Anspruch besteht neben der Auferlegung des Bußgeldes, sodass es hier zu einer doppelten finanziellen Belastung des Unternehmens kommen kann. 

Fazit

Das HinSchG stellt betroffene Unternehmen vor besondere Herausforderungen. Um hohe Bußgelder zu vermeiden, sollten Unternehmen innerhalb der für sie geltenden Frist IT-geschützte Hinweisgebersysteme einführen und entsprechende Kosten auf sich nehmen, um später nicht mit noch größeren finanziellen Konsequenzen konfrontiert zu werden.

Wir beraten Sie gerne zu den rechtlichen Anforderungen nach dem HinSchG und unserem sicheren Hinweisgebersystem White Sparrow der MKM Compliance GmbH.

Initiativrecht des Betriebsrats bei Ausgestaltung der Arbeitszeiterfassung

Nachdem das Bundesarbeitsgericht (BAG) mit seiner Entscheidung aus September 2023 (BAG, Beschluss vom 13.09.2022 – 1 ABR 22/21, wir haben hierzu in unserem Newsletter berichtet) eine Pflicht der Arbeitgeber zur Erfassung der Arbeitszeit aus arbeitsschutzrechtlichen Gründen bereits jetzt bejaht und damit hohe Wellen geschlagen hat, hat das Landgericht München die Rechtsprechung fortgeführt und sieht ein Initiativrecht des Betriebsrats (BR) zur Regelung, wie die Arbeitszeiten erfasst werden (LAG München, Beschluss vom 22.05.2023 – 4 TaBV 24/23).

BR fordert Verhandlungen zur Zeiterfassung von Außendienstlern

In der Entscheidung hat der BR vom Arbeitgeber verlangt, Verhandlungen über die Ausgestaltung der Arbeitszeiterfassung der Beschäftigten im Außendienst aufzunehmen. Bisher gab es lediglich für den Innendienst Konzernbetriebsvereinbarungen über die Arbeitszeit und deren Erfassung. Der Arbeitgeber hatte Verhandlungen über die Zeiterfassung der Außendienstmitarbeitenden aufgrund der bevorstehenden gesetzlichen Regelung abgelehnt und meinte, dass er nichts tun wolle und hoffe, dass der Außendienst von der Pflicht zur Erfassung der Arbeitszeit ausgenommen werde. Zudem habe man sich bereits für ein elektronisches System entschieden, für dessen Regelung der Konzernbetriebsrat zuständig sei.

Das LAG München sowie auch bereits die Vorinstanz hat die Beschwerde des Arbeitgebers zurückgewiesen und hat dem BR Recht gegeben sowie eine Einigungsstelle eingesetzt. Die Einigungsstelle sei hinsichtlich der Frage des „Wie“ der Ausgestaltung eines Systems zur Arbeitszeiterfassung nicht offensichtlich unzuständig. Der Arbeitgeber kann dem Initiativrecht des BR nicht entgegenhalten, dass er sich noch nicht entschieden habe, ob er der Pflicht zur Erfassung der Arbeitszeit nachkommen werde.

Auch die Angabe, dass der Konzernbetriebsrat zuständig sei, beinhaltet bereits eine Vorentscheidung des Arbeitgebers hinsichtlich der Art der Zeiterfassung. Diese ist aber gerade Teil des Mitbestimmungsrechts des BR, sodass der Arbeitgeber dies nicht einwenden kann.

Der Beschluss ist noch nicht rechtskräftig, sodass noch eine Revision vor dem BAG möglich ist.

Initiativrecht des BR hinsichtlich des „Wie“ der Zeiterfassung

Das BAG ist in der Entscheidung aus 2022 bereits davon ausgegangen, dass der BR bei der Ausgestaltung einer Arbeitszeiterfassung ein entsprechendes Initiativrecht über das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 7 Betriebsverfassungsgesetz (BetrVG) in Verbindung mit § 3 Abs. 2 Nr. 1 Arbeitsschutzgesetz (ArbSchG) hat. Das Initiativrecht des BR ist dabei nach Ansicht des BAG allein auf das „Wie“ der Arbeitszeiterfassung beschränkt, da sich bereits aus dem ArbSchG ergebe, dass der Arbeitgeber ein System zur Arbeitszeiterfassung einzurichten habe. Der BR kann sich bei der Geltendmachung dieses Initiativrechts aber nicht darauf beschränken, dass eine Zeiterfassung in elektronischer Form eingeführt werden soll.

Arbeitgeber können die Zuständigkeit des örtlichen BR auch nicht dadurch umgehen, dass sie eine Vorentscheidung über die Art der Zeiterfassung treffen und wie im entschiedenen Fall damit eine Zuständigkeit des Konzernbetriebsrats begründen. Somit kann weder der BR noch der Arbeitgeber eine Vorauswahl des Systems zur Zeiterfassung treffen.

Der Arbeitgeber kann aufgrund der gesetzlichen Pflicht zur Arbeitszeiterfassung auch nicht allein entscheiden, ob er ein System zur Arbeitszeiterfassung einführt bzw. wann (das „Ob“ der Arbeitszeiterfassung“). Wie die Entscheidung des LAG München zeigt, kann der BR durch sein Initiativrecht bei der Ausgestaltung der Arbeitszeiterfassung, also des „Wie“ der Arbeitszeiterfassung, Verhandlungen über die Ausgestaltung eines Systems zur Arbeitszeiterfassung fordern und damit auch die Einführung durchsetzen.

Folgen für die Praxis

Für Arbeitgeber gestaltet sich die Situation zur Arbeitszeiterfassung derzeit schwierig, da der Gesetzgeber bei der Umsetzung der Pflicht zur Zeiterfassung in einen gesetzlichen Rahmen weiterhin zögerlich ist. Das Bundesministerium für Arbeit und Soziales (BMAS) verweist lediglich auf die Pflicht der Arbeitgeber zur Erfassung der Arbeitszeiten aufgrund der Entscheidung des BAG (BAG, Beschluss vom 13.09.2022 – 1 ABR 22/21) und sieht damit die Arbeitgeber in der Verantwortung.

Es bleibt daher Arbeitgebern anzuraten, bereits jetzt die Arbeitszeiten zu erfassen und den BR entsprechend zu beteiligen. Sofern ein Gesetz dann verabschiedet wird, muss dann ggfs. nachgebessert werden.

Kleine und mittlere Unternehmen in der Lieferkette (LkSG)

Im Zusammenhang mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eine Handreichung mit den aus seiner Sicht wichtigsten Fragen und Antworten für kleine und mittlere Unternehmen (KMU) zur „Zusammenarbeit in der Lieferkette zwischen verpflichteten Unternehmen und ihren Zulieferern“ veröffentlicht. Dies soll den Zulieferern, die selbst nicht durch das LkSG verpflichtet sind, einen Leitfaden an die Hand geben, wie sie mit Forderungen von großen Kunden, die selbst durch das LkSG verpflichtet sind, am besten umgehen.

Keine gesetzlichen Pflichten der KMU aus LkSG

Das BAFA stellt sogleich klar, was der Zulieferer – zumindest nach dem Gesetz – nicht zu leisten hat: Er muss keine eigene Risikoanalyse durchführen, keine Präventions- und Abhilfemaßnahmen prüfen, kein eigenes Beschwerdeverfahren einrichten und keine Berichte an die BAFA übermitteln.

Beanspruchung der KMU durch Vertragspartner

Sodann gibt das BAFA allerdings zu, dass die verpflichteten Unternehmen ihre eigenen Sorgfaltspflichten nur mithilfe ihrer Zulieferer erfüllen können – dies liegt in der Natur der Sache, da es um die Einhaltung von menschenrechtlichen und umweltbezogenen Standards in der Lieferkette geht. Nun möchte das BAFA kleine und mittlere Unternehmen vor übergriffigen Kunden warnen, die von ihren Zulieferern wahllos Informationen anfordern oder gar versuchen, ihren eigenen LkSG-Pflichten dadurch zu entgehen, dass sie diese auf ihre Zulieferer abwälzen.

Abwehr von pauschaler und überfordernder Inanspruchnahme

So rät das BAFA den KMU, bei der Anforderung von Daten durch den Kunden auf die Begründung zu achten – nämlich die, dass eine Risikoanalyse durchgeführt wurde und sich daraus gewisse Fragen an den Zulieferer ergeben – und diese gegebenenfalls einzufordern. Außerdem ermahnt das BAFA die KMU, ihren Kunden keine Geschäftsgeheimnisse preiszugeben, was im Grunde selbstverständlich ist.

Zulieferer sollten einem verpflichteten Unternehmen, so rät das BAFA richtigerweise, nicht pauschal die Erfüllung aller Pflichten aus dem LkSG – die diese ohnehin nicht treffen – und die Einhaltung aller LkSG-Standards in ihren Lieferketten gewährleisten. Durch dieses Zusicherungsverlangen, so das BAFA, würde das verpflichtete Unternehmen gegen das LkSG verstoßen.

Verlangt ein Kunde die Beteiligung an Präventionsmaßnahmen, beispielsweise an Schulungen, von seinem Zulieferer, sollte letzterer sich vom Kunden konkret darlegen lassen, welche Risiken durch diese Maßnahme minimiert werden sollen. Erst recht sollte der Zulieferer das Konzept seines Vertragspartners hinterfragen, wenn die Durchführung von Abhilfemaßnahmen, die ihn womöglich überfordern, von ihm verlangt wird.

Strategie und Ausblick für KMU

So recht das BAFA mit seinen Hinweisen hat, zeigt es eine konfrontative Situation zwischen vom LkSG verpflichteten Unternehmen und ihren Zulieferern auf, die zwar entstehen kann, aber nicht muss. Zunächst ist es unwahrscheinlich, dass der modus operandi von großen Unternehmen darin bestehen wird, alle Zulieferer unabhängig vom festgestellten Risiko in derselben Weise in die Pflicht zu nehmen, da das Risikomanagement für die Unternehmen einen großen Aufwand darstellt. So werden sie froh sein, einen Großteil ihrer Zulieferer in die Kategorie „geringes Risiko“ einteilen zu können, was dann ihrerseits weniger Aufwand und weniger „Eingriffe“ in den Geschäftsbereich des Zulieferers bedeutet.

Sodann sind die Zulieferer gut beraten, ihrerseits eine aktive Herangehensweise an die Problematik des LkSG und eine entsprechende Strategie zu entwickeln. Dies hat zwei Gründe:

Erstens bringt es die KMU im „Ranking“ der großen Unternehmen nach oben, wenn sie ihnen eine Kooperation anbieten und ein eigenes Risikomanagement, etwa mit einem eigenen Beschwerde- und Abhilfeverfahren, einrichten. Dies stärkt gleichzeitig ihre Verhandlungsposition gegenüber den großen Kunden im Vergleich zu der Situation, in welcher sie sich den Umgang mit Risiken vom Vertragspartner „diktieren“ lassen.

Zweitens hat die EU-Kommission bereits im Februar 2022 einen Richtlinienvorschlag über die Sorgfaltspflichten von Unternehmen im Hinblick auf Nachhaltigkeit (Corporate Sustainability Due Diligence Directive (CS3D)) erlassen, welcher in seinem Anwendungsbereich deutlich mehr Unternehmen erfasst als das deutsche LkSG. Betroffen werden Unternehmen schon ab einer Schwelle von 500 Mitarbeitern und einem Nettoumsatz von 150 Mio. € im letzten Geschäftsjahr sein. Darüber hinaus werden Unternehmen, die diese Schwelle zwar nicht erreichen, jedoch in einem risikobehafteten Sektor (etwa der Textil- und Lebensmittelindustrie) mehr als 50 % ihres Nettoumsatzes erzielen, mehr als 250 Mitarbeiter beschäftigen und einen Nettoumsatz von mehr als 40 Mio. € im vergangenen Geschäftsjahr ausweisen, gemäß dem Richtlinienentwurf verpflichtet werden. Hier lohnt sich eine vorausschauende Planung der betroffenen Unternehmen im Hinblick auf die eigenständige Erfüllung von Sorgfaltspflichten. Diesen und den als Zulieferer durch das LkSG betroffenen Unternehmen stehen wir beim Umgang mit den sich hieraus ergebenden Herausforderungen zur Seite.

Nächster Versuch: EU-Kommission hat neues Datenschutzabkommen zwischen den USA und der EU verabschiedet

Vor fast genau drei Jahren urteilte der Europäische Gerichtshof in der Causa „Schrems II“, dass das bis dato gültige Datenschutzabkommen zwischen den USA und der EU (Privacy Shield) ungültig ist. Mit dieser Entscheidung sorgte der Europäische Gerichtshof für große Rechtsunsicherheit auf Seiten der Unternehmen, die personenbezogene Daten in die USA übermitteln. Nun wurde von der EU-Kommission das „EU-US Data Privacy Framework“ als Nachfolger verabschiedet. 

Warum sind solche Vereinbarungen notwendig? 

Die Datenschutzgrundverordnung („DSGVO“) stellt in Kapitel V hohe Hürden an die Übermittlung von personenbezogenen Daten in Drittländer. Als Drittländer werden alle Länder verstanden, die nicht Mitglied der Europäischen Union bzw. des Europäischen Wirtschaftsraums sind. 

Eine zulässige Möglichkeit zur Übermittlung von personenbezogenen Daten in Drittländer stellen sog. Angemessenheitsbeschlüsse der Europäischen Kommission dar. Die Europäische Kommission beurteilt im Vorfeld eines Angemessenheitsbeschlusses, ob in dem betroffenen Land ein Datenschutzniveau herrscht, das dem der Europäischen Union angemessen bzw. vergleichbar ist. 

Wurde ein solcher Angemessenheitsbeschluss für das Empfängerland beschlossen, so können Unternehmen mit Sitz in der EU personenbezogene Daten in dieses Land übermitteln, ohne weitere Voraussetzungen zur Übermittlung in Drittländer einhalten zu müssen. 

Was ist das EU-US Data Privacy Framework? 

Das EU-US Data Privacy Framework ist die Grundlage eines solchen Angemessenheitsbeschluss. Nach Prüfung der in den USA geltenden Regelungen zum Schutz von personenbezogenen Daten kam die Europäische Kommission zur Einschätzung, dass die USA ein angemessenes Schutzniveau gewährleisten. Voraussetzung ist aber, wie schon beim Vorgänger Privacy Shield, dass sich der US-Datenempfänger vorab nach dem EU-US Data Privacy Framework zertifiziert haben. Damit bildet das Abkommen keinen Automatismus für einen zulässigen Datentransfer. Es muss vielmehr vorab geprüft werden, ob alle Empfänger nach dem EU-US Data Privacy Framework zertifiziert sind. Erst dann können personenbezogene Daten an diese Unternehmen ohne Einhaltung weiterer datenschutzrechtlicher Garantien übermittelt werden. 

Im Gegensatz zu dem Angemessenheitsbeschluss für das Vereinigte Königreich ist das EU-US Data Privacy Framework nicht zeitlich begrenzt. Das Abkommen sieht jedoch vor, dass es regelmäßig einem Review unterzogen wird. Das erste Review wird ein Jahr nach Inkrafttreten und damit zum 10. Juli 2024 stattfinden. 

Erleichterung für Unternehmen bei Datenübermittlungen in die USA? 

Ob das neue Abkommen wirklich eine Erleichterung für Unternehmen darstellt, wird erst die Zukunft zeigen. Zunächst wird das EU-US Data Privacy Framework auf jeden Fall eine Erleichterung für Unternehmen mit sich bringen. Die Frage ist nur: Für wie lange?  

Die Datenschutzorganisation NOYB, die von Max Schrems mitgegründet wurde, kündigt auf ihrer Webseite bereits an, dass man bereits „verschiedene Verfahrensoptionen vorbereitet [habe], um das neue Abkommen erneut vor den EuGH zu bringen“. Es ist also zu erwarten, dass sich der Europäische Gerichtshof nach Safe Harbour und Privacy Shield nun zum dritten Mal mit der Frage auseinandersetzen wird, ob ein Angemessenheitsbeschluss zur Übermittlung von personenbezogenen Daten in die USA gültig ist. 

Konkreter Handlungsbedarf für Unternehmen? 

Durch das neue EU-US Data Privacy Framework entsteht zunächst kein direkter Handlungsbedarf für Unternehmen, die personenbezogene Daten in die USA übermitteln. Wurden bisher mit den Empfängern sogenannten Standardvertragsklauseln („Standard Contractual Clauses“, kurz „SCC“) geschlossen, bleiben diese natürlich weiter gültig und können, je nach Ergebnis des Transfer Risk Assessments, für eine zulässige Übermittlung sorgen. 

Sollte ein US-Unternehmen sich künftig unter dem neuen Abkommen zertifizieren, ist ein Abschluss von SCC nicht mehr erforderlich. Zur Erfüllung der Vorgaben aus Kapitel V der DSGVO genügt dann die Dokumentation, dass der Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist. 

Fazit 

Solange das EU-US Data Privacy Framework Agreement in Kraft bleibt, bietet es den Unternehmen Rechtssicherheit im Hinblick auf die Übermittlung von personenbezogenen Daten an Unternehmen mit Sitz in den USA. 

Recht auf Datenkopie – Neues vom EuGH

Noch immer herrscht in vielen Unternehmen so etwas wie Alarmstimmung, wenn Anträge auf Auskunft nach Artikel 15 Datenschutzgrundverordnung (DSGVO) eingehen. Das gilt besonders bei Auskunftsbegehren von gekündigten Mitarbeitern – oder solchen, die diesen Status anstreben. Der Schrecken liegt dabei weniger in der Aufzählung der Kategorien der verarbeiteten Daten mitsamt der Verarbeitungszwecke, da dies bei einem gepflegten Verarbeitungsverzeichnis keine große Sache sein sollte. Kopfzerbrechen bereitet vielmehr regelmäßig die mit dem Auskunftsersuchen verbundene Forderung nach Kopien der personenbezogenen Daten im Sinne des Artikel 15 Absatz 3 DSGVO. Bei Anträgen von langjährigen Mitarbeitern, Geschäftspartnern oder Kunden ist schon der Aufwand beim Sammeln der relevanten Dokumente immens. Da E-Mails, Briefe, Protokolle etc. wiederum regelmäßig personenbezogene Daten von Dritten sowie ggf. Geschäftsgeheimnisse beinhalten, wird in der Praxis meistens dann noch viel Zeit investiert, um Wörter und Passagen zu schwärzen. Die Frage ist, ob dieser ganze Aufwand wirklich immer nötig ist.

Das Recht des Betroffenen nach Artikel 15 Absatz 3 DSGVO

Nach Artikel 15 Absatz 3 DSGVO stellt der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“. Form und Frist zu diesem Anhängsel zur Auskunft ergeben sich aus Artikel 12 DSGVO. Ansonsten ist rund um das Recht auf Datenkopie einiges umstritten. Der wesentliche Streit dreht sich darum, was denn eigentlich Kopie in diesem Sinne bedeutet: Müssen ganze Dokumente oder gar Datenbanken zur Verfügung gestellt werden oder genügt es, wenn das konkrete personenbezogene Datum ohne Kontext mitgeteilt wird.

Der Betroffene soll durch die Auskunft des Verantwortlichen die Rechtmäßigkeit der Verarbeitungen überprüfen können. Zu diesem Zweck erzwingt Art. 15 DSGVO eine weitestgehende Transparenz, wozu auch der Einblick in die konkreten Verarbeitungen gehörten soll.

Die Meinung des EuGH…

Der EuGH hat nun in seinem Urteil vom 04.05.2023 (Az. C‑487/21) festgehalten, dass der Betroffene gemäß Art. 15 DSGVO das Recht hat, eine originalgetreue und verständliche Reproduktion aller vorhandenen Daten zu erhalten. Allerdings: Dokumente bzw. Datenbanken ganz oder in Auszügen muss man nur dann in Kopie herausgeben, wenn es unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. „Kopie“ meint in diesem Zusammenhang nämlich nicht das Dokument an sich, sondern die personenbezogenen Daten, die darin zu finden sind.

…und warum das eine gute Nachricht für Verantwortliche ist

Die verantwortlichen Unternehmen werden darüber nicht auf den ersten Blick jubeln. Schließlich obliegt die Einschätzung dieser Unerlässlichkeit natürlich zunächst dem Verantwortlichen, weil er auf die Anfrage des Betroffenen reagieren muss. Es droht immer noch der Aufwand, bei jedem einzelnen Dokument, in dem ein personenbezogenes Datum des Betroffenen zu lesen ist, prüfen zu müssen, ob die Rechtmäßigkeit der Verarbeitung nur mittels des gesamten oder Teil des Dokuments geprüft werden kann.

Andererseits muss man bedenken, dass Unternehmen nun dazu neigen können, die ganze Sache erheblich zu vereinfachen: Der Betroffene erhält nur eine Darstellung der konkreten personenbezogenen Daten als Kopie, Dokumente dazu werden zunächst gar nicht herausgerückt – möge doch der Betroffene im zweiten Schritt darlegen, warum er den gesamten Kontext für seine Einschätzung der Rechtmäßigkeit braucht. Gerade im Streit mit Arbeitnehmern, die sich im Kündigungsprozess über den Kopieanspruch brisante Informationen besorgen möchten, könnte man dank EuGH den Informationsgehalt der Unterlagen erheblich reduzieren. Das DSGVO-Schwert, das Rechtsanwälte gern vorm Arbeitsgericht schwingen, würde zusehends stumpfer werden.

Betroffene sehen schwarz

Wenig hilfreich erscheint der Tipp des EuGH, dass bei der Auskunftserteilung die Rechte und Freiheiten anderer zu berücksichtigen sind – das steht so auch schon in Art. 15 Absatz 4 DSGVO. Auch der Hinweis, dass diese Berücksichtigung nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird, steht im Satz 6 des 63. Erwägungsgrunds zur DSGVO. Wann nun geistiges Eigentum, Geschäftsgeheimnisse oder schlicht personenbezogen Daten Dritter dazu führen dürfen, dass Wörter und ganze Passagen in einem Dokument geschwärzt werden, kann man mit diesen Allgemeinplätzen nicht im Einzelfall beantworten.

Andererseits hilft die Festlegung des EuGH in Bezug auf den Kopie-Begriff bei der vorzunehmenden Abwägung: Wenn der Betroffene die personenbezogenen Daten eines Dritten z.B. in einer E-Mail nicht sehen muss, um zu ergründen, ob sein Datum rechtmäßig verarbeitet wird, spricht nichts dagegen, die Daten des Dritten zu schwärzen, da sie gar nicht Teil der Datenkopie sein müssen. Man darf davon ausgehen, dass diese und ähnliche Fragen die Gerichte noch viele Jahre beschäftigen werden.

Sonderfall Patientenakte?

Eine der Fälle, die in Zukunft auch noch vom EuGH entschieden werden müssen, basiert auf dem Vorlagebeschluss des BGH vom 29.08.2022 (Az. VI ZR 1352/20). Da geht es u.a. um die für Ärzte nicht unerhebliche Frage, ob man Patienten für eine Kopie der Patientenakte zur Kasse bitten darf (so ausdrücklich § 630g Absatz 2 Satz 2 BGB) oder ob die Kostenfreiheit aus Artikel 12 Absatz 5 Satz 1 DSGVO vorgeht. Vor dem Hintergrund der oben dargestellten EuGH-Entscheidung möchte man folgende Antwort orakeln: Da eine Kopie der Daten nicht unbedingt ein ganzes Dokument darstellen muss, müsste der Arzt den Patienten vor die Wahl stellen dürfen: Kopien von Daten aus der Patientenakte mit mehr oder weniger Kontext gibt es kostenlos, eine komplette Aktenkopie gibt es nur gegen Entgelt. Dass der gemeine Bürger bei einer solchen Auswahl verwirrt den Kopf schütteln wird, scheint gewiss – aber so ist es in rechtlichen Dingen leider oft.

Fazit

Unternehmen, die zur Beantwortung von Auskunftsanfragen bereits Prozesse aufgesetzt haben, sollten diese nach den letzten EuGH-Urteilen auf den Prüfstand stellen – die anderen sollten einen solchen Prozess dringend aufsetzen. Zunächst muss man sich fragen, wie unter Berücksichtigung aller geschäftlichen Umstände des Verantwortlichen grundsätzlich mit Forderung nach Kopien umgegangen werden muss: Bei welchen Verarbeitungen von Mitarbeiter- oder Kundendaten liegt es in der Natur der Sache, dass die reinen Daten ohne das sie beinhaltende Dokument nicht ausreichend sein werden? Sodann muss man festlegen, ob man im Rahmen der Bearbeitung eines konkreten Kopiebegehrens eher eine rechtssichere aber dafür aufwändigere Reaktion zeigen möchte, die eben weiter die Übermittlung ganzer Dokumente vorsieht, oder ob dies eher zur Ausnahme gekürt werden soll. Egal, ob es um diese grundlegenden Weichenstellungen oder um die Hilfe bei der konkreten Auskunft geht: Wir von MKM stehen Ihnen immer professionell und kompetent mit Rat und Tat zur Seite.

Geplante Erhöhung des Mindestlohnes ab Januar 2024

Die Mindestlohnkommission hat am 26. Juni 2023 ihren Vorschlag zur erneuten Erhöhung des Mindestlohnes bekannt gegeben. Danach soll der Mindestlohn ab dem 01. Januar 2024 auf 12,41 Euro steigen und zum 01. Januar 2025 nochmals auf 12,82 Euro erhöht werden. Der Vorschlag der Mindestlohnkommission ist nun von der Bundesregierung durch Rechtsverordnung verbindlich zu machen.

Der Mindestlohn wurde zuletzt zum 01. Oktober 2022 durch Gesetz auf 12,00 Euro erhöht. Dabei wurde gleichzeitig die Grenze für den Minijob von 450,00 Euro auf 520,00 Euro angepasst. Mit der nunmehr geplanten Erhöhung müssen Arbeitgeber eine Anpassung der Stunden bei geringfügig Beschäftigten im Blick behalten, um die Verdienstgrenze bei Minijobs nicht zu überschreiten. Gerne helfen Ihnen unsere Arbeitsrechtsexperten Jane Hohmann und Vivien Demuth bei der Anpassung der Verträge, bei Fragen zur Anwendbarkeit des Mindestlohnes und weiteren Fragen rund ums Arbeitsrecht.

Wenn der Schwanz mit dem Hund wackelt oder verkehrte Welt im Umgangsrecht?

Das Landgericht Frankenthal entschied am 12.05.2023 (LG Frankenthal, 2 S 149/22), dass der ehemalige Lebensgefährte nach der Trennung Anspruch auf Umgang mit dem gemeinsamen Hund (Labradorrüden) hat. Eine Regelung, wonach jeder der beiden Ex-Partner im zweiwöchigen Wechsel sich um den Hund kümmern darf, sei interessengerecht.

Der Hund ist keine Sache oder doch?

Das LG Frankenthal hat sachenrechtlich entschieden. Beide Lebenspartner waren und sind Miteigentümer des Hundes, der nach § 90a BGB zwar keine Sache ist, aber gleichwohl rechtlich wie eine behandelt wird. Miteigentümern steht die Nutzung ihres Gemeinschaftseigentums dann auch gemeinschaftlich zu – und da man den Hund nicht teilen kann wie ein Stück Brot – war hier eine andere Form des „Umgangs“ zu regeln. Der wechselseitigen „Nutzung“ des Hundes stand auch nicht das Wohl des Hundes entgegen, jedenfalls konnte das Gericht eine solche „Tierwohlgefährdung“ nicht erkennen. Somit war die Entscheidung letztendlich keine echte des Umgangsrechts, sondern eine rein sachenrechtliche Feststellung.

Die Parteien hätten den Fall z.B. auch durch eine Auflösung der Miteigentümergemeinschaft durch Verwertung (Pfandverkauf!) erreichen können. Das war offensichtlich nicht gewollt.

Entscheidend ist immer das Eigentumsverhältnis!

In der Rechtsprechung gab es in der Vergangenheit immer wieder Fälle des Streits um den „Familienhund“. Das OLG Stuttgart (Beschl. v. 16.04.2019 – 18 UF 57/19) entschied letztlich mit ähnlicher Begründung, in der Sache aber genau anders. Dem Ex-Ehepartner wurde die Zuweisung des Hundes (als Haushaltsgegenstand) verweigert, weil der andere Ex-Partner nach Auffassung des Gerichts Alleineigentümer u.a. aufgrund alleinigen Eintrags in der Übergabeurkunde des Hundes war. Nach § 1568b Abs. 2 BGB steht das Alleineigentum des anderen Ex-Partners aber der Zuweisung entgegen. Eine Überlassung von Gegenständen nach der Rechtskraft der Scheidung kann nur bei gemeinsamen Haushaltsgegenständen verlangt werden. Bei Alleineigentum steht die Sache dem Eigentümer auch alleine zu!

Drum

Wer sich einen Hund zulegt, hat ein Umgangsrecht, wenn er in den Papieren steht!

Equal Pay als Anspruch auf gleiche Bezahlung in der Arbeitnehmerüberlassung – Die Leiharbeit im Lichte der Rechtsprechung des BAG

Häufig greifen Unternehmen auf den Einsatz von Leiharbeitnehmern zurück, um vorhandene Lücken im Personalbedarf kurzfristig zu füllen. Hierbei gibt es jedoch sowohl für Entleiher als auch für Verleiher immer wieder große Unsicherheiten, vor allem hinsichtlich der Vergütung eines Leiharbeitnehmers.

Das Bundesarbeitsgericht (BAG) hat in einer Entscheidung bestätigt, dass durch Tarifverträge der Zeitarbeit vom sog. Equal-Pay-Grundsatz „nach unten“ abgewichen werden kann.

Abweichung vom Gleichstellungsgrundsatz

In § 8 Abs. 1 des Arbeitnehmerüberlassungsgesetzes (AÜG) ist der sog. Gleichstellungsgrundsatz geregelt. Dieser besagt, dass Leiharbeitnehmer für die Zeit der Überlassung grundsätzlich Anspruch auf die im Betrieb des Entleihers geltenden wesentlichen Arbeitsbedingungen eines vergleichbaren Stammarbeitnehmers des Entleihers haben (Grundsatz des Equal Pay und des Equal Treatment). Von diesen Vorgaben kann nach § 8 Abs 2 AÜG ein Tarifvertrag „nach unten“ abweichen, sodass der Verleiher dem Leiharbeitnehmer eine niedrigere Vergütung zahlen muss. Dies hat das BAG nun in einer neuen Entscheidung bestätigt (BAG, Urteil vom 31.05.2023- 5 AZR 143/19).

In dem entschiedenen Fall ging es um eine teilzeitbeschäftigte Leiharbeitnehmerin, die im Rahmen eines befristeten Vertrags von Januar bis April 2017 an ein Einzelhandelsunternehmen verliehen war und für 2017 nunmehr einen Anspruch auf Differenzvergütung in Höhe von 1.296,72 Euro brutto geltend gemacht hat. Ihr Gehalt betrug zuletzt 9,23 Euro brutto pro Stunde, während ihren Angaben zufolge ein vergleichbarer Arbeitnehmer des Entleihers, sog. Stammmitarbeiter, einen Stundenlohn in Höhe von 13,64 Euro brutto erhalten hat. Die Tarifverträge zwischen der iGZ und ver.di finden auf das Arbeitsverhältnis der Leiharbeitnehmerin Anwendung.

Das BAG hat – nach Vorlage an den EuGH – entschieden, dass die Leiharbeitnehmerin keinen Anspruch auf die gleiche Vergütung wie die Stammmitarbeitenden des Entleihers hat. Aufgrund der Anwendbarkeit des Tarifwerks der iGZ und ver.di war der Verleiher nur verpflichtet, die tarifliche Vergütung zu zahlen. Im Zusammenhang mit den gesetzlichen Schutzvorschriften für Leiharbeitnehmer genügt das hier anwendbare Tarifwerk den Anforderungen von Art. 5 Abs. 3 Leiharbeits-RL. Die EU-Richtlinie lässt eine Schlechterstellung hinsichtlich der Arbeitsbedingungen von Leiharbeitnehmern zu, sofern dies unter „Achtung des Gesamtschutzes der Leiharbeitnehmer“ erfolgt. Hierzu müssen Ausgleichsvorteile eine Neutralisierung der Ungleichbehandlung ermöglichen. Ein Ausgleichsvorteil kann etwa die Fortzahlung des Entgelts auch in verleihfreien Zeiten sein, wenn ein Leiharbeitnehmer nicht ausschließlich für einen bestimmten Einsatz eingestellt wird oder der Entleiher sich ein vertragliches Mitspracherecht bei der Auswahl der Leiharbeitnehmer vorbehalten hat. Verleihfreie Zeiten sind somit auch in befristeten Leiharbeitsverhältnissen stets möglich.

Vorliegend sieht das Tarifwerk von iGZ und ver.di eine Fortzahlung der Vergütung auch in verleihfreien Zeiten vor und der Verleiher kann das Wirtschafts- und Betriebsrisiko für verleihfreie Zeiten nicht auf den Leiharbeitnehmer übertragen. Auch ist die Abweichungsmöglichkeit vom Grundsatz des Equal Pay gesetzlich auf die ersten neun Monate des Leiharbeitsverhältnisses begrenzt. Eine Abweichung „nach unten“ ist somit unter „Achtung des Gesamtschutzes der Leiharbeitnehmer“ erfolgt und die Leiharbeitnehmerin hat keinen Anspruch auf die Differenzvergütung.

Inbezugnahme eines Tarifvertrags

Bereits 2019 hat das BAG entschieden, dass eine Abweichung vom Gleichstellungsgrundsatz nach § 8 Abs. 1 AÜG („Equal Pay“) kraft arbeitsvertraglicher Vereinbarung nur wirksam ist, wenn für den Entleihzeitraum das einschlägige Tarifwerk für die Arbeitnehmerüberlassung aufgrund einer Bezugnahme vollständig und nicht nur teilweise anwendbar ist (BAG, Urteil vom 16.10.2019 – 4 AZR 66/18).

Eine lediglich teilweise Inbezugnahme durch punktuelle Vereinbarungen einzelner tariflicher Bestimmungen oder durch Inbezugnahme von Regelungsbereichen oder -komplexen genügt somit nicht, um eine Abweichung vom Gleichstellungsgebot zu erlauben. Unschädlich sind hingegen vertragliche Regelungen über Gegenstände, die tariflich nicht geregelt sind oder die zugunsten des Arbeitnehmers von den tariflichen Bestimmungen abweichen.

Hierbei ist auch zu berücksichtigten, dass eine Anwendung des Tarifwerkes auf das Leiharbeitsverhältnis nur für Zeiten eines Einsatzes bzw. einer Überlassung für die Gewährung einer Arbeitnehmerüberlassungserlaubnis nicht ausreichend ist. Vielmehr müssen auch für verleihfreie Zeiten die Regelungen des Tarifvertrags insgesamt anwendbar sein.

Fazit

Leiharbeitnehmer dürfen daher bei Geltung eines Tarifvertrages schlechter bezahlt werden als Stammmitarbeiter beim Entleiher, auch wenn sie dieselbe Arbeit verrichten, wenn der Tarifvertrag ihnen andere Ausgleichsvorteile sichert, wie etwa die Fortzahlung des Entgelts auch in verleihfreien Zeiten. Die Entscheidung des BAG setzt die vom EuGH gemachten Vorgaben entsprechend um und gewährt Arbeitgebern mehr Sicherheit beim Einsatz von Leiharbeitnehmern sowie Schutz vor Nachzahlungen an Leiharbeitnehmer und Sozialversicherungsträger.

Schadenersatz bei jedem Verstoß gegen die Datenschutzgrundverordnung?

Der EuGH hat am 04.05.2023 (EuGH C-300/21) darüber entschieden, ob allein bei Verstoß gegen Vorschriften der DSGVO (hier Verstoß gegen die Datenverarbeitung) der Datenverantwortliche an den Betroffenen Schadensersatz in Geld leisten muss. Das besondere an dem Fall war, dass der Betroffene Bürger gar keinen materiellen Schaden, sondern „nur“ einen immateriellen Schaden erlitten hatte, nämlich nach seiner Ansicht hat er „großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt“.

Der EuGH entschied recht eindeutig:

Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Schadenersatzanspruch hängt auch nicht davon ab, ob der entstandene (immaterielle) Schaden eine gewisse Erheblichkeit erreicht. Festlegungen zur Ermittlung der Höhe des Schadens sind Sache der Mitgliedsstaaten.

Was war passiert?

Die Österreichische Post sammelte Informationen über die politischen Affinitäten der österreichischen Bevölkerung und definierte mit Hilfe eines Algorithmus zu sozialen und demografischen Merkmalen „Zielgruppenadressen“. Daraus leitete die Österreichische Post ab, dass bestimmte Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei haben. Eine Übermittlung der verarbeiteten Daten an Dritte fand nicht statt.

Ein betroffener Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, begehrt vor den österreichischen Gerichten die Zahlung von 1 000 Euro. Er behauptete, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt.

Der österreichische Oberste Gerichtshof äußerte Zweifel, ob die DSGVO Schadenersatz für den Fall vorsieht, dass allein wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist und legt dem EuGH die Sache zur Vorabentscheidung mit folgenden drei Fragen vor:

  1. Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?
  2. Muss für den (immateriellen) Schadenersatz ein bestimmter Grad an Erheblichkeit erreichen werden?
  3. Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadenersatzes?

Nach der Entscheidung des EUGH ist der in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft:

  1. Vorliegen eines Verstoßes gegen die DSGVO
  2. Vorliegen eines materiellen oder immateriellen Schadens, der aus diesem Verstoß resultiert
  3. Kausalzusammenhang zwischen dem Schaden und dem Verstoß

Nicht jeder Verstoß gegen die DSGVO begründet für sich genommen den Schadenersatzanspruch. Dem steht der klare Wortlaut der DSGVO entgegen. Nach den Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, führt ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden. Außerdem muss ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere bei der Verhängung von Geldbußen, bei der ein individueller Schaden nicht nachgewiesen werden muss.

Der Gerichtshof stellt allerdings weiter fest, dass der Schadenersatzanspruch nicht auf (materielle und) immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Das entspricht nicht dem in der DSGVO gewählten weiten Verständnis des Begriffs „Schaden“. Würde zudem der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte die graduelle Abstufung von der Möglichkeit, Schadenersatz zu erhalten, nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Das läuft dem Willen des Unionsgesetzgebers an einer gleichartigen Umsetzung der DSGVO in den Mitgliedsstaaten entgegen.

Schließlich:

Die DSGVO kennt keine Regeln für die Bemessung des Schadenersatzes. Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes ist Aufgabe der einzelnen Mitgliedstaaten. Dabei soll aber ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden sichergestellt werden. Zur Frage des Verschuldens für einen Verstoß hat der EuGH in dieser Sache nicht entschieden. Dabei dürften aber die Schlussanträge des Generalanwaltes des EuGHs in der Rechtssache C-340/21 maßgeblich sein, der dort ausführt: „Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist“. Ergo: Zunächst hat einmal der Verantwortliche jeden Verstoß gegen die DSGVO zu verantworten.

TikTok – Publicity um jeden Preis & jedes Risiko

Das soziale Netzwerk TikTok erfreut sich immer größerer Beliebtheit, auch bei Unternehmen. Denn insbesondere soziale Netzwerke eignen sich ausgezeichnet, kostengünstig und mit geringem Aufwand für Leistungen und Produkte eines Unternehmens zu werben. Jedoch stellt die Nutzung sozialer Netzwerke, wie auch TikTok, Unternehmen vor allem in Bezug auf die Einhaltung datenschutzrechtlicher Bestimmungen vor immer neue Herausforderungen.

Bei TikTok handelt es sich um ein Videoportal für die Lippensynchronisation von Musikvideos und anderen kurzen Videoclips, das zusätzlich Funktionen eines sozialen Netzwerks anbietet und vom chinesischen Unternehmen ByteDance betrieben wird. Für Unternehmen besteht die Möglichkeit bei TikTok ein sog. Nutzerprofil “TikTok for Business” anzulegen. Sofern sich das Unternehmen dann einen sog. Business-Account eingerichtet hat, kann es kurze Videoclips erstellen, um beispielsweise neues Personal zu gewinnen oder für Produkte und Dienstleistungen zu werben. Dabei werden oft die eigenen Beschäftigten in den Fokus gestellt bzw. als Schauspielende herangezogen.

Unternehmen können durch die Veröffentlichung von Videos eine sehr schnelle virale Reichweite erzielen, die deutlich erfolgsversprechender ist als auf anderen Plattformen. Jedoch bringt die Nutzung von TikTok vor allem aus rechtlicher Sicht einige Gefahren mit sich, insbesondere hinsichtlich des Datenschutzes.

Funktionsweise von TikTok

Wie bereits eingangs erwähnt, wird TikTok vorwiegend dazu genutzt, kurze Videosequenzen hochzuladen, diese Videos mit anderen Nutzern zu teilen und somit den Bekanntheitsgrad des eigenen Unternehmens zu erhöhen. Hierzu kann sich der Nutzer auch der von TikTok zur Verfügung gestellten Musik und Filtern bedienen, um die Videos zu bearbeiten und anzupassen. Vor dem Hochladen des fertiggestellten Videoclips können zudem Produkte oder auch Personen verlinkt werden. Weiterhin besteht die Möglichkeit, die Option „Stitch“ auszuwählen, wonach Teile des eigenen Videos von anderen Nutzern auf TikTok mit deren Videos kombiniert werden können.

Nach Erstellung eines Videos erhält der Nutzer die Möglichkeit, das Video mit anderen Nutzern entweder privat (nur mit Nutzern, denen selbst gefolgt wird) oder öffentlich (für alle Nutzer sichtbar) zu teilen.

Sind Videos erst einmal veröffentlicht, können sie von anderen Nutzern geliked, kommentiert, gespeichert oder auch auf anderen sozialen Kanälen geteilt werden. Auch ist es anderen Nutzern möglich, ein von einem Unternehmen für die Öffentlichkeit hochgeladenes Video für den eigenen Kanal zu bearbeiten und anschließend selbst zu veröffentlichen. Teilen Nutzer das Video beispielsweise auf Twitter, erscheint das Video zunächst mit der Abbildung der ersten Videosequenz unter dem Bereich “Tweets” des Twitteraccounts. Zudem kann der Link des Videos auch per WhatsApp, den Facebook Messenger und weiteren Apps von anderen Nutzern an beliebige Dritte gesendet werden.

Die Datenerhebung durch TikTok

Aus datenschutzrechtlicher Sicht äußerst bedenklich ist vor allem das „direkte“ oder „indirekte“ Sammeln und Verarbeiten zahlreicher Nutzerdaten durch TikTok. Hierunter fallen beispielhaft folgende vom Nutzer bereitgestellte Daten:  

  • Name
  • Telefonnummer
  • E-Mail-Adresse
  • Name des Unternehmens und dessen Sitz
  • IP-Adresse

TikTok weist in seiner „privacy policy“ darauf hin, dass in einigen Fällen auch geschäftliche Informationen, wie z.B. berufliche Kontaktdaten gespeichert werden. TikTok führt in seiner „privacy policy“ jedoch nur eine beispielhafte Aufzählung an Nutzerdaten an, die gespeichert und ggf. verarbeitet werden. Damit herrscht eine große Unsicherheit, welche Daten konkret von dem jeweiligen Nutzer durch TikTok gespeichert und ggf. weiterverarbeitet werden.

Weitergabe der personenbezogenen Daten

Kritisch zu sehen ist die Weitergabe der erhobenen, personenbezogenen Daten durch TikTok an andere Unternehmen. So gibt die Plattform z.B. sämtliche erhobenen Daten an Drittanbieter weiter, die TikTok dabei helfen, die Werbung auf der Plattform zu messen und den Werbetreibenden dabei zu unterstützen, die Wirksamkeit ihrer Werbung zu ermitteln. Weiterhin werden durch TikTok die erhobenen personenbezogenen Daten an Geschäftspartner, andere Unternehmen der gleichen Gruppe, Analyseanbieter und viele mehr weitergegeben. TikTok weist in seiner „privacy policy“ ausdrücklich darauf hin, dass die Daten an Unternehmen in den Ländern, wie die USA, Hongkong und Singapur weitergeben und dort entsprechend gespeichert werden. Es ist hierbei oft völlig unklar, zu welchen Zwecken die anderen Unternehmen die personenbezogenen Daten übermittelt bekommen und anschließend verarbeiten.

Rechtliche Herausforderungen

1. Veröffentlichung von Werbevideos unter Einbeziehung von Beschäftigten als Darsteller

Unternehmen verwenden TikTok vor allem zu Werbezwecken. Dabei werden oft Videoaufnahmen von und mit Beschäftigten erstellt. Nachfolgend zeigen ausgewählte Beispiele, welche Herausforderungen sich hieraus ergeben können.

1.1 Die Einwilligung beteiligter Personen
Sofern Bild-, Video-, und Tonaufnahmen von Beschäftigten durch das Unternehmen angefertigt werden, muss hierfür eine Einwilligung von der betroffenen Person eingeholt werden. Aus datenschutzrechtlicher Sicht bedenklich ist hierbei, ob eine solche Einwilligung von den Beschäftigten überhaupt eingeholt werden sollte, da durch die Nutzung und das Hochladen eines Videos auf TikTok ggf. bereits datenschutzrechtliche Grundprinzipien nicht eingehalten werden können.

1.2 Widerruf der Einwilligung und das Recht auf Löschung
Selbst wenn das Unternehmen eine Einwilligung von den Beschäftigten eingeholt hat, stellt sich bei der Verwendung ein weiteres Problem hinsichtlich der Durchsetzung des Rechts auf Löschung der personenbezogenen Daten der betroffenen Person gem. Art. 17 Abs. 1 lit. b DS-GVO. Diese Norm schreibt u.a. eine unverzügliche Löschung personenbezogener Daten vor, wenn die Verarbeitung auf eine Einwilligung gestützt und diese anschließend widerrufen wurde und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Widerruft die beschäftigte Person nach Veröffentlichung des Videos seine Einwilligung, so hätte der Arbeitgeber das Video auf TikTok unverzüglich zu löschen. Zwar ist die Löschung des Videos auf TikTok durch den Nutzer, der das Video hochgeladen hat, auf dem Unternehmensprofil jederzeit möglich, allerdings ergibt sich hierbei das Problem, dass das von dem Unternehmen hochgeladene und inzwischen wieder gelöschte Video bereits durch andere Nutzer entweder auf TikTok oder auf anderen sozialen Netzwerken geteilt, gespeichert oder anderweitig verbreitet worden sein kann.

Gemäß der Datenschutzerklärung von TikTok kann der Nutzer TikTok zumindest darum bitten, die Daten ganz oder teilweise auf der Plattform zu löschen. Ob TikTok diesem Versprechen tatsächlich nachkommen wird bzw. überhaupt kann, ist aber mehr als fraglich. Infolge dessen wird es das Unternehmen als Arbeitgeber schwer haben, den gesetzlichen Löschungsanspruch der Beschäftigten nach erklärtem Widerruf der Einwilligungserklärung in der Praxis (rechtssicher) zu erfüllen.

2. Übermittlung der Daten an Drittländer

Wie eingangs näher beschrieben, werden alle erhobenen Daten der Nutzer der gesamten Unternehmensgruppe weitergegeben.

Darüber hinaus werden (personenbezogene) Daten in weitere, sog. “unsichere Drittländer” mit Sitz in Singapur oder den USA übermittelt, welche das in der EU geltende Datenschutzniveau nicht garantieren können.

TikTok nutzt zudem den Dienst Appsflyer, um Nutzerdaten zu sammeln und die Werbung entsprechend anzupassen. Dabei ist derzeit unbekannt, wohin die Daten von Appsflyer verteilt werden. Der Dienst nennt über 4.500 mögliche Partnerfirmen, die auf die Daten zugreifen können.

3. Beteiligung von externen Dritten an Videos

Weitere Herausforderungen ergeben sich, wenn das jeweilige Unternehmen nicht die eigenen Beschäftigten in die Videoaufnahmen einbezieht, sondern externe Dritte (z.B. Influencer oder Models) zur Mitwirkung an den Videos beauftragt. Hierbei sind nicht nur die Vorgaben der DSGVO zu beachten, sondern auch vertragliche Beziehungen und weitere Gesetze. Für diesen Fall ist eine umfassende Rechtsberatung erforderlich, bei der Ihnen das Team von MKM LEGAL weiterhelfen kann.

Fazit

Die Nutzung von TikTok für geschäftliche Zwecke ist in datenschutzrechtlicher Hinsicht mit vielen Schwierigkeiten und Herausforderungen verbunden. Wenn Sie mehr über die unternehmerische Nutzung von TikTok erfahren möchten und auf Ihre Anforderungen hin konkrete Handlungsempfehlungen wünschen, kontaktieren Sie uns gern.