Die EU-Kommission hat den von vielen Unternehmen lang ersehnten Angemessenheitsbeschluss gemäß Art. 45 Datenschutzgrundverordnung (DSGVO) für Großbritannien erlassen. Damit bescheinigt die EU-Kommission dem Vereinigten Königreich ein angemessenes Datenschutzniveau im Sinne der Datenschutzgrundverordnung. Dies vereinfacht nach dem Brexit den Datentransfer. Seit diesem galt Großbritannien als Drittland und jede Datenübermittlung musste zusätzlich mit EU-Standardvertragsklauseln abgesichert werden. Denn Datentransfers in Drittländer sind nur zulässig, wenn geeignete Garantien (Art. 44 ff. DSGVO) ein angemessenes Datenschutzniveau in diesem Land sicherstellen.
Eine Datenübermittlung nach Großbritannien kann nach dieser Entscheidung der EU-Kommission nun auf Grundlage des Angemessenheitsbeschlusses erfolgen; weitere Maßnahmen zum Schutz der Daten im Sinne des Art. 46 DSGVO müssen folglich nicht mehr ergriffen werden.
Wenn Sie einen Auftragsverarbeiter in Großbritannien einsetzen reicht folglich wieder der alleinige Abschluss eines Vertrages zur Auftragsverarbeitung aus.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Das Betriebsrätemodernisierungsgesetz, welches die Betriebsratswahlen und die Betriebsratsarbeit in der digitalen Arbeitswelt fördern möchte, ist am 18. Juni 2021 in Kraft getreten.
Das Gesetz sieht neben einigen anderen Regelungen vor, dass der Arbeitgeber für die Verarbeitung von Beschäftigtendaten durch den Betriebsrat datenschutzrechtlich verantwortlich ist, wenn er die Beschäftigtendaten zur Erfüllung der in seiner Zuständigkeit als Betriebsrat liegenden Aufgaben verarbeitet.
Folglich ist der Datenschutzbeauftragte des Arbeitgebers nun auch für die Datenverarbeitung des Betriebsrats zuständig. Dies war in der Vergangenheit heftig umstritten und eine Zuständigkeit des Datenschutzbeauftragten des Arbeitgebers wurde vor allem seitens der Betriebsräte häufig verneint. Mit dem Betriebsrätemodernisierungsgesetz wurde die Zuständigkeit nun gesetzlich geklärt.
Sensibilisieren Sie dahingehend Ihren Betriebsrat. Der Datenschutzbeauftragte wird dessen Arbeit in Zukunft intensiv kontrollieren müssen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Wie wir bereits in unserem Blogbeitrag Update zum Umgang mit personenbezogenen Daten beim internationalen Datentransfer berichtet haben, hat die Europäische Kommission bereits im November letzten Jahres auf das Schrems II-Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, reagiert und neue EU-Standardvertragsklauseln (SCC) zur öffentlichen Konsultation gegeben.
Am Freitag, den 04.06.2021, hat die Europäische Kommission die neuen EU-Standardvertragsklauseln (SCC) als Garantie im internationalen Datentransfer gemäß Art. 46 Abs. 1 DSGVO nun verabschiedet. Auch die Veröffentlichung im Amtsblatt ist mittlerweile bereits erfolgt.
Doch was bedeutet das nun für Unternehmen, welche mit den bisherigen SCC gearbeitet haben?
Einführung der neuen SCC im Unternehmen
Dem Artikel 4 des Durchführungsbeschlusses der Europäischen Kommission können die nun geltenden Übergangsfristen entnommen werden. Die bisherigen SCC können noch für 3 Monate wie bisher für den Datentransfer in Drittstaaten abgeschlossen werden. Nach dieser ersten genannten Frist müssen bei neuen Verträgen die neuen SCC abgeschlossen werden. Innerhalb einer weiteren Frist von 15 Monate müssen Verträge mit den bisherigen SCC auf die neuen SCC angepasst werden. Bis zum Ablauf dieser zweiten Frist können sich Unternehmen jedoch noch auf die bisherigen SCC in ihren Verträgen als Garantie für den Drittstaattransfer personenbezogener Daten berufen.
