Im März fand die 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder statt. Die Behörden verabschiedeteten u.a. Entschließungen gegen das Safe Harbor-Abkommen und warnten vor einer Verwässerung der Europäischen Datenschutz-Grundverordnung.
Safe Harbor reicht nach Ansicht der Behörden nicht aus
Nach Ansicht der Datenschutzbehörden reicht das Safe Harbor-Abkommen nicht aus, um einen Datenexport in die USA zu legitimieren. Diese Ansicht bekräftigten sie in einer entsprechenden Entschließung. Die Behörden vermuten mit großer Wahrscheinlichkeit eine gravierende Verletzung der Grundsätze des Abkommens, wie sie in der Entschließung mitteilen. Als Grund für die versagte Legitimität des Datenexports ist aus Sicht der Behörden, dass die Zweckbindung der Daten nicht sichergestellt sei und der Zugriff staatlicher Stellen in den USA nicht auf ein erforderliches und grundrechtskonformes Maß beschränkt bleibe. Zudem fehle es den Betroffenen an einem effektiven Rechtsschutz. Unzulässig oder falsch gespeicherte Daten könnten nicht effektiv gelöscht bzw. berichtigt werden und es mangele an der wirksamen Umsetzung des Auskunftsanspruches.
Gegen diese Auffassung stellt sich das Bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2013/2014 (S. 105-106). Das Safe Harbor-Abkommen sei in Kraft und damit für die deutschen Behörden verbindlich. Anders als andere deutsche Behörden hat das bayerische Landesamt keine Maßnahmen zur Unterbindung des Datenexports in die USA eingeleitet.
Datenschutz-Grundverordnung soll keine „Mogelpackung“ werden
Hinsichtlich der geplanten Datenschutz-Grundverordnung (DS-GVO) warnten die Behörden davor, dass die Verordnung zu einer „Mogelpackung“ verkommen könne. Der Rat der europäischen Innen- und Justizminister habe Änderungen der DS-GVO beschlossen, die „zentrale Datenschutzgrundsätze“ aushebeln würden. Die Behörden befürchten zum einen, dass in der DS-GVO der Grundsatz der Datensparsamkeit nicht verankert wird.
Zum anderen soll nach dem Willen des Rates die Zweckbindung der Daten gelockert werden, die Behörden sehen sogar die Aufgabe der Zweckbindung in den neuen Regelungen verwirklicht. In Zukunft sollen Daten ohne weitere Rechtsgrundlage zu einem neuen Zweck verarbeitet werden können, wenn dieser mit dem ursprünglichen Zweck vereinbar ist. Auch sollen Zweckänderungen erlaubt sein, wenn die verarbeitende Stelle ein „berechtigtes Interesse“ an der Änderung hat. Ferner soll die Datenverarbeitung zum Zweck des Direktmarketing privilegiert werden.
Die Behörden sehen eine deutliche Schwächung des Persönlichkeitsrechts der Betroffenen durch eine Schwächung des Instruments der Einwilligung (opt-in) und der Privilegierung der Datenverarbeitung zu Forschungszwecken.
Behörden sehen Klärungsbedarf beim Mindestlohngesetz
Hinsichtlich des Mindestlohngesetzes sehen die Behörden Klärungsbedarf. Da das Gesetz nicht vorschreibe, wie die Einhaltung zu kontrollieren sei und Auftraggeber ggf. für ihre Auftragnehmer – und von diesen bestellte Subunternehmer – haften, würden sich etliche Unternehmen mit umfänglichen Kontroll- und Einsichtsrechten in personenbezogene Beschäftigtendaten absichern. Die Datenschutzkonferenz beruft sich hierbei auf die Industrie- und Handelskammern.
Aktuelles Vorgehen datenschutzrechtlich nicht hinnehmbar
Die Unternehmen würden u.a. Einsicht in Lohnlisten und Verdienstbescheinigungen nehmen. Dieses Vorgehen ist aus Sicht der Datenschutzkonferenz nicht hinnehmbar. Allenfalls stichprobenartige Überprüfungen geschwärzter Verdienstbescheinigungen erachten die Datenschutzbehörden als zulässig. Aus ihrer Sicht soll für die Einhaltung des Gesetzes eine schriftliche Erklärung des Auftragnehmers reichen.
Ob diese Ansicht Bestand haben wird, muss allerdings abgewartet werden. Eine gerichtliche Überprüfung der Rechte und Pflichten von Auftraggeber und Auftragnehmer wird, gerade in Haftungsfragen, nicht ausbleiben. Um Auseinandersetzungen mit den Datenschutzbehörden zu vermeiden, sollte deren Ansicht als Richtschnur verwendet werden. Das heißt: bei der Kontrolle zur Einhaltung des Mindestlohngesetzes so wenig Daten verarbeiten wie möglich und immer versichern, ob die jeweiligen Daten wirklich erforderlich sind.