Beendigung der Stellung als Datenschutzbeauftragter

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann einen DSB auf unterschiedlichen Wegen loswerden. Einvernehmlich geht wie sonst im Leben auch, am allerbesten! Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Beendigung der Stellung als Datenschutzbeauftragter

Beendigung der Stellung als Datenschutzbeauftragter

Dieser Beitrag erörtert die verschiedenen Möglichkeiten, das Verhältnis zwischen dem Datenschutzbeauftragen und der nicht-öffentlichen Stelle zu beenden. Dabei kann dieser Schritt von beiden Parteien ausgehen. Wenn die Trennung von der nicht-öffentlichen Stelle einseitig angestrebt wird, ist hierbei wesentlich, ob der Datenschutzbeauftragte gesetzlich bestellt werden musste oder ob dies auf freiwilliger Basis erfolgte.

Bestellpflicht, Qualifikation und Benennung

Eine abschließende Aufzählung der Situationen, in denen ein Datenschutzbeauftragter bestellt werden muss, erfolgt in Art. 37 Abs. 1 DSGVO. Genauer haben wir diese im Beitrag Datenschutz-Grundverordnung (DSGVO) – Datenschutzbeauftragter erläutert. Daneben eröffnet die DSGVO noch die Möglichkeit

  • einer freiwilligen Benennung von Datenschutzbeauftragten gem. Art. 37 Abs. 4, 1. HS DSGVO
  • einer Bestellung aufgrund der Öffnungsklausel für die Mitgliedsstaaten, die Benennung von Datenschutzbeauftragten vorzuschreiben Art. 37 Abs. 4, 2. HS DSGVO. Wie diese Öffnungsklausel in Deutschland genutzt wurde, erfahren Sie im Beitrag Datenschutzbeauftragter und das neue BDSG.

Besteht eine Verpflichtung zur Benennung des Datenschutzbeauftragten, dann ist dieser ohne Übergangsfrist, d.h. sofort zu benennen. Wird ein Datenschutzbeauftragter benannt, muss dieser bei der zuständigen Aufsichtsbehörde gemeldet werden gem. Art. 37 Abs. 7 DSGVO. Andernfalls läuft die zu benennende Stelle Gefahr, eine Geldbuße nach Art. 83 DSGVO (wie jüngst Facebook Germany, vgl. S. 105ff.) zahlen zu müssen. Bei Änderungen in der Datenverarbeitung ist daher durch den Verantwortlichen oder den Auftragsverarbeiter stets zu prüfen, ob sich hierdurch eine Benennungspflicht ergibt. Bei schwierigen Grenzfällen sollte die Entscheidung, keinen Datenschutzbeauftragten zu benennen, dokumentiert werden.

Der Datenschutzbeauftragte muss zum Zeitpunkt seiner Ernennung über die erforderliche Qualifikation in beruflicher und fachlicher Hinsicht verfügen, die wir im Qualifikation eines Datenschutzbeauftragten näher erläutert haben.

Beendigung der Stellung eines Datenschutzbeauftragten

Für den Fall, dass eine der beiden Parteien das Verhältnis beenden möchten, sind folgende Szenarien denkbar:

Niederlegung und Kündigung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann das Amt niederlegen. Einen Grund für die Niederlegung muss seitens des Datenschutzbeauftragten nicht gegeben sein. Allerdings muss er beachten, dass dem Unternehmen ausreichend Zeit für die Benennung eines Nachfolgers bleibt.

Anderes gilt nur, wenn seitens des Datenschutzbeauftragten ein wichtiger Grund für die Niederlegung vorliegt, dann kann er sein Amt sofort niederlegen.

Einvernehmliche Beendigung

Selbstverständlich können die Parteien die Benennung jederzeit einvernehmlich aufheben.

Befristung ist möglich

Eine Mindestzeit ist für die Benennung des Datenschutzbeauftragten grundsätzlich nicht vorgegeben. Daher ist auch eine Befristung möglich. Mit Ende der Befristung endet das Amt automatisch. Ist zum Ende der Befristung kein Nachfolger bestimmt, wird automatisch der Bußgeldtatbestand des Art. 83 Abs. 4 lit a DSGVO erfüllt.

Jedoch ist zu bedenken, dass bei einer zu kurzen Benennung, der Datenschutzbeauftragte nicht mehr in der Lage sein kann, den Aufgaben gem. Art. 37 Abs. 5 DSGVO gerecht zu werden. Eine Einarbeitungsphase muss miteingeplant werden. Diese kann je nach Umfang etwas länger ausfallen und dann u.U. zeitlich schon wieder in die Nähe des Befristungsendes kommen, so dass für den Datenschutzbeauftragten kein nachhaltiges Arbeiten ohne Bangen um den Positionsverlust möglich ist. Eine befristete Benennung eines (externen) DSB für weniger als zwei Jahre wird daher regelmäßig unzulässig sein. Abweichungen nach unten und ggf. nach oben sind in Abhängigkeit zur Unternehmensgröße denkbar.

Ist die Befristung unzulässig kurz, liegt von vornherein keine ordnungsgemäße Benennung vor, weil der DSB nicht in der Lage ist, seinen gesetzlichen Aufgaben nachzukommen. Bei erstmaliger Benennung eines DSB mag eine kurze Probezeit möglich sein, keineswegs zulässig sind kurze Kettenverträge (TB DSB Hessen, HessLT-Drs. 15/4659, 47).

Betriebliche Änderungen

Hört das Unternehmen auf zu existieren, z.B. in Folge einer Unternehmensfusion, fällt automatisch das Amt des Datenschutzbeauftragten weg. Dies gilt auch, wenn die aufnehmende Rechtsträgergesellschaft bisher keinen Datenschutzbeauftragten hat. Besteht für die aufnehmende Rechtsträgergesellschaft in Folge der Fusion eine Benennungspflicht, ist der Datenschutzbeauftragte unverzüglich zu bestellen.

Wegfall der gesetzlichen Benennungspflicht

Ein Wegfall der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten aufgrund geänderter Datenverarbeitung, führt nicht automatisch zur Beendigung des Amtes, denn sonst gäbe es nicht die Möglichkeit eines freiwillig benannten DSB. Im Übrigen würde sonst der Datenschutzbeauftragte immer Gefahr laufen, bei geänderter Datenverarbeitung seines Amtes enthoben zu werden.

Der Wegfall der gesetzlichen Benennungspflicht kann daher allenfalls ein Grund für eine Abberufung sein. Weiteres hierzu finden Sie auch in unserer Urteilsbesprechung des Bundesarbeitsgerichts zum Sonderkündigungsschutz des Datenschutzbeauftragten.

Abberufung und Benachteiligung des Datenschutzbeauftragten

Art. 38 Abs. 3 S. 2 DSGVO schützt den Datenschutzbeauftragten vor einer Abberufung wegen der Erfüllung seiner Aufgaben oder einer Benachteiligung. Unzulässig ist die kausale Verknüpfung zwischen Aufgabenwahrnehmung und Abberufung, nicht aber die Abberufung an sich (Artikel-29-Datenschutzgruppe, WP 243).

1. Die Abberufung des Datenschutzbeauftragten erfolgt

  • unabhängig von einer Befristung, bei einer freiwilligen oder bei einer Pflichtbenennung, wenn ein wichtiger Grund, d.h. schwerwiegende Verfehlung in der Amtsführung vorliegt;
  • grundsätzlich nicht bei einer Befristung;
  • bei einem unbefristeten Datenschutzbeauftragten nicht grundlos, d.h. wenn es sachliche betriebsbedingte Gründe gibt, die aber nichts mit der Amtsführung des Datenschutzbeauftragten zu tun haben.
  • bei einem Abberufungsverlangen der Aufsichtsbehörde.

