Das Oberlandesgericht (OLG) Dresden entschied in seinem Urteil vom 30. November 2021, dass der Geschäftsführer einer GmbH neben der Gesellschaft Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist und demnach als Gesamtschuldner haftet (Az.: 4 U 1158/21). Der SachverhaltDas Oberlandesgericht Dresden hatte über die Haftbarkeit einer GmbH und insbesondere von deren Geschäftsführer zu entscheiden. Der zugrunde liegende Sachverhalt war die Mitgliedsanfrage eines Autohändlers (Kläger) bei einer GmbH. Bevor über diese Mitgliedsanfrage entschieden wurde, beauftragte der Geschäftsführer der beklagten GmbH einen Privatdetektiv, Hintergrundrecherchen zu möglichen strafrechtlich relevanten Handlungen des Autohändlers durchzuführen. Dabei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Die Recherche des Detektivs kam schließlich zu dem Ergebnis, dass der Kläger tatsächlich in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt war. In dieser Erhebung von Daten sah der Kläger einen Datenschutzverstoß, der nicht durch Art. 6 Abs. 1 lit f. DSGVO zu rechtfertigen sei sowie einen Verstoß gegen Art. 10 DSGVO. Der Kläger verlangte sowohl von der Gesellschaft als auch von dem Geschäftsführer Schadensersatz in Höhe von 21.000 Euro. Die Beklagte dagegen sah keinen Grund für eine Haftung und ging ebenfalls mit dem Ziel einer Klageabweisung in Berufung. Der UrteilsspruchDas Oberlandesgericht sah einen Verstoß gegen die DSGVO als erwiesen an und

Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail: Sie schreiben E-Mails und empfangen sie. Berufsgeheimnisträger sind etwa Rechtsanwälte, Steuerberater, Ärzte, Psychotherapeuten, Apotheker, Mitarbeiter staatlich anerkannter Beratungsstellen, Sozialarbeiter sowie Mitarbeiter privater Kranken-, Unfall- oder Lebensversicherungen. Regelmäßig wird die E-Mail-Kommunikation personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) enthalten. Damit spielen datenschutzrechtliche Anforderungen an die Datensicherheit eine Rolle, über die jedoch vielfach Unsicherheit besteht. Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Hierzu gehören etwa der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. In der Konsequenz müssen Berufsgeheimnisträger daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen. Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Bei  besonders sensiblen Daten sollte eine „Inhaltsverschlüsselung“ das Mittel der Wahl darstellen“. Ein Unterschreiten

Aktuell bereiten sich viele Unternehmen auf die zweite Welle der Corona-Epidemie vor. Die wieder ansteigenden Zahlen machen es erforderlich, bestehende Konzepte zu prüfen, getroffenen Maßnahmen anzupassen und arbeitsvertragliche Regelungen zu erweitern. Datenschutz auch in Zeiten von Band pandemischen Epidemien gelten die Datenschutzrichtlinien. Private Kontaktdaten von Mitarbeiterinnen und Mitarbeitern sowie deren Gesundheitsdaten sind sensibel und können nur mit Einwilligung des Mitarbeiters, oder wenn der Schutz der anderen Beschäftigten es gebietet, erhoben und verarbeitet werden. Dabei ist zu beachten, dass die Verarbeitung nur so lange erlaubt ist, wie die Situation dieses erfordert. Wenn Behörden das Unternehmen um Auskunft bitten, z.B. im Zusammenhang mit einem infizierten Beschäftigten, darf und muss der Arbeitgeber die gewünschten Daten übermitteln. In der Regel erfolgt diese Meldung jedoch nicht durch die Unternehmen, sondern durch die Gesundheitsbehörden, die mit der Testung und Auswertung beauftragt sind. Im Falle eines positiven Corona-Infekts im Unternehmen, sind jedoch weiterführende Maßnahmen erforderlich, um den Schutz weiterer Personen zu gewährleisten. Gerade diese Situation erfordert es, eine Dokumentation anzulegen, in der auch personenbezogene Daten gespeichert sind. Da diese Dokumentation sensible Daten enthält, muss über ein Berechtigungssystem festgelegt sein, wer Zugriff auf diese Daten hat. Der Zugriff muss auf die minimale Anzahl an Personen beschränkt sein. Was

Die neue SARS-CoV-2 Arbeitsschutzregel wurde unter Koordination der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) gemeinsam von den Arbeitsschutzausschüssen beim Bundesarbeitsministerium erstellt. Die SARS-CoV-2 Arbeitsschutzregel trat am 20.08.2020 durch Veröffentlichung im Gemeinsamen Ministerialblatt in Kraft. Die SARS-CoV-2 Arbeitsschutzregel konkretisiert für den Zeitraum der epidemischen Lage von nationaler Tragweite gemäß § 5 Infektionsschutzgesetz die Anforderungen an den Arbeitsschutz. Die Regel stellt Maßnahmen für alle Bereiche des Wirtschaftslebens vor, mit denen das Infektionsrisiko für Beschäftigte gesenkt und auf niedrigem Niveau gehalten werden kann. Dabei bleiben Abstand, Hygiene und Masken die wichtigsten Instrumente, solange es keinen Impfschutz für CoViD-19 gibt. Betriebe, die die Regel anwenden, können davon ausgehen, dass sie rechtssicher handeln. Gleichwertige oder strengere Regeln, zum Beispiel aus der Biostoffverordnung oder aus dem Bereich des Infektionsschutzes, müssen jedoch weiterhin beachtet werden. Die Empfehlungen der Berufsgenossenschaften zur SARS-CoV-2, die sich ebenfalls am Arbeitsschutzstandard des BMAS orientieren, werden zusätzlich für branchenspezifische Konkretisierungen empfohlen. Quelle: https://www.baua.de/DE/Angebote/Rechtstexte-und-Technische-Regeln/Regelwerk/AR-CoV-2/AR-CoV-2.html