Die neuen SCC weisen einen modularen Aufbau vor, um verschiedene Szenarien abzudecken. Auch die Kritik aus dem Schrems II-Urteil des EuGH, dass Behörden auf personenbezogene Daten in den USA zugreifen können, ohne dass betroffene Personen einen adäquaten Rechtsbehelf gegen dieses Vorgehen haben, wurde berücksichtigt. Der Zugriff auf die personenbezogenen Daten durch die örtlichen Behörden wird nun unter Abschnitt III geregelt. Dabei geht man zwar grundsätzlich vertrauensvoll von der Wahrung von Betroffenenrechten aus, vereinbart jedoch zusätzliche Benachrichtigungs- und Überprüfungspflichten für den Fall staatlicher Zugriffsversuche.
Fazit
Unternehmen sollten sich klar machen, welche Verträge von den neuen SCC und der damit verbundenen Übergangsfristen betroffen sind und einen Prozess für die Aktualisierung ausarbeiten. Darüber hinaus ist ein Prozess zu entwickeln, um künftig die neuen SCC bei zukünftigen Verträgen zu nutzen. Zudem sind Mitarbeiter, welche mit den neuen SCC arbeiten, entsprechend auf die neuen Anforderungen zu sensibilisieren.
Laura Piater
Consultant für Datenschutz
Volljuristin
Dem Europäischen Gerichtshof (EuGH) wurde durch das Bundesarbeitsgericht (BAG) die Frage zur Entscheidung vorgelegt, ob der deutsche Sonderkündigungsschutz im Arbeitsrecht für Datenschutzbeauftragte mit der DSGVO vereinbar ist und ob Betriebsratsvorsitzende die Position des betrieblichen Datenschutzbeauftragten bekleiden können, ohne dass hierbei ein Interessenkonflikt besteht.
Im zugrunde liegenden Fall, welchen das BAG zu entscheiden hat, wurde ein zum betrieblichen Datenschutzbeauftragter ernannter Betriebsratsvorsitzender mit dem Hinweis abberufen, beide Ämter gleichzeitig in Personalunion zu betreiben. Dies würde zwingend zu einem mit den Amtspflichten unvereinbaren Interessenkonflikt führen und stelle somit einen wichtigen Grund iSd § 626 BGB zur Kündigung der Tätigkeit als Datenschutzbeauftragter dar.
Das BAG hingegen ist der Auffassung, ein wichtiger Grund für eine Abberufung würde nicht vorliegen. Für die Frage, ob der Datenschutzbeauftragte abberufen werden kann, kommt es jedoch auf die Auslegung der DSGVO als Unionsrecht an, welches durch den EuGH geklärt werden muss.
Im Rahmen eines Vorabentscheidungsverfahrens hat sich der 9. Senat des BAG daher an den EuGH gewandt. Dabei soll zunächst die Frage geklärt werden, ob neben Art. 38 Abs. 3 Satz 2 DSGVO nationale Regelungen wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG anwendbar sind, wenn die Voraussetzungen für eine Abberufung durch das nationale Recht wesentlich verschärft werden.
Entscheidet sich der EuGH für die Anwendbarkeit der nationalen Regelungen gemäß BDSG, so soll weiterhin die Frage geklärt werden, ob die Ausübung der Tätigkeit des betrieblichen Datenschutzbeauftragten neben der Tätigkeit als Betriebsratsvorsitzender zu einem Interessenkonflikt gemäß Art. 38 Abs. 6 Satz 2 DSGVO führt.
Es bleibt abzuwarten, wie der EuGH in dieser Sache entscheidet, da dies auch Auswirkungen auf weitere streitige Themen hat, wie beispielsweise, ob der Betriebsrat ein eigener Verantwortlicher iSd DSGVO darstellt.
Laura Piater
Consultant für Datenschutz
Volljuristin
Werden personenbezogene Daten übermittelt, müssen Verantwortliche geeignete Maßnahmen treffen, um unter anderem die Vertraulichkeit und Integrität dieser Daten sicherzustellen. Im Rahmen der sog. „Transportkontrolle“ ist zu prüfen, ob die eingesetzte Technik einen angemessenen Schutz für die transportierten personenbezogenen Daten bietet. Dabei sind unter anderem die Implementierungskosten von Maßnahmen, Art und Umfang der Datenverarbeitung und die Eintrittswahrscheinlichkeit von Risiken für die betroffenen Personen abzuwägen.
Die Bremer Landesdatenschutzbeauftragte Frau Sommer erklärte Anfang Mai 2021 das Telefax für zu unsicher, um damit personenbezogene Daten zu übermitteln. Das liege am Internet.
Telefaxe werden heute nicht mehr zwingend von Gerät zu Gerät über Telefonleitungen geschickt. Vielmehr erfolge die Übertragung häufig über das Internet.
Es werden in der Regel Systeme genutzt, die Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Adressen innerhalb des Verantwortlichen weiterleiten. Damit hat das Fax nach Aussage von Frau Sommer nur noch das Sicherheitsniveau einer unverschlüsselten E-Mail.
Das bringt weitreichende Konsequenzen mit sich. Telefaxe sind folglich auf keinen Fall mehr für die Übermittlung von besonderen personenbezogenen Daten im Sinne des Art. 9, Abs. 1 DSGVO geeignet.
Schulen Sie dahingehend vor allem auch Ihre HR-Mitarbeiter.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Einleitung
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 gab es einige bemerkenswerte Versuche, den Datenschutz für unvorhergesehene Zwecke zu instrumentalisieren. Wenn auch bereichsübergreifendes Denken grundsätzlich begrüßenswert ist und Synergieeffekte fördert, so besteht glücklicherweise weitgehend Einigkeit darüber, dass die sogenannte „Datenschutz-Keule“ nicht dazu gedacht ist, Sonderkündigungsrechte in bestehende Vertragsbeziehungen einzuführen oder einander durch missbräuchliche Nutzung von Betroffenenrechten das Leben schwer zu machen.
Datenschutz im Arbeitsverhältnis
Findige Arbeitsrechtler mit Vorliebe für Prozesstaktik haben sich dieser Vorgehensweise ebenfalls bedient und zunehmend die Betroffenenrechte Ihrer Mandanten in arbeitsgerichtliche Auseinandersetzungen eingeführt.
Ohne Frage sind Beschäftigte durch die allgemeinen Vorgaben und Betroffenenrechte der DSGVO geschützt und genießen darüber hinaus auch durch den § 26 Bundesdatenschutzgesetz (BDSG) eine Sonderstellung.
Wenn sich Beschäftigte aber erst im Rahmen einer Auseinandersetzung mit dem Arbeitgeber oder anlässlich der Beendigung ihres Arbeitsverhältnisses einer vermeintlich unzureichenden Datenschutzorganisation des Verantwortlichen oder der eigenen Grundrechtsbeeinträchtigung bewusst werden, ist das zumindest ein angemessen zu würdigender Umstand.
Urteil des BAG vom 27.04.2021 - 2 AZR 342/20
Im vom BAG entschiedenen Fall ging es um eine Kündigung, die bereits nach einmonatiger Probezeit und mit Zustimmung des Betriebsrates ausgesprochen wurde. Der Kläger verlangte Auskunft über die vom Unternehmen zu seiner Person gespeicherten Daten und begehrte zudem eine Kopie des gesamten E-Mail-Verkehrs von ihm sowie aller E-Mails anderer Personen, in denen er erwähnt wird.
Die Revisionsinstanz hatte sich nur noch mit der Frage zu beschäftigten, ob dem Kläger diese Mailkopien zustehen, da die übrigen Klageforderungen bereits vom Arbeitsgericht Hameln und dem LAG Niedersachen abgewiesen wurden.
Hinsichtlich der Mailkopien, bei denen es sich direkt um personenbezogene Daten handelte, haben die Richter den Anspruch des Klägers bestätigt, der sich aus Art. 15 DSGVO herleitet.
Bezüglich der eigenen elektronischen Korrespondenz mit der Firma wurde der Anspruch jedoch abgelehnt, da dieser Schriftwechsel dem Kläger bereits bekannt war. Das deckt sich insoweit auch mit dem Grundgedanken der Art. 13 Abs. 4 und Art 14 Abs. 5 DSGVO, die den Verantwortlichen von seinen Informationspflichten befreien, sofern die betroffene Person bereits über die zutreffenden Informationen verfügt. Will ein Verantwortlicher die Auskunft verweigern, muss er zudem die Ausnahmetatbestände und Dokumentationspflichten des § 34 BDSG berücksichtigen.
Wenn der Kläger darüber hinaus seinen Anspruch auf E-Mails erstrecken möchte, in denen er lediglich in irgendeiner Weise genannt wird, so müsse er diese zumindest insoweit konkretisieren, als dass in einem Vollstreckungsverfahren unzweifelhaft sei, auf welche E-Mails sich das Auskunftsverlangen bezieht.
Fazit
In der Sache blieben die Vorgaben der DSGVO und ihre inhaltlichen Grenzen unberührt. Letztlich stützte das Gericht die Entscheidung auf die Unbestimmtheit des Klageantrags und die fehlende Vollstreckungsmöglichkeit nach den Regeln der ZPO.
Dies kann man sowohl als Entwarnung als auch als Herausforderung betrachten. Mit Sicherheit werden in kommenden Verfahren die Klageanträge sorgfältiger und konkreter formuliert, bis dann eines Tages doch der Umfang des Auskunftsanspruches selbst geklärt werden muss.
Stefan Effmert
Volljurist
Berater für Datenschutz
Einleitung
Ab dem 20.04.2021 müssen Arbeitgeber allen Beschäftigten, die nicht ausschließlich von zu Hause arbeiten, regelmäßig einen Corona-Test anbieten. Dies regelt die jüngste Änderung der bestehenden SARS-CoV-2-Arbeitsschutzverordnung.
Gemeint sind dabei Selbsttests, welche die Beschäftigten allein und somit zum Beispiel auch zu Hause durchführen können, aber auch die Schnelltests, die von geschultem Personal durchgeführt werden.
Grundaussagen der Regelung
Abhängig vom mit dem Arbeitsplatz verbundenen Infektionsrisiko bestimmt sich die Häufigkeit der Tests. Im Regelfall muss jedem Beschäftigten min. 1 Test pro Kalenderwoche angeboten werden. Wer z.B. aufgrund häufigen oder direkten Mitarbeiter- oder Kundenkontaktes einem erhöhten Infektionsrisiko ausgesetzt ist, muss 2 Testangebote pro Kalenderwoche erhalten.
Eine allgemeine Testpflicht besteht ausdrücklich nicht, sondern lediglich eine Angebotspflicht.
Erforderliche Datenverarbeitung
Arbeitgeber müssen die Tests zur Verfügung stellen und dokumentieren, dass sie die Tests angeschafft haben und die notwendigen Kapazitäten anbieten. Sie müssen zudem dokumentieren, dass die Beschäftigten das erforderliche Testangebot erhalten haben.
Nicht dokumentiert werden muss, dass das Testangebot auch in Anspruch genommen wurde. Die datensparsamste Lösung ist also, die Tests im Betrieb entsprechend zur Verfügung zu stellen.
Alternativ können die Tests den Beschäftigten auch nach Hause geschickt werden, dazu ist allerdings wieder die Verarbeitung personenbezogener Daten erforderlich und der Versand muss dokumentiert werden.
Ein berechtigtes Interesse des Arbeitgebers ist die Steuerung und Kontrolle von Kapazitäten. Dazu kann es legitim sein, die Ausgabe der Schnelltests an Mitarbeiter zu dokumentieren, um sicherzustellen, dass die erforderliche Mindestanzahl für den Tätigkeitsbereich gewährleistet wurde. Zudem kann dadurch auch die übermäßige Mitnahme von Schnelltests verhindert werden, denn diese könnte die Verfügbarkeit für andere Beschäftigte beeinträchtigen und für den Verantwortlichen übermäßige Kosten verursachen.
Testergebnisse müssen und dürfen grundsätzlich nicht dokumentiert werden. Diese unterliegen als Gesundheitsdaten gemäß Art. 9 DSGVO einem besonderen Schutz.
Lediglich in einigen besonderen Bereichen und Bundesländern gelten Sonderregelungen, die eine Testpflicht vorsehen und somit auch die Dokumentation der Durchführung des Tests erfordern (z.B. Pflegepersonal, medizinisches Personal, Verkaufspersonal).
Bei Arbeitnehmerüberlassung ist grundsätzlich der Entleiher für das Testangebot verantwortlich. Verleiher sollten im Rahmen ihrer Fürsorgepflichten auch im Auge behalten, dass beim Entleiher keine unzulässige Datenverarbeitung im Zusammenhang mit Corona-Tests erfolgt.
Informationspflichten
Wenn sich Verantwortliche für das praktische Angebot durch die allgemeine Ausgabe der Selbsttests entscheiden, müssen keine datenschutzrechtlichen Informationen erteilt werden.
Erfolgt eine Steuerung der Kapazitäten aufgrund berechtigter Organisationsinteressen, ist die Rechtsgrundlage Art. 6 Abs. 1 S. 1 f) DSGVO und die betroffenen Personen müssen auf ihre Widerspruchsmöglichkeit hingewiesen werden. Regelmäßig dürften die Organisationsinteressen des Verantwortlichen zwar überwiegen, doch das ist im Einzelfall zu entscheiden.
Unterliegen der Verantwortliche und seine Beschäftigten besonderen bereichs- oder länderspezifischen Regelungen, die sich auf Datenerhebung und Datenverarbeitung auswirken, so ist darüber zu informieren. Rechtsgrundlage ist in diesem Fall die rechtliche Verpflichtung nach Art. 6 Abs. 1 S. 1 c) DSGVO sein.
Fazit
Die Verordnungen im Rahmen der Pandemiebekämpfung sind zahlreich und variieren in den einzelnen Bundesländern. Sie werden zudem regelmäßig überarbeitet und angepasst.
Verantwortliche müssen diese Veränderungen im Blick behalten und gegebenenfalls reagieren.
Achten Sie auf die Datensparsamkeit und konzentrieren Sie sich auf die effektive Umsetzung der Maßnahmen, zu denen Sie rechtlich verpflichtet sind. Kontaktnachverfolgung ist Aufgabe der Gesundheitsämter und sollte nicht ohne rechtliche Grundlage von Arbeitgebern übernommen werden.
Stefan Effmert
Volljurist
Berater für Datenschutz
Derzeit wird unsere Wahrnehmung von besonders vielen wichtigen Themen beherrscht. Zwischen Inzidenzen, Lockdowns und Schutzmaßnahmen muss das Leben weitergehen. Gerade auch durch alternative Geschäftsprozesse, die durch Geschäftsschließungen oder Meldevorgaben eingeführt wurden, sind Dauerthemen wie die Datennutzung und die dazugehörige technische sowie organisatorische Absicherung nochmals wichtiger geworden.
Die Fehler der Anderen
Um Sie vor Fehlern zu bewahren, sensibilisieren wir Sie für häufige und naheliegende Versäumnisse, die im Ernstfall zu empfindlichen Sanktionen führen können. Dazu haben wir nachfolgend einen kurzen Überblick jüngster Bußgelder für Sie zusammengestellt und die Fälle kurz beschrieben.
- UK, £250,000 Bußgeld für das Versenden von 2,670,140 Werbe-SMS an Betroffene ohne deren Einwilligung. Innerhalb von 41 Tagen gingen über 10,000 Beschwerden bei der Aufsicht ein. Außerdem waren die Absenderinformationen irreführend und der Verantwortliche (Leads Work Limited) ließ die Marketingaktion weiterlaufen, selbst als die Aufsichtsbehörde den Fall schon untersuchte. Da der Verantwortliche auch nicht kooperativ und transparent gegenüber der Aufsicht agierte, erkannte diese keine mildernden Umstände.
- UK, £50,000 Bußgeld für Muscle Foods Limited, wegen des Versendens von ca. 135,651,627 Werbemails und 6,354,425 Werbe-SMS ohne Einwilligungen, über einen Zeitraum von 7 Monaten.
- Polen, ca. 30,000 EUR Bußgeld für die Verletzung von Meldepflichten. Eine unberechtigte Person erhielt von einem Mitarbeiter des Verantwortlichen (Enea S.A.) eine E-Mail, welche die persönlichen Daten von hunderten Personen enthielt. Die Daten wurden zwar in einem passwortgeschützten, jedoch unverschlüsselten E-Mail-Anhang übermittelt. Der Verantwortliche hatte den Vorfall zudem geprüft und dabei aber selbst keine Datenschutzverletzung festgestellt, die eine Benachrichtigung erfordert hätte.
- Polen, in zwei Fällen Bußgelder (ca. 4,645 EUR und ca. 22,140 EUR) wegen der Verletzung der Pflicht zur Kooperation mit der Aufsichtsbehörde. Zum einen ging es um eine Stellungnahme zu einer Beschwerde einer betroffenen Person, zum anderen um die Aufklärung eines Datenschutzvorfalls im Zusammenhang mit einem Internetportal und der Erfassung der verwendeten TOM.
- Polen, ca. 22,275 EUR Bußgeld wegen des Fehlens angemessener TOM. Eine Datenbank der Nationalen Schule für Justiz und Staatsanwaltschaft mit über 50.000 Betroffenen wurde innerhalb einer Schulungsplattform unbefugt weitergegeben. Weiterhin wurde festgestellt, dass ein Auftragsverarbeiter einbezogen, aber die Vorgaben des Art. 28 DSGVO nicht eingehalten wurden. Die unzureichende Bezeichnung der Betroffenen und der verarbeiteten Daten bzw. Datenkategorien und die fehlende Verpflichtung zur Weisungsgebundenheit wurden dem Verantwortlichen angelastet und der Auftragsverarbeiter ausdrücklich nicht für die Datenschutzverletzung verantwortlich gemacht.
- Deutschland, 14,5 Millionen EUR Bußgeld gegen die Deutsche Wohnen SE noch nicht rechtskräftig. Wegen unberechtigter Verarbeitung von Mieterdaten wurde das Bußgeld von der Berliner Aufsichtsbehörde verhängt. Das Landgericht Berlin hob das Bußgeld auf, weil es nicht den Anforderungen des Deutschen Verwaltungsrechts, an die genaue Bezeichnung des Beschuldigten und der konkreten Tathandlung entsprach. Die Aufsichtsbehörde legte Beschwerde ein und hofft auf eine Klärung des Verhältnisses von DSGVO und nationalem Straf- bzw. Ordnungswidrigkeitenrecht. Die Entscheidung wird insbesondere für Konzerne mit internationalen Strukturen von großer Bedeutung sein.
- Deutschland, 10,4 Millionen EUR gegen notebooksbiller.de wegen unzulässiger Videoüberwachung von Beschäftigten. Aufgrund eines generellen Verdachts wurden Beschäftigte an Arbeitsplätzen, in Verkaufsräumen, Aufenthaltsbereichen und im Lager über 2 Jahre hinweg per Video überwacht und die Aufnahmen lange gespeichert. Die Aufsichtsbehörde verwies darauf, dass mildere Mittel zumindest geprüft werden und konkrete Verdachtsfälle bestehen müssen.
- Zypern, 40,000 EUR Bußgeld gegen die dortige Strombehörde wegen eines automatischen Systems zur Überwachung der gesundheitsbedingten Abwesenheit seiner Mitarbeitenden. Dabei wurden ohne gültige Rechtsgrundlage personenbezogene Daten nach Art 6 und 9 DSGVO verarbeitet und den Mitarbeitenden nicht ihr Widerspruchsrecht gem. Art. 21 DSGVO eingeräumt. Dies wäre erforderlich gewesen, da die Entscheidungsfindung Auswirkungen auf die Gesamtbewertung der Mitarbeitenden hatte.
- Norwegen, ca. 24,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Weiterleitung einer E-Mail. Diese an einen Mitarbeiter adressierte E-Mail wurde an ein allgemeines Postfach des Unternehmens weitergeleitet. Dafür gab es keine Rechtsgrundlage und der Verantwortliche hatte keine Maßnahmen (TOM) implementiert, den Zugriff auf E-Mails zu regeln.
- Spanien, 9,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Veröffentlichung eines Fotos auf der Webseite ohne die Einwilligung der Betroffenen. Zudem wurden die Informationspflichten (Art. 13 DSGVO) bei Erhebung der Daten nicht erfüllt.
- Spanien, 200,000 EUR Bußgeld gegen Vodafone wegen Kontaktaufnahme via E-Mail trotz vorangegangenen Löschungsverlangens der Betroffenen. In Anbetracht der fehlenden Rechtsgrundlage im Einzelfall und zwei ähnlicher vorangegangener Fälle, wurde die Strafe verhängt. Da Vodafone einlenkte, wurde sie deutlich auf 120,000 EUR reduziert.
- Italien, 50,000 EUR Bußgeld gegen die Gesundheitsbehörde der Emilia-Romagna für unterlassene Sicherungsmaßnahmen (TOM). Krankenhausmitarbeiter haben Familienangehörige kontaktiert und ihnen Gesundheitsdaten mitgeteilt. Da es keine gültige Rechtsgrundlage gab, stellte dies eine Datenschutzverletzung dar. Der Verantwortliche hatte keine Maßnahmen zur Datenverwaltung und eventuellen Herausgabe getroffen.
- Italien, 30,000 EUR Bußgeld gegen eine Gesundheitsbehörde wegen der Verwendung eines Fingerabdrucksystems zur Anwesenheitskontrolle. Die Fingerabdrücke von 2,000 Mitarbeitenden wurden mit deren Personaldaten verknüpft und dazu genutzt, die Anwesenheitszeiten zu überwachen. Die verwendeten Einwilligungen der Mitarbeitenden waren zweifelhaft hinsichtlich ihrer Freiwilligkeit und der notwendigen Informationen an die Betroffenen. Die Aufsicht untersagte die weitere Datenverarbeitung.
- Italien, 300,00 EUR Bußgeld wegen unrechtmäßiger Verarbeitung personenbezogener Daten im Zusammenhang mit der Ausschüttung von COVID-19-Hilfen. Das Nationale Institut für Sicherheit (INPS) hatte Daten von Personen, die politische Positionen innehatten, mit Daten von Personen, die COVID-19-Hilfen beantragt hatten, abgeglichen. Dabei wurden Rechtmäßigkeit und Transparenz nicht ausreichend sichergestellt und eine angesichts der sensiblen Daten notwendige DSFA unterlassen.
Fazit
Aus der Zusammenstellung wird deutlich, dass die Kooperation mit der Aufsicht stets hohe Priorität hat. Die polnische Entscheidung zur Verantwortlichkeit für AV-Verträge ist für jeden Auftraggeber alarmierend, der sich auf die Dokumente der Dienstleister verlässt oder die entsprechenden Punkte ohne eigene Kontrolle vom Dienstleister ausfüllen lässt. Fehlende oder unzureichende Rechtsgrundlagen sind ein Klassiker, führen deshalb im Wiederholungsfall oder in Verbindung mit Daten nach Art. 9 DSGVO zu deutlich schärferen Maßnahmen der Aufsichtsbehörden. Die COVID-19-Pandemie machte viele Anpassungen und neue Perspektiven notwendig. Doch das Beispiel aus Italien zeigt eindrucksvoll, dass der Datenschutz durch die Pandemie nicht ausgesetzt wurde.
Stefan Effmert
Legal Advisor
Consultant Data Protection
Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.
Was ist passiert?
Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.
Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.
Was ist jetzt zu tun?
Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.
Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.
Laura Piater
Justiziarin
Consultant für Datenschutz
In Reportagen hört man immer wieder, wie Menschen auf Betrugsmaschen hereinfallen und dadurch große Geldsummen verlieren. Doch das Thema trifft nicht nur im privaten Bereich zu, sondern kann auch Mitarbeitern im Unternehmen passieren, denn die angewendeten Betrugsmaschen werden immer raffinierter.
Vishing
Beim so genannten Vishing (Kombination aus Voice und Phishing) gibt sich jemand als Person bzw. Unternehmen aus (Bsp. Experte, Mitarbeiter, Kundenunternehmen) und versucht im Gespräch Informationen über Passwörter, Geburtsdaten etc. zu erhalten. Ziel der Betrüger ist es dabei, sich Zugang zu den Daten des Unternehmens zu verschaffen für den anschließenden Datenklau.
Versierte Betrüger können durch das so genannte Caller ID Spoofing sogar den Eindruck vermitteln, von einer dem Angerufenen bereits bekannten Telefonnummer aus anzurufen. Den Betrügern gelingt es dadurch das Vertrauen der angerufenen Person zu gewinnen, um an die benötigten Informationen zu gelangen.
CEO-Fraud
Beim so genannten CEO Fraud gibt sich eine Person als Vorstandsmitglied, Geschäftsleitung oder anderen Führungsperson des eigenen Unternehmens aus. Per E-Mail oder Telefon sollen Mitarbeiter dazu bewegt werden, hohe Geldbeträge ins Ausland zu überweisen. Durch Informationen von der Homepage des Unternehmens sowie Social Media Inhalten erweckt der Betrüger den Anschein, über interne Informationen zu verfügen. Gepaart mit dem Anschein eines hohen Zeitdrucks kommen Mitarbeiter dem Zahlungswunsch schließlich nach.
Wie vermeidet man, dass Mitarbeiter auf den Betrug eingehen?
Oftmals wird die Wahrscheinlichkeit, auf diese oder ähnliche Betrugsmaschen hereinzufallen, von den Unternehmen als gering bewertet. In jedem Fall sind Unternehmen gut damit beraten, ihre Mitarbeiter regelmäßig hinsichtlich (aktueller) Betrugsmaschen zu sensibilisieren und Hilfestellungen in Form von Verhaltensweisen an die Hand zu geben (Bsp. keine Weitergabe von Passwörtern oder internen Informationen).
Zudem sind in die bestehenden Prozesse zum Zahlungsverkehr auch Kontrollmechanismen einzubauen, sodass der Betrug schnell erkannt wird und rechtzeitig gestoppt werden kann, sofern es notwendig werden sollte.
Laura Piater
Justiziarin
Consultant für Datenschutz