Cookie-Banner sind mittlerweile beim Surfen im Internet unumgänglich. Damit fragen die Webseitenbetreiber die Besucher, ob sie mit einem Cookie Daten auf der Festplatte des Besuchers speichern dürfen. Diese Cookies können anschließend dann unter anderem dazu verwendet werden, um individualisiert Werbung zu platzieren.
Gestern hat der Bundesgerichtshof (BGH) entschieden, dass: "für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist".
Konkret ging es um eine Auseinandersetzung zwischen dem Bundesverband der Verbraucherzentralen und Planet49, einem Anbieter von Online-Gewinnspielen. Der Bundesverband hatte bemängelt, dass bei der Webseite von Planet49 bereits ein Haken im Feld zur Cookie-Einwilligung gesetzt war. Welches der Webseitenbesucher aktiv entfernen musste.
Die Karlsruher Richter urteilten nun, dass diese Art der Cookie-Einwilligung den Webseitenbesucher unangemessen benachteiligt. Damit bestätigen sie die europäischen Vorschriften, gemäß denen Webseitenbesucher dem Setzen von nicht technisch notwendigen Cookies aktiv zustimmen müssen.
Denn bereits der Europäische Gerichtshof (EuGH) hatte im Oktober 2019 ein solches Vorgehen für unzulässig erklärt. Nur die aktive Einwilligung erlaubt das nicht technisch notwendige Tracking auf Webseiten. Dieses Vorgehen entsprach auch unserer Beratungspraxis in den letzten Monaten.
Der BHG habe gestern das deutsche Telemediengesetz nach den Vorgaben der seit zwei Jahren geltenden EU-Datenschutzgrundverordnung ausgelegt, sagte der Vorsitzende Richter Thomas Koch.
Somit herrscht nun endlich Klarheit und Rechtssicherheit beim Umgang mit Cookies und jeder Webseitenbetreiber kann sich klar an den Vorgaben orientieren. An der aktiven Einwilligung bei technisch nicht notwendigen Cookies kommt man spätestens seit dem BGH Urteil vom 28.05.2020 nicht mehr vorbei. Andernfalls riskiert man an dieser Stelle ein empfindliches Bußgeld.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Videokonferenzen ermöglichen im Berufsalltag nicht nur eine persönlichere Kontaktpflege als ein Telefonat. Durch die Möglichkeit den Bildschirm zu teilen, können mehrere Personen gleichzeitig und gemeinsam an einem Projekt arbeiten. Konferenzen und Schulungen, ja sogar ärztliche Untersuchungen, Parteitage und Demonstrationen werden mittlerweile per Videokonferenz durchgeführt, was nicht nur Reisezeiten und damit – kosten spart, sondern darüber hinaus auch einen Beitrag zum Umweltschutz leistet.
Es ist daher davon auszugehen, dass auch zukünftig Videokonferenzen vermehrt eingesetzt werden. Umso wichtiger ist es, sicherzustellen dass die Videokonferenzen auch datenschutzrechtlich einwandfrei ablaufen.
Voraussetzungen für sichere Videokonferenzen
Vorab die schlechte Nachricht: Nach Auffassung der Berliner Beauftragten für Datenschutz und Informationsfreiheit erfüllt keine der gängigen Anbieter (z.B. Microsoft Skype oder Zoom Video) sämtliche datenschutzrelevanten Rechtmäßigkeitsvoraussetzungen. Eine detaillierte Übersicht durch die Behörde in Kürze wird in Aussicht gestellt.
Zu achten sei indes auf folgende Punkte:
- Abschluss eines Vertrags zur Auftragsverarbeitung mit dem Diensteanbieter;
- Dies führt dazu, dass die Daten weder für eigene Zwecke des Diensteanbieter verwendet werden noch an Dritte weitergegeben werden dürfen.
- Vermeidung des Transfers in Drittstaaten außerhalb der EU;
- Falls ein Drittstaatentransfer nicht vermeidbar ist, weil der Anbieter (wie oftmals) in den USA ist: Sicherstellung der Rechtmäßigkeit des Transfers durch Standardvertragsklauseln, Privacy-Shield o.ä.
- Nutzung von verschlüsselten Kanälen sowohl für die Vermittlung der Verbindungen als auch für die Übertragung von Ton- und Bilddaten;
- Falls keine Verschlüsselung angeboten wird, nur Anbieter aus der EU/EFTA wählen
- Berufsgeheimnisträger (Ärzte, Rechtsanwälte, Steuerberater usw.) müssen zudem beachten, dass nur solche Dienstleister eingesetzt werden, die bei einem Vertraulichkeitsbruch auch strafrechtlich belangt werden können.
- Für medizinische Leistungserbringer gilt es darüber hinaus, Anlage 31b zum Bundesmantelvertrag-Ärzte zu beachten, wonach der Videodienstanbieter den schriftlichen Nachweis führen muss, dass er die entsprechenden Vorgaben einhält.
Risikoabwägung
Anders als bei Telefonaten ist der Betreiber eines Videokonferenzsystems nicht durch das Fernmeldegeheimnis verpflichtet. Theoretisch ist damit denkbar, dass sowohl der Dienstebetreiber als auch sonstige unbefugte Dritte sich in die Konferenz mit einwählen, Aufzeichnungen erstellen oder gar Inhalte manipulieren. Selbst wenn Sie den Diensteanbieter vertraglich verpflichten hiervon abzusehen, wird es in der Regel schwer sein, einen solchen Anspruch außerhalb der EU auch durchzusetzen. Zudem behalten sich manche Anbieter vor, Persönlichkeits- und Nutzungsprofile der Gesprächsteilnehmer zu erstellen und auszuwerten ggfs. auch an Dritte zu verkaufen.
Es empfiehlt sich daher, auf größere, bekannte Anbieter auszuweichen, die bei Missbrauch zumindest einen Ruf zu verlieren haben. Außerdem müssen Sie abwägen, welche Inhalte in der Videokonferenz abgesprochen werden und wie groß der Schaden wäre, wenn ein unbefugter Dritter Kenntnis über diese Inhalte hätte.
Risiko identifizieren und minimieren
Zur Minimierung des Risikos empfiehlt es sich einerseits, die Anbieter Ihres Videodienstes und auch das „Kleingedruckte“ im Vertrag genau zu überprüfen und damit Risiken zu identifizieren. Andererseits können Sie auch durch sogenannte organisatorische Maßnahmen dafür sorgen, dass die Risiken überschaubar bleiben, etwa indem Sie eine Richtlinie für die Durchführung von Videokonferenzen erstellen. In einer solchen Richtlinie können Sie festlegen, welche Themen im Rahmen von Videokonferenzen vermeidbar sind. Oftmals lassen sich Themen auch per einfacher Telefonkonferenz über das reguläre Festnetz klären, wo die Vertraulichkeit der Kommunikationsinhalte über das Fernmeldegeheimnis gewahrt bleiben.
Fazit und Ausblick
Am sichersten ist es, wenn Sie Ihre Videokonferenzlösung selbst betreiben. Sofern Sie dies für Sie nicht mit angemessenem Aufwand und angemessenen Kosten zu realisieren ist, versuchen Sie einen seriösen Anbieter möglichst innerhalb der EU zu finden. Erstellen Sie eine Richtlinie zur Durchführung von Videokonferenzen und benennen Sie Themen, die in derartigen Konferenzen nicht erörtert werden dürfen.
Falls Sie Fragen dazu haben melden Sie sich gerne bei uns, damit wir Sie unterstützen können.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Dank der Coronapandemie werden immer mehr Maßnahmen erdacht, die die Ansteckungsgefahr eindämmen sowie mögliche Infizierte identifizieren sollen. Mobiles Arbeiten aus dem Homeoffice ist plötzlich in vielen Bereichen möglich wo es vorher nicht denkbar war, Hygieneregeln werden erlassen, Selbstauskünfte zu Reisen in Risikogebiete erhoben.
Viele dieser von Unternehmen eingeführten Maßnahmen betreffen nicht nur betriebsverfassungsrechtlich garantierte Mitbestimmungsrechte, auch der Datenschutz muss in diesen Fällen zwingend beachtet werden.
Generelle Zulässigkeit von Maßnahmen
Aufgrund der Fürsorgepflicht des Arbeitgebers bzw. Dienstherren ist dieser verpflichtet, den Gesundheitsschutz der gesamten Belegschaft sicherzustellen. Im Falle des Coronavirus handelt es sich derzeit um eine pandemische und darüber hinaus meldepflichtige Krankheit, die auch nach Auffassung der Aufsichtsbehörden[1] die Verarbeitung von Gesundheitsdaten durch den Arbeitgeber in diesem Ausnahmefall zulässt.
Zulässige Maßnahmen zur Feststellung, ob ein Mitarbeiter ggfs. infiziert ist, sind demnach zulässig, um weitere Informationen in den Fällen zu erlangen
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
Dieselben Kriterien gelten auch für Besucher.
Zulässigkeit der Messung der Körpertemperatur
Ob in diesem Fällen eine obligatorische Messung der Körpertemperatur zulässig sein kann, ist indes nicht abschließend geklärt. Einige Aufsichtsbehörden, wie etwa die Irische und Ungarische Aufsichtsbehörde sind der Ansicht, dass die Messung der Körpertemperatur zulässig ist, andere Aufsichtsbehörden, wie etwa die Französische oder Luxemburgische Behörde halten dies für generell unzulässig, nicht zuletzt, weil die Körpertemperatur alleine kein geeignetes Mittel ist, eine Infektion zu identifizieren. Die Deutschen Aufsichtsbehörden haben sich zur konkreten Fragen leider bislang nicht eindeutig geäußert.
Einhaltung der Datenschutzgrundsätze
Einig sind sich sämtliche Behörden hingegen, dass die Datenerhebung transparent erfolgen muss, d.h. die betroffenen Personen müssen darüber informiert werden, welche personenbezogene Daten erhoben werden (etwa falls eine Wärmebildkamera eingesetzt wird), die Grundsätze der Datenminimierung müssen eingehalten werden (so wenige Daten wie möglich erfassen) und selbstverständlich müssen die Daten auch wieder in den angemessenen Fristen gelöscht werden.
Die Vertraulichkeit der Daten spielt außerdem eine besondere Rolle. Die Corona Erkrankung kann zu einer Stigmatisierung des Mitarbeiters führen, weshalb die Namensnennung gegenüber anderen Mitarbeitern grundsätzlich zu vermeiden ist. Nur in Ausnahmefällen dürfen die übrigen Mitarbeiter über den Verdacht der Ansteckung eines Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.
Rechtsgrundlage
Die Rechtsgrundlage zur Verarbeitung personenbezogener Mitarbeiterdaten ergibt sich in diesen Fällen für Arbeitgeber im nicht-öffentlichen Bereich aus § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO jeweils i.V.m. den einschlägigen tarif-, arbeits- und sozialrechtlichen Regelungen des nationalen Rechts. Soweit Gesundheitsdaten verarbeitet werden, sind zudem auch § 26 Abs. 3 BDSG und Art. 9 Abs. 2 lit. b) DSGVO einschlägig.
Weitergabe der Daten an Behörden?
Eine Pflicht zur Weitergabe der Daten an Behörden (Meldepflicht) besteht nur für Leistungserbringer aus dem Gesundheitsbereich (Ärzte, Krankenhäuser), nicht für Unternehmen. Sofern allerdings behördliche Anfragen (Ortspolizeibehörde, zuständiges Gesundheitsamt) vorliegen, können sich diese aus den spezifischen Länderregelungen ergeben. Hier müssen zunächst die angegebenen Rechtsgrundlagen geprüft werden.
Fazit
Wir halten die anlasslose verpflichtende Messung der Körpertemperatur von sämtlichen Mitarbeitern derzeit für nicht zulässig. Sofern eine solche Messung auf freiwilliger Basis angeboten wird, muss diese unter Einhaltung sämtlicher Datenschutzgrundsätze erfolgen. Die Vertraulichkeit der Ergebnisse müssen gewahrt werden. Mitbestimmungsrechte des Betriebsrats sind einzuhalten.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
[1]https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html
|
Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.
Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.
Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:
Bei der Arbeit im Home Office sollte folgendes beachtet werden:
Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.
|
Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.
In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.
Here are some organizational tips to help you protect personal data and prevent data protection violations:
The following should be observed when working in the home office:
Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.
|
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Online-Kommunikationstools werden angesichts neuer Formen der überörtlichen Zusammenarbeit immer wichtiger. Sie helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten.
Die ENISA (European Union Agency for Cybersecurity) hat hierzu einige Empfehlungen veröffentlicht. Es folgt eine kurze Zusammenfassung der Empfehlungen auf Deutsch:
- Verschlüsselte Kommunikation sollte unbedingt unterstützt werden.
- Die zentralisierte Verwaltung sollte unterstützt werden. Dies bedeutet, dass ein Administrator die Einstellungen für alle Teilnehmer vornehmen kann. So können Berechtigungen, Passwortpolicy, und virtuelle Meetingräume gemanagt und unbefugtes Mithören verhindert werden.
- Eine starke Benutzerauthentifizierung (Mehrfaktor-Authentifizierung) ist zu empfehlen.
- Die Konfigurationsoptionen geben Aufschluss über eine mögliche lokale Nutzung von Diensten/Tools. Lokales Hosting auf einem eigenen Server ist gegenüber externer Datenverarbeitung (in einer Cloud) vorzugswürdig.
- Die Datenschutzhinweise sollten genau und kritisch gelesen werden. Wichtige Punkte sind: Erhobene Datenarten, Ort(e) der Datenverarbeitung, mögliche Drittlandtransfers, Speicherdauer sowie Voreinstellungen bzgl. Datenschutz. Ein Teilen der erhobenen Daten mit sozialen Netzwerken sollte grundsätzlich vermieden werden. Ziehen Sie für eine genauere Einschätzung den Datenschutzbeauftragten zu Rate!
- Private Endgeräte dürfen nicht für Videokonferenzen o.Ä. genutzt werden. Bei Verwendung mobiler Endgeräte (Smartphones, Tablets) müssen vor der Nutzung die Berechtigungen der jeweiligen App überprüft und ggf. angepasst werden.
- Genutzt werden sollte immer nur die aus sicheren Quellen stammende, letzte Version einer Software mit aktuellen Sicherheitspatches.
- Alle Meetings, Gruppen und Räume sollten passwortgeschützt sein. Links zu Konferenzräumen dürfen nicht außerhalb der Teilnehmergruppe geteilt werden.
- Bei der Einrichtung sind privatsphärefreundliche Voreinstellungen zu wählen (Kamera standardmäßig inaktiv, keine Aufnahme/Mitschnitt des Meetings oder von versandten Kurznachrichten). Sollte dennoch eine Aufzeichnung erforderlich sein, müssen vorab alle Teilnehmer informiert werden und müssen der Aufzeichnung zustimmen.
- Chat-, Audio- und Bildschirmteilungsfunktionen sollten mit Bedacht eingesetzt werden, damit keinerlei Informationen unbeabsichtigt geteilt werden. Es können i.d.R. auch nur einzelne Fenster freigegeben werden. Der Hintergrund bei Videokonferenzen sollte neutral gewählt werden, um keine personenbezogenen oder vertraulichen Informationen preiszugeben.
Insgesamt ist also beim Einsatz von Online-Kommunikationstools Einiges zu beachten, um für den geschäftlichen Einsatz sicher unterwegs zu sein. Eine solche Absicherung sollte immer sowohl in technischer, als auch in organisatorischer Weise vorgenommen werden. Wie schon in Punkt 5. erwähnt, hilft die frühzeitige Einbindung des Datenschutzbeauftragten dabei, Fehler zu vermeiden.
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Die iOS-App "Mail" enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwerwiegende Sicherheitslücken. Angreifern ist es aktuell möglich, durch das Senden einer E-Mail an ein iPhone oder iPad, die darauf enthaltenen E-Mails zu Lesen, zu Verändern oder zu Löschen.
Dazu BSI-Präsident Arne Schönbohm:
"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet."
Aktuell wir das Löschen der App „Mail“ empfohlen. Zum Abrufen und Lesen von E-Mails sollte bis zur Schließung der Sicherheitslücke auf andere Apps oder Webmail zurückgegriffen werden.
Das angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es von Apple zur Verfügung gestellt wurde.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Der Einsatz von WhatsApp wird von den Aufsichtsbehörden nach wie vor als kritisch eingestuft, weswegen diese in Unternehmen davon abraten. Wir haben uns nach datenschutzfreundlichen Alternativen zu WhatsApp umgesehen und Informationen der nachfolgenden Messengerdienste zu ihren Funktionen und den Angaben der Betreiber zum Datenschutz zusammengefasst.
Threema Work
Threema Work ist ein Messengerdienst aus der Schweiz, der speziell auf die Nutzung in Unternehmen zugeschnitten ist. Threema Work ist eigenen Angaben zufolge DSGVO-konform.
Bei Threema Work müssen keine personenbezogenen Daten (z.B. E-Mail-Adresse oder Handynummer) angegeben werden und es kann ohne Zugriff auf das Adressbuch genutzt werden. Es wird lediglich eine zufällig generierte ID vergeben (sog. Threema-ID), unter der man anderen Nutzern angezeigt wird. Man kann jedoch seinen eigenen Namen angeben. E-Mail-Adressen und Telefonnummern des lokalen Adressbuchs können zum Abgleich anonymisiert („gehasht“) an Threema übermittelt werden und werden umgehend wieder von den Servern gelöscht.
Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und auch die auf dem Endgerät gespeicherten Chats und Medien sind mit AES-256 (256 Bit Schlüssellänge unter Android) verschlüsselt.
Auch seitens der Aufsichtsbehörden wird Threema als gute Alternative empfohlen.
Signal
Bei Signal muss der Nutzer die eigene Telefonnummer und einen Nutzernamen angeben. Als Nutzername ist aber auch ein Pseudonym ausreichend. Man kann Signal Zugriff auf das Adressbuch gewähren, damit andere Signal-Nutzer angezeigt werden, oder die Telefonnummern händisch eingeben. Beim Abgleich mit dem Adressbuch werden die Kontakte anonymisiert und danach wieder von den Servern gelöscht.
Die Chats sind Ende-zu-Ende verschlüsselt. Signal ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in den USA.
Seit Februar 2020 ist Signal die empfohlene Anwendung für öffentliches Instant-Messaging in der Europäischen Kommission.
Hoccer
Bei Hoccer, einem Messengerdienst aus Deutschland, müssen keine personenbezogenen Daten (wie z.B. Telefonnummer oder E-Mail-Adresse) angegeben werden. Dem Nutzer wird eine zufällige Identifikationsnummer zugewiesen durch die er sich mit anderen Nutzern verbinden kann, Hoccer kann also anonym genutzt werden. Hoccer greift auch nicht auf das Adressbuch zu. Alle Informationen werden verschlüsselt an deutsche Server übermittelt und danach gelöscht.
Es ist jedoch unklar, ob Hoccer weiterentwickelt wird, da die aktuelle Version aus dem Jahr 2018 (Android) bzw. 2017 (iOS) stammt. Unter diesem Gesichtspunkt können wir Ihnen die Nutzung von Hoccer momentan nur eingeschränkt empfehlen.
Wire Enterprise
Wire Enterprise ist ein Dienst, der speziell auf die Kommunikation in Unternehmen zugeschnitten ist. Zur Anmeldung muss eine E-Mail-Adresse angegeben werden, ein Zugriff auf das Adressbuch ist nicht erforderlich. Neben der Nutzung des Messenger-Dienstes besteht auch die Möglichkeit, über VoIP zu telefonieren. Wire kann sowohl auf Smartphones, Tablets als auch auf Desktop-Geräten genutzt werden.
Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt. Wire ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in der Schweiz und hat seine Server in der EU.
ginlo Business
ginlo Business ist eine Version des Messenger-Dienstes für Unternehmen, die auch auf Desktop-Geräten genutzt werden kann. Es können Einzel- oder Gruppenchats und Channels für eine unternehmensweite Kommunikation erstellt werden. Die Chats sind auf bis zu 10 Geräten gleichzeitig verfügbar. Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und die Serverstandorte in Deutschland sind mit ISO 27001 zertifiziert.
Beekeeper
Der Messengerdienst Beekeeper richtet sich speziell an Unternehmen. Für die Anmeldung ist keine E-Mail-Adresse erforderlich, es ist eine einfache Anmeldung über QR-Codes möglich. Beekeeper kann sowohl auf mobilen Endgeräten als auch auf Desktop-Geräten genutzt werden.
Dokumente, Links und Bilder können einfach gespeichert und freigegeben werden, es können News Streams eingerichtet werden und Mitarbeiterumfragen durchgeführt werden. Der Dienst arbeitet mit ISO 27001 zertifizierten Rechenzentren.
Fazit
Es gibt einige datenschutzfreundliche Messengerdienste auf dem Markt, die sich für den Einsatz im Unternehmen eignen. Eine vollständige datenschutzrechtliche Prüfung kann und soll dieses Merkblatt aber nicht ersetzen. Binden Sie bei der Einführung immer den Datenschutzbeauftragten mit ein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Wir berichteten bereits über die besonderen Herausforderungen der Betriebsratsarbeit während der Corona-Krise und darüber, dass es für die Durchführung von Betriebsratssitzungen und Beschlussfassungen per Telefon- oder Videokonferenz keine gesetzliche Grundlage gibt. Dies will die Bundesregierung nun ändern und die betriebliche Mitbestimmung auch in der Corona-Krise rechtssicher ermöglichen.
Dafür sollen Änderungen im Betriebsverfassungsgesetz (BetrVG) vorgenommen werden und rückwirkend zum 1. März 2020 in Kraft treten, damit bereits gefasste virtuelle Betriebsratsbeschlüsse wirksam bleiben.
Durch den neuen § 129 BetrVG („Sonderregelungen aus Anlass der Covid-19-Pandemie“) nach aktuellem Entwurf können sowohl die Teilnahme an Betriebsratssitzungen als auch die Beschlussfassung mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können (§ 129 Abs. 1 S. 1 BetrVG). Eine Aufzeichnung ist jedoch nicht zulässig, § 129 Abs. 1 S. 2 BetrVG. Die nach § 34 Abs. 1 S. 3 BetrVG erforderliche Anwesenheitsliste wird dadurch ersetzt, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen, § 129 Abs. 1 S. 3 BetrVG.
Die Sicherheit der Übertragung ist nach den Erläuterungen zum Gesetzesentwurf insofern sicherzustellen, als dass entsprechende technische und organisatorische Maßnahmen zu ergreifen sind, wie z.B. eine Verschlüsselung der Verbindung und die Nutzung eines nichtöffentlichen Raumes für die Dauer der Betriebsratssitzung.
Auch Einigungsstellen und Wirtschaftsausschüsse sollen nach der Neuregelung mittels Video- und Telefonkonferenz Sitzungen durchführen und Beschlüsse fassen können, § 129 Abs. 2 BetrVG.
Ferner sollen Betriebsversammlungen, Betriebsräteversammlungen und Jugend- und Auszubildendenversammlungen mittels audiovisueller Einrichtungen durchgeführt werden können, wenn sichergestellt ist, dass nur teilnahmeberechtigte Personen Kenntnis von dem Inhalt der Versammlung nehmen können, § 129 Abs. 3 BetrVG.
Die Sonderregelungen des § 129 BetrVG gelten bis zum 31. Dezember 2020 (vgl. § 129 Abs.4 BetrVG).
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.
Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.
Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.
Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.
Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.
Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!
Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.
Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.
Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.
Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!
Florian S.
Justiziar | M.A.
Consultant für Datenschutz
Die Niederländische Datenschutzbehörde hat gegen den Tennisclub KNLTB ein Bußgeld in Höhe von 525.000 Euro verhängt, weil dieser Daten seiner Mitglieder an Sponsoren verkauft hat.
Ein Sponsor erhielt ca. 50.000 Datensätze, ein anderer Sponsor sogar ca. 300.000 Datensätze. Übermittelt wurden u.a. Vor- und Nachname, Adresse, E-Mail-Adresse, Geschlecht, Telefon- und Handynummer und Geburtsdatum der Mitglieder. Einige Monate vor der Weitergabe der Daten, kündigte der Tennisclub seinen Mitgliedern dies in seinem Newsletter und auf der Webseite an und wies darauf hin, dass die Mitglieder der Weitergabe widersprechen können.
Daraufhin wurden die Mitglieder postalisch und in ca. 40.000 Fällen auch telefonisch vom Sponsor kontaktiert.
Der Tennisclub rechtfertigte die Weitergabe der Daten damit, dass dies einen Mehrwert für die Mitglieder schaffen sollte (z.B. in Form von tennisbezogenen und anderen Angeboten) und dadurch außerdem die sinkenden Einnahmen wegen rückläufiger Mitgliederzahlen ausgeglichen werden sollten.
Dies erkannte die Niederländische Datenschutzbehörde nicht als ausreichend an, sondern sah darin eine unerlaubte Weitergabe von Daten und damit ein Verstoß gegen die DSGVO. Die Datenschutzbehörde wertete die Handlungen des Tennisclubs als schweren Verstoß. Der Tennisclub habe sich insbesondere nicht ausreichend informiert.
Die Entscheidung ist noch nicht rechtskräftig, der Tennisclub hat bereits angekündigt, Rechtsmittel einlegen zu wollen.
Die Weitergabe von Daten bedarf immer einer rechtlichen Grundlage gemäß Art. 6 DSGVO. Als eine solche kommt vorliegend lediglich eine Einwilligung in Betracht, die jedoch ausdrücklich, informiert und freiwillig erteilt werden muss. Ein bloßer Hinweis auf ein bestehendes Widerspruchsrecht, das aktiv ausgeübt werden muss, weil ansonsten das Schweigen als Einwilligung gewertet wird, ist nicht ausreichend und zulässig!
Ein weiteres Beispiel, dass uns zeigt, dass die Rechtsgrundlage für die Datenverarbeitung immer sorgfältig abgewogen werden muss. Binden Sie vor solchen Aktionen immer Ihren Datenschutzbeauftragten mit ein, um hier auf der sicheren Seite zu sein.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz