January 31, 2025

Laut BAG Weitergabe dienstlicher E-Mail-Adressen an Gewerkschaften unzulässig - Datenschutz News KW 05/2025

14 minutes

Was ist in der KW 05/2025 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

Wir geben einen kurzen Überblick der aktuellen Themen:

EuG bestätigt Weisungsrecht des EDSA gegenüber der DPC (Urteil vom 29.01.2025 – T-70/23, T-84/23 und T-111/23)

BAG, Urteil vom 28.01.2025 – 1 AZR 33/24 (Volltext noch nicht verfügbar)

Verarbeitung der Kontaktdaten von Zahnarztpraxen zum Zweck der Telefonwerbung ohne (mutmaßliche) Einwilligung unzulässig (BVerwG 6 C 3.23 – Urteil vom 29. Januar 2025 (Volltext noch nicht verfügbar))

Vorinstanzen:

OVG Saarlouis, OVG 2 A 111/22 – Urteil vom 20. April 2023

VG Saarlouis, VG 5 K 461/20 – Urteil vom 15. Dezember 2021

KI-VO: Pflichten ab 01.02.2025

Sicherheitslücke bei D-Trust

Pressemitteilung des Privacy and Civil Liberties Oversight Board (PCLOB)

Veröffentlichungen

NOYB-Analyse: Wie viele Geldstrafen folgen auf Datenschutz-Untersuchungen?

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/laut-bag-weitergabe-dienstlicher-e-mail-adressen-an-gewerkschaften-unzulassig-datenschutz-news-kw-05-2025/↗

Transkript zur Folge:

Herzlich Willkommen zu eurem wöchentlichen Datenschutz-Talk.

Heute ist Freitag, der 31.01.2025. Unser Redaktionsschluss war heute etwas früher

als sonst, nämlich schon um 9 Uhr.

Und mein Name ist Natalia Wozniak und bei mir ist mein lieber Kollege Gregor Wortberg.

Hallo Natalia.

Hi Gregor. Wir haben heute wieder einen bunten Strauß an Themen mitgebracht.

Themen, Veranstaltungshinweise, Updates. Gregor, was hast du dabei?

Der erste Monat des Jahres ist schon wieder vorbei, stellt man mit Erschrecken fest.

Und da habe ich zwei Neuigkeiten mitgebracht. Einmal Neuigkeiten zum Weisungsrecht

des Europäischen Datenschutzausschusses und das Bundesverwaltungsgericht hat

im Kontext der telefonischen Werbung ein Urteil. Ich denke, mit Signalwirkung gesprochen.

Darüber hinaus habe ich noch zwei kleine Updates zu Themen aus der Vorwoche.

Ich habe auch etwas mitgebracht natürlich, und zwar ein Urteil des Bundesarbeitsgerichts

zur Unzulässigkeit der Weitergabe von dienstlichen E-Mail-Adressen an Gewerkschaften.

Ich habe ein, wie nennen wir das, Update oder Hinweis zur KI-Verordnung und

den Pflichten, die damit jetzt ab dem 1.2.

Einhergehen. Und ich habe einen Veranstaltungshinweis, einen Lesehinweis mitgebracht.

Gut, dann starte ich mal mit meiner ersten Meldung für heute.

Das Gericht der Europäischen Union hat entschieden, dass der Europäische Datenschutzausschuss

befugt ist, nationalen Aufsichtsbehörden Weisungen zum Beispiel zur Einleitung

von Untersuchungen gegen Unternehmen zu erteilen.

Dies gilt insbesondere dann, wenn bei der federführenden Aufsichtsbehörde,

Zitat, klar identifizierte Unzulänglichkeiten der Analyse der federführenden

Aufsichtsbehörde festgestellt werden, die auch erhebliche Folgen haben können.

Es ist ein kleiner Fingerzeig an die DPC, an die irische Datenschutzaufsichtsbehörde,

bei der das festgestellt wurde.

