Laut BAG Weitergabe dienstlicher E-Mail-Adressen an Gewerkschaften unzulässig – Datenschutz News KW 05/2025

Transkript zur Folge:

Herzlich Willkommen zu eurem wöchentlichen Datenschutz-Talk.
Heute ist Freitag, der 31.01.2025. Unser Redaktionsschluss war heute etwas früher
als sonst, nämlich schon um 9 Uhr.
Und mein Name ist Natalia Wozniak und bei mir ist mein lieber Kollege Gregor Wortberg.
Hallo Natalia.
Hi Gregor. Wir haben heute wieder einen bunten Strauß an Themen mitgebracht.
Themen, Veranstaltungshinweise, Updates. Gregor, was hast du dabei?
Der erste Monat des Jahres ist schon wieder vorbei, stellt man mit Erschrecken fest.
Und da habe ich zwei Neuigkeiten mitgebracht. Einmal Neuigkeiten zum Weisungsrecht
des Europäischen Datenschutzausschusses und das Bundesverwaltungsgericht hat
im Kontext der telefonischen Werbung ein Urteil. Ich denke, mit Signalwirkung gesprochen.
Darüber hinaus habe ich noch zwei kleine Updates zu Themen aus der Vorwoche.
Ich habe auch etwas mitgebracht natürlich, und zwar ein Urteil des Bundesarbeitsgerichts
zur Unzulässigkeit der Weitergabe von dienstlichen E-Mail-Adressen an Gewerkschaften.
Ich habe ein, wie nennen wir das, Update oder Hinweis zur KI-Verordnung und
den Pflichten, die damit jetzt ab dem 1.2.
Einhergehen. Und ich habe einen Veranstaltungshinweis, einen Lesehinweis mitgebracht.
Gut, dann starte ich mal mit meiner ersten Meldung für heute.
Das Gericht der Europäischen Union hat entschieden, dass der Europäische Datenschutzausschuss
befugt ist, nationalen Aufsichtsbehörden Weisungen zum Beispiel zur Einleitung
von Untersuchungen gegen Unternehmen zu erteilen.
Dies gilt insbesondere dann, wenn bei der federführenden Aufsichtsbehörde,
Zitat, klar identifizierte Unzulänglichkeiten der Analyse der federführenden
Aufsichtsbehörde festgestellt werden, die auch erhebliche Folgen haben können.
Es ist ein kleiner Fingerzeig an die DPC, an die irische Datenschutzaufsichtsbehörde,
bei der das festgestellt wurde.
Das Urteil stärkt nämlich dann die Position des ETSA, des Europäischen Datenschutzausschusses
und betont auch nochmal seine Rolle in der einheitlichen Anwendung der DSGVO
innerhalb der Europäischen Union.
Und nationale Aufsichtsbehörden können halt demnach angewiesen werden,
bestimmte Maßnahmen zu ergreifen oder Untersuchungen durchzuführen.
Das sollte halt auch nochmal eine kohärente Durchsetzung der DSGVO sicherstellen.
Die irische Aufsichtsbehörde, Datenschutzaufsichtsbehörde, hatte seinerzeit
gegen Beschlüsse aus dem Jahr 2023 der ETSA geklagt, die sie verpflichteten,
neue Untersuchungen zu Datenverarbeitung bei Facebook, Instagram und WhatsApp
durchzuführen, die ja allesamt in Irland sitzen.
Die irische Behörde argumentierte seinerzeit oder auch in der Klage,
dass der Etzer nicht befugt sei, ihr Weisung zu erteilen und dass nationale
Gerichte der geeignete Gerichtsstand für solche Einwände seien.
Das Europäische Gericht wies diese Klage jedoch ab und bestätigte auch nochmal
die Unabhängigkeit und auch die Weisungsbefugnis des Europäischen Datenschutzausschusses
als überwachende Stelle der Aufsichtsbehörden der Mitgliedstaaten.
Rechtskräftig ist das Urteil übrigens noch nicht.
Da können beide Seiten noch Berufung beim Europäischen Gerichtshof einleiten.
Das Bundesarbeitsgericht hat in einem aktuellen Urteil vom 28.01.2025 entschieden,
dass die Herausgabe, also sowohl die Übermittlung als auch die Mitteilung von
dienstlichen E-Mail-Adressen der Mitarbeitenden, durch den Arbeitgeber an Gewerkschaften
datenschutzrechtlich nicht zulässig ist.
