Home / Aktuelles & Termine / it.sec blog

Art. 88 Datenschutzgrundverordnung (DSGVO) gibt den Mitgliedstaaten die Möglichkeit, spezifischere Vorschriften zum Schutz der Beschäftigten bei Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber zu erlassen.

Dabei müssen mindestens die folgenden Bereiche geregelt werden, damit durch die damit verbundene Datenverarbeitung die Grundrechte und schutzwürdige Interessen der Beschäftigten gewahrt bleiben:

- Datenübermittlungen innerhalb einer Unternehmensgruppe

- Überwachungssysteme am Arbeitsplatz

Die Vorschriften müssen zudem für die Beschäftigten verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein und Vorgaben enthalten, dass der Arbeitgeber seinen Informationspflichten gegenüber den Beschäftigten nachzukommen und die Verarbeitungsprozesse transparent zu machen hat. Die Beschäftigten müssen nachvollziehen können, ob, von wem und zu welchen Zwecken ihre Daten verarbeitet werden.

Derzeit sieht ein entsprechender Gesetzesentwurf die Regelung des Beschäftigtendatenschutzes in Deutschland mit folgenden Neuerungen vor:

- An die Wirksamkeit von Einwilligungen der Beschäftigten in die Verarbeitung ihrer Daten werden strengere Anforderungen gestellt.

- Die Datenverarbeitung ist auch auf Grundlage von Kollektivvereinbarungen (d.h. Tarifverträge und Betriebsvereinbarungen gemäß Erwägungsgrund 155 DSGVO) oder zur Erfüllung der Rechte und Pflichten der Interessenvertretungen der Beschäftigten zulässig.

- Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) soll zudem zulässig sein, wenn dies zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.

- Leiharbeiter werden als Beschäftigte des entleihenden Unternehmens definiert.

Die weiteren Anforderungen aus Art. 88 DSGVO wurden dabei jedoch nicht berücksichtigt. So sind beispielsweise keine Regelungen hinsichtlich der Datenverarbeitung innerhalb eines Konzerns, zum Schutz des Eigentums des Arbeitgebers oder zur Aufdeckung von Pflichtverletzungen, die noch keine Straftaten darstellen, aber zur Kündigung des Mitarbeiters durch den Arbeitgeber berechtigen, enthalten.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat am 1. Juni 2017 ein Positionspapier veröffentlicht, das datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren ausspricht (vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/DatenschutzrechtlicheEmpfehlungenVernetztesAuto.html?nn=5217154).

Die 13 Empfehlungen sind im Wesentlichen Umsetzungen der Datenschutzgrundverordnung für den Betrieb intelligenter Fahrzeuge. So darf die Datenverarbeitung im Fahrzeug und für datenbasierte Dienste nur im notwenigen Umfang auf personenbezogene Daten zugreifen (Empfehlung 3). Nach dem Grundsatz "Privacy by default" müssen datenschutzfreundliche Voreinstellungen etabliert werden (Empfehlung 9). Die Systeme müssen einen wirksamen Schutz vor Cyber-Angriffen bieten (Empfehlung 13). Die Empfehlungen gehen nicht ins Detail, sind aber hilfreiche Richtlinien bei der Gestaltung datenschutzkonformer IT-Systeme in intelligenten Fahrzeugen.

Die 13 Empfehlungen wurden anlässlich eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug auf Einladung der BfDI veröffentlicht. In ihrer Eröffnungsrede wies die BfDI darauf hin, moderne Fahrzeuge würden bereits jetzt Daten zum Fahrverhalten und den zurückgelegten Wegen sammeln, aus denen sich Persönlichkeitsprofile erstellen ließen. Fahrer müssten daher die volle Hoheit über die Verwendung personalisierter Fahrzeugdaten haben. Über jede Datenverwendung müsse im Sinne einer vollständigen Transparenz unterrichtet werden (Näheres finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/13_SymposiumAutomatisiertesFahren.html).

Die Fahrzeugindustrie, die nach dem Diesel-Abgasskandal viel Vertrauen verloren hat, versucht solches wiederzugewinnen.
BMW hat in einer Pressemitteilung vom 30. Mai 2017 erklärt, der „Schutz der Fahrzeugdaten gehöre zum Verständnis von Premium beim hochvernetzten Fahrzeug“ (vgl. unter https://www.press.bmwgroup.com/deutschland/article/detail/T0271366DE/bmw-group-startet-bmw-cardata:-neue-und-innovative-services-fuer-den-kunden-%E2%80%93-sicher-und-transparent?language=de). Kunden sollten die Möglichkeit erhalten zu entscheiden, was mit den Daten passiere. Das soll mit BMW CarData möglich sein. Fahrzeugdaten, wie der durchschnittliche Kraftstoffverbrauch, würden verschlüsselt über eine im Fahrzeug eingebaute SIM-Karte an BMW-Server übertragen, von wo Service-Anbieter nach Einwilligung des Kunden diejenigen Daten verschlüsselt beziehen könnten, die sie für ihre Dienstleistungen benötigen. Per Mausklick könne der Fahrer Datenfreigaben erteilen, sie ablehnen oder bereits erteilte Freigaben entziehen. Der Fahrer könne auch jederzeit über ein Portal einen Report über weitergegebene Daten anfordern.

Die weitere Diskussion um durch Fahrzeuge bzw. in Fahrzeugen generierte Daten bleibt spannend.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzerklärung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30