Das schuldrechtliche Arbeitsverhältnis ist hiervon jedoch getrennt zu betrachten, d.h. ein abberufener DSB kann weiterhin arbeitsrechtlich beschäftigt sein. Die weitergehende Regelung der Abberufung im BDSG gegenüber Privaten ist anders als bei Datenschutzbeauftragten für Behörden und öffentliche Stellen aufgrund einer fehlenden Öffnungsklausel wohl europarechtswidrig. Näher haben wir diesen Umstand im Beitrag Abberufung des betrieblichen Datenschutzbeauftragten beleuchtet.

2. Kündigung des Datenschutzbeauftragten

In der DSGVO gibt es keinen expliziten Kündigungsschutz für Datenschutzbeauftragte bei nicht-öffentlichen Stellen. Aber soweit eine Abberufung nicht zulässig ist, ist auch keine arbeitsrechtliche Kündigung des Arbeits- bzw. Dienstvertrages zulässig. Hieraus ergibt sich, dass für den befristeten Datenschutzbeauftragten mangels Abberufungsmöglichkeit, außer bei schwerwiegenden Verfehlungen, auch keine arbeitsrechtlichen Kündigungen für den Arbeits- bzw. Dienstvertrag möglich sind.

Bei einem unbefristeten Datenschutzbeauftragten, gibt es neben der Abberufungsmöglichkeit auch die Möglichkeit das Arbeits- oder Dienstverhältnis zu kündigen. Muss dieser gesetzlich vorgeschrieben bestellt werden, greift der Sonderkündigungsschutz aus § 6 Abs. 4 S. 2 i.V.m. § 38 Abs. 2 BDSG. Der Datenschutzbeauftragte kann deshalb nur beim Vorliegen der Voraussetzungen für eine außerordentliche (fristlose) Kündigung entlassen werden. Wurde der Datenschutzbeauftragte freiwillig bestellt, greift dieser Schutz aufgrund des Wortlauts des § 38 Abs. 2 BDSG nicht. Er kann somit wie jeder Beschäftigte ordentlich gekündigt werden.

Ist die Tätigkeit des Datenschutzbeauftragten schon beendet, gibt es für den Datenschutzbeauftragten gem. §§ 6 Abs. 4, 38 Abs. 2 BDSG noch einen nachwirkenden Kündigungsschutz, so dass diesem innerhalb eines Jahres nach Beendigung der Tätigkeit als Datenschutzbeauftragter nicht ordentlich gekündigt werden darf. Ein weitegehender tarif- oder einzelvertraglicher Kündigungsschutz bleibt hiervon unberührt.

Kein absoluter Kündigungsschutz des Datenschutzbeauftragten

Der interne Datenschutzbeauftragte nicht-öffentlicher Stellen ist also durchaus kündbar. Zu beachten ist ferner, dass der besondere Kündigungsschutz nur für den Datenschutzbeauftragten gilt, der aufgrund einer Bestellpflicht benannt wurde. Freiwillig bestellte Datenschutzbeauftragte genießen diesen besonderen Schutz nicht.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Beendigung der Stellung als Datenschutzbeauftragter.

LfDI Baden-Württemberg veröffentlicht Tätigkeitsbericht 2019 und beantwortet die Frage, ob Arbeitnehmerüberlassung eine Auftragsverarbeitung ist

Arbeitnehmerüberlassung

Endlich hat eine Aufsichtsbehörde für Datenschutz mit einer eindeutigen Position die Frage beantwortet, ob Arbeitnehmerüberlassung eine Auftragsverarbeitung ist oder nicht: Nein, es fehlt hier das Wesen der Verarbeitung von Daten im Auftrag des Kunden – selbst bei einer Überlassung bzw. einem Einsatz einer kaufmännischen Kraft in die Personalabteilung eines Kunden liegt eben keine Auftragsverarbeitung vor.

Zitat aus dem Tätigkeitsbericht des LfDI Baden-Württemberg (Bericht über Link erreichbar, S. 95):
“Für die Durchführung der Arbeitnehmerüberlassung von Leiharbeitnehmer*innen kommt eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO zwischen „Verleiher“ und „Entleiher“ nicht in Frage. Die beteiligten Unternehmen müssen ihre (beabsichtigten) Verarbeitungen der personenbezogenen Daten der Beschäftigten eigenständig auf ihre Rechtmäßigkeit überprüfen und entsprechende Vorkehrungen treffen.” (ZITAT ENDE)

Sollten Sie Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO mit Kunden (als der Personaldienstleister) geschlossen haben, dann können Sie jetzt auf Ihre Kunden zugehen und diese ggf. “bereinigen”. Da es immer wieder vorkommt, dass DSB von Kunden um entsprechende Verträge bitten bzw. verlangen, kann nun entsprechend reagiert werden bzw. auf solche Verträge verzichtet werden.

Link zur Pressemeldung:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-stellt-seinen-taetigkeitsbericht-2019-zum-datenschutz-vor/

Link zum Tätigkeitsbericht:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/01/35.-T%C3%A4tigkeitsbericht-f%C3%BCr-den-Datenschutz-Web.pdf

Dänische Aufsichtsbehörde für Datenschutz erklärt viele Cookie-Banner für rechtswidrig

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Erst vorgestern habe ich meinen Kunden neueste Informationen zu Google Analytics von den deutschen Aufsichtsbehörden schicken müssen und nun kommt es sogar aus dem Ausland noch “schimmer” – Wir in Deutschland haben es vielleicht doch nicht am Schwersten wegen “diesem Datenschutz”. 😉

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Die dänische Datenschutzaufsichtsbehörde erlies vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. Nach ihrer Ansicht sind unter anderem Cookie-Banner bzw. Cookie-Consent-Tools rechtswidrig, die den Websitebesucher vor die Wahl zwischen „OK“ und „Details anzeigen / Cookie Einstellungen“ stellen.

Beschwerde gegen üblichen Cookie-Banner

Das Dänische Meteorologische Institut (kurz: DMI) bietet auf ihrer Website vor allem Wettervorhersagen an und setzte zunächst einen Cookie-Banner ein. Die ursprüngliche Beschwerde aus 2018 richtete sich noch gegen einen Banner mit automatisch vorab ausgewählter Einwilligung. Nach der ursprünglichen Beschwerde gab das DMI eine neue Website in Auftrag. Deren Consent-Lösung gibt dem Nutzer bei dem erstmaligen Besuch zwei Möglichkeiten: Der Nutzer kann auf „OK“ (d.h. alle Cookies akzeptieren und weiter) oder „Cookie Einstellungen“ klicken. Nur bei Auswahl von „Cookie Einstellungen“ öffnet sich ein Menü, in dem die Cookies Präferenzen nach Zwecken „Erforderlich“, „Funktionell“, „Statistik“ und „Marketing“ eingestellt werden können.

Screenshot-Cookie-Banner-DMI

Übersetzt: „DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie.“

Ähnliche Cookie-Consent-Lösungen sind auch dabei sich in Deutschland zu etablieren und werden etwa auf den Websites von Heise oder Volkswagen genutzt.

Screenshot Cookie-Banner heise

Zudem schaltet das DMI Bannerwerbung über das Google Werbenetzwerke auf der Website, wobei personenbezogene Daten mit Google geteilt werden, um die Anzeigen zu personalisieren. Der Beschwerdeführer wollte hier eine gemeinsame Verantwortlichkeit feststellen lassen.

Das DMI vertrat hingegen die Ansicht, seine aktuelle (neue) Cookie-Lösung stelle eine klare Einwilligungserklärung dar. Nutzer müssten im Einklang mit der EuGH Rechtsprechung zu Planet 49 aktiv einwilligen, bevor Cookies gesetzt werden und der Inhalt der Website angezeigt wird. Zudem sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Details anzeigen“ einigen Cookies zustimmen, und andere abwählen können. Dabei sind hier keine Kategorien von Cookies vorangewählt. Es werden zudem keine persönlichen Daten gesammelt und weitergegeben, bis die Besucher eingewilligt haben. In der Einwilligungserklärung werde außerdem darüber informiert, dass das DMI die Werbenetzwerke von Google nutzt.

Entscheidung der Aufsichtsbehörde

Wirklich neu und interessant an der Entscheidung sind die Einlassungen zur Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf der Website. (Zusammen mit der Entscheidung veröffentlichte man zusätzlich eine dänische Orientierungshilfe für Telemedienanbieter.) Die dänische Aufsicht spricht sich nämlich entschieden gegen die seit dem Planet 49 Urteil weit verbreiteten Nudging-Lösungen zum Einholen einer Einwilligung für das Setzen von Cookies aus. So stellte man fest, dass die aktuelle Lösung des DMI zur Erlangung der Einwilligung in die Verarbeitung personenbezogener Daten aus den folgenden drei Gründen keine wirksame Einwilligung darstellt.

Keine freiwillige Einwilligung

Die dänische Datenschutzbehörde führt aus, dass der Zweck des Erfordernisses der Freiwilligkeit einer Einwilligung darin bestehe, Transparenz für die betroffene Person zu schaffen. Zudem soll der betroffenen Person die Wahl und Kontrolle über ihre personenbezogenen Daten geben werden. Daher gelte die Einwilligung nicht als freiwillig erteilt, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei daher das Prinzip der „Granularität“. Danach muss für Verarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden. Diesem Erfordernis der Granularität werde die Lösung des DMI nicht gerecht, da der Besucher durch Auswahl von „OK“ seine Einwilligung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke erteilt. Nach Einschätzung der dänischen Datenschutzaufsichtsbehörde gibt die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung dem Besucher keine ausreichende freie Wahl, die Zwecke zunächst zu identifizieren und dann granular zu entscheiden.

Zudem sei die Möglichkeit unzureichend, die Erfassung personenbezogener Daten für verschiedene Zwecke erst durch Auswahl des Buttons „Details anzeigen“ einzusehen und zu managen. Denn diese Option befindet „einen Klick entfernt“ und es ist nicht möglich, bei der ersten Interaktion mit dem Cookie-Banner das Setzen von bestimmten Cookies direkt abzulehnen.

Keine informierte Einwilligung

Die dänische Datenschutzaufsichtsbehörde betont, dass es für eine informierte Einwilligung zumindest erforderlich ist über die die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung aufzuklären.

Dies sei bei dem Banner des DMI nicht der Fall, da die Informationen über die (gemeinsamen) für die Verarbeitung Verantwortlichen – in diesem Fall Google – nicht ausreichend klar seien. Das DMI habe nämlich nicht transparent genug dargelegt, dass Bannerwerbung über das Werbenetzwerk von Google auf der Website geschaltet wird, da nicht Google, sondern die Werbenetzwerke von Google – DoubleClick und AdSense – genannt werden. Das sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht gängig seien.

Verstoß gegen den Grundsatz der Transparenz

Nach Ansicht der dänischen Datenschutzaufsichtsbehörde folgt aus dem Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Die derzeitige Struktur der Einwilligungslösung des DMI erfülle diese Transparenzanforderung nicht. Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann

Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde nicht mit dem Grundsatz der Transparenz vereinbar, dass die Möglichkeit keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen „Kommunikationseffekt“ hat. Das bedeutet diese Möglichkeit wird nicht auf den ersten Blick so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.

Auswirkungen auf Deutschland

Was die dänische Aufsichtsbehörde entscheidet, hat natürlich zunächst keinen direkten Einfluss auf Verantwortliche in Deutschland. Schließlich ist hier einer der jeweiligen Landesdatenschutzbeauftragten nach Art. 55 DSGVO, § 40 BDSG für Unternehmen zuständig. Von der Entscheidung geht dennoch eine große Signalwirkung aus. Sie ist zumindest ein erstes Anzeichen, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der E-Privacy-Richtlinie und DSGVO gehen könnte.

Bei diesem Thema unken die deutschen Aufsichtsbehörden bekanntermaßen schon länger rum. Seit Herausgabe der Orientierungshilfe für Tracking-Anbieter ist hierzulande nicht wirklich viel passiert. Rechtskräftige und öffentlichkeitswirksame Entscheidungen der Behörden? Bislang Fehlanzeige. Nur ein gemeinsames Vorgehen gegen das Real Time Bidding ohne Einwilligung hat man nun neulich angekündigt. Bei dem Thema Einwilligung zur Speicherung von Cookies hingegen, kommt wohl erst wieder Schwung in die Sache nach der Verkündung des entsprechenden BGH-Urteils am 28. Mai.

Interessant wird es auch sein zu sehen, wie sich die unterschiedliche Auslegung, bzw. schwerpunktmäßige Durchsetzung, der DSGVO durch die nationalen Datenschutzaufsichtsbehörden auf den Wettbewerb im europäischen Binnenmarkt auswirken wird. Sollte die dänische Behörde die in der Entscheidung herausgearbeiteten Grundsätze nun konsequent auf die Wirtschaft anwenden, dürfte davon auch hier gerade Angebote nationaler Online-Zeitungen von geringeren Werbeeinnahmen betroffen sein. Wenn die Aufsichtsbehörden der anderen EU-Länder bei der Durchsetzung nicht ähnlich scharf nachziehen, dürfte man vorerst auf dem Markt der europäischen Presseverleger wohl das Gegenteil des im Erwägungsgrund 2 aufgestellten Ziels, der Stärkung und des Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts, erreichen.

Cookie Fatigue – ein weiterer Akt

Die dänische Datenschutzaufsichtsbehörde scheint insbesondere bei dem aufgestellten Erfordernis der Granularität von dem Bild eines eher unmündigen Bürgers auszugehen. Ein Nutzer der auf „Ok“, „Einverstanden“ oder ähnliche Buttons klickt und darauf hingewiesen wird, dass er damit in sämtliche Cookies einwilligt, sollte diese selbstbestimmte Entscheidung treffen können. Vielen Nutzern ist das wahrscheinlich auch ganz recht, weil sie ungestört surfen wollen. Sie sind froh, wenn die lästigen Banner mit nur einem statt drei oder mehr Klicks verschwinden. Das ist wahrscheinlich ernüchternd für Aufsichtsbehörden, aber Datenschutz ist den meisten Nutzern nun mal lästig oder egal.

Interessierte Nutzer haben zudem die Möglichkeit ohne erheblichen Mehraufwand – ein Klick bedeutet einen zusätzlichen Zeitaufwand von ein bis zwei Sekunden – detaillierte Informationen einzusehen. Die Entscheidung der dänischen Datenschutzaufsichtsbehörde hat in dieser Hinsicht den Charakter einer „Zwangsbeglückung“. Sollte sich dieser Ansatz europaweit durchsetzen dürfte die „Cookie Fatigue“ – der allgemeine Cookie-Überdruss der Bevölkerung – weiter zunehmen.

Das Ende der Manipulation?

Andererseits leuchtet das Argument der dänischen Datenschutzaufsichtsbehörde ein, dass die Ablehnung der Einwilligung ebenso leicht möglich sein soll wie die Erteilung einer Einwilligung. Schließlich setzen Websitebetreiber gezielt auf sogenannte „Dark Patterns“, indem sie Nutzer durch die Menüführung die Erteilung der Einwilligung oder ähnliches nahelegen. Das dies durchaus gut funktioniert, legen erste wissenschaftliche Untersuchungen nahe.

Meist reichen schon einfache Dinge, Buttons für eine Einwilligung sind grün, die für eine Ablehnung von Cookies hingegen ausgegraut oder „Ja“-Buttons sind groß und prominent platziert und Buttons zur Ablehnung versteckt am Seitenrand. Besucher, die möglichst schnell ihrem eigentlichen Anliegen im Internet nachgehen wollen, werden so dazu verleitet, alle Cookies zu akzeptieren. So hat eine Untersuchung ergeben, dass Nutzer Entscheidungen gegen ihre Interessen treffen, sobald sie nur den geringsten Aufwand zum Schutz ihrer Daten betreiben müssen. Die Begründung der Forscher ist, dass anscheinend alle Dinge, bei denen Nutzer etwas selbst aktiv tun müssen, um ihre Daten zu schützen, zum Scheitern verurteilt sind. Das sogenannte Privatsphären-Paradoxon: Menschen ist Datenschutz wichtig, sie wollen sich aber nicht damit auseinandersetzen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:

TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:

HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig.

Patientendaten aus französischer Medizin-Cloud offen im Internet

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wichtig zu wissen ist, oft liegt es nur an der Konfiguration von Zugriffsrechten bzw. Einstellungen zur Erreichbarkeit von außen – heißt, derjenige der eine IT-Umgebung verwaltet verzichtet manchmal auf die höchstmögliche Sicherheit oder ist manchmal einfach faul – das Schlimmste aber wäre, er weiß es nicht besser! Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Patientendaten aus französischer Medizin-Cloud offen im Internet

Patientendaten aus französischer Medizin-Cloud offen im Internet

In einer offenen Datenbank waren intime Patientendaten zu Schönheitsoperationen einsehbar. Womöglich sind auch deutsche Ärzte und Patienten betroffen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Beitragsbild stammt von mir. Hier geht’s zum Original: Patientendaten aus französischer Medizin-Cloud offen im Internet.

Wer eignet sich als betrieblicher Datenschutzbeauftragter? Geht nebenbei als DSB? Wer unterliegt welchem Interessenkonflikt?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Es wird aufgeräumt mit dem Mythos Nebenbei-DSB und welche Interessenkonflikte bei wem und in welcher Funktion auftreten können. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wer eignet sich als betrieblicher Datenschutzbeauftragter?

Wer eignet sich als betrieblicher Datenschutzbeauftragter?

In der Vergangenheit haben wir bereits oft berichtet, was Voraussetzungen und Aufgaben des Datenschutzbeauftragten sind. Hier soll nun ergänzend erläutert werden, welche Personen in einem Unternehmen bzw. Betrieb sich grundsätzlich eignen oder nicht eignen, um die Position bekleiden zu können.

Eignungskriterien aus der DSGVO?

Unabhängig davon, ob man gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, macht es wegen der rechtlichen und technischen Komplexität Sinn, jemanden mit dieser Aufgabe zu betrauen. Falls man diese intern vergeben möchte, stellt sich aber schnell die Frage, wer das Amt überhaupt übernehmen darf.

Dreh- und Angelpunkt ist hierbei Art. 38 Abs. 3 und 6 DSGVO:

„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (…)

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Daraus leitet sich allgemein ab, dass der Datenschutzbeauftragte weisungsfrei agieren und zuverlässig sein muss. Insbesondere bei betrieblichen Datenschutzbeauftragten ist darauf zu achten, das eine mögliche Interessenkollision vermieden wird.

Bei welchen Personen entstehen typischerweise Interessenskonflikte?

In der Literatur und Praxis haben sich bestimmte Personengruppen herausgebildet, bei denen das Vorliegen von Interessenskonflikten grundsätzlich bejaht werden kann. Diese sollte man also gar nicht erst näher in Betracht ziehen, selbst wenn sie sich fachlich für die Position des betrieblichen Datenschutzbeauftragten eignen würden.

Geschäftsführung / Vorstand

Insbesondere bei jungen Startup-Unternehmen beweisen sich Geschäftsführer als Allrounder und versuchen auch Datenschutzthemen zu bearbeiten. Dies erfolgt meist aus der Not heraus, dass noch kein passendes Personal vorhanden ist und/oder das vorhandene Budget keine externe Beratung zulässt. Hier ist dringend zu empfehlen, diese Doppelrolle schnell zu separieren.

Der Datenschutzbeauftrage übt maßgeblich eine kontrollierende Funktion innerhalb des Unternehmens aus. Die Geschäftsführung, der Vorstand oder ähnliche Funktionen in einer Organisation hingegen definieren intern die Unternehmensziele und vertreten das Unternehmen nach außen hin. Sie treffen als allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interesse wie Kosteneinsparungen und Gewinnmaximierungen eine große Rolle spielen. Wenn die Geschäftsleitung auch als Datenschutzbeauftragte agiert, würde sie sich selber bei dieser Entscheidungsfindung kontrollieren müssen. Dass dies selten funktioniert, zeigt uns die Geschichte. Nicht umsonst ist die Gewaltenteilung ein tragendes Verfassungsprinzip unseres Rechtsstaates. Eine solche Gewaltenteilung ist gleichfalls bei der Stellung des Datenschutzbeauftragten erforderlich, damit dieser effizient und unvoreingenommen seine Aufgaben wahrnehmen kann.

Aber nicht nur die Problematik der Selbstkontrolle schreit förmlich nach Interessenskonflikt. Zudem besteht durch die Doppelrolle die Gefahr, dass Mitarbeiter sich scheuen, Datenpannen oder sonstige Defizite im Bereich Datenschutz und -sicherheit zu melden. Zu groß ist die Sorge, dass die Meldung für sich oder andere arbeitsrechtliche Konsequenzen haben könnte. Dem Datenschutzbeauftragten kommt insofern nicht nur eine Vertrauensposition zu, sondern auch eine neutrale Stellung innerhalb des Unternehmens.

IT-Manager

IT-Manager haben naturgemäß einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge im Unternehmen. Sie müssen sich bereits Fragen zur IT- und Datensicherheit stellen – ein Vorgang, der über Art. 32 DSGVO Überschneidungen zum Datenschutz aufweist – und haben deshalb oftmals auch schon ein sehr gutes Grundverständnis für Datenschutz. Es liegt also nahe, eine solche Person mit der Aufgabe eines betrieblichen Datenschutzbeauftragten zu betrauen. Allerdings ist auch hier Vorsicht geboten.

Bereits im Jahre 2016 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilungen darauf hingewiesen, dass bei einem „IT-Manager“ die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter besteht. Das BayLDA verhing wegen dieser Doppelbesetzung ein Bußgeld gegen ein Unternehmen. Es begründete die Entscheidung damit, dass der IT-Manager

„gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.“

In dieser Pressemitteilung wird leider nicht ausgeführt, was die konkreten Aufgaben des IT-Managers des betroffenen Unternehmens waren. Falls man sich doch dazu entschließen sollte, eine Person aus der IT-Abteilung zum Datenschutzbeauftragten ernennen zu wollen, dann muss man anhand der konkreten Aufgaben sicherstellen, dass dessen Unabhängigkeit gewahrt ist. Dies geht nur, wenn eine andere Person letztlich die operativen Entscheidungen trifft.

Vertriebsleiter (bei direktem Vertrieb) und Leiter der Personalverwaltung

Unter der Aufsicht des Vertriebsleiters werden viele Kundendaten verarbeitet, bei dem Leiter der Personalverwaltung sind es die Beschäftigtendaten. Diese Abteilungsleiter verantworten ebenfalls maßgebliche Datenverarbeitungstätigkeiten im Unternehmen. Der Ausführende würde sich abermals selber kontrollieren und damit seine „Arbeitsleistung“ hinsichtlich datenschutzrechtlicher Gesichtspunkte bewerten müssen. Insoweit bestehen die gleichen Bedenken wie beim IT-Manager, sodass hier eine Interessenkollision besteht.

Interne Revision

Große Unternehmen verfügen in der Regel über eine interne Revision, welche eine interne Kontrollinstanz darstellt. Zu ihren Aufgaben gehören u. a.:

  • Prüfung der Einhaltung gesetzlicher, satzungsmäßiger oder sonstigen Vorschriften und Weisungen
  • Überwachung aller Geschäftsvorgänge auf ordnungsgemäße Bearbeitung
  • Vorschläge für die Verbesserung der innerbetrieblichen Organisation erarbeiten
  • Untersuchung der Wirtschaftlichkeit
  • ggf. Überprüfung der IT, soweit es hierfür keine separate Revision gibt
  • unmittelbare Berichte an die Geschäftsführung.

Ähnlich wie dem Datenschutzbeauftragten hinsichtlich Verarbeitungsvorgänge von personenbezogenen Daten steht der Revision ein uneingeschränktes Informationsrecht zu. Da die Revision bereits selber eine kontrollierende Aufgabe wahrnimmt, könnte dies zwar für das Vorliegen der entsprechenden Fachkunde sprechen. Allerdings muss man sich hier die Frage stellen, wer eigentlich wen kontrollieren darf. Soweit die Revisionsabteilung selber personenbezogene Daten verarbeitet, unterliegt sie der Kontrolle des Datenschutzbeauftragten.

Auf der anderen Seite ist der Datenschutzbeauftragte weisungsfrei und unterliegt damit in seinem Aufgabenbereich nicht der Kontrolle durch die Revision. Insbesondere wenn sich aus dem Gesetz eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, spricht die Pflicht zur Verschwiegenheit aus §§ 6 Abs. 5 S. 2 und 38 Abs. 2 BDSG gegen eine Personenidentität. Wie schon bereits erwähnt ist der Datenschutzbeauftragte auch eine Vertrauensperson.

Es wäre dann wie der seltsame Fall des Dr. Jekyll und Mr. Hyde: Mal kontrolliert man sich selber und mal darf man es nicht. Einerseits ist man Vertrauensperson und muss die erlangten Informationen vertraulich behandeln. Andererseits ist man der Geschäftsführung direkt unterstellt und soll daher im Rahmen von Audits vollumfänglich berichten. Auch wenn beide Instanzen eine Kontrollfunktion im Unternehmen wahrnehmen, verfolgen diese unterschiedliche Interessen. Damit beide ihre Kontrollfunktion entsprechend wahrnehmen können, ist auch hier eine strikte Trennung zwischen Revision und Datenschutzbeauftragter zu empfehlen.

Betriebsratsmitglied

Der Betriebsrat wacht und kontrolliert als Arbeitnehmervertretung, dass die Schutzvorschriften für die Arbeitnehmer durch den Arbeitgeber gewahrt werden. Der Datenschutzbeauftragte hat im Unternehmen wiederum eine neutrale Stellung inne und berät sowohl Arbeitgeber- als auch Arbeitnehmerseite. Wenn ein Betriebsratsmitglied nun als Datenschutzbeauftragter bestellt wird, könnte man sich fragen, inwieweit dieses neutral den Arbeitgeber beraten kann. 

Das Bundesarbeitsgericht sah in seinem Urteil vom 23.03.2011 – 10 AZR 562/09 keine Interessenkonflikte und führt u. a. aus:

Die bloße Mitgliedschaft im Betriebsrat und dessen EDV-Ausschuss macht die Klägerin für das Amt der Beauftragten für den Datenschutz nicht unzuverlässig. (…) Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber hat, macht ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers wird nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenübersteht, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnimmt.“

Die richtige Besetzung – keine leichte Aufgabe

Es ist gar nicht so leicht, eine passende Person zu finden, die für das „Amt“ des betrieblichen Datenschutzbeauftragten geeignet ist. Einerseits soll sie die fachliche Expertise im Datenschutz aufweisen und die Datenprozesse im Unternehmen kennen. Andererseits darf es nicht zu Interessenkollisionen mit ihren anderen Aufgaben kommen. Dadurch scheiden viele Personen aus, die eigentlich einen guten Gesamtüberblick über das Unternehmen hätten. Da Datenschutz nunmehr alle Bereiche im Unternehmen betrifft, ist auch der zu erwartende Arbeitsaufwand nicht zu unterschätzen. Es kann daher geboten sein, diese Stelle als Vollzeitstelle zu behandeln und entsprechend auszuschreiben.

Zudem gilt es zu beachten, je großer das Unternehmen und komplexer die Datenprozesse werden, desto eher kann eine Person alleine die relevanten Themen nicht mehr alleine bearbeiten. In der Praxis hat sich daher zunehmend die Kombination aus internem Datenschutzkoordinator und externen Datenschutzbeauftragten bewährt. Über die Stellung und die Aufgaben eines Datenschutzkoordinators hatten wir bereits ausführlich berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wer eignet sich als betrieblicher Datenschutzbeauftragter?.

Influencer & Co. – Manipulation im Internet?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Den Link zum Original finden Sie unten, weil der Link hier nicht einbaubar war.

Influencer & Co. – Manipulation im Internet?

Kaum ein Begriff hat die Öffentlichkeit in den letzten Jahren so sehr geprägt wie der des „Influencers“. Influencer sind inzwischen wichtige Meinungsführer für Unternehmen aus allen Branchen geworden, da sie deren Produkte über digitale Plattformen direkt präsentieren können. Doch wo Licht ist, ist auch Schatten. Die Gefahren von Einflussnahme und Meinungsbildung durch Influencer über digitale Plattformen sind größer als je zuvor.

Instagram, Facebook – und was noch?

Wer das Wort Influencer hört, denkt fast immer an die bekannten Marketing-Plattformen unserer Zeit. Instagram, YouTube und Co. lassen grüßen. Das ist auch nachvollziehbar, schließlich hat Instagram, welches übrigens zum Datenkraken von Mark Zuckerberg gehört, bereits im Juni 2018 die 1-Milliarde-Marke bei den Nutzerzahlen geknackt. Gefühlt ist jeder Star (und wer sich für einen hält) auf diesen Plattformen zu finden, wo man sein scheinbar perfektes Leben mit seinen Followern teilen kann.

Als Influencer sind im Allgemeinen Personen zu verstehen, welche durch eine hohe Social-Media-Präsenz ein ausgeprägtes Netzwerk und Follower aufgebaut haben. Dadurch haben Influencer eine hohe Reichweite. Sie genießen ein hohes Ansehen bei ihren Followern und haben dadurch die Möglichkeit, die Meinung der Empfänger zu einem Thema zu beeinflussen. Influencer nehmen dabei allerdings nicht nur eine gewichtige Rolle im Online-Marketing ein, sondern können auch gezielt zur Meinungsmache in anderen Bereichen eingesetzt werden.

Safer Internet Day

Influencer richten sich dabei mit ihren (Werbe-)Botschaften zumeist an diejenigen, welche erfahrungsgemäß die größte Affinität zur digitalen Welt aufweisen, nämlich an Kinder und Jugendliche. Der diesjährige „Safer Internet Day“ stand unter dem Motto „Idole im Netz. Influencer & Meinungsmacht.“ Der Safer Internet Day wurde von der Europäischen Kommission ins Leben gerufen und findet seit 2004 jedes Jahr im Februar statt.

Dieser Aktionstag verfolgt insbesondere das Ziel, Heranwachsende als größte Zielgruppe für Online-Technologie zu schützen. In Deutschland wird der Safer Internet Day vom Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien in Zusammenarbeit mit den einzelnen Landesdatenschutzbehörden organisiert.

Beeinflussung und Meinungsmacht

Mit dem Motto in diesem Jahr hat der Safer Internet Day sicherlich den Zeitgeist getroffen. Der Begriff des Influencers polarisiert schon seit Jahren. Die Bandbreite reicht dabei von großer Bewunderung bis hin zu völliger Ablehnung dieses „Berufes“.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat dazu eine klare Meinung geäußert:

„Für die politische Meinungsbildung ist es wichtig, die Zusammenhänge einer manipulativen Datenverarbeitung zu erkennen. Spätestens seit dem Cambridge-Analytica-Skandal ist klargeworden, dass Daten nicht nur für eine zielgenaue Werbung verwendet werden; persönliche Daten werden auch zur politischen Manipulation der Nutzer*innen auch über sog. Influencer verwendet. Mit diesen Mechanismen müssen insbesondere junge Wähler*innen vertraut gemacht werden.“

Prof. Dr. Kugelmann spielt hier auf den Skandal an, in welchem das britische Datenanalyseunternehmen unrechtmäßig Daten für Donald Trump in dessen Wahlkampf 2016 ausgewertet haben soll. Eine nicht unerhebliche Rolle sollen hier diverse Influencer gespielt haben, welche durch gezielte Anzeigen die Anhänger Trumps Wähler mobilisiert und potenzielle Wähler von Hillary Clinton abgeschreckt haben.

Zusammenhänge begreifen – manipulative Datenverarbeitung?

Der Aktionstag hat wie gesagt das Ziel, Kindern und Jugendlichen Zusammenhänge zwischen verschiedenen Datenverarbeitungen und Informationsaustausch einerseits und einer möglichen Manipulation aufzuzeigen. Dies ist sicherlich begrüßenswert. Je mehr über eine einzelne Person bekannt ist, desto einfacher ist es, ihn zu manipulieren und ihn in eine bestimmte Richtung zu locken. Tracking und jegliche Art von Profiling machen es möglich.

Das kann die Einflussnahme auf Wahlergebnisse sein, aber auch die Bildung einer politischen Meinung, bis hin zum Rechtsextremismus. Das galt immer schon im realen Leben und gilt ebenso auch in der virtuellen Welt des Internets. Dort ist eine bewusste Einflussnahme im Regelfall sogar noch leichter, weil der einzelne „Täter“ auf Grund einer immer noch starken Anonymität deutlich schwerer zu identifizieren ist.

Ein Beispiel dafür ist die sogenannte Hasskriminalität. Dabei geht es um politisch motivierte Straftaten, bei denen das Opfer nach einer tatsächlichen oder scheinbaren Zugehörigkeit zu einer bestimmten Personengruppe ausgewählt wird. Auch hier kann jeder Einzelne durch bewusste Meinungsmache gesteuert werden, indem man beispielsweise über eine bestimmte Gruppe Unwahrheiten oder Verleumdungen verbreitet. Um dies einzudämmen, hat das Bundesjustizministerium kürzlich einen Gesetzesentwurf veröffentlicht. Dass dieser Entwurf in seinen Forderungen im Einzelnen zu weit geht, steht auf einem anderen Blatt. Er zeigt aber, dass der Gesetzgeber grundsätzlich die Notwendigkeit einer gewissen Regulierung erkannt hat.

Datenschutz kommt nie zu früh

Gerade bei Kindern und Jugendlichen ist die Gefahr auf Grund der geringen Lebenserfahrung am größten, einer Manipulation gleich welcher Art und zu welchem Zweck ausgesetzt zu sein. Heranwachsende sind erfahrungsgemäß nicht in der Lage, komplexe Sachverhalte in ihrer kompletten Bedeutung zu erfassen. Aktuell erfreut sich die Plattform TikTok bei der Jugend großer Beliebtheit. Allerdings nimmt es dieses Videoportal mit dem Datenschutz nicht sehr genau. Es ist daher von enormer Wichtigkeit, Heranwachsende dafür zu sensibilisieren, dass das Internet und Social Media nicht nur eine Vielzahl von Möglichkeiten bieten, sondern gleichzeitig verantwortungsvoll zu nutzen sind.

Zwar hätten Studien ergeben, dass digitale Medien weniger negative Auswirkungen hätten als zunächst befürchtet. Allerdings wird dabei selbst in Frage gestellt, inwiefern die Studien tatsächlich verlässlich sind. Dies lässt sich sicherlich unter anderem auf die Schnelllebigkeit der digitalen Welt zurückführen. Darüber hinaus ist möglicherweise der Zeitraum, der bewertet worden ist, noch zu kurz, um wirklich aussagekräftige Ergebnisse erzielen zu können.

Dennoch können Aufklärung und Datenschutz nie zu früh anfangen. Das gilt selbstverständlich nicht nur für Heranwachsende, sondern für uns alle. Der Schutz unserer Privatsphäre und damit eine gesellschaftliche Verantwortung liegen in unseren Händen. Aus diesem Grund sind solche Aktionstage ein guter Anfang.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original:

Influencer & Co. – Manipulation im Internet?

.

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Betrügern ist es gelungen, sich von einer staatlichen Firma in Puerto Rico 2,6 Millionen US-Dollar zu beschaffen. Das klappte über eine Phishing-Mail.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar.

Warum das Passwort nicht mehr ständig geändert werden muss

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann auf den “ständigen Wechsel” von Passwörtern dann verzichten, wenn das Passwort stattdessen wirklich komplex ist.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Warum das Passwort nicht mehr ständig geändert werden muss

Warum das Passwort nicht mehr ständig geändert werden muss

Hat der Passwortwahnsinn nun endlich ein Ende? Das grundlose, regelmäßige Ändern von Passwörtern ist aus dem IT-Grundschutz-Kompendium des BSI gestrichen worden. Dürfen Mitarbeiter jetzt aufatmen, weil sie sich nicht alle paar Monate komplexe Passwörter neu merken müssen und woher kommt der Mythos ständig sein Passwort ändern zu müssen?

Seit 2003 gilt es als Standard, dass Passwörter…

  1. komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen) und
  2. alle 90 Tage gewechselt werden sollen.

Zu „verdanken“ haben wir diesen Technologiestandard einem gewissen Mr. Bill Burr, der 2003 als Mitarbeiter des National Institute of Standards and Technology (NIST) den „NIST Special Publication 800 – 63. Appendix A“ verfasste. Das NIST legt als US-Behörde die Technologiestandards für die USA fest. Seine Empfehlungen fanden darüber hinaus erhebliche internationale Resonanz und waren seither absoluter Sicherheitsstandard bei der Vergabe von Passwörtern.

Was ist ein starkes Passwort?

Bereits 2017 revidierte das NIST jedoch seine Position (aktuelle Version). Und ihr Erfinder Bill Burr äußerte sich in einem Interview mit dem Wall Street Journal im gleichen Jahr sehr deutlich, indem er sagte, dass er auf dem falschen Dampfer gewesen sei und den Passwortwahnsinn bereue.

Seine Empfehlungen beruhten, seinen Aussagen zufolge, maßgeblich auf einem Paper der 80er Jahre. Und tatsächlich war das Wissen über Passwörter und vor allem über das User-Verhalten zu dieser Zeit nicht ausreichend erforscht – mal abgesehen davon, dass die vorhandenen Daten (Passwortsammlungen) mit den heutigen Datenmengen nicht vergleichbar sind.

Seit 2017 empfiehlt das NIST:

  • lange, statt komplizierte Passwörter zu verwenden, d.h. nicht weniger als 8 Zeichen, besonders sicher wäre auch ein kompletter Satz
  • Sonderzeichen erhöhen die Sicherheit des Passwortes nicht wesentlich, vor allem, weil die Algorithmen von Hackern diese Varianten zügig bei sogenannten Brute-Force-Attacken durchtesten
  • Passwortdopplungen sollten vermieden werden
  • keine regelmäßigen Änderungen der Passwörter, wenn nicht Anhaltspunkte für eine Kompromittierung vorliegen (Vermutung Hackerangriff etc.), da Nutzer bei zu häufigen Wechseln dazu neigen, unsichere Chiffren einzusetzen, um sich die vielen Passwörter noch merken zu können

Empfehlungen des BSI

Jüngst scheint das BSI (Bundesamt für Sicherheit in der Informationstechnik) endlich „Gnade“ walten zu lassen. Bis vor kurzem hielt das BSI in seinem IT-Grundschutz-Kompendium noch eisern an den NIST-Vorgaben fest. Anfang des Monats wich es in seinen Angaben vom zwanghaften Passwörterwechsel jedoch ab. Die Hinweise lauten nun u. a. wie folgt:

„ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“

„ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Die wichtigsten Punkte zu Passwörtern

Zusammenfassend die wichtigsten Punkte zu Passwörtern:

  • Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen oder Tastaturen sind absolut inakzeptabel)
  • dasselbe Passwort sollte nicht für unterschiedliche Zwecke verwendet werden
  • umso länger das Passwort, umso besser (es empfehlen sich auch vollständige Sätze)
  • zu komplizierte Passwörter gefährden die Sicherheit
  • Sonderzeichen oder Zahlen sind gut, wenn das Passwort dadurch nicht zu kompliziert wird und im schlechtesten Fall häufig so verwendet wird (Bsp. Pa$$w0rd)
  • grundlose Passwortwechsel sind zu vermeiden
  • wenn ein Passwort gewechselt wurde, darf es nicht wiederverwendet werden und auch marginale Veränderungen reichen nicht aus

Insgesamt wäre es ratsam für Unternehmen, wenn sie ihre Mitarbeiter auf den sicheren Umgang bei der Verwendung von Passwörtern hinweisen würden. Anbieten würde sich zum Beispiel eine Einweisung beim Arbeitsbeginn und der erstmaligen Einrichtung. Außerdem können IT-Richtlinie oder ein Handbuch die laufenden Prozesse unterstützen. Wiederholende Schulungen können zu dem helfen diese Aspekte im Bewusstsein der Mitarbeiter zu verankern.

Beliebt ist nicht gleich sicher

Auch beim größten Verständnis für hohen Frust bei grundlosen, aufgedrängten Passwortwechseln ist die hohe Stellung der standardisierten IT-Sicherheit nicht zu unterschätzen. In Zeiten, in denen viele User noch Passwörter (gern auch dasselbe für alle Accounts) benutzen, wie 12345, qwertz oder der Evergreen password/t, hat man den Eindruck, dass Hacker geradezu eingeladen werden sollen (Liste der beliebtesten Passwörter). Mit den wenigen, oben genannten Tipps stärkt man jedoch seine Sicherheit und tritt dem ein oder anderen Hackerangriff wirksam entgegen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Warum das Passwort nicht mehr ständig geändert werden muss.

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Und auch bei der IT-Sicherheit gilt, wer die Grundlagen im Griff hat, der setzt sich viel weniger Gefahr aus – Nehmen Sie Ihre IT-Dienstleister und IT-Partner deswegen unbedingt auch an die Kandarre. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Im Jahr 2019 sind wieder zahlreiche Sicherheitslücken und IT-Bedrohungen in den Medien diskutiert worden. Dass diese nicht bloß von theoretischer Natur sind, können wir aus unserer Berufspraxis bestätigen. Ein paar Szenarien, die das letzte Jahr bei uns häufig vorgekommen sind, möchte ich im Folgenden kurz vorstellen.

Emotet, die andauernde Bedrohung

Eine Schadsoftware, die das letzte Jahr vermutlich an niemandem vorbeiging, ist Emotet. Meist wird diese erst bemerkt, wenn die eigenen Daten verschlüsselt sind. Eine Infektion liegt aber oft Wochen bis Monate vorher schon vor. Ein Anzeichen ist u.a., dass E-Mails in Ihrem Namen an Ihre Kontakte verschickt werden. Diese haben dem angezeigten Namen nach Ihre E-Mail-Adresse, die eigentliche E-Mail-Sendeadresse ist jedoch eine andere. Die Mails beziehen sich im schlimmsten Fall auch auf den Inhalt ihrer Unterhaltungen.

Sofern Emotet, und im Laufe der Zeit auch Trickbot, alle relevanten Daten (Zugangsdaten, Kontaktlisten etc.) abgezogen haben, wird eine Ransomware nachgeladen und ausgeführt.

Die Infektion erfolgt bei den meisten via E-Mail. Dort ist eine Office-Datei mit einem Makro angehängt. Wird das Makro ausgeführt, lädt es mittels PowerShell weitere Schadsoftware nach. Am einfachsten schützt man sich davor, indem man das Laden von Makros per Gruppenrichtlinie untersagt.

Als Forensiker stehen wir vor der Fragestellung, wie Emotet trotz Sicherheitsmaßnahmen in das Netzwerk eindringen konnte. Dabei geht es u.a. um die Suche nach dem Ursprungsrechner und dem Verbreitungsweg im Netzwerk.

Geöffneter Remote Desktop Protokoll Port

Für eine einfache Fernwartung oder Homeoffice wird oft ein Terminalserver o.Ä. betrieben und via RDP im Internet zur Verfügung gestellt. Dies hat zur Folge, dass über kurz oder lang Angreifer darauf aufmerksam werden und versuchen, via Brute-Force-Angriff in das System einzudringen. Gesellen sich noch einfache Benutzernamen und Passwörter hinzu, ist der erste Schritt in das Netzwerk schnell erledigt. Wer solche Systeme in seiner Verwaltung hat, sollte einen Blick in das Security-Log werfen. Nicht selten ist dieses voll von fehlgeschlagenen Anmeldeversuchen.

Spätestens seit „Bluekeep“ sollte bekannt sein, dass ein ungeschützter RDP-Zugriff aus dem Internet keine gute Idee ist. Ist ein RDP-Zugriff auf den Server aus der Ferne notwendig, sollte zuvor eine VPN-Verbindung hergestellt werden. Nur über diese sollte die Möglichkeit des Fernzugriffs bestehen. Idealerweise werden höhere Schutzmaßnahmen, wie z.B. eine Zwei-Faktor-Autorisierung, getroffen.

Ist über diesen Wegen ein Einbruch gelungen, können Forensiker dies nachweisen, sowie Aktivitäten auf dem System in einer Zeitleiste darstellen.

Microsoft Office 365 Account kompromittiert

Immer mehr Unternehmen migrieren in die Microsoft Office Cloud. Dies hat den Vorteil, dass man von nahezu überall auf seine Dokumente zugreifen, oder über Collaboration-Dienste wie Microsoft Teams, mit seinem Kollegen kommunizieren kann. Im Gegensatz zu den eigen betriebenen Systemen, braucht man sich auch nicht mehr seine eigene Webadresse für den E-Mail-Zugang merken, sondern kann sich über die Microsoft 365 Webseite direkt einloggen.

Dadurch ist es für einen Angreifer besonders attraktiv, diese Zugangsdaten zu erbeuten. Gut gemachte Phishing-Mails zielen darauf ab, dass sich das Opfer auf einer gefälschten Microsoftseite „einloggt“ und seine Zugangsdaten preisgibt. Mit diesen hat der Angreifer problemlos die Möglichkeit, meist auch unbemerkt, auf E-Mails, Kontakte und die interne Kommunikation zuzugreifen.

Im Folgenden wird dann die Kommunikation ausgespäht und zu einem passenden Zeitpunkt eine Zahlungsaufforderung von der gekaperten E-Mail-Adresse gesandt. Ein sogenannter CEO-Fraud gewinnt durch einen internen Absender deutlich an Glaubwürdigkeit. Auch hier kann eine Zwei-Faktor-Authentisierung helfen das Risiko zu minimieren.

Dauerbrenner Ransomware

Für einen schnellen wirtschaftlichen Erfolg ist der Einsatz von Ransomware ein probates Mittel für die Angreifer. Für professionelle Täter ist daraus inzwischen ein Business geworden. Es gibt „Ransomware as a Service“ sowie Baukästen, mit welchen man schnell seine persönliche Schadsoftware konfigurieren kann. Solche Täter sind auch eher geneigt, den Schlüssel für die verschlüsselten Daten herauszugeben, da andernfalls das „Geschäftsmodell“ in Gefahr ist. Ransomware gelangt u.a. über E-Mail-Anhänge, oder offene RDP-Ports auf die eigenen Systeme.

Hat ein Angreifer ausreichend Berechtigungen, wird oft versucht, anstelle einer Datei- eine Festplattenverschlüsselung vorzunehmen. Dank Bordmitteln, wie Bitlocker oder legitimer Software wie DiskCryptor, werden solche Angriffe auch von keiner Anti-Malware Software erkannt. Für Forensiker ist es bei solchen Systemen nicht mehr möglich Spuren zu sichern und den tatsächlichen Tathergang auf dem System zu rekonstruieren. Weiterhelfen können in einem solchem Fall Log-Dateien von Firewalls, Proxys oder anderen zentralen Komponenten, vorausgesetzt, diese sind im Vorwege adäquat konfiguriert.

Zur Schadensminimierung hilft in den meisten Fällen von Verschlüsselung eine gut implementierte Backup-Strategie.

Regelmäßige Überprüfung der IT-Sicherheit

IT-Sicherheit ist ein laufender Prozess, der niemals „fertig“ ist. Eine regelmäßige Überprüfung der Firewall-Regeln, Rückspielen von Backups und Prüfen der Logfiles sollte bei den Administratoren zur Routine werden. Umgesetzte Maßnahmen sollten auf ihre Wirkung hin untersucht werden, heißt, man sollte sich z.B. fragen: „Greift meine neue Gruppenrichtlinie wirklich auf allen Clients?“ Oft werden kurze „Workarounds“ eingerichtet und anschließend im Betrieb vergessen. So geraten bestehende Sicherheitslücken in Vergessenheit und führen zu ernstzunehmenden Sicherheitsvorfällen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019.

Vielleicht doch lieber einen externen DSB benennen – DSB-Kündigungsschutz für 1 Jahr bleibt auch bei Abberufung bestehen: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man verstehe mich nicht falsch, interne betriebliche DSB sind fachlich gut, zuverlässig und arbeiten bestimmt ordentlich. Sie sind aber immer abhängige Beschäftigte, die ihren Arbeitgeber kontrollieren und überwachen müssen.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Die Änderung des Schwellenwertes durch das 2. DSAnpUG für die zwingende Bestellung eines Datenschutzbeauftragten von 10 auf 20 datenverarbeitende Mitarbeiter soll besonders kleinere Unternehmen entlasten. Diese Änderung wirft jedoch Fragen hinsichtlich der Stellung des internen Datenschutzbeauftragten in den davon betroffenen Unternehmen auf. Diese sollen vor dem Hintergrund eines aktuellen Urteils des Bundesarbeitsgerichts (BAG) näher betrachtet werden.

Änderungen des DSAnpUG

Am 26.11.2019 trat das 2. DSAnpUG mit wesentlichen Änderungen am Bundesdatenschutzgesetz in Kraft. Insbesondere gab es eine grundlegende Änderung bei der Pflicht zur Benennung eines Datenschutzbeauftragten. Nach der alten Rechtslage mussten Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Änderung wurde diese Grenze nun auf 20 Personen erhöht (vgl. § 38 Abs. 1 BDSG). Somit sind viele kleinere Unternehmen von der Pflicht, einen Datenschutzbeauftragten zu benennen, wieder befreit. Aktuell bestehen jedoch Rechtsunsicherheiten dahingehend, ob mit dem Wegfall der Verpflichtung zur Benennung eines Datenschutzbeauftragten auch der Sonderkündigungsschutz entfällt.

Abberufung Kündigung

Oft werden bei der Diskussion die Begriffe Kündigung und Abberufung miteinander vermischt, weshalb diese klar voneinander zu trennen sind. Benennt ein Unternehmen einen internen Datenschutzbeauftragten, handelt es sich dabei um eine Person, die bereits ein Mitarbeiter des betreffenden Unternehmens ist und somit in einem Arbeitsverhältnis mit ihm steht. Das bedeutet, dass diese Person zunächst lediglich von seiner Funktion als Datenschutzbeauftragter abberufen werden kann. An seiner Anstellung im Unternehmen ändert sich dadurch erstmal nichts.

Denn interne Datenschutzbeauftragte von öffentlichen sowie von nicht-öffentlichen Stellen genießen einen besonderen Kündigungsschutz nach § 6 Abs. 4 bzw. § 38 Abs. 2 BDSG. Das bedeutet, dass eine Kündigung des Arbeitsverhältnisses während ihrer Tätigkeit nur aus wichtigem Grund möglich ist (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB). Zudem wirkt dieser Schutz zugunsten des Datenschutzbeauftragten nach. Nach Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiterhin unzulässig, sofern kein wichtiger Grund besteht, der eine fristlose Kündigung rechtfertigt.

Zu beachten ist, dass für die Geltung des besonderen Kündigungsschutzes für Unternehmen die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten eine zwingende Voraussetzung ist. In § 38 Abs. 2 BDSG heißt es für die Datenschutzbeauftragten nicht-öffentlicher Stellen:

„§ 6 Absatz 4, 5 Satz 2 und Absatz 6 [BDSG] finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

§ 6 Absatz 4 BDSG: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. […]“

Freiwillig eingesetzte Datenschutzbeauftragte genießen daher keinen besonderen Kündigungsschutz und dieser kann somit logischerweise auch nicht nachwirken. Fraglich ist aber, was nun für Datenschutzbeauftragte gilt, welche zwar nach der alten Rechtslage verpflichtend bestellt worden sind, nun aber nicht mehr benannt werden müssten, da das Unternehmen weniger als 20 Mitarbeiter hat, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Entfall des Sonderkündigungsschutzes bei sinkender Beschäftigtenanzahl

Aktuell wird man noch keine rechtssichere Antwort auf die Frage nach dem Entfall des Sonderkündigungsschutzes für diese Datenschutzbeauftragte geben können. Jedoch lässt sich aus einem erst kürzlich ergangenen Urteil des Bundesarbeitsgerichts eine Tendenz herauslesen. Das BAG hatte zu entscheiden, wann der Sonderkündigungsschutz für einen betrieblichen Datenschutzbeauftragten endet, wenn die Beschäftigtenzahl im Unternehmen unter den gesetzlich vorgeschriebenen Wert absinkt.

Die Entscheidung beruht jedoch noch auf der alten Rechtslage. Zudem ging es im dortigen Sachverhalt um die Unterschreitung des Schwellenwertes durch schwankenden Personalbedarf und nicht durch eine nachträgliche Anhebung des Schwellenwertes durch den Gesetzgeber. Dennoch lassen sich die Argumente und Wertungen des BAG auf die aktuelle Fragestellung zum Wegfall des besonderen Kündigungsschutzes übertragen.

In der Entscheidung des BAG heißt es:

„Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.“

Der Sonderkündigungsschutz, welcher einem betrieblichen Datenschutzbeauftragten nach alter Rechtslage zukam, erlischt also, sobald das Unternehmen unter den entsprechenden Schwellenwert fällt. Jedoch greift weiterhin die im Gesetz verankerte nachwirkende einjährige Kündigungsschutzfrist.

Rechtssichere Antwort liefert nur eine Prüfung des Einzelfalls

Nach der Entscheidung des BAG wird die Tendenz wohl dazu hingehen, dass der Sonderkündigungsschutz auch bei nachträglicher Anhebung des Schwellenwerts durch den Gesetzgeber entfällt. Insbesondere ist es naheliegend, dass die Benennung eines Datenschutzbeauftragten, der aufgrund der Gesetzesänderung nicht mehr verpflichtend ist, leichter zu beenden sein muss. Anderenfalls würde das Ziel des Gesetzgebers, die kleineren Unternehmen zu entlasten, ins Leere laufen. Solange jedoch noch keine Entscheidungen vorliegen, muss im Einzelfall geprüft werden, ob ein Weg vor das Arbeitsgericht eingeschlagen werden sollte.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten.