Der aktuelle Tätigkeitsbericht der Hamburger Aufsichtsbehörde (HmbBfDI) zeigt exemplarisch die Dauerbrenner der Behörde, die auch in unserer Beratungspraxis häufig vorkommen. Ein Blick lohnt sich deshalb allemal.
Erleben Sie Datenschutz neu. Wir unterstützen Sie als externer Datenschutzbeauftragter Hamburg bei der rechtssicheren Nutzung von Daten. Mit persönlichen Legal Consultants, unserer Software DataDesk und Mitarbeiterschulung über E-Learning haben Sie keinen DSGVO-Stress und Zeit für Ihre Projekte
Aufbewahrungsdauer von Bewerbungsunterlagen
Die Frage, wie lange Bewerbungsunterlagen maximal gespeichert werden dürfen, ist regelmäßig Thema in unseren Beratungsgesprächen. Sofern das Bewerbungsverfahren mit einer positiven Auswahlentscheidung endet, sind die Bewerbungsunterlagen in die Personalakte zu überführen. Endet das Bewerbungsverfahren hingegen mit einer Ablehnung, sind die Bewerbungsunterlagen der unterlegenen Bewerber:innen zu löschen. Damit das Unternehmen im Falle einer Klage der unterlegenen Bewerber:innen die sachlichen Gründe seiner Ablehnungsentscheidung nachweisen kann, ist es jedoch vertretbar, dass die Bewerbungsdaten bis zum Ablauf von insgesamt 6 Monaten nach der ablehnenden Entscheidung aufbewahrt werden dürfen.
Doch wie kommt es zu dieser Frist? Nach dem Allgemeinen Gleichbehandlungsgesetz müssen Schadensersatz- oder Entschädigungsansprüche innerhalb einer Zweimonatsfrist nach Zugang des Ablehnungsschreibens geltend gemacht werden (§ 15 Absatz 4 AGG). Nur wenn innerhalb dieses Zeitraums Ansprüche gegenüber Arbeitgeber:innen erhoben werden, schließt sich die dreimonatige Frist des Arbeitsgerichtsgesetzes an (§ 61b Absatz 1 ArbGG). Ein weiterer Monat wird für Postweg und Bearbeitung anerkannt.
Diese Speicherdauer billigt auch der HmbBfDI in seinem Tätigkeitsbericht für das Jahr 2021. Doch keine Regel ohne Ausnahme: Unternehmen dürfen nach Aussage des HmbBfDI nicht auf die starre Speicherfrist von sechs Monaten beharren, wenn die betroffene Person spätestens zwei Monate nach Erhalt des Ablehnungsschreibens die Löschung ihrer personenbezogenen Daten begehrt und in der Zwischenzeit keine Schadensersatz- oder Entschädigungsansprüche geltend gemacht wurden. In diesen Fällen entfalle die Erforderlichkeit der weiteren Speicherung und die Daten seien umgehend zu löschen.
Wir halten die Bewertung der Hamburger Aufsichtsbehörde für überzeugend, sehen jedoch gleichwohl die Schwierigkeit, dass Unternehmen damit Löschbegehren von abgelehnten Bewerber:innen im Einzelfall Rechnung tragen müssen und sich nicht auf Löschroutinen zurückziehen können. Dennoch dürfte die Umsetzung der Entscheidung bei einem sinnvoll aufgebauten Datenschutzmanagementsystem handhabbar sein. Wenn Sie hierfür Unterstützung benötigen, kommen Sie gerne auf uns zu.
Anforderungen an die Gestaltung des Consent Management Tools („Cookie-Banner“)
Es gibt wohl keinen Tätigkeitsbericht ohne Ausführungen zur Gestaltung eines Consent Management Tools („CMT“). Hierfür sorgt der Verein „Europäisches Zentrum für digitale Rechte“ („NOYB“), der im großen Stil CMTs von Websites auf die Rechtskonformität überprüft und regelmäßig Beschwerden – im Jahr 2021 waren es 422 – bei verschiedenen europäischen Aufsichtsbehörden einreicht.
Der Tätigkeitsbericht beschreibt insbesondere das Risiko, das mit „Nudging“ und „Dark Patterns“ einhergeht. Beides zielt im Ergebnis darauf ab, Websitebesucher:innen durch grafische Gestaltung des CMT zu Handlungen zu verleiten, die nicht ihren wahren Interessen entsprechen und diesen sogar zuwiderlaufen können. Dies kann u. a. mit unzureichenden Informationen zu eingesetzten Cookies, Falschbezeichnung von Cookie-Funktionen, bereits vorausgewählten Häkchen in den Einstellungen oder auch durch verwirrende Farbgestaltungen von Auswahlfeldern erfolgen.
Der Tätigkeitsbericht konnte sich jedoch nicht zu einer abschließenden rechtlichen Einordnung der genannten Gestaltungsformen durchringen, da dies einheitlich und abgestimmt mit den anderen Aufsichtsbehörden erfolgen soll. Die Hamburger Aufsichtsbehörde lässt jedoch deutlich kritische Töne erkennen. Dies deckt sich mit unserer Beratungspraxis. Gestaltungsformen unter Verwendung von Nudging und Dark Patterns bewegen sich häufig zumindest im „Graubereich“ und sollten gemieden werden. Denn an dieser Stelle muss man sich vergegenwärtigen, dass das Consent Management Tool dazu dient, eine Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 Buchst. a DSGVO einzuholen. Solche Gestaltungsformen lassen jedoch regelmäßig keine freiwillige, in informierter Weise und unmissverständlich abgegebene Entscheidung von Websitebesucher:innen mehr erkennen und sind daher rechtswidrig. Sind sie unsicher, ob die Gestaltungsform Ihres Consent Management Tool den gesetzlichen Voraussetzungen entspricht, kommen Sie gerne auf uns zu.
Doch eines scheint zumindest nach Ansicht der Hamburger Aufsichtsbehörde klar. Auf der ersten Seite eines CMT muss ein „Alles-Ablehnen-Button“ implementiert sein. Dies hat die Hamburger Aufsichtsbehörde im April 2022 in einem Verfahren gegen Google ausdrücklich betont.
Drittlandtransfer – Der Einsatz von Zoom als Videokonferenz-Tool
Aufsehenerregend war die ausgesprochene formelle Warnung der Hamburger Aufsichtsbehörde für Datenschutz gegen die Hamburger Senatskanzlei wegen der Verwendung der Videokonferenzsoftware „Zoom“ in der sog. on-demand-Variante. Dies verstoße gegen die Datenschutzgrundverordnung, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht nach dem Urteil des EuGHs in Sachen Schrems-II kein ausreichender Schutz für solche Daten, sodass ergänzende Maßnahmen für den Datentransfer getroffen werden müssen. Dabei lassen die von der Senatskanzlei vorgelegten Unterlagen zum Einsatz von Zoom jedoch gerade nicht erkennen, dass die Vorgaben des Europäischen Datenschutzausschusses zu Datentransfers in Drittländer für die ergänzenden Maßnahmen eingehalten wurden.
Damit geht jedoch nicht zwingend einher, dass die Verwendung von Zoom generell nicht mehr datenschutzkonform erfolgen kann. Wir halten es weiterhin grundsätzlich für vertretbar den Einsatz von Zoom auf Standardvertragsklauseln zu stützen. Hierzu muss jedoch – wie vom Europäischen Datenschutzausschuss gefordert – eine Risikoabwägung (Transfer Impact Assessment) anhand des jeweiligen Einzelfalls durchgeführt und dokumentiert werden. Gerne unterstützen wir Sie bei der datenschutzkonformen Ausgestaltung von Zoom.
Unterstützung für Hamburger Unternehmen
Der Tätigkeitsbericht 2021 der Hamburgischen Aufsichtsbehörde lenkt den Fokus auf ausgewählte Themen, mit denen sich die Behörde befasst hat. Für Unternehmen aus Hamburg sind diese Informationen wertvoll, weil sie eine selbstkritische Reflexion über die eigenen Datenverarbeitungen und DSGVO-Prozesse ermöglichen.
Die Datenschutzkanzlei begleitet Hamburger Unternehmen als externe Datenschutzbeauftragte für Hamburg und unterstützt bei der Umsetzung von DSGVO-Vorgaben – sowohl durch den Aufbau eines strukturierten Datenschutz-Managements als auch bei den täglichen Datenschutzfragen und natürlich Verfahren der HmbBfDI. Unsere Berater:innen aus dem Grindelviertel unterstützen Sie gerne!
Dr. Christoph Aust
Rechtsanwalt