Corona macht auch vor dem Datenschutz nicht halt. Die jetzt notwendigen Maßnahmen verlangen Unternehmen und ihren Mitarbeitern einiges ab. Umso besser, wenn datenschutzrechtliche Bestimmungen frühzeitig in die Überlegungen einbezogen werden, um betroffene Personen nicht noch stärker zu belasten.
Wir haben nachfolgend die wichtigsten Themen für Sie zusammengefasst:
Rundmail vom Mutterkonzern
Es gibt vermehrt Konzerne, die eine Richtlinie mit Verhaltensregeln herausgeben, um die Gefahr der Ansteckung mit dem Coronavirus innerhalb der Belegschaft einzudämmen (z.B. Verbot des Händeschüttelns). Hier müssen ggf. mitbestimmungsrechtliche Vorgaben beachtet und der Betriebsrat vorab eingebunden werden. Die Erhebung der betrieblichen E-Mail-Adressen aller aktiven Mitarbeiter konzernweit zum Versand der Rundmail, um über die Konzernrichtlinie zu informieren, kann auf ein berechtigtes Interesse gestützt werden, da es internen Verwaltungszwecken dient. Sehen Betriebsvereinbarungen Einschränkungen vor bei der konzernweiten Adressverarbeitung, müssen diese beachtet werden. Die konzernweite Adressverarbeitung sollte auch bereits in den Intercompany-Vertrag aufgenommen worden sein. Vor Versand der Rundmail müssen die E-Mail-Adressen ins „BCC“-Feld eingetragen werden. Ein offener E-Mail-Verteiler stellt ggf. eine unbefugte Datenverarbeitung dar.
Frage des Arbeitgebers nach der letzten Urlaubsreise
So ist eine in Zusammenhang mit dem Coronavirus erfolgte Umfrage bei Mitarbeitern nach der letzten Urlaubsreise nach Art. 9 DSGVO, §§ 26 Abs. 3, 22 Abs. 1 Nr. 1 lit. b) BDSG abgedeckt. Im Sinne des Verhältnismäßigkeitsgrundsatzes gilt jedoch: Die Frage des Arbeitgebers muss sich darauf beschränken, ob der Mitarbeiter sich in einem Risikogebiet aufgehalten hat. Die Erhebung des genauen Urlaubsortes ist nicht zulässig. Um Missverständnissen vorzubeugen, sollte der Arbeitgeber die aktuellen Risikogebiete aufzählen.
Abklärung von Risikogruppen
Der Arbeitgeber darf ebenso abklären, ob einzelne Beschäftigte zu einer Risikogruppe[1] gehören. Zweck muss dabei sein, diese bereits im besonderen Maße vor der Gefahr einer Ansteckung zu schützen, bspw. in dem sie von Schulungen, Seminaren, Messen oder sonstigen Veranstaltungen befreit werden oder die Erlaubnis für einen Home-Office-Arbeitsplatz erhalten.
Umgang mit Verdachtsfällen
Aufgrund seiner arbeitsvertraglichen Nebenpflichten hat der Mitarbeiter eine Informationspflicht, wenn eine Ansteckungsgefahr mit dem Coronavirus besteht, bspw. weil er selbst positiv auf das Virus getestet wurde oder möglicherweise infiziert ist, weil er in den letzten 14 Tagen unmittelbaren Kontakt hatte mit einer infizierten Person. Der Arbeitgeber muss aufgrund seiner Fürsorgepflicht die übrigen Beschäftigten informieren, wenn diese einer Ansteckungsgefahr durch einen Kollegen ausgesetzt waren. Eine Übermittlung der Namensangaben oder sonstiger Angaben, die den (möglicherweise) infizierten Kollegen identifizieren, ist in der Regel jedoch nicht zulässig.
Notfallkontakte für Warnungen / Schließungen / Quarantäne-Maßnahmen etc.
Grundsätzlich ist die Preisgabe der privaten Telefonnummern ein erheblicher Eingriff in die Persönlichkeitsrechte der Mitarbeiter. Für Notfälle wie die jetzige Pandemie mit dem Coronavirus ist die Erhebung von Notfallkontaktdaten wie privaten Telefonnummern ausnahmsweise nach Art. 6 Abs. 1 lit. f) DSGVO zulässig, seitens des Mitarbeiters jedoch freiwillig und widerrufbar. Der Arbeitgeber darf die Daten ausschließlich verwenden, um die Mitarbeiter kurzfristig über die aktuellen internen Maßnahmen zur Eindämmung der Pandemie (z.B. Standortschließungen) zu informieren oder vor einer Ansteckungsgefahr zu waren.
Home-Office
Als Präventionsmaßnahme sowie wegen der vorläufigen Schließung von Kitas und Schulen, weichen Mitarbeiter nun vermehrt auf Home-Office-Arbeitsplätze aus.
Sofern in Privatwohnungen personenbezogene Daten, für die der Arbeitgeber verantwortlich ist, verarbeitet werden, muss der Arbeitgeber dafür Sorge tragen, dass die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet ist. Der Arbeitgeber sollte daher frühzeitig entsprechende Arbeitsmittel bereitstellen (festplattenverschlüsselte Notebooks, sichere VPN-Verbindung, Sichtschutzfolien etc.) und Mitarbeitern konkrete Vorgaben machen zum vertraulichen Umgang mit Daten im Home-Office.
Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!
Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.
- Zugriffsrechte, Speicherdauer und Informationspflichten
- Umgang mit Besucherdaten
- Übermittlung von Betroffenendaten an Öffentliche Stellen
Unsere Kontaktdaten für Ihre Datenschutz-Fragen:
Dr. Bettina Kraft
Tel. +49 731 20589-0
Bleiben Sie gesund!
Ihre it.sec GmbH
[1]https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Steckbrief.html#doc13776792bodyText2
Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.
Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.
Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.
Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.
Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.
Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Unternehmen setzen oftmals Dienstleister ein (z.B. IT-Dienstleister, Fachentsorger, etc.), die personenbezogene Daten im Auftrag für den Verantwortlichen verarbeiten und dabei nur weisungsgebunden mit diesen Daten umgehen dürfen.
Zur Absicherung dieser Auftragsverarbeitung muss zwischen dem Unternehmen (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser Vertrag muss den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. U.a. müssen die Unterstützungspflichten des Dienstleisters gegenüber dem Verantwortlichen dort geregelt sein:
- Unterstützung bei der Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO.
- Unterstützung bei der Wahrung der Rechte der betroffenen Personen aus Art. 15 ff DSGVO
- Unverzügliche Mitteilung, wenn eine Weisung des Auftraggebers gegen DSGVO oder sonstige Datenschutzbestimmungen verstößt
- Unverzügliche Mitteilung einer Datenschutzverletzung
- Unterstützung bei Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO.
- Unterstützung bei einer Datenschutz-Folgenabschätzung aus Art. 35 DSGVO.
- Ermöglichen von Kontrollen (auch vor Ort)
Die meisten Dienstleister stellen eine entsprechende Vertragsvorlage bereits von sich aus zur Verfügung. Häufig enthalten diese Vertragsmuster jedoch Klauseln, in denen der Dienstleister dem Verantwortlichen Unterstützungsleistungen im Bereich Datenschutz in Rechnung stellt. Als ob man in einem Restaurant einen Aufpreis zahlen müsste, wenn man das Essen nach Hygiene-Vorschriften zubereitet haben möchte!
Der Bayerische Landesbeauftrage für den Datenschutz hat daher nun klargestellt, dass Verantwortliche „darauf achten [sollten], dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen“. Denn solche Extra-Kosten würden den Verantwortlichen an der Ausübung seiner datenschutzrechtlichen Pflichten und damit einhergehenden Rechte gegenüber dem Dienstleister „entgegenwirken“ und „abschreckende Wirkung entfalten.“
Dienstleister sollten also zukünftig auf solche Klauseln verzichten, wenn sie nicht möchten, dass der Schutzzweck des Art. 28 DSGVO ausgehebelt wird. Denn auch sie haben mit Sanktionen zu rechnen, wenn ein Vertrag zur Auftragsverarbeitung nicht ordnungsgemäß abgeschlossen wurde.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Monatlich gehen in Deutschland um die 50.000 neue Webseiten online. Alle diese Seiten sind gesetzlich verpflichtet, eine Datenschutzerklärung bereitzustellen. Dass ist jedoch häufig nicht der Fall.
Ab Mai 2018 kann dies empfindliche Bußgelder nach sich ziehen. Vor allem eine Webseite bietet für Aufsichtsbehörden und Verbände eine einfache Möglichkeit zu kontrollieren, ob die datenschutzrechtlichen Vorgaben umgesetzt wurden.
§ 13 TMG und auch Art 12 ff DSGVO legt jedem Webseitenbetreiber die Pflicht auf, eine Datenschutzerklärung auf seiner Webseite einzupflegen. Diese sollte im Idealfall mit nur einem Klick von jeder Seite aus erreichbar sein.
In dieser Datenschutzerklärung muss der Betreiber der Webseite den Nutzer in allgemein verständlicher Form u.a. über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über mögliche Weitergaben von Daten an Staaten außerhalb der Europäischen Union bzw. des EWR unterrichten.
Die Nutzer müssen u.a. über Folgendes informiert werden:
- die Erhebung von IP-Adressen,
- die vom Browser übermittelten Daten,
- Gewinnspiele,
- Benutzerkonto,
- Newsletter,
- Webtracking,
- Cookies,
- Online-Bewerbungen,
- Kontaktformulare,
- Foren,
- Plugins,
- Widerspruchsrecht.
Es müssen stets die Zwecke angegeben werden, zu denen die Daten verarbeitet und an wen sie weitergegeben werden, sowie die jeweilige Rechtsgrundlage der Datenverarbeitung.
Wer den Nutzer einer Webseite nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG und Art 83 Abs. 5 DSGVO eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20.000.000 € geahndet werden kann. Auch kann ein Verstoß gegen das Wettbewerbsrecht vorliegen, so dass eine Abmahnung erfolgen kann.
Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bereits erhoben hat und diese Daten zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeiten möchte, treffen vor der Weiterverarbeitung Informationspflichten gemäß Art. 13 Abs. 3 bzw. 14 Abs. 4 DSGVO.
Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei der betroffenen Person erhoben wurden, muss die betroffene Person gemäß Art.13 Abs. 3 i.V.m. Abs. 2 DSGVO informiert werden über
- den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
- die bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
- die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr Recht auf Datenübertragbarkeit,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann gemäß Art. 13 Abs. 4 DSGVO entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.
Sofern die personenbezogenen Daten, die nun zu einem anderen Zweck weiterverarbeitet werden sollen, erstmalig bei anderen Quellen erhoben wurden, muss die betroffene Person gemäß Art.14 Abs. 4 i.V.m. Abs. 2 DSGVO informiert werden über
- den Zweck, für den die gespeicherten personenbezogenen Daten weiterverarbeitet werden,
- die Herkunft der Daten,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr Recht auf Datenübertragbarkeit,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Widerrufsrecht, sofern die bisherige Datenverarbeitung auf ihrer Einwilligung beruhte,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann gemäß Art. 14 Abs. 5 DSGVO entfallen, wenn
- die betroffene Person bereits über diese Informationen verfügt oder nach den Umständen des Einzelfalls und der Lebenserfahrung mit der entsprechenden Datenverarbeitung rechnen muss.
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
- die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
- die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person bei anderen Quellen beschafft, treffen Informationspflichten gemäß Art. 14 Abs. 1 und 2 DSGVO:
Sofern eine Beschaffung personenbezogener Daten der betroffenen Person bei anderen Quellen erfolgt, wird die betroffene Person informiert über
- die Identität des Verantwortlichen,
- den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
- die Rechtsgrundlage der Datenverarbeitung,
- Kategorien personenbezogener Daten,
- die Herkunft der Daten,
- die Empfänger, an die die Daten weitergegeben werden,
- geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
- die Dauer der Datenspeicherung,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr etwaiges Widerspruchsrecht i.S.v. Art. 21 DSGVO,
- ihr Recht auf Datenübertragbarkeit,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
Die Informationen müssen der betroffenen Person zugehen
- bei der erstmaligen Kommunikation mit der betroffenen Person.
- zum Zeitpunkt der ersten Offenlegung gegenüber einem Empfänger.
- zum Zeitpunkt der ersten werblichen Ansprache.
- spätestens jedoch innerhalb eines Monats nach Datenerhebung.
Die Informationspflicht kann entfallen, wenn
- die betroffene Person bereits über diese Informationen verfügt.
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
- die Beschaffung der personenbezogenen Daten oder die Offenlegung der personenbezogenen Daten gegenüber dem konkreten Empfänger durch Rechtsvorschrift ausdrücklich geregelt ist.
- die so beschafften Daten einem Amts- oder Berufsgeheimnis unterliegen.
In Teil III wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet.
Sabrina Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Es ist unmittelbarer Ausfluss des informationellen Selbstbestimmungsrechts, dass die betroffene Person stets weiß, wer welche personenbezogenen Daten wann über sie erhebt. Personenbezogene Daten der betroffenen Person dürfen somit nicht ohne ihr Wissen erhoben werden. Die erstmalige Erhebung und damit einhergehende Verarbeitung ihrer personenbezogenen Daten oder eine Weiterverarbeitung zu einem anderen als dem ursprünglich festgelegten Zweck darf nicht ohne Kenntnis der betroffenen Person erfolgen.
Auch nach der DSGVO bestehen Informationspflichten, wenn personenbezogene Daten einer betroffenen Person
- direkt bei der betroffenen Person erhoben werden, Art. 13 DSGVO.
- bei anderen Quellen beschafft werden, Art. 14 DSGVO.
- zu anderen als den ursprünglich festgelegten Zwecken weiterverarbeitet werden, Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO.
Den Verantwortlichen, der personenbezogene Daten über eine betroffene Person direkt bei dieser erhebt, treffen Informationspflichten gemäß Art. 13 Abs. 1 und 2 DSGVO zum Zeitpunkt der Erhebung:
Die betroffene Person muss vom Verantwortlichen informiert werden über
- die Identität des Verantwortlichen,
- den Zweck, für den die so erhobenen personenbezogenen Daten verarbeitet werden,
- die Rechtsgrundlage der Datenverarbeitung,
- eine etwaige bestehende Verpflichtung der betroffenen Person, die Daten bereitzustellen,
- die Folgen der Nicht-Bereitstellung der Daten durch die betroffene Person,
- die Empfänger, an die die Daten weitergegeben werden,
- geplante Datenübermittlungen in Drittstaaten und deren Rechtsgrundlage,
- die Dauer der Datenspeicherung,
- ihre Rechte auf Auskunft, Berichtigung, Sperrung und Löschung ihrer Daten,
- ihr etwaiges Widerspruchsrecht gemäß Art. 21 DSGVO,
- ihr Recht auf Datenübertragbarkeit,
- ihr Recht auf Beschwerde bei der Aufsichtsbehörde,
- ihr Widerrufsrecht, sofern die Datenverarbeitung auf ihrer Einwilligung beruhte,
- das berechtigte Interesse des Verantwortlichen, sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht,
- Logik, Tragweite und Auswirkungen einer geplanten automatisierten Einzelentscheidung, die Ergebnis der Datenverarbeitung ist,
- Logik, Tragweite und Auswirkungen eines geplanten Profilings, welches mit den erhobenen Daten durchgeführt wird.
Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt.
In Teil II wird es eine Übersicht zu den Informationspflichten des Verantwortlichen geben, wenn er personenbezogene Daten einer betroffenen Person bei anderen Quellen beschafft.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.