Das Urteil stärkt nämlich dann die Position des ETSA, des Europäischen Datenschutzausschusses

und betont auch nochmal seine Rolle in der einheitlichen Anwendung der DSGVO

innerhalb der Europäischen Union.

Und nationale Aufsichtsbehörden können halt demnach angewiesen werden,

bestimmte Maßnahmen zu ergreifen oder Untersuchungen durchzuführen.

Das sollte halt auch nochmal eine kohärente Durchsetzung der DSGVO sicherstellen.

Die irische Aufsichtsbehörde, Datenschutzaufsichtsbehörde, hatte seinerzeit

gegen Beschlüsse aus dem Jahr 2023 der ETSA geklagt, die sie verpflichteten,

neue Untersuchungen zu Datenverarbeitung bei Facebook, Instagram und WhatsApp

durchzuführen, die ja allesamt in Irland sitzen.

Die irische Behörde argumentierte seinerzeit oder auch in der Klage,

dass der Etzer nicht befugt sei, ihr Weisung zu erteilen und dass nationale

Gerichte der geeignete Gerichtsstand für solche Einwände seien.

Das Europäische Gericht wies diese Klage jedoch ab und bestätigte auch nochmal

die Unabhängigkeit und auch die Weisungsbefugnis des Europäischen Datenschutzausschusses

als überwachende Stelle der Aufsichtsbehörden der Mitgliedstaaten.

Rechtskräftig ist das Urteil übrigens noch nicht.

Da können beide Seiten noch Berufung beim Europäischen Gerichtshof einleiten.

Das Bundesarbeitsgericht hat in einem aktuellen Urteil vom 28.01.2025 entschieden,

dass die Herausgabe, also sowohl die Übermittlung als auch die Mitteilung von

dienstlichen E-Mail-Adressen der Mitarbeitenden, durch den Arbeitgeber an Gewerkschaften

datenschutzrechtlich nicht zulässig ist.

In dieser Grundsatzentscheidung hat das Bundesarbeitsgericht entschieden,

dass Unternehmen, also hier ging es um Adidas, die dienstlichen E-Mail-Adressen

ihrer Mitarbeitenden nicht an die Gewerkschaft herausgeben müssen.

Es ging darum, ob Gewerkschaften die E-Mail-Adressen der Mitarbeitenden nutzen

dürfen, um diese für Mitgliederwerbung und Informationen besser erreichen zu können.

Vor allem, weil viele Arbeitnehmerinnen und Arbeitnehmer mittlerweile doch im

Homeoffice oder mobil arbeiten und damit im Betrieb schwerer zu erreichen sind.

Ja, im Urteil wird vor allem deutlich, wie wichtig eine konkrete Abwägung der

Interessen zwischen den beteiligten Parteien, also den Arbeitgebern,

Arbeitnehmern und Gewerkschaften aus datenschutzrechtlicher Sicht ist.

Denn das Bundesarbeitsgericht hatte hier einerseits zugunsten der Gewerkschaft

die verfassungsrechtlich geschützte Betätigungsfreiheit aus Artikel 9 Absatz 3 Grundgesetz.

Andererseits aber auch die Grundrechte des Arbeitgebers Artikel 14 und Artikel

12 Grundgesetz sowie die Grundrechte der Arbeitnehmer aus Artikel 2 Absatz 1

in Verbindung mit Artikel 1 Absatz 1 Grundgesetz.

Wir erinnern uns, das was auch für unsere DSGVO bzw.

Früher für das Datenschutzrecht relevant war, das Recht auf informationelle

Selbstbestimmung zu berücksichtigen.

Das Gericht hat hier also tatsächlich die Grundrechte gegeneinander gehalten

und dabei aber auch wie oben festgehalten, dass die Herausgabe nicht zulässig ist.

Hat aber auch zugleich festgehalten, dass die E-Mail-Adressen durch die Mitarbeiter

selbst an die Gewerkschaft mitgeteilt werden können und diese dann durch die

Gewerkschaft genutzt werden dürfen.

So stehe es nach dem Bundesarbeitsgericht der Gewerkschaft frei bzw.

Die Möglichkeit offen, dass die Arbeitnehmer vor Ort im Betrieb nach ihrer betrieblichen

E-Mail-Adresse gefragt werden können.

Das wäre zugleich auch der schonendste Ausgleich zwischen den grundrechtlich

verbürgten Belangen. Ja, was bedeutet das jetzt für die Praxis?

Tatsächlich zum einen, dass diese Pflicht zur Herausgabe der E-Mail-Adressen

an die Gewerkschaft nicht besteht.

Was genau jetzt die Eckpunkte waren, kann ich an der Stelle nicht sagen,

da wir hier zuerst mal nur eine Pressemitteilung haben und das Urteil im Volltext

leider noch nicht verfügbar ist heute.

Vielleicht würde das Urteil auch anders ausfallen, wenn statt der wie hier bei

Adidas 20 bis 40 Prozent der Tätigkeit im Homeoffice die Mitarbeiter in einem

anderen Unternehmen vielleicht 100 Prozent im Homeoffice arbeiten würden.

Vielleicht würden weitere Hinweise sich aus dem Urteil noch dazu ergeben.

Aber erstmal, wir freuen uns auf das Urteil.

Das dürfte für den ein oder anderen Aufschrei sorgen, denke ich dann in Zukunft.

Gucken wir mal, also gerade von Gewerkschaften und Betriebsräten natürlich in dem Kontext.

Ja, ich denke, dass es in dem Urteil auch tatsächlich die Auseinandersetzung

auch mit den datenschutzrechtlichen Belangen noch ein bisschen besser ergeben

wird, inwiefern wir hier wirklich eine Einwilligung brauchen,

inwiefern oder aufgrund von welchen Abwägungen andere mögliche Rechtsgrundlagen

nicht zum Tragen kommen.

Das war jetzt leider in der Pressemitteilung noch nicht so ersichtlich.

Aufmerksamkeit wird auf jeden Fall auch das nächste Urteil, was ich mitgebracht

habe, auf sich ziehen und auch eine gewisse Signalwirkung haben.

Die Verarbeitung von Kontaktdaten, in dem Fall jetzt von Zahnarztpraxen,

zum Zweck der Telefonwerbung ist nach Urteil des Bundesverwaltungsgerichtes

ohne mutmaßliche Einwilligung unzulässig.

Dies hat das Gericht am 29. Januar entschieden.

Insbesondere seien die Regelungen des § 7 des Gesetzes gegen den unlauteren Wettbewerbungen.

Wie gesagt, die Entscheidung ist noch nicht veröffentlicht, liegt in einer Pressemitteilung

vor auf der Webseite des Gerichtes.

Im vorliegenden Fall hatte eine Firma, die Edelmetallreste von Zahnarztpraxen

ankauft, Kontaktdaten aus öffentlichen Verzeichnissen erhoben.

Also hier geht es um die Kontaktdaten der Praxen, nicht irgendwie um Patientendaten oder ähnliches.

Und diese Daten dann für Telefonwerbung genutzt.

Man könnte von klassischer Kalterquise sprechen in dem Fall dann.

Die zuständige Datenschutzaufsichtsbehörde untersagte die Praxis mangels Einwilligung der Betroffenen.

Die Firma argumentierte, dass die Datenschutzgrundverordnung eine Interessenabwägung

erlaube und ihr berechtigtes Interesse überwiege.

Die Vorinstanzen, also jetzt auch das Bundesverwaltungsgericht,

wiesen diese Argumentation zurück und bestätigen dann ja auch die Untersagung.

Das Urteil stellt klar, dass für Telefonwerbung eine ausdrückliche oder zumindest

mutmaßliche Einwilligung der kontaktierten Person erforderlich ist.

Das bloße Vorhandensein von Kontaktdaten und öffentlichen Verzeichnissen rechtfertigt

keine Nutzung zu Werbezwecken.

Unternehmen können sich, und das ist aus datenschutzrechtlicher Sicht natürlich

auch nochmal besonders interessant,

laut der Pressemitteilung nicht auf das berechtigte Interesse berufen,

wenn die Voraussetzungen des § 7 Absatz 2 Nummer 1 UWG, also Gesetz gegen den

unlauteren Wettbewerb,

nicht erfüllt sind und der verfolgte Verarbeitungszweck gegen diese Voraussetzungen auch verstoße.

Das grenzt das Ganze natürlich auch nochmal ein und da sollten Unternehmen natürlich

auch sicherstellen, dass sie vor der Durchführung von Telefonwerbung eben jene

Einwilligung dann auch eingeholt haben.

Und es ist daher dann auch wirklich ratsam, die eigenen Vertriebs- und Marketingstrategien

dahingehend zu prüfen, wo das vielleicht auch gelebte Praxis sein könnte.

Und ich glaube, das, was wir hier in dem Urteil nur für den Bereich der Telefonwerbung

lesen oder hören, ist das eine, und das lässt sich auch genauso übertragen,

auf Werbung auf anderen Kommunikationskanälen.

Auch da muss für die Anwendung von Artikel 6 Absatz 1 Lit.

11, also für die Interessenabwägung, auch der Paragraph 7 UWG betrachtet werden,

inwiefern die Werbung nach 7 UWG, obwohl wir da jetzt eigentlich nicht mehr

im Datenschutzrecht sind, inwiefern die Werbung danach nicht unzulässig ist.

Okay, ich komme zu meiner nächsten Meldung, nämlich der KI-Verordnung und den

damit einhergehenden Pflichten und vielleicht auch Verboten ab dem 1. Februar diesen Jahres.

Die KI-Verordnung tritt schrittweise in Kraft.

Sie verfolgt das Ziel, menschenzentrierte und vertrauenswürdige KI zu fördern,

ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte sicherzustellen

und gleichzeitig aber die Innovationen zu unterstützen. Ab dem 2.

Februar 2025, also ab diesem Sonntag übermorgen, treten die Kapitel 1 und 2

der Verordnung über die Künstliche Intelligenz, also die KI-Verordnung, in Kraft.

Diese Kapitel beinhalten neben den Regelungen zum Anwendungsbereich und diversen

Begriffsbestimmungen vor allem auch die Verpflichtung zur Schulung der Mitarbeitenden

im Umgang mit KI-System und Regelungen bzw.

Das Verbot bestimmter KI-Praktiken. Aus Artikel 4 ergibt sich konkret die Verpflichtung

für Unternehmen und Behörden, sicherzustellen, dass ihre Mitarbeitenden über

die notwendige Kompetenz im Umgang mit den eingesetzten KI-Systemen verfügen.

Artikel 5 dagegen definiert verbotene Praktiken im Zusammenhang mit dem Inverkehrbringen,

der Inbetriebnahme oder auch der Verwendung von KI-Systemen.

Dazu gehören zum Beispiel die manipulative Beeinflussung von Personen durch

KI-Systeme und das sogenannte Social Scoring durch Behörden.

Dementsprechend ist es wichtig, Schuldungsprogramme für Mitarbeitende zu entwickeln,

die den verantwortungsvollen Umgang mit KI-Systemen vermitteln.

Dies umfasst das Verständnis der spezifischen Anwendungen, die Bewertung von

Risiken und die Sensibilisierung für die datenschutzrechtlichen Aspekte.

Unternehmen sollten daher umgehend auch prüfen, ob sie KI-Systeme einsetzen,

die unter die verbotenen Praktiken fallen und gegebenenfalls Maßnahmen ergreifen,

um deren Nutzung einzustellen.

Durch proaktives Handeln können Unternehmen sicherstellen, dass sie den neuen

gesetzlichen Anforderungen entsprechen und das Vertrauen in ihre KI-Anwendungen stärken.

Wie eingangs angekündigt, habe ich in dieser Woche auch noch zwei Updates mitgebracht

zu Nachrichten aus der Vorwoche.

DeTrust hat aus seiner Webseite ein Update veröffentlicht, in dem wird verkündet,

dass kein weiteres Risiko für die vom Vorfall betroffenen Personen bestehe.

Ein anonymer Sicherheitsforscher habe den Angriff ausgeführt und die Daten im

Nachgang jedoch auch gelöscht.

Der Bericht des Hackers werde nun ausgewertet. Was in der letzten Woche also

von uns noch vermutet wurde, dass ein anonymer Sicherheitsforscher dahinter

stecken könnte, hat sich demnach dann bewahrheitet.

Datrust wurde durch den Chaos Computer Club so viel zur Vollständigkeit darüber

informiert, nachdem sich dann der Hacker anonym an den CCC gewendet hatte.

Ein weiteres Update betrifft das EU-US-Data-Privacy-Framework.

Wie Laura in der letzten Woche berichtete, zeichneten sich in Folge des Amtsantritts

von Donald Trump auch Auswirkungen auf das Framework ab.

Hier gibt es nun tatsächlich eine Erste Entwicklung, als dass die demokratischen

Mitglieder des Privacy and Civil Liberties Oversight Boards entlassen wurden.

Das gab dessen Sprecher in einer Pressemitteilung gekannt.

Das Gremium sei laut dieser Pressemitteilung aber weiterhin in der Lage,

seinen Aufgaben nachzukommen und freue sich auf die Ernennung neuer Mitglieder.

Hat das schön ausgedrückt. Andererseits gelten natürlich weiterhin die Ausführungen,

die Laura in der letzten Woche auch hinsichtlich der Sicherstellung der geeigneten

Garantien für eine Datenübermittlung an Dienstleister in den USA getroffen hat, auch weiterhin.

Und das wollen wir jetzt in aller Kürze natürlich nicht weiter ausführen als

Update, aber man sieht, okay, da ist tatsächlich dann Bewegung drin aufgrund

politischer Veränderung.

Okay, ich komme dann zu unserem abschließenden Lesehinweis.

Und zwar hat Neub die aktuelle ETSA-Statistiken über die Tätigkeiten der nationalen

Datenschutzbehörden, die vom ETSA für den Zeitraum 2018 bis 2023,

also für einen Fünfjahreszeitraum, bereitgestellt wurden, eben analysiert.

Neub zieht dabei das Resümee, dass nur 1,3 Prozent der Fälle vor EU-Behörden

tatsächlich zur Geldstrafe geführt haben.

Dabei wird in der Behandlung der Statistik durch Neub die Anzahl der Beschwerden

im Verhältnis gesetzt zu der Anzahl und Höhe der Strafen in den einzelnen Mitgliedsländern.

Von daher, ich glaube, eine ganz interessante Lektüre fürs Wochenende.

Vielleicht komme ich dazu und werde es mir selber auch einschauen.

Kleiner Spoiler, in Deutschland sind es knapp über 6 Prozent.

Wir liegen über EU-Schnitt.

Gut, nicht schlecht. Ja, und damit sind wir auch schon am Ende unserer Folge.

Wir hoffen, es hat euch gefallen.

Wir wünschen euch ein schönes Wochenende, wenn ihr das heute noch hört.

Oder einen guten Start in die nächste Woche, wenn ihr das Anfang der nächsten Woche hört.

Und ja, wir sagen Dankeschön fürs Zuhören und Tschüss bis zum nächsten Mal.

Bis zum nächsten Mal.

Der Beitrag Laut BAG Weitergabe dienstlicher E-Mail-Adressen an Gewerkschaften unzulässig – Datenschutz News KW 05/2025 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz