Home / Aktuelles & Termine / it.sec blog

Art. 88 Datenschutzgrundverordnung (DSGVO) gibt den Mitgliedstaaten die Möglichkeit, spezifischere Vorschriften zum Schutz der Beschäftigten bei Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber zu erlassen.

Dabei müssen mindestens die folgenden Bereiche geregelt werden, damit durch die damit verbundene Datenverarbeitung die Grundrechte und schutzwürdige Interessen der Beschäftigten gewahrt bleiben:

- Datenübermittlungen innerhalb einer Unternehmensgruppe

- Überwachungssysteme am Arbeitsplatz

Die Vorschriften müssen zudem für die Beschäftigten verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein und Vorgaben enthalten, dass der Arbeitgeber seinen Informationspflichten gegenüber den Beschäftigten nachzukommen und die Verarbeitungsprozesse transparent zu machen hat. Die Beschäftigten müssen nachvollziehen können, ob, von wem und zu welchen Zwecken ihre Daten verarbeitet werden.

Derzeit sieht ein entsprechender Gesetzesentwurf die Regelung des Beschäftigtendatenschutzes in Deutschland mit folgenden Neuerungen vor:

- An die Wirksamkeit von Einwilligungen der Beschäftigten in die Verarbeitung ihrer Daten werden strengere Anforderungen gestellt.

- Die Datenverarbeitung ist auch auf Grundlage von Kollektivvereinbarungen (d.h. Tarifverträge und Betriebsvereinbarungen gemäß Erwägungsgrund 155 DSGVO) oder zur Erfüllung der Rechte und Pflichten der Interessenvertretungen der Beschäftigten zulässig.

- Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) soll zudem zulässig sein, wenn dies zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.

- Leiharbeiter werden als Beschäftigte des entleihenden Unternehmens definiert.

Die weiteren Anforderungen aus Art. 88 DSGVO wurden dabei jedoch nicht berücksichtigt. So sind beispielsweise keine Regelungen hinsichtlich der Datenverarbeitung innerhalb eines Konzerns, zum Schutz des Eigentums des Arbeitgebers oder zur Aufdeckung von Pflichtverletzungen, die noch keine Straftaten darstellen, aber zur Kündigung des Mitarbeiters durch den Arbeitgeber berechtigen, enthalten.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat am 1. Juni 2017 ein Positionspapier veröffentlicht, das datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren ausspricht (vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/DatenschutzrechtlicheEmpfehlungenVernetztesAuto.html?nn=5217154).

Die 13 Empfehlungen sind im Wesentlichen Umsetzungen der Datenschutzgrundverordnung für den Betrieb intelligenter Fahrzeuge. So darf die Datenverarbeitung im Fahrzeug und für datenbasierte Dienste nur im notwenigen Umfang auf personenbezogene Daten zugreifen (Empfehlung 3). Nach dem Grundsatz "Privacy by default" müssen datenschutzfreundliche Voreinstellungen etabliert werden (Empfehlung 9). Die Systeme müssen einen wirksamen Schutz vor Cyber-Angriffen bieten (Empfehlung 13). Die Empfehlungen gehen nicht ins Detail, sind aber hilfreiche Richtlinien bei der Gestaltung datenschutzkonformer IT-Systeme in intelligenten Fahrzeugen.

Die 13 Empfehlungen wurden anlässlich eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug auf Einladung der BfDI veröffentlicht. In ihrer Eröffnungsrede wies die BfDI darauf hin, moderne Fahrzeuge würden bereits jetzt Daten zum Fahrverhalten und den zurückgelegten Wegen sammeln, aus denen sich Persönlichkeitsprofile erstellen ließen. Fahrer müssten daher die volle Hoheit über die Verwendung personalisierter Fahrzeugdaten haben. Über jede Datenverwendung müsse im Sinne einer vollständigen Transparenz unterrichtet werden (Näheres finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/13_SymposiumAutomatisiertesFahren.html).

Die Fahrzeugindustrie, die nach dem Diesel-Abgasskandal viel Vertrauen verloren hat, versucht solches wiederzugewinnen.
BMW hat in einer Pressemitteilung vom 30. Mai 2017 erklärt, der „Schutz der Fahrzeugdaten gehöre zum Verständnis von Premium beim hochvernetzten Fahrzeug“ (vgl. unter https://www.press.bmwgroup.com/deutschland/article/detail/T0271366DE/bmw-group-startet-bmw-cardata:-neue-und-innovative-services-fuer-den-kunden-%E2%80%93-sicher-und-transparent?language=de). Kunden sollten die Möglichkeit erhalten zu entscheiden, was mit den Daten passiere. Das soll mit BMW CarData möglich sein. Fahrzeugdaten, wie der durchschnittliche Kraftstoffverbrauch, würden verschlüsselt über eine im Fahrzeug eingebaute SIM-Karte an BMW-Server übertragen, von wo Service-Anbieter nach Einwilligung des Kunden diejenigen Daten verschlüsselt beziehen könnten, die sie für ihre Dienstleistungen benötigen. Per Mausklick könne der Fahrer Datenfreigaben erteilen, sie ablehnen oder bereits erteilte Freigaben entziehen. Der Fahrer könne auch jederzeit über ein Portal einen Report über weitergegebene Daten anfordern.

Die weitere Diskussion um durch Fahrzeuge bzw. in Fahrzeugen generierte Daten bleibt spannend.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

Abbinder Abmahnung Abmahnungen ADCERT Angemessenheitsbeschluss Anwendbarkeit Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Custom Audience Dashcam Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fernmeldegeheimnis FlugDaG Fluggastdaten Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gesetz gegen den Unlauteren Wettbewerb Google Google Analytics Hacker Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Joint Control Kanada Klagebefugnis Konzern konzerninterner Datentransfer KUG Kundenbindung Kunsturhebergesetz Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Lösegeld Markennamen Markenrecht Marktortprinzip Meldepflicht Meldescheine Meltdown Microsoft Misch-Account MouseJack-Angriffe NIST Nutzungsbedingungen One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Plattformbetreiber PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schadprogramm Seitenbetreiber Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Software Software-Entwicklung Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Supercomputer Risikolage Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz Telstra Security Report TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30