Beendigung der Stellung als Datenschutzbeauftragter

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann einen DSB auf unterschiedlichen Wegen loswerden. Einvernehmlich geht wie sonst im Leben auch, am allerbesten! Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Beendigung der Stellung als Datenschutzbeauftragter

Beendigung der Stellung als Datenschutzbeauftragter

Dieser Beitrag erörtert die verschiedenen Möglichkeiten, das Verhältnis zwischen dem Datenschutzbeauftragen und der nicht-öffentlichen Stelle zu beenden. Dabei kann dieser Schritt von beiden Parteien ausgehen. Wenn die Trennung von der nicht-öffentlichen Stelle einseitig angestrebt wird, ist hierbei wesentlich, ob der Datenschutzbeauftragte gesetzlich bestellt werden musste oder ob dies auf freiwilliger Basis erfolgte.

Bestellpflicht, Qualifikation und Benennung

Eine abschließende Aufzählung der Situationen, in denen ein Datenschutzbeauftragter bestellt werden muss, erfolgt in Art. 37 Abs. 1 DSGVO. Genauer haben wir diese im Beitrag Datenschutz-Grundverordnung (DSGVO) – Datenschutzbeauftragter erläutert. Daneben eröffnet die DSGVO noch die Möglichkeit

  • einer freiwilligen Benennung von Datenschutzbeauftragten gem. Art. 37 Abs. 4, 1. HS DSGVO
  • einer Bestellung aufgrund der Öffnungsklausel für die Mitgliedsstaaten, die Benennung von Datenschutzbeauftragten vorzuschreiben Art. 37 Abs. 4, 2. HS DSGVO. Wie diese Öffnungsklausel in Deutschland genutzt wurde, erfahren Sie im Beitrag Datenschutzbeauftragter und das neue BDSG.

Besteht eine Verpflichtung zur Benennung des Datenschutzbeauftragten, dann ist dieser ohne Übergangsfrist, d.h. sofort zu benennen. Wird ein Datenschutzbeauftragter benannt, muss dieser bei der zuständigen Aufsichtsbehörde gemeldet werden gem. Art. 37 Abs. 7 DSGVO. Andernfalls läuft die zu benennende Stelle Gefahr, eine Geldbuße nach Art. 83 DSGVO (wie jüngst Facebook Germany, vgl. S. 105ff.) zahlen zu müssen. Bei Änderungen in der Datenverarbeitung ist daher durch den Verantwortlichen oder den Auftragsverarbeiter stets zu prüfen, ob sich hierdurch eine Benennungspflicht ergibt. Bei schwierigen Grenzfällen sollte die Entscheidung, keinen Datenschutzbeauftragten zu benennen, dokumentiert werden.

Der Datenschutzbeauftragte muss zum Zeitpunkt seiner Ernennung über die erforderliche Qualifikation in beruflicher und fachlicher Hinsicht verfügen, die wir im Qualifikation eines Datenschutzbeauftragten näher erläutert haben.

Beendigung der Stellung eines Datenschutzbeauftragten

Für den Fall, dass eine der beiden Parteien das Verhältnis beenden möchten, sind folgende Szenarien denkbar:

Niederlegung und Kündigung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann das Amt niederlegen. Einen Grund für die Niederlegung muss seitens des Datenschutzbeauftragten nicht gegeben sein. Allerdings muss er beachten, dass dem Unternehmen ausreichend Zeit für die Benennung eines Nachfolgers bleibt.

Anderes gilt nur, wenn seitens des Datenschutzbeauftragten ein wichtiger Grund für die Niederlegung vorliegt, dann kann er sein Amt sofort niederlegen.

Einvernehmliche Beendigung

Selbstverständlich können die Parteien die Benennung jederzeit einvernehmlich aufheben.

Befristung ist möglich

Eine Mindestzeit ist für die Benennung des Datenschutzbeauftragten grundsätzlich nicht vorgegeben. Daher ist auch eine Befristung möglich. Mit Ende der Befristung endet das Amt automatisch. Ist zum Ende der Befristung kein Nachfolger bestimmt, wird automatisch der Bußgeldtatbestand des Art. 83 Abs. 4 lit a DSGVO erfüllt.

Jedoch ist zu bedenken, dass bei einer zu kurzen Benennung, der Datenschutzbeauftragte nicht mehr in der Lage sein kann, den Aufgaben gem. Art. 37 Abs. 5 DSGVO gerecht zu werden. Eine Einarbeitungsphase muss miteingeplant werden. Diese kann je nach Umfang etwas länger ausfallen und dann u.U. zeitlich schon wieder in die Nähe des Befristungsendes kommen, so dass für den Datenschutzbeauftragten kein nachhaltiges Arbeiten ohne Bangen um den Positionsverlust möglich ist. Eine befristete Benennung eines (externen) DSB für weniger als zwei Jahre wird daher regelmäßig unzulässig sein. Abweichungen nach unten und ggf. nach oben sind in Abhängigkeit zur Unternehmensgröße denkbar.

Ist die Befristung unzulässig kurz, liegt von vornherein keine ordnungsgemäße Benennung vor, weil der DSB nicht in der Lage ist, seinen gesetzlichen Aufgaben nachzukommen. Bei erstmaliger Benennung eines DSB mag eine kurze Probezeit möglich sein, keineswegs zulässig sind kurze Kettenverträge (TB DSB Hessen, HessLT-Drs. 15/4659, 47).

Betriebliche Änderungen

Hört das Unternehmen auf zu existieren, z.B. in Folge einer Unternehmensfusion, fällt automatisch das Amt des Datenschutzbeauftragten weg. Dies gilt auch, wenn die aufnehmende Rechtsträgergesellschaft bisher keinen Datenschutzbeauftragten hat. Besteht für die aufnehmende Rechtsträgergesellschaft in Folge der Fusion eine Benennungspflicht, ist der Datenschutzbeauftragte unverzüglich zu bestellen.