In dieser Grundsatzentscheidung hat das Bundesarbeitsgericht entschieden,
dass Unternehmen, also hier ging es um Adidas, die dienstlichen E-Mail-Adressen
ihrer Mitarbeitenden nicht an die Gewerkschaft herausgeben müssen.
Es ging darum, ob Gewerkschaften die E-Mail-Adressen der Mitarbeitenden nutzen
dürfen, um diese für Mitgliederwerbung und Informationen besser erreichen zu können.
Vor allem, weil viele Arbeitnehmerinnen und Arbeitnehmer mittlerweile doch im
Homeoffice oder mobil arbeiten und damit im Betrieb schwerer zu erreichen sind.
Ja, im Urteil wird vor allem deutlich, wie wichtig eine konkrete Abwägung der
Interessen zwischen den beteiligten Parteien, also den Arbeitgebern,
Arbeitnehmern und Gewerkschaften aus datenschutzrechtlicher Sicht ist.
Denn das Bundesarbeitsgericht hatte hier einerseits zugunsten der Gewerkschaft
die verfassungsrechtlich geschützte Betätigungsfreiheit aus Artikel 9 Absatz 3 Grundgesetz.
Andererseits aber auch die Grundrechte des Arbeitgebers Artikel 14 und Artikel
12 Grundgesetz sowie die Grundrechte der Arbeitnehmer aus Artikel 2 Absatz 1
in Verbindung mit Artikel 1 Absatz 1 Grundgesetz.
Wir erinnern uns, das was auch für unsere DSGVO bzw.
Früher für das Datenschutzrecht relevant war, das Recht auf informationelle
Selbstbestimmung zu berücksichtigen.
Das Gericht hat hier also tatsächlich die Grundrechte gegeneinander gehalten
und dabei aber auch wie oben festgehalten, dass die Herausgabe nicht zulässig ist.
Hat aber auch zugleich festgehalten, dass die E-Mail-Adressen durch die Mitarbeiter
selbst an die Gewerkschaft mitgeteilt werden können und diese dann durch die
Gewerkschaft genutzt werden dürfen.
So stehe es nach dem Bundesarbeitsgericht der Gewerkschaft frei bzw.
Die Möglichkeit offen, dass die Arbeitnehmer vor Ort im Betrieb nach ihrer betrieblichen
E-Mail-Adresse gefragt werden können.
Das wäre zugleich auch der schonendste Ausgleich zwischen den grundrechtlich
verbürgten Belangen. Ja, was bedeutet das jetzt für die Praxis?
Tatsächlich zum einen, dass diese Pflicht zur Herausgabe der E-Mail-Adressen
an die Gewerkschaft nicht besteht.
Was genau jetzt die Eckpunkte waren, kann ich an der Stelle nicht sagen,
da wir hier zuerst mal nur eine Pressemitteilung haben und das Urteil im Volltext
leider noch nicht verfügbar ist heute.
Vielleicht würde das Urteil auch anders ausfallen, wenn statt der wie hier bei
Adidas 20 bis 40 Prozent der Tätigkeit im Homeoffice die Mitarbeiter in einem
anderen Unternehmen vielleicht 100 Prozent im Homeoffice arbeiten würden.
Vielleicht würden weitere Hinweise sich aus dem Urteil noch dazu ergeben.
Aber erstmal, wir freuen uns auf das Urteil.
Das dürfte für den ein oder anderen Aufschrei sorgen, denke ich dann in Zukunft.
Gucken wir mal, also gerade von Gewerkschaften und Betriebsräten natürlich in dem Kontext.
Ja, ich denke, dass es in dem Urteil auch tatsächlich die Auseinandersetzung
auch mit den datenschutzrechtlichen Belangen noch ein bisschen besser ergeben
wird, inwiefern wir hier wirklich eine Einwilligung brauchen,
inwiefern oder aufgrund von welchen Abwägungen andere mögliche Rechtsgrundlagen
nicht zum Tragen kommen.
Das war jetzt leider in der Pressemitteilung noch nicht so ersichtlich.
Aufmerksamkeit wird auf jeden Fall auch das nächste Urteil, was ich mitgebracht
habe, auf sich ziehen und auch eine gewisse Signalwirkung haben.
Die Verarbeitung von Kontaktdaten, in dem Fall jetzt von Zahnarztpraxen,
zum Zweck der Telefonwerbung ist nach Urteil des Bundesverwaltungsgerichtes
ohne mutmaßliche Einwilligung unzulässig.
Dies hat das Gericht am 29. Januar entschieden.
Insbesondere seien die Regelungen des § 7 des Gesetzes gegen den unlauteren Wettbewerbungen.
Wie gesagt, die Entscheidung ist noch nicht veröffentlicht, liegt in einer Pressemitteilung
vor auf der Webseite des Gerichtes.
Im vorliegenden Fall hatte eine Firma, die Edelmetallreste von Zahnarztpraxen
ankauft, Kontaktdaten aus öffentlichen Verzeichnissen erhoben.
Also hier geht es um die Kontaktdaten der Praxen, nicht irgendwie um Patientendaten oder ähnliches.
Und diese Daten dann für Telefonwerbung genutzt.
Man könnte von klassischer Kalterquise sprechen in dem Fall dann.
Die zuständige Datenschutzaufsichtsbehörde untersagte die Praxis mangels Einwilligung der Betroffenen.
Die Firma argumentierte, dass die Datenschutzgrundverordnung eine Interessenabwägung
erlaube und ihr berechtigtes Interesse überwiege.
Die Vorinstanzen, also jetzt auch das Bundesverwaltungsgericht,
wiesen diese Argumentation zurück und bestätigen dann ja auch die Untersagung.
Das Urteil stellt klar, dass für Telefonwerbung eine ausdrückliche oder zumindest
mutmaßliche Einwilligung der kontaktierten Person erforderlich ist.
Das bloße Vorhandensein von Kontaktdaten und öffentlichen Verzeichnissen rechtfertigt
keine Nutzung zu Werbezwecken.
Unternehmen können sich, und das ist aus datenschutzrechtlicher Sicht natürlich
auch nochmal besonders interessant,
laut der Pressemitteilung nicht auf das berechtigte Interesse berufen,
wenn die Voraussetzungen des § 7 Absatz 2 Nummer 1 UWG, also Gesetz gegen den
unlauteren Wettbewerb,
nicht erfüllt sind und der verfolgte Verarbeitungszweck gegen diese Voraussetzungen auch verstoße.
Das grenzt das Ganze natürlich auch nochmal ein und da sollten Unternehmen natürlich
auch sicherstellen, dass sie vor der Durchführung von Telefonwerbung eben jene
Einwilligung dann auch eingeholt haben.
Und es ist daher dann auch wirklich ratsam, die eigenen Vertriebs- und Marketingstrategien
dahingehend zu prüfen, wo das vielleicht auch gelebte Praxis sein könnte.
Und ich glaube, das, was wir hier in dem Urteil nur für den Bereich der Telefonwerbung
lesen oder hören, ist das eine, und das lässt sich auch genauso übertragen,
auf Werbung auf anderen Kommunikationskanälen.
Auch da muss für die Anwendung von Artikel 6 Absatz 1 Lit.
11, also für die Interessenabwägung, auch der Paragraph 7 UWG betrachtet werden,
inwiefern die Werbung nach 7 UWG, obwohl wir da jetzt eigentlich nicht mehr
im Datenschutzrecht sind, inwiefern die Werbung danach nicht unzulässig ist.
Okay, ich komme zu meiner nächsten Meldung, nämlich der KI-Verordnung und den
damit einhergehenden Pflichten und vielleicht auch Verboten ab dem 1. Februar diesen Jahres.
Die KI-Verordnung tritt schrittweise in Kraft.
Sie verfolgt das Ziel, menschenzentrierte und vertrauenswürdige KI zu fördern,
ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte sicherzustellen
und gleichzeitig aber die Innovationen zu unterstützen. Ab dem 2.
Februar 2025, also ab diesem Sonntag übermorgen, treten die Kapitel 1 und 2
der Verordnung über die Künstliche Intelligenz, also die KI-Verordnung, in Kraft.
Diese Kapitel beinhalten neben den Regelungen zum Anwendungsbereich und diversen
Begriffsbestimmungen vor allem auch die Verpflichtung zur Schulung der Mitarbeitenden
im Umgang mit KI-System und Regelungen bzw.
Das Verbot bestimmter KI-Praktiken. Aus Artikel 4 ergibt sich konkret die Verpflichtung
für Unternehmen und Behörden, sicherzustellen, dass ihre Mitarbeitenden über
die notwendige Kompetenz im Umgang mit den eingesetzten KI-Systemen verfügen.
Artikel 5 dagegen definiert verbotene Praktiken im Zusammenhang mit dem Inverkehrbringen,
der Inbetriebnahme oder auch der Verwendung von KI-Systemen.
Dazu gehören zum Beispiel die manipulative Beeinflussung von Personen durch
KI-Systeme und das sogenannte Social Scoring durch Behörden.
Dementsprechend ist es wichtig, Schuldungsprogramme für Mitarbeitende zu entwickeln,
die den verantwortungsvollen Umgang mit KI-Systemen vermitteln.
Dies umfasst das Verständnis der spezifischen Anwendungen, die Bewertung von
Risiken und die Sensibilisierung für die datenschutzrechtlichen Aspekte.
Unternehmen sollten daher umgehend auch prüfen, ob sie KI-Systeme einsetzen,
die unter die verbotenen Praktiken fallen und gegebenenfalls Maßnahmen ergreifen,
um deren Nutzung einzustellen.
Durch proaktives Handeln können Unternehmen sicherstellen, dass sie den neuen
gesetzlichen Anforderungen entsprechen und das Vertrauen in ihre KI-Anwendungen stärken.
Wie eingangs angekündigt, habe ich in dieser Woche auch noch zwei Updates mitgebracht
zu Nachrichten aus der Vorwoche.
DeTrust hat aus seiner Webseite ein Update veröffentlicht, in dem wird verkündet,
dass kein weiteres Risiko für die vom Vorfall betroffenen Personen bestehe.
Ein anonymer Sicherheitsforscher habe den Angriff ausgeführt und die Daten im
Nachgang jedoch auch gelöscht.
Der Bericht des Hackers werde nun ausgewertet. Was in der letzten Woche also
von uns noch vermutet wurde, dass ein anonymer Sicherheitsforscher dahinter
stecken könnte, hat sich demnach dann bewahrheitet.
Datrust wurde durch den Chaos Computer Club so viel zur Vollständigkeit darüber
informiert, nachdem sich dann der Hacker anonym an den CCC gewendet hatte.
Ein weiteres Update betrifft das EU-US-Data-Privacy-Framework.
Wie Laura in der letzten Woche berichtete, zeichneten sich in Folge des Amtsantritts
von Donald Trump auch Auswirkungen auf das Framework ab.
Hier gibt es nun tatsächlich eine Erste Entwicklung, als dass die demokratischen
Mitglieder des Privacy and Civil Liberties Oversight Boards entlassen wurden.
Das gab dessen Sprecher in einer Pressemitteilung gekannt.
Das Gremium sei laut dieser Pressemitteilung aber weiterhin in der Lage,
seinen Aufgaben nachzukommen und freue sich auf die Ernennung neuer Mitglieder.
Hat das schön ausgedrückt. Andererseits gelten natürlich weiterhin die Ausführungen,
die Laura in der letzten Woche auch hinsichtlich der Sicherstellung der geeigneten
Garantien für eine Datenübermittlung an Dienstleister in den USA getroffen hat, auch weiterhin.
Und das wollen wir jetzt in aller Kürze natürlich nicht weiter ausführen als
Update, aber man sieht, okay, da ist tatsächlich dann Bewegung drin aufgrund
politischer Veränderung.
Okay, ich komme dann zu unserem abschließenden Lesehinweis.
Und zwar hat Neub die aktuelle ETSA-Statistiken über die Tätigkeiten der nationalen
Datenschutzbehörden, die vom ETSA für den Zeitraum 2018 bis 2023,
also für einen Fünfjahreszeitraum, bereitgestellt wurden, eben analysiert.
Neub zieht dabei das Resümee, dass nur 1,3 Prozent der Fälle vor EU-Behörden
tatsächlich zur Geldstrafe geführt haben.
Dabei wird in der Behandlung der Statistik durch Neub die Anzahl der Beschwerden
im Verhältnis gesetzt zu der Anzahl und Höhe der Strafen in den einzelnen Mitgliedsländern.
Von daher, ich glaube, eine ganz interessante Lektüre fürs Wochenende.
Vielleicht komme ich dazu und werde es mir selber auch einschauen.
Kleiner Spoiler, in Deutschland sind es knapp über 6 Prozent.
Wir liegen über EU-Schnitt.
Gut, nicht schlecht. Ja, und damit sind wir auch schon am Ende unserer Folge.
Wir hoffen, es hat euch gefallen.
Wir wünschen euch ein schönes Wochenende, wenn ihr das heute noch hört.
Oder einen guten Start in die nächste Woche, wenn ihr das Anfang der nächsten Woche hört.
Und ja, wir sagen Dankeschön fürs Zuhören und Tschüss bis zum nächsten Mal.
Bis zum nächsten Mal.