Beim Verlust oder Diebstahl des Notebooks denken die Mitarbeiter oft an den finanziellen Schaden. Jedoch kann der Verlust für das Unternehmen im Hinblick auf den Datenschutz wesentlich schlimmer sein. Es gilt eine mögliche Datenpanne zu verhindern.
Ein verlorenes oder entwendetes Notebook ist aus datenschutzrechtlicher Sicht immer kritisch. Die auf dem Rechner gespeicherten Daten sind nicht selten solche mit Personenbezug, wie Kontaktdaten von Kollegen, oder Geschäftspartnern, aber auch von Kunden. Mit dem Laptop sind auch diese Daten verloren gegangen und befinden sich nun im Besitz des Finders oder Diebes.
Zu ergreifende Maßnahmen durch das Unternehmen
Auch wenn der Rechner passwortgeschützt ist, muss schnell gehandelt werden, da keine Kontrolle mehr über die Daten vorhanden ist. Daher ist die unverzügliche Meldung des Verlustes an den Vorgesetzen unumgänglich, um so schnell wie möglich Schutzmaßnahmen zu ergreifen. Es gilt den Zugriff auf die Festplatte und damit eine Datenpanne im Sinne des Art. 33 DSGVO zu verhindern. Die Konsequenzen des Verlusts / Diebstahls sind zu ermitteln. Möglicherweise befinden sich auf dem Rechner keine personenbezogenen Daten. Falls vorhanden, ist der/die Datenschutzbeauftragte zu beteiligen.
Es ist zu prüfen, ob der Verlust eine Datenpanne bedeutet; diese müsste innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden.
Prävention
Die Schutzmaßnahmen müssen schon vorher festgelegt worden sein. So kann z.B. festgelegt werden, dass dort, wo es technisch möglich ist, Zugänge gesperrt und Passwörter geändert werden. Ein Verfahren zum Löschen von Daten aus der Ferne sollte, wenn möglich, beschrieben sein. Passwortschutz durch ein starkes Passwort. Verschlüsselung der Festplatte und der Daten auf der Festplatte. Sind die Daten verschlüsselt, könnte es sich ggf. um keine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO handeln.
Michaela Dötsch
Rechtsanwältin
Einleitung
Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.
Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat
Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.
Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU
Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).
Handlungsempfehlung
Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.
Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Auch in Baden-Württemberg wurde nun das erste Bußgeld nach der Datenschutzgrundverordnung (DSGVO) verhängt. Ein Social-Media-Anbieter hat gegen die in Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen und soll nun eine Geldbuße von 20.000 Euro bezahlen.
Im September dieses Jahres hatte das Unternehmen bemerkt, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht wurden. Im Rahmen der Zusammenarbeit mit dem LfDI Baden-Württemberg wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext gespeichert hatte, um die Nutzer durch den Einsatz eines Passwortfilters besser zu schützen.
Dadurch verstieß das Unternehmen jedoch gegen Art. 32 Abs. 1 lit. a DSGVO und die sich daraus ergebende Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.
Die gute Kooperation des Unternehmens wirkte sich bei der Höhe des Bußgeldes positiv aus. Durch die Bereitschaft des Unternehmens bei der Umsetzung der Vorgaben und Empfehlungen konnte die Sicherheit der Nutzerdaten bereits deutlich verbessert werden.
Julia Eisenacher
Consultant für Datenschutz
Diplomjuristin
Unternehmen, die Dating-Portale betreiben, müssen gemäß Art. 35 Abs. 4 Datenschutzgrundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung durchführen. Dabei wird vorab geprüft, ob die mit dem Portal verbundene Verarbeitung der Nutzerdaten datenschutzrechtlich zulässig ist und potentielle Risiken für die Nutzer eingedämmt werden können.
Ein Betreiber eines solchen Dating-Portals hatte sich in seinen Allgemeinen Geschäftsbedingungen das Recht von den Nutzern einräumen lassen, in deren Namen und über deren Nutzer-Konto andere Nutzer ansprechen und die Profile der Nutzer auch auf anderen betriebenen Portalen veröffentlichen zu dürfen.
Im Rahmen einer Datenschutz-Folgenabschätzung hätte dem Betreiber auffallen können, dass er seine Nutzer damit einem hohen Risiko aussetzt. Wenn der Nutzer nicht mehr allein und ausschließlich entscheidet, mit wem er kommuniziert und was er kommuniziert, oder wenn sein Profil ggf. auch auf weniger „harmlosen“ Dating-Portalen veröffentlicht wird, kann zumindest ein immaterieller Schaden wie Rufschädigung des Nutzers eintreten.
Die Verbraucherzentrale Bayern sah dann hier auch entsprechende Risiken für die Nutzer und das Landgericht München hat die Klauseln in den Allgemeinen Geschäftsbedingungen nun für unwirksam erklärt (LG München I, Az.: 12 O 19277/17).
Die Durchführung von Datenschutz-Folgenabschätzungen ist also nicht nur lästige Pflicht, sondern kann den Unternehmen unter Umständen auch helfen, späteren Ärger zu vermeiden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Beim betrieblichen Eingliederungsmanagement (BEM) geht es in erster Linie um die Verwendung von Informationen über die Gesundheit des Mitarbeiters. Dabei handelt es sich um sensiblen Daten, für die das Unternehmen verantwortlich ist. Eine datenschutzrechtliche Bewertung ist also unumgänglich. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Bei der Umstellung auf die DSGVO müssen alle Prozesse und die dazu gehörenden Dokumente überprüft werden, also auch die des BEM. Die Missachtung des Datenschutzes bei der Gestaltung des BEM stellt eine fehlerhafte Datenverarbeitung dar, was wiederum zum Bußgeld führen kann.
Auch das BEM braucht eine Rechtsgrundlage nach DSGVO
Da kommen gleich mehrere Rechtsgrundlagen in Betracht:
• Die Betriebsvereinbarung
• Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung
• Einwilligung
Betriebsvereinbarung
Betriebsvereinbarungen (BV) können eine Rechtsgrundlage sein, sie müssen aber den Anforderungen von Art. 88 Abs. 2, Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 26 Abs. 3 BDSG entsprechen. Daher sind BV, die vor der DSGVO abgeschlossen wurden, daraufhin zu überprüfen.
Gesetzliche Pflicht
§ 167 Abs. 2 SGB IX regelt die Verpflichtung des Arbeitgebers zur Durchführung des BEM. Unter Berufung auf Art. 6 Abs. 1 lit. c), Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG dürfen also alle Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.
Einwilligung
Zusätzlich muss der Arbeitgeber die Einwilligungserklärung der betroffenen Mitarbeiter einholen, da nicht die gesamte für das BEM erforderliche Datenverarbeitung auf die oben genannten Rechtsgrundlagen gestützt werden kann. Die Einwilligung muss dabei den Anforderungen aus Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG entsprechen.
Informationspflichten
Die Mitarbeiter müssen zudem gemäß Art. 13, 14 DSGVO informiert werden über die Verarbeitung ihrer personenbezogenen Daten.
Michaela Dötsch
Rechtsanwältin
Microsoft wird sein Cloud-Angebot in Deutschland erheblich erweitern und plant den Bau von zwei Datenzentren in Berlin und Frankfurt. Die Rechenzentren sollen die gleiche Leistung wie die bereits vorhandenen Rechenanlagen bieten. Die Inbetriebnahme ist für 2019 und 2020 geplant. Aus den neuen Rechenzentren werden Microsoft Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt. Damit kann Microsoft individuelle Compliance-Anforderungen erfüllen.
Die neuen Rechenzentrums-Regionen in Deutschland werden, so Microsoft, als Teil des globalen Microsoft-Cloud-Netzwerks die gleichen Service-Level und Sicherheitsstandards bieten wie die weltweiten Microsoft-Cloud-Angebote.
Microsoft bekennt sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für die Cloud-Dienste und hat, so das Unternehmen, entsprechende Regelungen in die vertraglichen Verpflichtungen aufgenommen.
Die neuen, deutschen Rechenzentren sind eine Reaktion auf neue und veränderte Geschäftsanforderungen. Es wurden, so teilt das Unternehmen mit, Strategien entwickelt, mit denen die Umsetzung der DSGVO für die Kunden vereinfacht werden sollen.
Zukünftig können Neukunden wählen, ob sie die derzeit schon verfügbaren europäischen Regionen oder die neuen Regionen in Deutschland nutzen wollen.
Aus datenschutzrechtlicher Sicht wäre die Speicherung von Daten in Deutschland sehr begrüßenswert. Dennoch wird einem eine genaue Überprüfung der vertraglichen Gestaltung nicht erspart bleiben. Auch Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau sind dadurch nicht automatisch ausgeschlossen. Denn bereits der Zugriff auf die in Deutschland gespeicherten Daten aus Drittstaaten, bspw. durch die System-Administratoren von Microsoft, stellt eine Datenübermittlung i.S.v. Art. 44 ff DSGVO dar und muss entsprechend abgesichert werden.
Michaela Dötsch
Rechtsanwältin
Die ITSECX in Österreich ist mittlerweile zu einer der bekanntesten IT-Security Konferenzen aufgestiegen. Internationale Referenten und motivierte Studenten treffen sich einmal im Jahr an der Fachhochschule St. Pölten und tauschen ihr Wissen aus. Die it.sec war dieses Jahr mit den Wienern Kollegen das erste Mal dabei!
Entstanden ist die ITSECX im Jahre 2007. Die Konferenz bestand damals aus ca. 30 Studenten und Professoren, welche zusammen in einem Netzwerklabor Systeme gehackt und Vorträge gehalten haben.
Mittlerweile ist das anders: Circa 600 Teilnehmer kommen Jahr für Jahr an die Fachhochschule– Tendenz steigend! Die Konferenz ist kostenlos und die Qualität der Vorträge und der Referenten ist sehr hoch. Dieses Jahr konnte die ITSECX den Head of Cyber Security Architecture von Airbus, Dr. Kevin Jones für seine Keynote gewinnen.
Unter den Gästen befanden sich auch etliche Firmen welche als Sponsoren und Aussteller fungierten. Auch die it.sec darf sich in diesem Jahr als Sponsor der ITSECX bezeichnen und ist Stolz, an einer Konferenz wie dieser mitgewirkt zu haben.
Zusätzlich hatten wir die Möglichkeit, einen Vortrag über ein paar Ergebnisse aus einem aktuellen Research Projekt von uns zu präsentieren. Der Titel des Vortrags war "Alexa Top 1 Million Security – Hacking the Big Ones" und die Unterlagen dazu können unter https://itsecx.fhstp.ac.at/wp-content/uploads/2018/11/05_David-Wind_it.sec_.pdf abgerufen werden. Alle Vorträge zu der Konferenz können hier (auch teilweise zum Nachschauen auf Youtube) abgerufen werden: https://itsecx.fhstp.ac.at/vortraege-2018/
Wir werden auch nächstes Jahr wieder ein Teil dieser Konferenz sein und hoffen, auch Sie dort begrüßen zu dürfen.
Die Klingelschild-Debatte wurde losgetreten durch die Beschwerde eines Mieters bei einer Wohnungsbaugesellschaft in Österreich und griff dann sogleich auf Deutschland über.Unter großer medialer Aufmerksamkeit wurde angenommen, dass die Namen auf den Klingelschildern nun überall entfernt werden müssen, da die damit verbundene Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) unzulässig sei.
Aufsichtsbehörden und Fachliteratur haben sich zu Recht verwundert gezeigt, über die plötzlich aufkommende Diskussion, die mehr von „Panikmache“ und weniger von „fachliche[r] Auseinandersetzung“ (Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349) bestimmt wurde.
Auf Klingelschildern am Hauseingang stehen üblicherweise die (Nach-) Namen der Mieter und sind für jeden einsehbar, der vor dem Haus steht oder daran vorbeigeht. Namensangaben und Wohnungsanschrift sind auch definitiv personenbezogene Daten.
Die Frage ist nun, wie diese Datenverarbeitung nach der DSGVO zu bewerten ist:
Bringt der Mieter seinen Namen auf dem Klingelschild selbst an, fällt diese Datenverarbeitung schon nicht unter die DSGVO. Als betroffene natürliche Person darf der Mieter mit seinen personenbezogenen Daten machen, was er möchte. Auf jeden Fall aber unterliegt diese Datenverarbeitung dem ausschließlich persönlichen oder familiären Bereich, so dass die DSGVO schon gemäß Art. 2 Abs. 2 lit. c) DSGVO nicht gilt.
Werden die Klingelschilder jedoch vom Vermieter angebracht, ist der Anwendungsbereich der DSGVO eröffnet. Der Vermieter (bzw. die Hausverwaltung) ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da die Datenverarbeitung zu geschäftlichen Zwecken vorgenommen wird.
Einige Aufsichtsbehörden nehmen an, dass auch in diesem Fall der Anwendungsbereich der DSGVO wegen Art 2 Abs. 1 DSGVO nicht eröffnet ist, da „das Ausstatten der Klingelschilder mit Namen für sich genommen (…) weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar[stellt].“
Die Aufsichtsbehörden in Sachsen und Schleswig-Holstein teilen diese Auffassung zwar nicht. Die Datenverarbeitung ist aber dennoch zulässig nach Art. 6 Abs. 1 lit. b) oder f) DSGVO: Entweder weil der zwischen Mieter und Vermieter abgeschlossene Mietvertrag eine solche Datenverarbeitung erforderlich macht. Hier kommt es auf die konkrete Ausgestaltung des Vertragsverhältnisses an. In jedem Fall haben aber Vermieter oder Dritte (Postdienstleister, Lieferanten, Rettungsdienst etc.) ein berechtigtes Interesse an der Datenverarbeitung (hierzu auch ausführlich: Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349).
Sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird, hat der Mieter selbstverständlich auch das Recht, der Anbringung seines Namens auf dem Klingelschild zu widersprechen gemäß Art. 21 Abs. 1 DSGVO. Allerdings steht dem Mieter dieses Recht nur zu, sofern sich aus seiner besonderen persönlichen Situation schutzwürdige Interessen am Ausschluss der Datenverarbeitung ergeben, bspw. wenn er gefährdet ist aufgrund seiner Prominenz, Opfer von Stalking ist oder sich im Zeugenschutzprogramm befindet.
Die Aufsichtsbehörden führen an, man hätte sich vorab bei ihnen „nach der Rechtslage erkundigen“ sollen, anstatt mit haltlosen Behauptungen die DSGVO „als ‚weltfremdes europäisches Recht‘ [zu] diskreditieren“.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das E-Government-Gesetz
Unscheinbar kam sie daher, die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen im Jahre 2014. In formelles nationales Recht wurde sie erst im April 2017 umgesetzt, durch eine Änderung des E-Government-Gesetzes, doch nun geht es Schlag auf Schlag. Der Bund hat seine E-Rechnungs-Verordnung schon letztes Jahr verabschiedet und die Länder sollen noch in diesem Monat folgen. Der Bund will bereits in diesem Monat mit seinem zentralen E-Rechnungs-Portal online gehen. Doch was ist die Konsequenz?
Bis spätestens April 2020 müssen auch die Kommunen in Deutschland die Voraussetzung dafür schaffen, dass sie elektronische Rechnungen empfangen und weiterverarbeiten können. Wer sich bislang noch nicht damit beschäftigt hat, sollte dies schleunigst nachholen, wissen wir doch spätestens seit der Umsetzung der DSGVO, dass kleine Verordnungen durchaus große praktische Auswirkungen haben können und dass derartige Anpassungen nicht von heute auf morgen zu schaffen sind.