Wegfall der gesetzlichen Benennungspflicht

Ein Wegfall der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten aufgrund geänderter Datenverarbeitung, führt nicht automatisch zur Beendigung des Amtes, denn sonst gäbe es nicht die Möglichkeit eines freiwillig benannten DSB. Im Übrigen würde sonst der Datenschutzbeauftragte immer Gefahr laufen, bei geänderter Datenverarbeitung seines Amtes enthoben zu werden.

Der Wegfall der gesetzlichen Benennungspflicht kann daher allenfalls ein Grund für eine Abberufung sein. Weiteres hierzu finden Sie auch in unserer Urteilsbesprechung des Bundesarbeitsgerichts zum Sonderkündigungsschutz des Datenschutzbeauftragten.

Abberufung und Benachteiligung des Datenschutzbeauftragten

Art. 38 Abs. 3 S. 2 DSGVO schützt den Datenschutzbeauftragten vor einer Abberufung wegen der Erfüllung seiner Aufgaben oder einer Benachteiligung. Unzulässig ist die kausale Verknüpfung zwischen Aufgabenwahrnehmung und Abberufung, nicht aber die Abberufung an sich (Artikel-29-Datenschutzgruppe, WP 243).

1. Die Abberufung des Datenschutzbeauftragten erfolgt

  • unabhängig von einer Befristung, bei einer freiwilligen oder bei einer Pflichtbenennung, wenn ein wichtiger Grund, d.h. schwerwiegende Verfehlung in der Amtsführung vorliegt;
  • grundsätzlich nicht bei einer Befristung;
  • bei einem unbefristeten Datenschutzbeauftragten nicht grundlos, d.h. wenn es sachliche betriebsbedingte Gründe gibt, die aber nichts mit der Amtsführung des Datenschutzbeauftragten zu tun haben.
  • bei einem Abberufungsverlangen der Aufsichtsbehörde.

Das schuldrechtliche Arbeitsverhältnis ist hiervon jedoch getrennt zu betrachten, d.h. ein abberufener DSB kann weiterhin arbeitsrechtlich beschäftigt sein. Die weitergehende Regelung der Abberufung im BDSG gegenüber Privaten ist anders als bei Datenschutzbeauftragten für Behörden und öffentliche Stellen aufgrund einer fehlenden Öffnungsklausel wohl europarechtswidrig. Näher haben wir diesen Umstand im Beitrag Abberufung des betrieblichen Datenschutzbeauftragten beleuchtet.

2. Kündigung des Datenschutzbeauftragten

In der DSGVO gibt es keinen expliziten Kündigungsschutz für Datenschutzbeauftragte bei nicht-öffentlichen Stellen. Aber soweit eine Abberufung nicht zulässig ist, ist auch keine arbeitsrechtliche Kündigung des Arbeits- bzw. Dienstvertrages zulässig. Hieraus ergibt sich, dass für den befristeten Datenschutzbeauftragten mangels Abberufungsmöglichkeit, außer bei schwerwiegenden Verfehlungen, auch keine arbeitsrechtlichen Kündigungen für den Arbeits- bzw. Dienstvertrag möglich sind.

Bei einem unbefristeten Datenschutzbeauftragten, gibt es neben der Abberufungsmöglichkeit auch die Möglichkeit das Arbeits- oder Dienstverhältnis zu kündigen. Muss dieser gesetzlich vorgeschrieben bestellt werden, greift der Sonderkündigungsschutz aus § 6 Abs. 4 S. 2 i.V.m. § 38 Abs. 2 BDSG. Der Datenschutzbeauftragte kann deshalb nur beim Vorliegen der Voraussetzungen für eine außerordentliche (fristlose) Kündigung entlassen werden. Wurde der Datenschutzbeauftragte freiwillig bestellt, greift dieser Schutz aufgrund des Wortlauts des § 38 Abs. 2 BDSG nicht. Er kann somit wie jeder Beschäftigte ordentlich gekündigt werden.

Ist die Tätigkeit des Datenschutzbeauftragten schon beendet, gibt es für den Datenschutzbeauftragten gem. §§ 6 Abs. 4, 38 Abs. 2 BDSG noch einen nachwirkenden Kündigungsschutz, so dass diesem innerhalb eines Jahres nach Beendigung der Tätigkeit als Datenschutzbeauftragter nicht ordentlich gekündigt werden darf. Ein weitegehender tarif- oder einzelvertraglicher Kündigungsschutz bleibt hiervon unberührt.

Kein absoluter Kündigungsschutz des Datenschutzbeauftragten

Der interne Datenschutzbeauftragte nicht-öffentlicher Stellen ist also durchaus kündbar. Zu beachten ist ferner, dass der besondere Kündigungsschutz nur für den Datenschutzbeauftragten gilt, der aufgrund einer Bestellpflicht benannt wurde. Freiwillig bestellte Datenschutzbeauftragte genießen diesen besonderen Schutz nicht.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Beendigung der Stellung als Datenschutzbeauftragter.

LfDI Baden-Württemberg veröffentlicht Tätigkeitsbericht 2019 und beantwortet die Frage, ob Arbeitnehmerüberlassung eine Auftragsverarbeitung ist

Arbeitnehmerüberlassung

Endlich hat eine Aufsichtsbehörde für Datenschutz mit einer eindeutigen Position die Frage beantwortet, ob Arbeitnehmerüberlassung eine Auftragsverarbeitung ist oder nicht: Nein, es fehlt hier das Wesen der Verarbeitung von Daten im Auftrag des Kunden – selbst bei einer Überlassung bzw. einem Einsatz einer kaufmännischen Kraft in die Personalabteilung eines Kunden liegt eben keine Auftragsverarbeitung vor.

Zitat aus dem Tätigkeitsbericht des LfDI Baden-Württemberg (Bericht über Link erreichbar, S. 95):
“Für die Durchführung der Arbeitnehmerüberlassung von Leiharbeitnehmer*innen kommt eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO zwischen „Verleiher“ und „Entleiher“ nicht in Frage. Die beteiligten Unternehmen müssen ihre (beabsichtigten) Verarbeitungen der personenbezogenen Daten der Beschäftigten eigenständig auf ihre Rechtmäßigkeit überprüfen und entsprechende Vorkehrungen treffen.” (ZITAT ENDE)

Sollten Sie Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO mit Kunden (als der Personaldienstleister) geschlossen haben, dann können Sie jetzt auf Ihre Kunden zugehen und diese ggf. “bereinigen”. Da es immer wieder vorkommt, dass DSB von Kunden um entsprechende Verträge bitten bzw. verlangen, kann nun entsprechend reagiert werden bzw. auf solche Verträge verzichtet werden.

Link zur Pressemeldung:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-stellt-seinen-taetigkeitsbericht-2019-zum-datenschutz-vor/

Link zum Tätigkeitsbericht:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/01/35.-T%C3%A4tigkeitsbericht-f%C3%BCr-den-Datenschutz-Web.pdf

Patientendaten aus französischer Medizin-Cloud offen im Internet

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wichtig zu wissen ist, oft liegt es nur an der Konfiguration von Zugriffsrechten bzw. Einstellungen zur Erreichbarkeit von außen – heißt, derjenige der eine IT-Umgebung verwaltet verzichtet manchmal auf die höchstmögliche Sicherheit oder ist manchmal einfach faul – das Schlimmste aber wäre, er weiß es nicht besser! Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Patientendaten aus französischer Medizin-Cloud offen im Internet

Patientendaten aus französischer Medizin-Cloud offen im Internet

In einer offenen Datenbank waren intime Patientendaten zu Schönheitsoperationen einsehbar. Womöglich sind auch deutsche Ärzte und Patienten betroffen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Beitragsbild stammt von mir. Hier geht’s zum Original: Patientendaten aus französischer Medizin-Cloud offen im Internet.

Influencer & Co. – Manipulation im Internet?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Den Link zum Original finden Sie unten, weil der Link hier nicht einbaubar war.

Influencer & Co. – Manipulation im Internet?

Kaum ein Begriff hat die Öffentlichkeit in den letzten Jahren so sehr geprägt wie der des „Influencers“. Influencer sind inzwischen wichtige Meinungsführer für Unternehmen aus allen Branchen geworden, da sie deren Produkte über digitale Plattformen direkt präsentieren können. Doch wo Licht ist, ist auch Schatten. Die Gefahren von Einflussnahme und Meinungsbildung durch Influencer über digitale Plattformen sind größer als je zuvor.

Instagram, Facebook – und was noch?

Wer das Wort Influencer hört, denkt fast immer an die bekannten Marketing-Plattformen unserer Zeit. Instagram, YouTube und Co. lassen grüßen. Das ist auch nachvollziehbar, schließlich hat Instagram, welches übrigens zum Datenkraken von Mark Zuckerberg gehört, bereits im Juni 2018 die 1-Milliarde-Marke bei den Nutzerzahlen geknackt. Gefühlt ist jeder Star (und wer sich für einen hält) auf diesen Plattformen zu finden, wo man sein scheinbar perfektes Leben mit seinen Followern teilen kann.

Als Influencer sind im Allgemeinen Personen zu verstehen, welche durch eine hohe Social-Media-Präsenz ein ausgeprägtes Netzwerk und Follower aufgebaut haben. Dadurch haben Influencer eine hohe Reichweite. Sie genießen ein hohes Ansehen bei ihren Followern und haben dadurch die Möglichkeit, die Meinung der Empfänger zu einem Thema zu beeinflussen. Influencer nehmen dabei allerdings nicht nur eine gewichtige Rolle im Online-Marketing ein, sondern können auch gezielt zur Meinungsmache in anderen Bereichen eingesetzt werden.

Safer Internet Day

Influencer richten sich dabei mit ihren (Werbe-)Botschaften zumeist an diejenigen, welche erfahrungsgemäß die größte Affinität zur digitalen Welt aufweisen, nämlich an Kinder und Jugendliche. Der diesjährige „Safer Internet Day“ stand unter dem Motto „Idole im Netz. Influencer & Meinungsmacht.“ Der Safer Internet Day wurde von der Europäischen Kommission ins Leben gerufen und findet seit 2004 jedes Jahr im Februar statt.

Dieser Aktionstag verfolgt insbesondere das Ziel, Heranwachsende als größte Zielgruppe für Online-Technologie zu schützen. In Deutschland wird der Safer Internet Day vom Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien in Zusammenarbeit mit den einzelnen Landesdatenschutzbehörden organisiert.

Beeinflussung und Meinungsmacht

Mit dem Motto in diesem Jahr hat der Safer Internet Day sicherlich den Zeitgeist getroffen. Der Begriff des Influencers polarisiert schon seit Jahren. Die Bandbreite reicht dabei von großer Bewunderung bis hin zu völliger Ablehnung dieses „Berufes“.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat dazu eine klare Meinung geäußert:

„Für die politische Meinungsbildung ist es wichtig, die Zusammenhänge einer manipulativen Datenverarbeitung zu erkennen. Spätestens seit dem Cambridge-Analytica-Skandal ist klargeworden, dass Daten nicht nur für eine zielgenaue Werbung verwendet werden; persönliche Daten werden auch zur politischen Manipulation der Nutzer*innen auch über sog. Influencer verwendet. Mit diesen Mechanismen müssen insbesondere junge Wähler*innen vertraut gemacht werden.“

Prof. Dr. Kugelmann spielt hier auf den Skandal an, in welchem das britische Datenanalyseunternehmen unrechtmäßig Daten für Donald Trump in dessen Wahlkampf 2016 ausgewertet haben soll. Eine nicht unerhebliche Rolle sollen hier diverse Influencer gespielt haben, welche durch gezielte Anzeigen die Anhänger Trumps Wähler mobilisiert und potenzielle Wähler von Hillary Clinton abgeschreckt haben.

Zusammenhänge begreifen – manipulative Datenverarbeitung?

Der Aktionstag hat wie gesagt das Ziel, Kindern und Jugendlichen Zusammenhänge zwischen verschiedenen Datenverarbeitungen und Informationsaustausch einerseits und einer möglichen Manipulation aufzuzeigen. Dies ist sicherlich begrüßenswert. Je mehr über eine einzelne Person bekannt ist, desto einfacher ist es, ihn zu manipulieren und ihn in eine bestimmte Richtung zu locken. Tracking und jegliche Art von Profiling machen es möglich.

Das kann die Einflussnahme auf Wahlergebnisse sein, aber auch die Bildung einer politischen Meinung, bis hin zum Rechtsextremismus. Das galt immer schon im realen Leben und gilt ebenso auch in der virtuellen Welt des Internets. Dort ist eine bewusste Einflussnahme im Regelfall sogar noch leichter, weil der einzelne „Täter“ auf Grund einer immer noch starken Anonymität deutlich schwerer zu identifizieren ist.

Ein Beispiel dafür ist die sogenannte Hasskriminalität. Dabei geht es um politisch motivierte Straftaten, bei denen das Opfer nach einer tatsächlichen oder scheinbaren Zugehörigkeit zu einer bestimmten Personengruppe ausgewählt wird. Auch hier kann jeder Einzelne durch bewusste Meinungsmache gesteuert werden, indem man beispielsweise über eine bestimmte Gruppe Unwahrheiten oder Verleumdungen verbreitet. Um dies einzudämmen, hat das Bundesjustizministerium kürzlich einen Gesetzesentwurf veröffentlicht. Dass dieser Entwurf in seinen Forderungen im Einzelnen zu weit geht, steht auf einem anderen Blatt. Er zeigt aber, dass der Gesetzgeber grundsätzlich die Notwendigkeit einer gewissen Regulierung erkannt hat.

Datenschutz kommt nie zu früh

Gerade bei Kindern und Jugendlichen ist die Gefahr auf Grund der geringen Lebenserfahrung am größten, einer Manipulation gleich welcher Art und zu welchem Zweck ausgesetzt zu sein. Heranwachsende sind erfahrungsgemäß nicht in der Lage, komplexe Sachverhalte in ihrer kompletten Bedeutung zu erfassen. Aktuell erfreut sich die Plattform TikTok bei der Jugend großer Beliebtheit. Allerdings nimmt es dieses Videoportal mit dem Datenschutz nicht sehr genau. Es ist daher von enormer Wichtigkeit, Heranwachsende dafür zu sensibilisieren, dass das Internet und Social Media nicht nur eine Vielzahl von Möglichkeiten bieten, sondern gleichzeitig verantwortungsvoll zu nutzen sind.

Zwar hätten Studien ergeben, dass digitale Medien weniger negative Auswirkungen hätten als zunächst befürchtet. Allerdings wird dabei selbst in Frage gestellt, inwiefern die Studien tatsächlich verlässlich sind. Dies lässt sich sicherlich unter anderem auf die Schnelllebigkeit der digitalen Welt zurückführen. Darüber hinaus ist möglicherweise der Zeitraum, der bewertet worden ist, noch zu kurz, um wirklich aussagekräftige Ergebnisse erzielen zu können.

Dennoch können Aufklärung und Datenschutz nie zu früh anfangen. Das gilt selbstverständlich nicht nur für Heranwachsende, sondern für uns alle. Der Schutz unserer Privatsphäre und damit eine gesellschaftliche Verantwortung liegen in unseren Händen. Aus diesem Grund sind solche Aktionstage ein guter Anfang.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original:

Influencer & Co. – Manipulation im Internet?

.

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Betrügern ist es gelungen, sich von einer staatlichen Firma in Puerto Rico 2,6 Millionen US-Dollar zu beschaffen. Das klappte über eine Phishing-Mail.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar.

Warum das Passwort nicht mehr ständig geändert werden muss

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann auf den “ständigen Wechsel” von Passwörtern dann verzichten, wenn das Passwort stattdessen wirklich komplex ist.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Warum das Passwort nicht mehr ständig geändert werden muss

Warum das Passwort nicht mehr ständig geändert werden muss

Hat der Passwortwahnsinn nun endlich ein Ende? Das grundlose, regelmäßige Ändern von Passwörtern ist aus dem IT-Grundschutz-Kompendium des BSI gestrichen worden. Dürfen Mitarbeiter jetzt aufatmen, weil sie sich nicht alle paar Monate komplexe Passwörter neu merken müssen und woher kommt der Mythos ständig sein Passwort ändern zu müssen?

Seit 2003 gilt es als Standard, dass Passwörter…

  1. komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen) und
  2. alle 90 Tage gewechselt werden sollen.

Zu „verdanken“ haben wir diesen Technologiestandard einem gewissen Mr. Bill Burr, der 2003 als Mitarbeiter des National Institute of Standards and Technology (NIST) den „NIST Special Publication 800 – 63. Appendix A“ verfasste. Das NIST legt als US-Behörde die Technologiestandards für die USA fest. Seine Empfehlungen fanden darüber hinaus erhebliche internationale Resonanz und waren seither absoluter Sicherheitsstandard bei der Vergabe von Passwörtern.

Was ist ein starkes Passwort?

Bereits 2017 revidierte das NIST jedoch seine Position (aktuelle Version). Und ihr Erfinder Bill Burr äußerte sich in einem Interview mit dem Wall Street Journal im gleichen Jahr sehr deutlich, indem er sagte, dass er auf dem falschen Dampfer gewesen sei und den Passwortwahnsinn bereue.

Seine Empfehlungen beruhten, seinen Aussagen zufolge, maßgeblich auf einem Paper der 80er Jahre. Und tatsächlich war das Wissen über Passwörter und vor allem über das User-Verhalten zu dieser Zeit nicht ausreichend erforscht – mal abgesehen davon, dass die vorhandenen Daten (Passwortsammlungen) mit den heutigen Datenmengen nicht vergleichbar sind.

Seit 2017 empfiehlt das NIST:

  • lange, statt komplizierte Passwörter zu verwenden, d.h. nicht weniger als 8 Zeichen, besonders sicher wäre auch ein kompletter Satz
  • Sonderzeichen erhöhen die Sicherheit des Passwortes nicht wesentlich, vor allem, weil die Algorithmen von Hackern diese Varianten zügig bei sogenannten Brute-Force-Attacken durchtesten
  • Passwortdopplungen sollten vermieden werden
  • keine regelmäßigen Änderungen der Passwörter, wenn nicht Anhaltspunkte für eine Kompromittierung vorliegen (Vermutung Hackerangriff etc.), da Nutzer bei zu häufigen Wechseln dazu neigen, unsichere Chiffren einzusetzen, um sich die vielen Passwörter noch merken zu können

Empfehlungen des BSI

Jüngst scheint das BSI (Bundesamt für Sicherheit in der Informationstechnik) endlich „Gnade“ walten zu lassen. Bis vor kurzem hielt das BSI in seinem IT-Grundschutz-Kompendium noch eisern an den NIST-Vorgaben fest. Anfang des Monats wich es in seinen Angaben vom zwanghaften Passwörterwechsel jedoch ab. Die Hinweise lauten nun u. a. wie folgt:

„ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“

„ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Die wichtigsten Punkte zu Passwörtern

Zusammenfassend die wichtigsten Punkte zu Passwörtern:

  • Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen oder Tastaturen sind absolut inakzeptabel)
  • dasselbe Passwort sollte nicht für unterschiedliche Zwecke verwendet werden
  • umso länger das Passwort, umso besser (es empfehlen sich auch vollständige Sätze)
  • zu komplizierte Passwörter gefährden die Sicherheit
  • Sonderzeichen oder Zahlen sind gut, wenn das Passwort dadurch nicht zu kompliziert wird und im schlechtesten Fall häufig so verwendet wird (Bsp. Pa$$w0rd)
  • grundlose Passwortwechsel sind zu vermeiden
  • wenn ein Passwort gewechselt wurde, darf es nicht wiederverwendet werden und auch marginale Veränderungen reichen nicht aus

Insgesamt wäre es ratsam für Unternehmen, wenn sie ihre Mitarbeiter auf den sicheren Umgang bei der Verwendung von Passwörtern hinweisen würden. Anbieten würde sich zum Beispiel eine Einweisung beim Arbeitsbeginn und der erstmaligen Einrichtung. Außerdem können IT-Richtlinie oder ein Handbuch die laufenden Prozesse unterstützen. Wiederholende Schulungen können zu dem helfen diese Aspekte im Bewusstsein der Mitarbeiter zu verankern.

Beliebt ist nicht gleich sicher

Auch beim größten Verständnis für hohen Frust bei grundlosen, aufgedrängten Passwortwechseln ist die hohe Stellung der standardisierten IT-Sicherheit nicht zu unterschätzen. In Zeiten, in denen viele User noch Passwörter (gern auch dasselbe für alle Accounts) benutzen, wie 12345, qwertz oder der Evergreen password/t, hat man den Eindruck, dass Hacker geradezu eingeladen werden sollen (Liste der beliebtesten Passwörter). Mit den wenigen, oben genannten Tipps stärkt man jedoch seine Sicherheit und tritt dem ein oder anderen Hackerangriff wirksam entgegen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Warum das Passwort nicht mehr ständig geändert werden muss.

Vielleicht doch lieber einen externen DSB benennen – DSB-Kündigungsschutz für 1 Jahr bleibt auch bei Abberufung bestehen: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man verstehe mich nicht falsch, interne betriebliche DSB sind fachlich gut, zuverlässig und arbeiten bestimmt ordentlich. Sie sind aber immer abhängige Beschäftigte, die ihren Arbeitgeber kontrollieren und überwachen müssen.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Die Änderung des Schwellenwertes durch das 2. DSAnpUG für die zwingende Bestellung eines Datenschutzbeauftragten von 10 auf 20 datenverarbeitende Mitarbeiter soll besonders kleinere Unternehmen entlasten. Diese Änderung wirft jedoch Fragen hinsichtlich der Stellung des internen Datenschutzbeauftragten in den davon betroffenen Unternehmen auf. Diese sollen vor dem Hintergrund eines aktuellen Urteils des Bundesarbeitsgerichts (BAG) näher betrachtet werden.

Änderungen des DSAnpUG

Am 26.11.2019 trat das 2. DSAnpUG mit wesentlichen Änderungen am Bundesdatenschutzgesetz in Kraft. Insbesondere gab es eine grundlegende Änderung bei der Pflicht zur Benennung eines Datenschutzbeauftragten. Nach der alten Rechtslage mussten Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Änderung wurde diese Grenze nun auf 20 Personen erhöht (vgl. § 38 Abs. 1 BDSG). Somit sind viele kleinere Unternehmen von der Pflicht, einen Datenschutzbeauftragten zu benennen, wieder befreit. Aktuell bestehen jedoch Rechtsunsicherheiten dahingehend, ob mit dem Wegfall der Verpflichtung zur Benennung eines Datenschutzbeauftragten auch der Sonderkündigungsschutz entfällt.

Abberufung Kündigung

Oft werden bei der Diskussion die Begriffe Kündigung und Abberufung miteinander vermischt, weshalb diese klar voneinander zu trennen sind. Benennt ein Unternehmen einen internen Datenschutzbeauftragten, handelt es sich dabei um eine Person, die bereits ein Mitarbeiter des betreffenden Unternehmens ist und somit in einem Arbeitsverhältnis mit ihm steht. Das bedeutet, dass diese Person zunächst lediglich von seiner Funktion als Datenschutzbeauftragter abberufen werden kann. An seiner Anstellung im Unternehmen ändert sich dadurch erstmal nichts.

Denn interne Datenschutzbeauftragte von öffentlichen sowie von nicht-öffentlichen Stellen genießen einen besonderen Kündigungsschutz nach § 6 Abs. 4 bzw. § 38 Abs. 2 BDSG. Das bedeutet, dass eine Kündigung des Arbeitsverhältnisses während ihrer Tätigkeit nur aus wichtigem Grund möglich ist (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB). Zudem wirkt dieser Schutz zugunsten des Datenschutzbeauftragten nach. Nach Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiterhin unzulässig, sofern kein wichtiger Grund besteht, der eine fristlose Kündigung rechtfertigt.

Zu beachten ist, dass für die Geltung des besonderen Kündigungsschutzes für Unternehmen die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten eine zwingende Voraussetzung ist. In § 38 Abs. 2 BDSG heißt es für die Datenschutzbeauftragten nicht-öffentlicher Stellen:

„§ 6 Absatz 4, 5 Satz 2 und Absatz 6 [BDSG] finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

§ 6 Absatz 4 BDSG: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. […]“

Freiwillig eingesetzte Datenschutzbeauftragte genießen daher keinen besonderen Kündigungsschutz und dieser kann somit logischerweise auch nicht nachwirken. Fraglich ist aber, was nun für Datenschutzbeauftragte gilt, welche zwar nach der alten Rechtslage verpflichtend bestellt worden sind, nun aber nicht mehr benannt werden müssten, da das Unternehmen weniger als 20 Mitarbeiter hat, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Entfall des Sonderkündigungsschutzes bei sinkender Beschäftigtenanzahl

Aktuell wird man noch keine rechtssichere Antwort auf die Frage nach dem Entfall des Sonderkündigungsschutzes für diese Datenschutzbeauftragte geben können. Jedoch lässt sich aus einem erst kürzlich ergangenen Urteil des Bundesarbeitsgerichts eine Tendenz herauslesen. Das BAG hatte zu entscheiden, wann der Sonderkündigungsschutz für einen betrieblichen Datenschutzbeauftragten endet, wenn die Beschäftigtenzahl im Unternehmen unter den gesetzlich vorgeschriebenen Wert absinkt.

Die Entscheidung beruht jedoch noch auf der alten Rechtslage. Zudem ging es im dortigen Sachverhalt um die Unterschreitung des Schwellenwertes durch schwankenden Personalbedarf und nicht durch eine nachträgliche Anhebung des Schwellenwertes durch den Gesetzgeber. Dennoch lassen sich die Argumente und Wertungen des BAG auf die aktuelle Fragestellung zum Wegfall des besonderen Kündigungsschutzes übertragen.

In der Entscheidung des BAG heißt es:

„Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.“

Der Sonderkündigungsschutz, welcher einem betrieblichen Datenschutzbeauftragten nach alter Rechtslage zukam, erlischt also, sobald das Unternehmen unter den entsprechenden Schwellenwert fällt. Jedoch greift weiterhin die im Gesetz verankerte nachwirkende einjährige Kündigungsschutzfrist.

Rechtssichere Antwort liefert nur eine Prüfung des Einzelfalls

Nach der Entscheidung des BAG wird die Tendenz wohl dazu hingehen, dass der Sonderkündigungsschutz auch bei nachträglicher Anhebung des Schwellenwerts durch den Gesetzgeber entfällt. Insbesondere ist es naheliegend, dass die Benennung eines Datenschutzbeauftragten, der aufgrund der Gesetzesänderung nicht mehr verpflichtend ist, leichter zu beenden sein muss. Anderenfalls würde das Ziel des Gesetzgebers, die kleineren Unternehmen zu entlasten, ins Leere laufen. Solange jedoch noch keine Entscheidungen vorliegen, muss im Einzelfall geprüft werden, ob ein Weg vor das Arbeitsgericht eingeschlagen werden sollte.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten.

Hacker kapern Facebooks Twitter- und Instagram-Accounts

IT-Security

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Hacker kapern Facebooks Twitter- und Instagram-Accounts

Hacker kapern Facebooks Twitter- und Instagram-Accounts

Die Hackergruppe OurMine hat die offiziellen Twitter- und Instagram-Accounts von Facebook gekapert.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Hacker kapern Facebooks Twitter- und Instagram-Accounts.

Alkolock: Sicherheit im Verkehr und im Datenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Alkolock: Sicherheit im Verkehr und im Datenschutz

Alkolock: Sicherheit im Verkehr und im Datenschutz

Jeden Tag sterben in Deutschland durchschittlich 8 Personen im Straßenverkehr und die Zahl der Verletzten ist sogar im vierstelligen Bereich. Bei einer Vielzahl von Verkehrsunfällen spielt leider der Alkoholkonsum eine nicht unerhebliche Rolle. Um die Verkehrssicherheit zu erhöhen, bieten einige Autohersteller den Einbau von sog. Alkohol-Interlock-Systemen, kurz Alkolock, an. Mit diesem Beitrag wird kurz erläutert, was es mit solchen Alkolocks auf sich hat und weshalb auch hier der Datenschutz Beachtung finden muss.

Funktionsweise von Alkolock

Ein Alkolock besteht aus zwei verschiedenen Elementen: Zunächst gibt es ein Alkohol-Handmessgerät, in dem der Fahrer oder die Fahrerin „reinpustet“ und welches den Alkoholwert in der Atemluft misst. Dieses sendet wiederum die Werte an das zweite Gerät. Bei diesem handelt es sich um ein Steuerelement, welches mit der Motorzündung verbunden ist. Nur wenn der gemessene Alkohol-Wert unter dem eingestellten Grenzwert liegt, lässt die Steuereinheit ein Starten des Motors zu.

Der für Deutschland einzustellende Wert ergibt sich aus § 24 a Abs. 1 StVG, wonach Fahrzeugführer eine Ordnungswidrigkeit begehen, wenn dieser

„0,5 Promille oder mehr Alkohol im Blut oder eine Alkoholmenge im Körper hat, die zu einer solchen Atem- oder Blutalkoholkonzentration führt“.

Der Alkolock verhindert also bereits den Beginn einer alkoholisierten Autofahrt und wirkt daher ähnlich wie ein guter Freund, der einem den Autoschlüssel wegnimmt. Dies ist natürlich wirksamer als Polizeikontrollen, die nur in Einzelfällen eine alkoholisierte Weiterfahrt unterbinden können, wenn sie mal jemanden erwischen.

Der Vollständigkeitshalber sollen noch die weiteren wichtigen Werte im Straßenverkehr für Autofahrer genannt werden:

  • Bereits bei einem Blutalkoholwert von 0,3 Promille besteht im strafrechtlichen Sinne eine sog. relative Fahruntüchtigkeit, soweit Ausfallerscheinungen wie Schlängellinien-Fahren, verlangsamte Reaktionen, Beeinträchtigungen des Sprachvermögens etc. hinzutreten.
  • Wird man mit Werten von mehr als 1,1 Promille erwischt, folgt die unwiderlegbare Vermutung, dass man nicht mehr fahrtüchtig sei.

Wenn neben der Fahruntüchtigkeit noch eine Gefährdung für Leib oder Leben anderer Menschen oder für Sachgüter hinzutritt, handelt es sich nicht mehr nur um eine Ordnungswidrigkeit, sondern um eine Straftat nach § 316c StGB.

Aktueller Stand der Nutzung

In den USA und Kanada werden solche Alkolocks bereits seit Jahren eingesetzt. Aber auch in unseren Nachbarländern ist deren Einsatz nicht neu. In den skandinavischen Ländern, Belgien, Polen und Frankreich haben Alkoholsünder meist die Wahl: Entweder dürfen diese für einen bestimmten Zeitraum nur noch mit eingebauten Alkolocks fahren. Oder aber sie müssen ihren Führerschein für eine wesentlich längere Zeit abgeben. In Schweden ist der Einbau von Alkolocks für Schulbus- und Taxifahrer als präventive Vorsichtsmaßnahme sogar gesetzlich vorgeschrieben.

In Deutschland wird der verpflichtende Einbau von Alkolocks zwar schon seit einigen Jahren diskutiert. Insbesondere ein Arbeitskreis des Deutschen Verkehrsgerichtstages empfiehlt den Einsatz von Alkolock im Rahmen von Straßenverkehrsdelikten unter Alkoholeinfluss. Fahrer sollen so die Möglichkeit haben, einem vollständigen Entzug der Fahrerlaubnis entgehen oder eine Sperrfrist verkürzen zu können. Eine Integration dieser Alternative in das deutsche Rechtssystem ist allerdings nicht so einfach, da der Besitz der Fahrerlaubnis an die Eignung und das Verantwortungsbewusstsein des Fahrers gebunden ist. Gemäß § 69 Abs. 2 StGB gelten Personen aber regelmäßig als ungeeignet zum Führen von Kraftfahrzeugen, wenn sie wegen Trunkenheit im Verkehr verurteilt wurden. Es entstünde also ein Wertungswiderspruch zu § 3 StVG, sodass Alkolocks lediglich bei bloßen Ordnungswidrigkeiten als Sanktionsalternative infrage käme.

Für einen freiwilligen Einsatz dieser Alkolocks schrecken die hohen Kosten für Einbau und Wartung noch zu sehr ab. Diese liegen derzeit bei mehreren tausend Euro.

Zudem wurde im Rahmen einer Studie aus den USA festgestellt, dass die Ursachen für Alkoholfahrten nicht behoben werden und daher die Wiederholungsgefahr genauso hoch ist, wie wenn der Fahrer ohne Alkolock seine Sperrzeit abgewartet hätte. Nur eine Kombination aus Alkolock und verkehrspsychologischer Betreuung führen letztlich zu einer dauerhaften Verhaltensverbesserung.

Und was hat das mit Datenschutz zu tun?

Wenn man Alkohol zu sich nimmt, beeinträchtigt dies – je nach Alkoholmenge und Trinkfestigkeit – die kognitiven und physischen Fähigkeiten. Der Atemalkoholwert lässt also Rückschlüsse auf den temporären Gesundheitszustand einer Person zu. Wenn dieser „temporäre“ Zustand immer wieder gemessen wird, lässt sich zudem auf eine Alkoholsucht schließen. Es handelt sich damit um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Diese sind besonders sensibel und bedürfen daher eines höheren Schutzes. Die Messung der Atemluft und das Übermitteln des Wertes zwischen dem Messgerät an das Steuerelement stellt auch eine automatische Datenverarbeitung dar, sodass der Anwendungsbereich der DSGVO grundsätzlich eröffnet ist.

Darüber hinaus werden aber noch weitere Daten erhoben:

  • Datum und Uhrzeit der Atemprobe
  • ggf. Verweigerung der Atemprobe
  • Motorstart und -verweigerung.

Um Manipulationsversuche des Fahrers zu unterbinden, indem er beispielsweise seinen nüchternen Beifahrer pusten lässt, sind Erweiterungen der Geräte in Form von Kameras zur Durchführung von Gesichtserkennungen ebenfalls verfügbar.

Rechtsgrundlage für die Datenverarbeitung

Privatmann

Wenn man ein solches Alkolock-System freiwillig in sein privates Fahrzeug einbauen lässt, dann befindet man sich im persönlichen und familiären Bereich, für den nach Art. 2 Abs. 2 lit. c DSGVO die Bestimmungen der DSGVO keine Anwendung finden. In diesem Falle muss man sich als Privatperson erstmal keine weiteren Gedanken über die Rechtmäßigkeit der Datenverarbeitung machen.

Nichtöffentliche Stelle: Arbeitgeber

Anders sieht dies aber für einen Arbeitgeber aus, der Alkolocks in seinen Firmenfahrzeugen einbauen lassen will. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, außer es liegt ein gesetzlicher Ausnahmegrund vor.

Die betroffenen Beschäftigten können natürlich gemäß Art. 9 Abs. 2 lit. a DSGVO in die Verarbeitung ihrer Gesundheitsdaten einwilligen. Dies muss aber einerseits freiwillig erfolgen, was mit Hinblick auf das typische Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten fragwürdig erscheint. Andererseits kann eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Dies stellt also im Arbeitsverhältnis keine taugliche Rechtsgrundlage dar. In Deutschland müssen zudem die Bestimmungen aus § 26 Abs. 1 und 2 BDSG (i. V. m. Art. 88 DSGVO) beachtet werden.

Art. 9 Abs. 2 lit. h und Abs. 3 DSGVO („Verarbeitung für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“) scheitert daran, dass der Atemalkoholwert nicht durch Berufsgeheimnisträger oder andere der Geheimhaltungspflicht unterliegenden Personen erhoben wird. Allerdings könnte für Deutschland § 26 Abs. 3 S. 1 BDSG greifen. Dieser sieht eine solche Einschränkung nicht vor. Hier muss aber eine Interessenabwägung zwischen dem Interesse des Beschäftigten an einer Nichtverarbeitung seiner Gesundheitsdaten und den arbeitsrechtlichen Fürsorgepflichten des Arbeitgebers vorgenommen werden. Folgende Fragen muss man sich hierbei unter anderem stellen: Ist der Beschäftigte ein Berufsfahrer? Befördert er andere Personen, für die gewisse Fürsorgepflichten zu ergreifen sind?

Bei Vorliegen einer entsprechenden Kollektivvereinbarung kann ggf. § 26 Abs. 4 BDSG i. V. m. Art. 9 Abs. 2 lit. b und 88 DSGVO als Rechtsgrundlage in Betracht kommen.

Art. 9 Abs. 2 lit. c DSGVO („Schutz lebenswichtiger Interessen“) dürfte wohl als Rechtsgrundlage nur greifen, wenn sich eine Person im Vollrausch befindet und daher nicht mehr fähig ist, eine Einwilligung abzugeben. Und auch wenn dieser Rauschzustand für jeden offen erkennbar sein sollte, liegt nicht Art. 9 Abs. 2 lit. e DSGVO kumulativ vor, weil der – berauschte- Betroffene die Bekanntgabe wohl nicht willentlich gemacht hat. Dies wäre allerdings erforderlich.

Nichtöffentliche Stelle: Carsharing

Auch Carsharing-Unternehmen hätten ein Interesse daran, dass ihre Fahrzeuge nicht von alkoholisierten Personen genutzt werden. Zwar stehen sich hier Unternehmen und Nutzen gleichrangig gegenüber, sodass die Freiwilligkeit nicht wie im Arbeitsverhältnis von Anfang an als fragwürdig erscheint. Schwierig wird es aber dann, wenn die Weigerung zur Abgabe der Einwilligung zu der für den Nutzer nachteiligen Konsequenz führt, dass er das Fahrzeug nicht nutzen darf. Insoweit könnte hier ein Verstoße gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO begründet werden.

Die Rechtsgrundlagen im Zusammenhang mit einem Arbeitsverhältnis passen hier nicht, da der Carsharing-Nutzer kein Beschäftigter ist.

Seit dem 26.11.2019 wurde der § 22 Abs. 1 Nr. 1 BDSG um einen weiteren Ausnahmegrund erweitert. Danach dürfen abweichend von Art. 9 Abs. 1 DSGVO Gesundheitsdaten durch nichtöffentliche verarbeitet werden, wenn dies

„aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist (…) und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person überwiegen.“

In seinem Gesetzesentwurf zum 2. DSAnpUG-EU (S. 256) werden als erhebliche öffentliche Interessen u. a. die Bekämpfung von Pandemien, Katastrophenschutzes oder hinsichtlich Religionsdaten Präventions-und Deradikalisierungsprogramme aufgelistet. Nichtöffentliche Stellen, die besondere Daten geschäftsmäßig verarbeiten, sollen sich allerdings nicht hierauf stützen können. Für Carsharing-Unternehmen dürfte die Interessenlage nicht vergleichbar sein, sodass diese sich wohl nicht hierauf stützen können.

Datensicherheit

Die vom Alkolock erfassten Daten werden grundsätzlich verschlüsselt in dem Steuergerät gespeichert. Nur mit einer speziellen Software können diese Daten dann ausgelesen werden. Insbesondere wenn die Alkolocks durch Unternehmen eingesetzt werden, müssen die Zugriffsberechtigungen sowie die Bedingungen für eine Datenauswertung geregelt werden.

Don´t drink and drive!

Der deutsche Gesetzgeber muss noch einige Hürden nehmen, eh solche Alkolocks auf den deutschen Straßen alltäglich werden. Aber auch wenn diese Hürden beseitigt sind, werden weitere Fragen aufkommen. Wie ist schließlich damit umzugehen, wenn jemand immer wieder nur mit Hilfe des Alkolocks vom Fahren im alkoholisierten Zustand abgehalten wird? Dieser kennt dann ja anscheinend seine Grenzen nicht und wäre daher ungeeignet zum Führen von Fahrzeugen. Dürfen Behörden dann auf diese Daten zugreifen, um entsprechende Sanktionen vorzunehmen?

Bis dahin kann jeder seinen Anteil dazu beitragen, die Straßen sicherer zu machen und auf Alkohol am Steuer verzichten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Alkolock: Sicherheit im Verkehr und im Datenschutz.

Kurzes Erklärvideo: “Was ist eigentlich das Problem mit… WhatsApp & Co.”?

Was ist eigentlich das Problem mit... WhatsApp & Co.?

Ein kurzes Erklärvideo zum Grundproblem mit WhatsApp & Co. Das Problem an sich ist, dass die Kommunikation Deutschland bzw. Europa verlässt. Allerdings hat eine Aufsichtsbehörde für den Datenschutz in Deutschland zumindest – unter bestimmten technischen Voraussetzungen – ein Einsatz von WhatsApp bei Behörden / Öffentlichen Stellen möglich ist. Wie das geht, sehen Sie im Video. Und dann, gerne melden!