Home / Aktuelles & Termine / it.sec blog

72 Stunden – bei der Datenpanne!

09.02.2021 11:19

Carmen Ströhl

Tags: 72 Stunden , Aufsichtsbehörde , Bekanntwerden , Datenschutzbeauftragter , Datenschutzpanne , Datenschutzverletzung , DSGVO , Frist , Fristbeginn , Kenntnis , Mitarbeiter , Risikobewusstsein , Verantwortlichen , Verantwortlicher

Datenpannen sind in der Regel nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine meldepflichtige Datenpanne muss vom Verantwortlichen innerhalb von 72 Stunden nach dessen Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Oft stellt sich jedoch die Frage: Ab wann wird eine Datenpanne dem Verantwortlichen überhaupt bekannt?

Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit haben sich mittlerweile zu dieser Frage geäußert.

Der Landesbeauftragte in Bayern hat sich zur Kenntniszurechnung in Behörden geäußert. Nach dessen Ansicht wird das meldepflichtige Ereignis jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. Klargestellt wurde, dass dem Verantwortlichen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen ist.

Der Landesbeauftragte in Hamburg vertritt die Ansicht, dass es für die Kenntnis bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt.

Nach Ansicht der Landesbeauftragten des Saarlandes begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn für die 72 Stunden. Dem Verantwortlichen ist dabei die Kenntnis desjenigen Mitarbeiters/derjenigen Mitarbeiterin zuzurechnen, der/die nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann.

Kenntnis gilt folglich eher früher als erlangt als später. Darauf sollten sich die Unternehmen einstellen. Folgt man der strengeren Ansicht aus Hamburg, so kann die Kenntnis eines jeden Mitarbeiters ausreichen, um die Frist in Gang zu setzen. Schaffen Sie also in Ihrem Unternehmen immer ein ausreichendes Risikobewusstsein bei allen Ihren Mitarbeitern im Umgang mit Daten und Datenpannen.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

LfD Niedersachsen verhängt 10,4 Millionen Euro Bußgeld gegen notebooksbilliger.de

02.02.2021 09:35

Carmen Ströhl

Tags: Beschäftigte , Bußgeld , Datenschutz , DSGVO , Kameras , Kunden , Landesbeauftragte für den Datenschutz , LfD , Mitarbeiter , Nachverfolgung , Niedersachsen , notebooksbilliger.de , Sitzbereiche , Straftaten , Unternehmen , Verkaufsraum , Verstöße , Videoüberwachung

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auferlegt.

 

Das Unternehmen hat seine Beschäftigten über einen Zeitraum von mindestens zwei Jahren per Video überwacht, wobei die Kameras u.a. Lager, Verkaufsräume, Arbeitsplätze und Aufenthaltsbereiche erfassten. Eine Rechtsgrundlage für diese Überwachung gab es nicht.

 

Ziel der Videoüberwachung sei laut dem Unternehmen die Verhinderung und Aufklärung von Straftaten sowie eine Nachverfolgung des Warenflusses in den Lagern gewesen. Eine Videoüberwachung zur Aufdeckung von Straftaten kann jedoch nur rechtmäßig sein, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass eine konkrete Person eine Straftat begangen hat. Ein Generalverdacht reicht nicht aus. Ferner ist bei einem begründeten Verdacht nur eine zeitlich begrenzte Überwachung angezeigt. Die Videoüberwachung bei notebooksbilliger.de war jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Personen beschränkt. Die Aufzeichnungen wurden zudem teilweise 60 Tage gespeichert und damit laut LfD Niedersachsen deutlich länger als erforderlich. In der Regel sind die Daten innerhalb von 2 bis 3 Tagen (max. 72 Stunden) nach Erhebung zu löschen, da es zumutbar ist, in diesem Zeitraum zu klären, ob eine Sicherung des Materials notwendig ist.

 

Einige Kameras waren auch auf Sitzgelegenheiten im Verkaufsraum gerichtet, sodass von der unzulässigen Videoüberwachung neben den Beschäftigten auch Kunden und Kundinnen des Unternehmens betroffen waren. Die Landesbeauftragte führte aus, dass die betroffenen Personen in Bereichen, in denen sich Menschen typischerweise länger aufhalten, z.B. um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen haben. Dies gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen.

 

Sie betonte außerdem, dass es sich hierbei um einen schwerwiegenden Fall der Videoüberwachung im Betrieb handele und Unternehmen verstehen müssen, dass sie damit massiv gegen die Rechte ihrer Mitarbeiter und Mitarbeiterinnen verstoßen.

 

Bei dem Bußgeld in Höhe von 10,4 Millionen handelt es sich um das bisher höchste Bußgeld, das Niedersachsen seit Inkrafttreten der DSGVO ausgesprochen hat. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig, da notebooksbilliger.de hiergegen Einspruch eingelegt hat.

 

Nach der Verhängung des bisher höchsten Bußgeldes in Deutschland in Höhe von 35,3 Millionen Euro im letzten Jahr, zeichnet sich auch durch diese Entscheidung der LfD Niedersachsen ab, dass die Aufsichtsbehörden ihr Vorgehen bei Datenschutzverstößen verschärfen. Prüfen Sie daher auch in Ihrem Unternehmen sorgfältig, ob Sie die Vorgaben der DSGVO einhalten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Neues Tool von Microsoft sorgt für Unruhe

02.12.2020 08:56

Carmen Ströhl

Tags: Anonymisierung , Arbeitgeber , Datenschutz , DSGVOÜberwachungstool , Kontrolle , Microsoft , Mitarbeiter , Office 365 , Persönlichkeitsrecht , Produktivitätswert , Statistik Tool , Workplace Analytics

Die Markteinführung des Produkts Microsoft Office 365 sorgte von Beginn an für Kritik. Diverse Einstellungsmöglichkeiten und die damit verbundene Unübersichtlichkeit machen es nicht geschulten Nutzern schwierig, die Einstellungen so datenschutzkonform wie möglich zu gestalten. Nun hat Microsoft eine neue Funktion ins Leben gerufen: Über Workplace Analytics kann ein so genannter Produktivitätswert erstellt werden.

 

Der Produktivitätswert

 

Bei Workplace Analytics handelt es sich um ein Statistik Tool, welches Arbeitsgewohnheiten und das Arbeitsverhalten auswerten kann. Dabei wird ein so genannter Produktivitätswert generiert, welcher beispielsweise auswerten kann, wann welcher Mitarbeiter E-Mails verschickt hat, wie viele E-Mails an einem bestimmten Tag verschickt wurden, wie oft welches Tool von Microsoft benutzt wurde und Ähnliches.

 

Ziel dieser Auswertung gemäß Microsoft ist es, die Produktivität der Mitarbeiter zu fördern und Mitarbeiter, welche wenig aktiv sind in der Benutzung der verschiedenen Tools durch sehr aktive Mitarbeiter zu unterstützen und dadurch wiederum die Produktivität zu erhöhen.

 

Kritik am Produktivitätswert

 

Die Standardeinstellung im Rahmen der Auswertung für den Produktivitätswert sieht vor, dass Mitarbeiter namentlich gelistet werden. Dadurch kann genau abgelesen werden, wer wann welches Tool benutzt, Mails geschrieben oder mit Kollegen Daten ausgetauscht hat. Eine Anonymisierung ist im Programm zwar möglich, muss jedoch manuell eingestellt werden.

 

Damit ist es für Arbeitgeber grundsätzlich möglich, über den Produktivitätswert seine Mitarbeiter einer Verhaltens- und Leistungskontrolle zu unterziehen. Damit einher geht jedoch die Verletzung des allgemeinen Persönlichkeitsrechts der jeweiligen Arbeitnehmer. Derartige Kontrollen der Arbeitnehmer sind datenschutzrechtlich unzulässig und sind daher zu unterlassen.

 

Stellungnahme von Microsoft

 

Auf der Seite von Microsoft wird klar herausgestellt, dass es sich bei den neuen Funktionen nicht um ein Überwachungstool handelt. Vielmehr sollen neue Arbeitsweisen entdeckt werden sowie die Zusammenarbeit gefördert werden. Dabei weist Microsoft darauf hin, dass die Nutzer diverse Kontrollmöglichkeiten haben, wie beispielsweise das Löschen oder Anonymisieren von Daten.

 

Fazit

 

Im Rahmen der Nutzung des Produktivitätswerts sind Unternehmen gut damit beraten, die Einstellungen so datenschutzkonform wie möglich zu gestalten und genau zu prüfen, welche Daten verarbeitet werden dürfen. Letztlich sind die Arbeitgeber Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) und müssen für einen datenschutzkonformen Einsatz der Software im Unternehmen sorgen.

 

Laura Piater
Juristin
Consultant für Datenschutz

35,3 Millionen Euro Bußgeld für H&M wegen Datenschutzverstößen

13.10.2020 13:36

Carmen Ströhl

Tags: Bußgeld , Datenschutz , Datenschutzverstößen , Diagnose , DSGVO , H&M , Krankheit , Mitarbeiter , personenbezogene Daten , Privatleben , Schadensersatz , Überwachung , Urlaub , Vorgesetzte

H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.

 

Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.

 

Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

 

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

 

Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.

 

Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Zeiterfassung per Fingerabdruck

24.09.2020 10:09

Carmen Ströhl

Tags: Arbeitgeber , Arbeitnehmer , biometrische Daten , DSGVO , Fingerabdruck , Fingerabdruckscanner , Landesarbeitsgericht , Minutien , Mitarbeiter , Verarbeitung , Zeiterfassung

Das Landesarbeitsgericht (LAG) Berlin-Brandenburg (Urteil vom 04.06.2020, Az.: 10 Sa 2130/19) hat entschieden, dass Arbeitnehmer die Nutzung eines Zeiterfassungssystems mittels Fingerabdrucks verweigern dürfen.

 

In dem Fall führte der Arbeitgeber ein elektronisches Zeiterfassungssystem ein, das die Mitarbeiter mittels eines Fingerabdruckscanners identifizierte. Dafür verarbeitete das System die sog. Minutien, d.h. die Endpunkte und Verzweigungen der Fingerlinien. Der Fingerabdruck der Mitarbeiter konnte auf Grund der gespeicherten Minutien nicht rekonstruiert werden. Ein Mitarbeiter verweigerte die Nutzung dieses elektronischen Zeiterfassungssystems und erfasste seine Arbeitszeit weiterhin händisch. Daraufhin erteilte der Arbeitgeber ihm eine Abmahnung, gegen die sich der Mitarbeiter mit einer Klage wandte.

 

Das LAG hat entscheiden, dass der Arbeitnehmer die Nutzung des Zeiterfassungssystems verweigern und die Entfernung der Abmahnung aus der Personalakte verlangen darf.

 

Auch wenn das System nicht den ganzen Fingerabdruck, sondern nur die Minutien verarbeite, handele es sich dabei um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO. Eine zulässige Verarbeitung dieser Daten kommt nur ausnahmsweise in den in Art. 9 Abs. 2 DSGVO geregelten Fällen in Betracht. Dies kann der Fall sein, wenn die Verarbeitung erforderlich ist, damit der Verantwortliche die ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen diesbezüglichen Pflichten nachkommen kann, Art. 9 Abs. 2 lit. b DSGVO, oder die betroffene Person ihre Einwilligung erteilt hat. Die Erforderlichkeit einer Arbeitszeiterfassung mittels Fingerabdruck lehnte das LAG hier jedoch ab.

 

Insgesamt sollten Arbeitgeber somit auf die Zeiterfassung mittels biometrischer Daten verzichten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

So gehen die Datenschutzbehörden in Österreich und der Schweiz mit Corona um

23.03.2020 10:12

Carmen Ströhl

Tags: Arbeitgeber , Corona , Datenschutz , Datenverarbeitung , DSGVO , Gesundheitsdaten , Grundsatz der Zweckbindung , Mitarbeiter , private Telefonnummer , schützenswert , Verdachtsfälle

Auch die Datenschutzbehörden Österreichs und der Schweiz haben auf die aktuelle Situation reagiert und aktuelle Mitteilungen zum datenschutzrechtlichen Umgang mit Daten rund um das Coronavirus veröffentlicht:

Österreich

Die österreichische Datenschutzbehörde stellt zunächst klar, dass es sich bei Daten über Infektionen mit dem Coronavirus und auch bei Verdachtsfällen um sensible Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt, die besonders schützenswert sind. Dennoch können solche Daten zur Eindämmung des Virus und zum Schutz der Mitmenschen verwendet werden.

Folgende Rechtsgrundlagen kommen hierfür grundsätzlich in Betracht:

 

  • Verarbeitung zum Zwecke der Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h DSGVO
  • Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten, Art. 9 Abs. 2 lit. b DSGVO: Arbeitgeber sind gegenüber ihren Arbeitnehmern zur Fürsorge verpflichtet, hierzu gehört auch der Ausschluss von Gesundheitsrisiken am Arbeitsplatz.
  • Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, Art. 9 Abs. 2 lit. i DSGVO: Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden.
  • Der Arbeitgeber kann darüber hinaus nach § 5 Abs. 3 Epidemiegesetz 1950 auf Verlangen zur Auskunftserteilung an die Bezirksverwaltungsbehörden verpflichtet sein.

 

Weiterhin ist es ausnahmsweise zulässig die private Telefonnummer von Mitarbeitern zu erheben, um die Mitarbeiter kurzfristig über aktuelle interne Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren. Die Mitteilung der privaten Telefonnummer ist jedoch freiwillig.

Bei allen Datenverarbeitungen ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. a DSGVO zu beachten, d.h. eine Verarbeitung der Daten zu anderen Zwecken ist unzulässig. Darüber hinaus gilt auch der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO, wonach alle Daten nach Zweckwegfall wieder zu löschen sind.

Schweiz

In der Schweiz wurde nach Art. 7 Epidemiengesetz (EpG) eine „außerordentliche Lage“ ausgerufen. Dadurch können personenbezogene Gesundheitsdaten nach Maßgabe des Art. 58 EpG verarbeitet werden.

Das Bundesamt für Gesundheit (BAG), die zuständigen kantonalen Behörden und die mit Aufgaben nach dem EpG betrauten öffentlichen und privaten Institutionen können nach Art. 58 EpG personenbezogene Gesundheitsdaten verarbeiten, soweit dies zur Identifizierung von kranken, krankheitsverdächtigen, angesteckten, ansteckungsverdächtigen und Krankheitserreger ausscheidenden Personen im Hinblick auf Maßnahmen zum Schutz der öffentlichen Gesundheit, insbesondere zur Erkennung, Überwachung und Bekämpfung übertragbarer Krankheiten, erforderlich ist. Zudem sind die allgemeinen Grundsätze der Datenschutzgesetzgebungen zu beachten.

Private, d.h. insbesondere Arbeitgeber, müssen bei Datenverarbeitungen die Grundsätze des Art. 4 des Bundesgesetzes über den Datenschutz einhalten:

 

  • Gesundheitsdaten dürfen grundsätzlich nicht gegen den Willen der betroffenen Personen beschafft werden, da sie einem besonderen Schutz unterliegen.
  • Die Verarbeitung der Gesundheitsdaten muss zweckgebunden und verhältnismäßig sein, d.h. sie muss nötig und geeignet sein, weitere Ansteckungen zu verhindern und darf auch nicht über das zur Zielerreichung erforderliche hinausgehen.
  • Daten über Grippesymptome (wie z.B. Fieber) sollen durch die betroffenen Personen selbst erhoben und weitergegeben werden.
  • Die Erhebung und Weiterverarbeitung von Gesundheitsdaten muss den betroffenen Personen gegenüber offengelegt werden.

 

Bei der Erhebung von medizinischen Daten (z.B. Körpertemperatur) beim Betreten von Gebäuden oder Arbeitsplätzen ist zu beachten, dass diese nur zur Zweckerreichung (Verhinderung von Ansteckungen) verarbeitet werden dürfen. Dies gilt sowohl inhaltlich als auch zeitlich. Ungeeignet und unverhältnismäßig ist jedoch das Beantworten zahlreicher Fragen zum Gesundheitszustand der betroffenen Personen. Alle personenbezogenen Daten, die in dem Zusammenhang verarbeitet werden, sind spätestens nach Ende der Pandemie zu löschen.

Kommen Sie bei datenschutzrechtlichen Fragen zu diesen Themen gerne auf uns zu.

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern

02.07.2019 11:53

Carmen Ströhl

Tags: Datenschutz , DSGVO , ehrenamtlich tätiger Vereine , Entlastung , Mitarbeiter , Unternehmen , Unternehmensgröße

Mit der Datenschutzgrundverordnung (DSGVO) trat letztes Jahr auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Dieses regelt in § 38 BDSG, dass Unternehmen ab zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Hier wurde seitens Deutschlands die Öffnungsklausel in der der DSGVO genutzt. Kein anderes Land innerhalb der EU ist bei diesem Punkt derart streng.

 

Der Bundestag hat nun beschlossen, diese Schwelle auf 20 Mitarbeiter anzuheben. Dem muss der Bundesrat noch zustimmen. Begründet wird diese Änderung mit der Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.

 

Zu beachten ist jedoch, dass Unternehmen unabhängig von der Anzahl ihrer Mitarbeiter die Anforderungen der DSGVO erfüllen müssen. D.h. inhaltlich ändert sich durch diesen Beschluss für kleinere Unternehmen nichts. Ihnen wird lediglich die Möglichkeit eingeräumt die Anforderungen der DSGVO auch ohne einen Datenschutzbeauftragten zu erfüllen. Dann ist die Geschäftsführung und Vorstandschaft gefragt den Datenschutz im Unternehmen/Verein rechtskonform umzusetzen. Was ohne entsprechende Fachkunde oft schwierig werden kann.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin

„Haben Sie einen Nebenjob?“

28.05.2019 09:19

Carmen Ströhl

Tags: Arbeitgeber , Datenschutz , Fürsorgepflicht , Mitarbeiter , Nebenjob , Nebentätigkeit , Personalfragebogen , Ruhezeiten

Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.

 

Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?

 

Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.

 

Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.

 

Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).

 

Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.

 

Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Datenschutzrelevante Ereignisse

09.10.2018 08:59

Carmen Ströhl

Tags: Abo-Falle , Arbeitgeber , Arbeitnehmer , BGH , Daten , Datenschutz , Datenschutzauskunft-Zentrale , datenschutzkonform , Datenverarbeitung , DSGVO , Erhebung , EuGH , Facebook , Fanpagebetreiber , Feedback , Kundenzufriedenheit , Messenger , Mitarbeiter , Mitbewerber , Plattformbetreiber , privat , Privatsphäre , Telefonnummer , Werbung , WhatsApp

In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:

 

 

  • Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.

 

 

  • Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .

 

 

  • Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Captcha-Funktion Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSGVOÜberwachungstool DSK DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig Frist Fristbeginn fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfD LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Straftaten Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verkaufsraum Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung XSS Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Archiv

Februar 2021

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28