Konkret: Jede Kommune (und auch alle weiteren öffentlichen Einrichtungen der Länder und natürlich auch des Bundes) ist in Zukunft verpflichtet, E-Rechnungen zu empfangen und zu bearbeiten. Bei geschätzten 75,8 Millionen Rechnungen pro Jahr alleine auf kommunaler Ebene keine Kleinigkeit. Wo bislang Papierrechnungen von Schreibtisch zu Schreibtisch wandern, geprüft, freigegeben, gestempelt, gelocht und abgelegt werden, sollen nun durch den digitalen Workflow viel Arbeit, Zeit und Ressourcen eingespart werden.
Was ist eine X-Rechnung?
Der Empfang von E-Rechnung bedeutet nicht, dass die Kommune auch Rechnungen als PDF im digitalen Postfach akzeptiert. Es handelt sich bei der E-Rechnung um ein eigenes, maschinenlesbares Format, in Deutschland X-Rechnung genannt, welches ein auf XML basierendes semantischen Datenmodell darstellt und damit den für Deutschland verbindlichen Standard definiert. Zur Bearbeitung von E-Rechnungen werden seitens der KoSIT (Koordinierungsstelle für IT-Standards) kostenlose Tools sowohl für Unternehmen als auch für die Behörden bereitgestellt, mittels derer Rechnungen einerseits erstellt werden, dann aber auch durch die Behörden weiterverarbeitet werden können.
Der Vorteil für die Unternehmen? Jedem Lieferanten einer Kommune oder eines sonstigen öffentlichen Auftraggebers ist es dann erlaubt, seine Rechnungen online an die Kommunen zu übermitteln, wo sie schneller bearbeitet werden können, so dass die Lieferanten ihr Geld schneller bekommen. Die Kommunen erhalten durch E-Rechnungen den Überblick über eingegangene aber unbezahlte Rechnungen, es lässt sich nachvollziehen, auf welchem Schreibtisch sich welche Rechnung gerade zur Freigabe befindet und Vorgänge lassen sich elektronisch natürlich deutlich schneller suchen und nachvollziehen.
Was ist zu tun?
Die Herausforderung für die Kommunen ist es einerseits, ihre Arbeitsprozesse auch entsprechend anzupassen. Keinem ist geholfen, wenn die Rechnungen nur ausgedruckt und dann weiter „traditionell“ in Papierform bearbeitet werden. Das heißt, neue Workflows müssen definiert werden, um die digitale Bearbeitung sicherzustellen.
Im Sinne des Datenschutzes sollten dann Berechtigungskonzepte neu überdacht und implementiert werden, denn auch in den X-Rechnungen werden sich in Zukunft zahlreiche personenbezogen Daten finden, seien es Ansprechpartner, persönliche Telefonnummern von Sachbearbeitern aber vor allem die personenbezogenen Daten in den Buchungstexten sind trotz E-Rechnung durch die DSGVO geschützt.
Datenschutz und Datensicherheit
Weiß man, wer wem wann welche Rechnung gestellt hat, so sagt dies einiges über die beteiligten Parteien aus. Daher werden auch an die Ansprüche an die Datensicherheit in den Kommunen wachsen. Regelmäßige IT-Health-Checks und Pentests sollten auch in den Kommunen durchgeführt werden. Die Verzeichnisse für Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnisse) sollten den neuen Prozessen angepasst werden bzw. neue Prozesse müssen definiert werden. Sofern Sie noch keine Projektgruppe gebildet haben, sollte dies umgehend passieren. Da es sich um eine gesetzliche Vorgabe handelt, müssen die entsprechenden Mittel zur Umsetzung eingeplant und bereitgestellt werden.
Wenn Sie bei der Umsetzung feststellen sollten, dass Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Was ist Whistleblowing?
Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.
Was hat Whistleblowing mit Datenschutz zu tun?
Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.
Rechtsgrundlagen
Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.
Mitarbeiterinformation
Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.
Information der Beschuldigten
Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.
Löschung
Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.
Maßnahmen vor Einführung des Whistleblowings
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
- Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
- Erfüllung von Informationspflichten Art. 13, 14 DSGVO
- Betriebsrat beteiligen
- Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
- Regellöschfristen festlegen
Michaela Dötsch
Rechtsanwältin