Dänische Aufsichtsbehörde für Datenschutz erklärt viele Cookie-Banner für rechtswidrig

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Erst vorgestern habe ich meinen Kunden neueste Informationen zu Google Analytics von den deutschen Aufsichtsbehörden schicken müssen und nun kommt es sogar aus dem Ausland noch “schimmer” – Wir in Deutschland haben es vielleicht doch nicht am Schwersten wegen “diesem Datenschutz”. 😉

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Die dänische Datenschutzaufsichtsbehörde erlies vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. Nach ihrer Ansicht sind unter anderem Cookie-Banner bzw. Cookie-Consent-Tools rechtswidrig, die den Websitebesucher vor die Wahl zwischen „OK“ und „Details anzeigen / Cookie Einstellungen“ stellen.

Beschwerde gegen üblichen Cookie-Banner

Das Dänische Meteorologische Institut (kurz: DMI) bietet auf ihrer Website vor allem Wettervorhersagen an und setzte zunächst einen Cookie-Banner ein. Die ursprüngliche Beschwerde aus 2018 richtete sich noch gegen einen Banner mit automatisch vorab ausgewählter Einwilligung. Nach der ursprünglichen Beschwerde gab das DMI eine neue Website in Auftrag. Deren Consent-Lösung gibt dem Nutzer bei dem erstmaligen Besuch zwei Möglichkeiten: Der Nutzer kann auf „OK“ (d.h. alle Cookies akzeptieren und weiter) oder „Cookie Einstellungen“ klicken. Nur bei Auswahl von „Cookie Einstellungen“ öffnet sich ein Menü, in dem die Cookies Präferenzen nach Zwecken „Erforderlich“, „Funktionell“, „Statistik“ und „Marketing“ eingestellt werden können.

Screenshot-Cookie-Banner-DMI

Übersetzt: „DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie.“

Ähnliche Cookie-Consent-Lösungen sind auch dabei sich in Deutschland zu etablieren und werden etwa auf den Websites von Heise oder Volkswagen genutzt.

Screenshot Cookie-Banner heise

Zudem schaltet das DMI Bannerwerbung über das Google Werbenetzwerke auf der Website, wobei personenbezogene Daten mit Google geteilt werden, um die Anzeigen zu personalisieren. Der Beschwerdeführer wollte hier eine gemeinsame Verantwortlichkeit feststellen lassen.

Das DMI vertrat hingegen die Ansicht, seine aktuelle (neue) Cookie-Lösung stelle eine klare Einwilligungserklärung dar. Nutzer müssten im Einklang mit der EuGH Rechtsprechung zu Planet 49 aktiv einwilligen, bevor Cookies gesetzt werden und der Inhalt der Website angezeigt wird. Zudem sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Details anzeigen“ einigen Cookies zustimmen, und andere abwählen können. Dabei sind hier keine Kategorien von Cookies vorangewählt. Es werden zudem keine persönlichen Daten gesammelt und weitergegeben, bis die Besucher eingewilligt haben. In der Einwilligungserklärung werde außerdem darüber informiert, dass das DMI die Werbenetzwerke von Google nutzt.

Entscheidung der Aufsichtsbehörde

Wirklich neu und interessant an der Entscheidung sind die Einlassungen zur Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf der Website. (Zusammen mit der Entscheidung veröffentlichte man zusätzlich eine dänische Orientierungshilfe für Telemedienanbieter.) Die dänische Aufsicht spricht sich nämlich entschieden gegen die seit dem Planet 49 Urteil weit verbreiteten Nudging-Lösungen zum Einholen einer Einwilligung für das Setzen von Cookies aus. So stellte man fest, dass die aktuelle Lösung des DMI zur Erlangung der Einwilligung in die Verarbeitung personenbezogener Daten aus den folgenden drei Gründen keine wirksame Einwilligung darstellt.

Keine freiwillige Einwilligung

Die dänische Datenschutzbehörde führt aus, dass der Zweck des Erfordernisses der Freiwilligkeit einer Einwilligung darin bestehe, Transparenz für die betroffene Person zu schaffen. Zudem soll der betroffenen Person die Wahl und Kontrolle über ihre personenbezogenen Daten geben werden. Daher gelte die Einwilligung nicht als freiwillig erteilt, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei daher das Prinzip der „Granularität“. Danach muss für Verarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden. Diesem Erfordernis der Granularität werde die Lösung des DMI nicht gerecht, da der Besucher durch Auswahl von „OK“ seine Einwilligung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke erteilt. Nach Einschätzung der dänischen Datenschutzaufsichtsbehörde gibt die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung dem Besucher keine ausreichende freie Wahl, die Zwecke zunächst zu identifizieren und dann granular zu entscheiden.

Zudem sei die Möglichkeit unzureichend, die Erfassung personenbezogener Daten für verschiedene Zwecke erst durch Auswahl des Buttons „Details anzeigen“ einzusehen und zu managen. Denn diese Option befindet „einen Klick entfernt“ und es ist nicht möglich, bei der ersten Interaktion mit dem Cookie-Banner das Setzen von bestimmten Cookies direkt abzulehnen.

Keine informierte Einwilligung

Die dänische Datenschutzaufsichtsbehörde betont, dass es für eine informierte Einwilligung zumindest erforderlich ist über die die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung aufzuklären.

Dies sei bei dem Banner des DMI nicht der Fall, da die Informationen über die (gemeinsamen) für die Verarbeitung Verantwortlichen – in diesem Fall Google – nicht ausreichend klar seien. Das DMI habe nämlich nicht transparent genug dargelegt, dass Bannerwerbung über das Werbenetzwerk von Google auf der Website geschaltet wird, da nicht Google, sondern die Werbenetzwerke von Google – DoubleClick und AdSense – genannt werden. Das sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht gängig seien.

Verstoß gegen den Grundsatz der Transparenz

Nach Ansicht der dänischen Datenschutzaufsichtsbehörde folgt aus dem Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Die derzeitige Struktur der Einwilligungslösung des DMI erfülle diese Transparenzanforderung nicht. Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann

Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde nicht mit dem Grundsatz der Transparenz vereinbar, dass die Möglichkeit keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen „Kommunikationseffekt“ hat. Das bedeutet diese Möglichkeit wird nicht auf den ersten Blick so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.

Auswirkungen auf Deutschland

Was die dänische Aufsichtsbehörde entscheidet, hat natürlich zunächst keinen direkten Einfluss auf Verantwortliche in Deutschland. Schließlich ist hier einer der jeweiligen Landesdatenschutzbeauftragten nach Art. 55 DSGVO, § 40 BDSG für Unternehmen zuständig. Von der Entscheidung geht dennoch eine große Signalwirkung aus. Sie ist zumindest ein erstes Anzeichen, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der E-Privacy-Richtlinie und DSGVO gehen könnte.

Bei diesem Thema unken die deutschen Aufsichtsbehörden bekanntermaßen schon länger rum. Seit Herausgabe der Orientierungshilfe für Tracking-Anbieter ist hierzulande nicht wirklich viel passiert. Rechtskräftige und öffentlichkeitswirksame Entscheidungen der Behörden? Bislang Fehlanzeige. Nur ein gemeinsames Vorgehen gegen das Real Time Bidding ohne Einwilligung hat man nun neulich angekündigt. Bei dem Thema Einwilligung zur Speicherung von Cookies hingegen, kommt wohl erst wieder Schwung in die Sache nach der Verkündung des entsprechenden BGH-Urteils am 28. Mai.

Interessant wird es auch sein zu sehen, wie sich die unterschiedliche Auslegung, bzw. schwerpunktmäßige Durchsetzung, der DSGVO durch die nationalen Datenschutzaufsichtsbehörden auf den Wettbewerb im europäischen Binnenmarkt auswirken wird. Sollte die dänische Behörde die in der Entscheidung herausgearbeiteten Grundsätze nun konsequent auf die Wirtschaft anwenden, dürfte davon auch hier gerade Angebote nationaler Online-Zeitungen von geringeren Werbeeinnahmen betroffen sein. Wenn die Aufsichtsbehörden der anderen EU-Länder bei der Durchsetzung nicht ähnlich scharf nachziehen, dürfte man vorerst auf dem Markt der europäischen Presseverleger wohl das Gegenteil des im Erwägungsgrund 2 aufgestellten Ziels, der Stärkung und des Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts, erreichen.

Cookie Fatigue – ein weiterer Akt

Die dänische Datenschutzaufsichtsbehörde scheint insbesondere bei dem aufgestellten Erfordernis der Granularität von dem Bild eines eher unmündigen Bürgers auszugehen. Ein Nutzer der auf „Ok“, „Einverstanden“ oder ähnliche Buttons klickt und darauf hingewiesen wird, dass er damit in sämtliche Cookies einwilligt, sollte diese selbstbestimmte Entscheidung treffen können. Vielen Nutzern ist das wahrscheinlich auch ganz recht, weil sie ungestört surfen wollen. Sie sind froh, wenn die lästigen Banner mit nur einem statt drei oder mehr Klicks verschwinden. Das ist wahrscheinlich ernüchternd für Aufsichtsbehörden, aber Datenschutz ist den meisten Nutzern nun mal lästig oder egal.

Interessierte Nutzer haben zudem die Möglichkeit ohne erheblichen Mehraufwand – ein Klick bedeutet einen zusätzlichen Zeitaufwand von ein bis zwei Sekunden – detaillierte Informationen einzusehen. Die Entscheidung der dänischen Datenschutzaufsichtsbehörde hat in dieser Hinsicht den Charakter einer „Zwangsbeglückung“. Sollte sich dieser Ansatz europaweit durchsetzen dürfte die „Cookie Fatigue“ – der allgemeine Cookie-Überdruss der Bevölkerung – weiter zunehmen.

Das Ende der Manipulation?

Andererseits leuchtet das Argument der dänischen Datenschutzaufsichtsbehörde ein, dass die Ablehnung der Einwilligung ebenso leicht möglich sein soll wie die Erteilung einer Einwilligung. Schließlich setzen Websitebetreiber gezielt auf sogenannte „Dark Patterns“, indem sie Nutzer durch die Menüführung die Erteilung der Einwilligung oder ähnliches nahelegen. Das dies durchaus gut funktioniert, legen erste wissenschaftliche Untersuchungen nahe.

Meist reichen schon einfache Dinge, Buttons für eine Einwilligung sind grün, die für eine Ablehnung von Cookies hingegen ausgegraut oder „Ja“-Buttons sind groß und prominent platziert und Buttons zur Ablehnung versteckt am Seitenrand. Besucher, die möglichst schnell ihrem eigentlichen Anliegen im Internet nachgehen wollen, werden so dazu verleitet, alle Cookies zu akzeptieren. So hat eine Untersuchung ergeben, dass Nutzer Entscheidungen gegen ihre Interessen treffen, sobald sie nur den geringsten Aufwand zum Schutz ihrer Daten betreiben müssen. Die Begründung der Forscher ist, dass anscheinend alle Dinge, bei denen Nutzer etwas selbst aktiv tun müssen, um ihre Daten zu schützen, zum Scheitern verurteilt sind. Das sogenannte Privatsphären-Paradoxon: Menschen ist Datenschutz wichtig, sie wollen sich aber nicht damit auseinandersetzen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:

TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:

HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig.

Wer eignet sich als betrieblicher Datenschutzbeauftragter? Geht nebenbei als DSB? Wer unterliegt welchem Interessenkonflikt?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Es wird aufgeräumt mit dem Mythos Nebenbei-DSB und welche Interessenkonflikte bei wem und in welcher Funktion auftreten können. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wer eignet sich als betrieblicher Datenschutzbeauftragter?

Wer eignet sich als betrieblicher Datenschutzbeauftragter?

In der Vergangenheit haben wir bereits oft berichtet, was Voraussetzungen und Aufgaben des Datenschutzbeauftragten sind. Hier soll nun ergänzend erläutert werden, welche Personen in einem Unternehmen bzw. Betrieb sich grundsätzlich eignen oder nicht eignen, um die Position bekleiden zu können.

Eignungskriterien aus der DSGVO?

Unabhängig davon, ob man gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, macht es wegen der rechtlichen und technischen Komplexität Sinn, jemanden mit dieser Aufgabe zu betrauen. Falls man diese intern vergeben möchte, stellt sich aber schnell die Frage, wer das Amt überhaupt übernehmen darf.

Dreh- und Angelpunkt ist hierbei Art. 38 Abs. 3 und 6 DSGVO:

„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (…)

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Daraus leitet sich allgemein ab, dass der Datenschutzbeauftragte weisungsfrei agieren und zuverlässig sein muss. Insbesondere bei betrieblichen Datenschutzbeauftragten ist darauf zu achten, das eine mögliche Interessenkollision vermieden wird.

Bei welchen Personen entstehen typischerweise Interessenskonflikte?

In der Literatur und Praxis haben sich bestimmte Personengruppen herausgebildet, bei denen das Vorliegen von Interessenskonflikten grundsätzlich bejaht werden kann. Diese sollte man also gar nicht erst näher in Betracht ziehen, selbst wenn sie sich fachlich für die Position des betrieblichen Datenschutzbeauftragten eignen würden.

Geschäftsführung / Vorstand

Insbesondere bei jungen Startup-Unternehmen beweisen sich Geschäftsführer als Allrounder und versuchen auch Datenschutzthemen zu bearbeiten. Dies erfolgt meist aus der Not heraus, dass noch kein passendes Personal vorhanden ist und/oder das vorhandene Budget keine externe Beratung zulässt. Hier ist dringend zu empfehlen, diese Doppelrolle schnell zu separieren.

Der Datenschutzbeauftrage übt maßgeblich eine kontrollierende Funktion innerhalb des Unternehmens aus. Die Geschäftsführung, der Vorstand oder ähnliche Funktionen in einer Organisation hingegen definieren intern die Unternehmensziele und vertreten das Unternehmen nach außen hin. Sie treffen als allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interesse wie Kosteneinsparungen und Gewinnmaximierungen eine große Rolle spielen. Wenn die Geschäftsleitung auch als Datenschutzbeauftragte agiert, würde sie sich selber bei dieser Entscheidungsfindung kontrollieren müssen. Dass dies selten funktioniert, zeigt uns die Geschichte. Nicht umsonst ist die Gewaltenteilung ein tragendes Verfassungsprinzip unseres Rechtsstaates. Eine solche Gewaltenteilung ist gleichfalls bei der Stellung des Datenschutzbeauftragten erforderlich, damit dieser effizient und unvoreingenommen seine Aufgaben wahrnehmen kann.

Aber nicht nur die Problematik der Selbstkontrolle schreit förmlich nach Interessenskonflikt. Zudem besteht durch die Doppelrolle die Gefahr, dass Mitarbeiter sich scheuen, Datenpannen oder sonstige Defizite im Bereich Datenschutz und -sicherheit zu melden. Zu groß ist die Sorge, dass die Meldung für sich oder andere arbeitsrechtliche Konsequenzen haben könnte. Dem Datenschutzbeauftragten kommt insofern nicht nur eine Vertrauensposition zu, sondern auch eine neutrale Stellung innerhalb des Unternehmens.

IT-Manager

IT-Manager haben naturgemäß einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge im Unternehmen. Sie müssen sich bereits Fragen zur IT- und Datensicherheit stellen – ein Vorgang, der über Art. 32 DSGVO Überschneidungen zum Datenschutz aufweist – und haben deshalb oftmals auch schon ein sehr gutes Grundverständnis für Datenschutz. Es liegt also nahe, eine solche Person mit der Aufgabe eines betrieblichen Datenschutzbeauftragten zu betrauen. Allerdings ist auch hier Vorsicht geboten.

Bereits im Jahre 2016 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilungen darauf hingewiesen, dass bei einem „IT-Manager“ die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter besteht. Das BayLDA verhing wegen dieser Doppelbesetzung ein Bußgeld gegen ein Unternehmen. Es begründete die Entscheidung damit, dass der IT-Manager

„gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.“

In dieser Pressemitteilung wird leider nicht ausgeführt, was die konkreten Aufgaben des IT-Managers des betroffenen Unternehmens waren. Falls man sich doch dazu entschließen sollte, eine Person aus der IT-Abteilung zum Datenschutzbeauftragten ernennen zu wollen, dann muss man anhand der konkreten Aufgaben sicherstellen, dass dessen Unabhängigkeit gewahrt ist. Dies geht nur, wenn eine andere Person letztlich die operativen Entscheidungen trifft.

Vertriebsleiter (bei direktem Vertrieb) und Leiter der Personalverwaltung

Unter der Aufsicht des Vertriebsleiters werden viele Kundendaten verarbeitet, bei dem Leiter der Personalverwaltung sind es die Beschäftigtendaten. Diese Abteilungsleiter verantworten ebenfalls maßgebliche Datenverarbeitungstätigkeiten im Unternehmen. Der Ausführende würde sich abermals selber kontrollieren und damit seine „Arbeitsleistung“ hinsichtlich datenschutzrechtlicher Gesichtspunkte bewerten müssen. Insoweit bestehen die gleichen Bedenken wie beim IT-Manager, sodass hier eine Interessenkollision besteht.

Interne Revision

Große Unternehmen verfügen in der Regel über eine interne Revision, welche eine interne Kontrollinstanz darstellt. Zu ihren Aufgaben gehören u. a.:

  • Prüfung der Einhaltung gesetzlicher, satzungsmäßiger oder sonstigen Vorschriften und Weisungen
  • Überwachung aller Geschäftsvorgänge auf ordnungsgemäße Bearbeitung
  • Vorschläge für die Verbesserung der innerbetrieblichen Organisation erarbeiten
  • Untersuchung der Wirtschaftlichkeit
  • ggf. Überprüfung der IT, soweit es hierfür keine separate Revision gibt
  • unmittelbare Berichte an die Geschäftsführung.

Ähnlich wie dem Datenschutzbeauftragten hinsichtlich Verarbeitungsvorgänge von personenbezogenen Daten steht der Revision ein uneingeschränktes Informationsrecht zu. Da die Revision bereits selber eine kontrollierende Aufgabe wahrnimmt, könnte dies zwar für das Vorliegen der entsprechenden Fachkunde sprechen. Allerdings muss man sich hier die Frage stellen, wer eigentlich wen kontrollieren darf. Soweit die Revisionsabteilung selber personenbezogene Daten verarbeitet, unterliegt sie der Kontrolle des Datenschutzbeauftragten.

Auf der anderen Seite ist der Datenschutzbeauftragte weisungsfrei und unterliegt damit in seinem Aufgabenbereich nicht der Kontrolle durch die Revision. Insbesondere wenn sich aus dem Gesetz eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, spricht die Pflicht zur Verschwiegenheit aus §§ 6 Abs. 5 S. 2 und 38 Abs. 2 BDSG gegen eine Personenidentität. Wie schon bereits erwähnt ist der Datenschutzbeauftragte auch eine Vertrauensperson.

Es wäre dann wie der seltsame Fall des Dr. Jekyll und Mr. Hyde: Mal kontrolliert man sich selber und mal darf man es nicht. Einerseits ist man Vertrauensperson und muss die erlangten Informationen vertraulich behandeln. Andererseits ist man der Geschäftsführung direkt unterstellt und soll daher im Rahmen von Audits vollumfänglich berichten. Auch wenn beide Instanzen eine Kontrollfunktion im Unternehmen wahrnehmen, verfolgen diese unterschiedliche Interessen. Damit beide ihre Kontrollfunktion entsprechend wahrnehmen können, ist auch hier eine strikte Trennung zwischen Revision und Datenschutzbeauftragter zu empfehlen.

Betriebsratsmitglied

Der Betriebsrat wacht und kontrolliert als Arbeitnehmervertretung, dass die Schutzvorschriften für die Arbeitnehmer durch den Arbeitgeber gewahrt werden. Der Datenschutzbeauftragte hat im Unternehmen wiederum eine neutrale Stellung inne und berät sowohl Arbeitgeber- als auch Arbeitnehmerseite. Wenn ein Betriebsratsmitglied nun als Datenschutzbeauftragter bestellt wird, könnte man sich fragen, inwieweit dieses neutral den Arbeitgeber beraten kann. 

Das Bundesarbeitsgericht sah in seinem Urteil vom 23.03.2011 – 10 AZR 562/09 keine Interessenkonflikte und führt u. a. aus:

Die bloße Mitgliedschaft im Betriebsrat und dessen EDV-Ausschuss macht die Klägerin für das Amt der Beauftragten für den Datenschutz nicht unzuverlässig. (…) Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber hat, macht ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers wird nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenübersteht, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnimmt.“

Die richtige Besetzung – keine leichte Aufgabe

Es ist gar nicht so leicht, eine passende Person zu finden, die für das „Amt“ des betrieblichen Datenschutzbeauftragten geeignet ist. Einerseits soll sie die fachliche Expertise im Datenschutz aufweisen und die Datenprozesse im Unternehmen kennen. Andererseits darf es nicht zu Interessenkollisionen mit ihren anderen Aufgaben kommen. Dadurch scheiden viele Personen aus, die eigentlich einen guten Gesamtüberblick über das Unternehmen hätten. Da Datenschutz nunmehr alle Bereiche im Unternehmen betrifft, ist auch der zu erwartende Arbeitsaufwand nicht zu unterschätzen. Es kann daher geboten sein, diese Stelle als Vollzeitstelle zu behandeln und entsprechend auszuschreiben.

Zudem gilt es zu beachten, je großer das Unternehmen und komplexer die Datenprozesse werden, desto eher kann eine Person alleine die relevanten Themen nicht mehr alleine bearbeiten. In der Praxis hat sich daher zunehmend die Kombination aus internem Datenschutzkoordinator und externen Datenschutzbeauftragten bewährt. Über die Stellung und die Aufgaben eines Datenschutzkoordinators hatten wir bereits ausführlich berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wer eignet sich als betrieblicher Datenschutzbeauftragter?.

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Und auch bei der IT-Sicherheit gilt, wer die Grundlagen im Griff hat, der setzt sich viel weniger Gefahr aus – Nehmen Sie Ihre IT-Dienstleister und IT-Partner deswegen unbedingt auch an die Kandarre. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Im Jahr 2019 sind wieder zahlreiche Sicherheitslücken und IT-Bedrohungen in den Medien diskutiert worden. Dass diese nicht bloß von theoretischer Natur sind, können wir aus unserer Berufspraxis bestätigen. Ein paar Szenarien, die das letzte Jahr bei uns häufig vorgekommen sind, möchte ich im Folgenden kurz vorstellen.

Emotet, die andauernde Bedrohung

Eine Schadsoftware, die das letzte Jahr vermutlich an niemandem vorbeiging, ist Emotet. Meist wird diese erst bemerkt, wenn die eigenen Daten verschlüsselt sind. Eine Infektion liegt aber oft Wochen bis Monate vorher schon vor. Ein Anzeichen ist u.a., dass E-Mails in Ihrem Namen an Ihre Kontakte verschickt werden. Diese haben dem angezeigten Namen nach Ihre E-Mail-Adresse, die eigentliche E-Mail-Sendeadresse ist jedoch eine andere. Die Mails beziehen sich im schlimmsten Fall auch auf den Inhalt ihrer Unterhaltungen.

Sofern Emotet, und im Laufe der Zeit auch Trickbot, alle relevanten Daten (Zugangsdaten, Kontaktlisten etc.) abgezogen haben, wird eine Ransomware nachgeladen und ausgeführt.

Die Infektion erfolgt bei den meisten via E-Mail. Dort ist eine Office-Datei mit einem Makro angehängt. Wird das Makro ausgeführt, lädt es mittels PowerShell weitere Schadsoftware nach. Am einfachsten schützt man sich davor, indem man das Laden von Makros per Gruppenrichtlinie untersagt.

Als Forensiker stehen wir vor der Fragestellung, wie Emotet trotz Sicherheitsmaßnahmen in das Netzwerk eindringen konnte. Dabei geht es u.a. um die Suche nach dem Ursprungsrechner und dem Verbreitungsweg im Netzwerk.

Geöffneter Remote Desktop Protokoll Port

Für eine einfache Fernwartung oder Homeoffice wird oft ein Terminalserver o.Ä. betrieben und via RDP im Internet zur Verfügung gestellt. Dies hat zur Folge, dass über kurz oder lang Angreifer darauf aufmerksam werden und versuchen, via Brute-Force-Angriff in das System einzudringen. Gesellen sich noch einfache Benutzernamen und Passwörter hinzu, ist der erste Schritt in das Netzwerk schnell erledigt. Wer solche Systeme in seiner Verwaltung hat, sollte einen Blick in das Security-Log werfen. Nicht selten ist dieses voll von fehlgeschlagenen Anmeldeversuchen.

Spätestens seit „Bluekeep“ sollte bekannt sein, dass ein ungeschützter RDP-Zugriff aus dem Internet keine gute Idee ist. Ist ein RDP-Zugriff auf den Server aus der Ferne notwendig, sollte zuvor eine VPN-Verbindung hergestellt werden. Nur über diese sollte die Möglichkeit des Fernzugriffs bestehen. Idealerweise werden höhere Schutzmaßnahmen, wie z.B. eine Zwei-Faktor-Autorisierung, getroffen.

Ist über diesen Wegen ein Einbruch gelungen, können Forensiker dies nachweisen, sowie Aktivitäten auf dem System in einer Zeitleiste darstellen.

Microsoft Office 365 Account kompromittiert

Immer mehr Unternehmen migrieren in die Microsoft Office Cloud. Dies hat den Vorteil, dass man von nahezu überall auf seine Dokumente zugreifen, oder über Collaboration-Dienste wie Microsoft Teams, mit seinem Kollegen kommunizieren kann. Im Gegensatz zu den eigen betriebenen Systemen, braucht man sich auch nicht mehr seine eigene Webadresse für den E-Mail-Zugang merken, sondern kann sich über die Microsoft 365 Webseite direkt einloggen.

Dadurch ist es für einen Angreifer besonders attraktiv, diese Zugangsdaten zu erbeuten. Gut gemachte Phishing-Mails zielen darauf ab, dass sich das Opfer auf einer gefälschten Microsoftseite „einloggt“ und seine Zugangsdaten preisgibt. Mit diesen hat der Angreifer problemlos die Möglichkeit, meist auch unbemerkt, auf E-Mails, Kontakte und die interne Kommunikation zuzugreifen.

Im Folgenden wird dann die Kommunikation ausgespäht und zu einem passenden Zeitpunkt eine Zahlungsaufforderung von der gekaperten E-Mail-Adresse gesandt. Ein sogenannter CEO-Fraud gewinnt durch einen internen Absender deutlich an Glaubwürdigkeit. Auch hier kann eine Zwei-Faktor-Authentisierung helfen das Risiko zu minimieren.

Dauerbrenner Ransomware

Für einen schnellen wirtschaftlichen Erfolg ist der Einsatz von Ransomware ein probates Mittel für die Angreifer. Für professionelle Täter ist daraus inzwischen ein Business geworden. Es gibt „Ransomware as a Service“ sowie Baukästen, mit welchen man schnell seine persönliche Schadsoftware konfigurieren kann. Solche Täter sind auch eher geneigt, den Schlüssel für die verschlüsselten Daten herauszugeben, da andernfalls das „Geschäftsmodell“ in Gefahr ist. Ransomware gelangt u.a. über E-Mail-Anhänge, oder offene RDP-Ports auf die eigenen Systeme.

Hat ein Angreifer ausreichend Berechtigungen, wird oft versucht, anstelle einer Datei- eine Festplattenverschlüsselung vorzunehmen. Dank Bordmitteln, wie Bitlocker oder legitimer Software wie DiskCryptor, werden solche Angriffe auch von keiner Anti-Malware Software erkannt. Für Forensiker ist es bei solchen Systemen nicht mehr möglich Spuren zu sichern und den tatsächlichen Tathergang auf dem System zu rekonstruieren. Weiterhelfen können in einem solchem Fall Log-Dateien von Firewalls, Proxys oder anderen zentralen Komponenten, vorausgesetzt, diese sind im Vorwege adäquat konfiguriert.

Zur Schadensminimierung hilft in den meisten Fällen von Verschlüsselung eine gut implementierte Backup-Strategie.

Regelmäßige Überprüfung der IT-Sicherheit

IT-Sicherheit ist ein laufender Prozess, der niemals „fertig“ ist. Eine regelmäßige Überprüfung der Firewall-Regeln, Rückspielen von Backups und Prüfen der Logfiles sollte bei den Administratoren zur Routine werden. Umgesetzte Maßnahmen sollten auf ihre Wirkung hin untersucht werden, heißt, man sollte sich z.B. fragen: „Greift meine neue Gruppenrichtlinie wirklich auf allen Clients?“ Oft werden kurze „Workarounds“ eingerichtet und anschließend im Betrieb vergessen. So geraten bestehende Sicherheitslücken in Vergessenheit und führen zu ernstzunehmenden Sicherheitsvorfällen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019.

Hacker kapern Facebooks Twitter- und Instagram-Accounts

IT-Security

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Hacker kapern Facebooks Twitter- und Instagram-Accounts

Hacker kapern Facebooks Twitter- und Instagram-Accounts

Die Hackergruppe OurMine hat die offiziellen Twitter- und Instagram-Accounts von Facebook gekapert.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Hacker kapern Facebooks Twitter- und Instagram-Accounts.

Neues vom Standard-Datenschutzmodell

SFC | Stephan Frank Consulting

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!
HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Neues vom Standard-Datenschutzmodell

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

Neues vom Standard-Datenschutzmodell

Die halbjährliche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) verabschiedete Anfang November 2019 eine neue Version des Standard-Datenschutzmodells (SDM-V2). Damit ist die knapp dreijährige Auswertungsphase des Modells beendet. Wir stellen das Ergebnis vor.

The post Neues vom Standard-Datenschutzmodell appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Neues vom Standard-Datenschutzmodell.

So setzen Unternehmen die DSGVO um

SFC | Stephan Frank Consulting

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: So setzen Unternehmen die DSGVO um

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

So setzen Unternehmen die DSGVO um

Ein großer Teil der deutschen Unternehmen setzt bei der Umsetzung der DSGVO auf die Unterstützung von speziellen Softwarelösungen. Das hat der Branchenverband Bitkom im Rahmen einer Befragung herausgefunden.

The post So setzen Unternehmen die DSGVO um appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: So setzen Unternehmen die DSGVO um.

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Liebe Leser!
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten
Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Das beste Datenschutzmanagement und die ausgefeilteste IT-Sicherheit helfen wenig, wenn an Schulungen und Sensibilisierung von Mitarbeitern gespart wird. Diese gehören zum Grundrepertoire des datenschutzrechtlichen Einmaleins. Doch kann die Schulungsdokumentation Verantwortliche vor Herausforderungen stellen. Denn einerseits soll diese zum Wohle der Rechenschaftspflicht umfassend erfolgen, andererseits kann eine überschießende Speicherung wiederum für einen neuen Datenschutzverstoß sorgen. Wir geben einen Überblick.

Emotet und andere Späße

Mittlerweile ist im datenschutzrechtlichen Karussell etwas Ruhe eingekehrt, die Grundregeln sind scheinbar bekannt. Auf die Pflicht folgt nun bei vielen Unternehmen die Kür. Besonders in den letzten Wochen und Monaten zeigt sich immer mehr, dass die größten Haftungsrisiken für Unternehmen und andere verantwortliche Stellen im Bereich des Datenschutzes nicht in fehlerhaften Cookie-Bannern oder unvollständigen Datenschutzerklärungen auf der eigenen Website liegen. Vielmehr sorgen IT-Sicherheitslücken und Cyberattacken fast täglich für Schlagzeilen.

Die Schlagzeilen der letzten Wochen und Monate über Datenschutzvorfälle sowie lahmgelegte Unternehmen und Behörden zeigen, dass solche Angriffe oftmals auf das schwächste Glied in der Kette zielen: Den Menschen. Insbesondere die Schadsoftware „Emotet“ erwies sich hierbei als beängstigend effektiv. Die Malware zeichnet sich durch äußerst authentisch wirkende Spam-Mails aus, die anhand vorher ausgelesenen Daten aus E-Mails und Adressbüchern kaum von Originalen zu unterscheiden sind. Auch der LfDI Baden-Württemberg warnt in seinem aktuellen Tätigkeitsbericht (S. 28) vor Spear Phishing und Malware, da diese in der Praxis Unternehmen immer noch große Probleme bereiten und schnell existenzbedrohend werden können. So sollten

„auch kleine Firmen […] bei einem mehrtägigem bis teils mehrwöchigem Ausfall ihres IT-Netzes und den dabei anfallenden Lohnkosten, entgangenen Aufträgen, Strafzahlungen durch nicht eingehaltene Termine, Reputationsverlust, Bußgeldern, Lösegeldforderungen der Hacker, Kosten für spezialisierte IT-Firmen etc. von einem mindestens fünf- bis sechsstelligem Schaden ausgehen.“

Die beste IT-Sicherheit ist nicht viel wert, wenn die angegriffene Schwachstelle der Mitarbeiter selbst ist. Verantwortliche müssen diesem Problem daher auf andere Art und Weise Herr werden.

Schulungen als organisatorische Maßnahme

Die Datenschutz-Grundverordnung (DSGVO) enthält in Art. 5 DSGVO diverse Grundsätze, die sich durch das Fundament jedes datenverarbeitenden Prozesses ziehen.

Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO verpflichten den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Eine leicht durchzuführende und effektive organisatorische Maßnahme stellt die regelmäßige Schulung der Mitarbeiter dar. Hierin können einerseits datenschutzrechtliche Grundlagen, aber auch konkrete Handlungsanweisungen und Fallbeispiele hinsichtlich der Gefahren durch Malware und Social Engineering vermittelt werden.

Welche Inhalte bei einer solchen Schulung vermittelt werden können, haben wir an anderer Stelle bereits beleuchtet. Hier gilt: Weniger ist mehr. Anstatt Mitarbeiter mit ganztägigen Veranstaltungen zu quälen, sollten Schlaglichter gesetzt und aktuelle Problematiken besprochen werden.

Dokumentation und Speicherung

Die Durchführung einer Schulung sollte dokumentiert werden. So kann es im Einzelfall durchaus darauf ankommen, ob die Teilnahme an einer Schulung durch bestimmte Mitarbeiter nachgewiesen werden kann. Im Falle eines Datenschutzvorfalls stellt sich nämlich schnell die Frage, ob die verantwortliche Stelle alle erforderlichen Maßnahmen getroffen hat, um einen solchen Vorfall im Vorfeld zu vermeiden.

Üblicherweise werden bei Schulungen Teilnehmerlisten geführt, welche Teilnehmer- und Referentendaten sowie Zeitpunkt und Thema der Schulung beinhalten. Die Pflicht zur Dokumentation durchgeführter Schulungen lässt sich Art. 5 Abs. 2 DSGVO entnehmen, welcher eine Rechenschaftspflicht über ergriffene Maßnahmen enthält.

Spätestens bei einer Wiederholung solcher Schulungen oder beim Ausscheiden des Mitarbeiters aus dem Unternehmen entsteht jedoch ein Spannungsverhältnis zwischen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO. Wo die Rechenschaftspflicht verlangt, dass die Einhaltung der technischen und organisatorischen Maßnahmen nachgewiesen werden kann, fordert die Speicherbegrenzung die Löschung von Daten nach Fortfall des Zwecks.

Somit stellt sich die Frage: Wie lange dürfen und müssen Belege von durchgeführten Schulungen tatsächlich aufbewahrt werden?

Keine gesetzliche Regelung

Ein Blick ins Gesetz lässt uns zunächst ernüchtert zurück. Weder enthält dieses Regelungen über die Dokumentation selbst, noch gibt es uns konkrete Handlungsanweisungen an die Hand, die Aufschluss über zulässige Speicherfristen geben könnten. Art. 5 Abs. 1 lit. e DSGVO besagt lediglich, dass Maßstab für die Frist der Speicherung der jeweils verfolgte Zweck sein soll.

Die Dokumentation von durchgeführten Schulungen bei aktuell angestellten Beschäftigten dürfte für die Dauer des Beschäftigungsverhältnisses somit relativ unproblematisch begründbar sein. Denn es kommt für den Verantwortlichen mitunter nicht nur darauf an, die Regelmäßigkeit von Unterweisungen belegen zu können. So besteht darüber hinaus auch ein Bedürfnis daran, bezüglich eines einzelnen, langjährigen Mitarbeiters nachweisen zu können, dass dieser durchgehend geschult wurde.

Diese Belege können als Bestandteil der Personalakte somit im Zweifel über die gesamte Dauer des Beschäftigungsverhältnisses gespeichert werden. Ob dies in jedem Einzelfall gilt, hängt maßgeblich von den vom Mitarbeiter übernommenen Aufgaben im Unternehmen und der Relevanz entsprechender Schulungen hierfür ab.

Dieses Bedürfnis endet jedoch in der Regel spätestens dann, wenn der Mitarbeiter schließlich das Unternehmen verlässt.

Zivilrechtliche Verjährungsfristen

Doch auch nach dem Ende des Arbeitsverhältnisses könnten tragfähige Gründe für eine Aufbewahrung von Teilnehmerlisten oder Zertifikaten bestehen. So sieht Art. 82 DSGVO einen Ersatzanspruch Betroffener gegen den Verantwortlichen vor, wenn diesen ein Schaden aufgrund eines Datenschutzverstoßes entstanden ist.

Diese Regelung unterliegt den nationalen Gesetzen zur Verjährung. In Anwendung der §§ 195, 199 BGB verjähren diese Schadensersatzansprüche somit 3 Jahre nach dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis von den Umständen erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen.

Da Art. 82 Abs. 3 DSGVO eine Exkulpationsmöglichkeit für den Verantwortlichen ausdrücklich vorsieht, muss er zumindest in die Lage versetzt werden, sich bis zum Ablauf der zivilrechtlichen Verjährungsfrist rechtfertigen zu können.

Zwar können die konkreten Zeiträume, in welchen diese Verjährungsfrist beginnt, durchaus vom Beendigungszeitpunkt des Beschäftigungsverhältnisses abweichen. Jedoch erscheint es sachdienlich, im hier besprochenen Fall von drei Jahren ab dem Jahr des Austritts auszugehen. Allgemeinere Überlegungen zum Thema Verjährungsfristen und Löschpflichten haben wir an anderer Stelle genauer beleuchtet.

Verfolgungsverjährung nach dem OWiG

Ein weiterer – und für Unternehmen dieser Tage ungleich relevanterer – Aspekt der datenschutzrechtlichen Haftung stellen derzeit mit Sicherheit die Bußgelder dar, welche die Aufsichtsbehörden gegen Verantwortliche festsetzen können.

Hierfür gelten nach § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Ein Blick in § 31 Abs. 2 Nr. 1 OWiG zeigt, dass die sogenannte „Verfolgungsverjährung“ im Falle eines bußgeldbewährten Verstoßes gegen die DSGVO drei Jahre ab „Begehung der Tat“ eintritt. Da die Begehungshandlung durch den hier im Raume stehenden Mitarbeiter wohl spätestens am letzten Arbeitstag erfolgen kann, wäre dies auch der maßgebliche Zeitpunkt.

Abgestufte Dokumentation der Schulungen

Nun stehen Verantwortliche vor der Problematik, mit einer Vielzahl unterschiedlicher Verjährungsfristen und Argumenten für längerfristige Aufbewahrung von Teilnehmerlisten konfrontiert zu sein. Grundlegende Ordnung in das Chaos könnte ein abgestuftes Dokumentationssystem liefern. So wäre es beispielsweise denkbar,

  • konkrete Teilnehmerlisten einzelner Schulungen lediglich bis zur nächsten, thematisch ähnlichen Schulung aufzubewahren.
  • Ab diesem Zeitpunkt könnte eine Dokumentation der grundsätzlichen Teilnahme in der Personalakte, aber ohne eine konkrete Teilnehmerliste, angeschlossen werden.
  • Für längerfristige Dokumentation bietet es sich an, den allgemeinen Prozess zur Durchführung regelmäßiger Schulungen detailliert zu dokumentieren. So kann im Zweifelsfall immer noch dargelegt werden, dass zum Zeitpunkt der Beschäftigung des Mitarbeiters regelmäßige, verpflichtende Schulungen durchgeführt wurden.

Es kommt wie immer auf die Interessenlage an

Letzten Endes wird sich die Frage nach der zulässigen Speicherdauer von Teilnehmerlisten oder sonstigen Schulungsnachweisen wie so oft nicht pauschal beantworten lassen. Durchaus vertretbar erscheint es aber, Nachweise bis zum Ablauf etwaiger Verjährungsfristen aufbewahren zu dürfen.

Zwar gibt es auch hier Gegenansichten, welche für eine solche Speicherung verlangen, dass es zumindest Anhaltspunkte für einen drohenden Rechtsstreit geben müsse. Diese Ansicht vermag angesichts der Tatsache, dass Verantwortliche oftmals schlicht nicht wissen, ob durch unerkannt gebliebene Datenschutzverstöße konkrete Schäden entstanden sind, nicht zu überzeugen. Die Entscheidung über die Gefahr drohenden Rechtsstreits wird hierbei regelmäßig nicht mit hinreichender Sicherheit gefällt werden können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Bild der Seminarteilnehmer habe ich eingefügt (Lizenziert: Shutterstock). Hier geht’s zum Original: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten.

Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Wer gedacht hat, man würde den Brexit – ebenso wie die Fertigstellung des BER – nicht mehr erleben, der wurde eines Besseren belehrt: Der Austritt des Vereinigten Königreichs aus der EU ist nach einer gefühlten Ewigkeit erfolgt. Um Unklarheiten zu beseitigen, widmet sich dieser Beitrag den datenschutzrechtlichen Auswirkungen der neuesten Brexit-Entwicklungen auf Unternehmen.

Bye Bye, Britannia?

Was für ein Paukenschlag: In der Nacht vom 31. Januar auf den 01. Februar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Lang genug hat es gedauert – wer erinnert sich nicht an den sagenumwobenen 23. Juni 2016, an welchem sich eine knappe Mehrheit der Wähler Großbritanniens als not amused entpuppte.

Nach all dem Brexit-Tohuwabohu wurde das Austrittsabkommen mit dem Vereinigten Königreich unterzeichnet, mit Ablauf des 31. Januars trat es in Kraft. Für Freudentränen und Trauerfeiern ist es jedoch zu früh – gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020.

Zumindest aber leuchtet schon einmal ein Licht am Ende des Tunnels. Ob dieses himmlische Erlösung prophezeit oder ob es sich um einen heranbrausenden Zug handelt, darüber hat sich jeder selbst eine Meinung zu bilden.

Was erwartet Unternehmen während der Übergangsfrist?

Nun, ganz einfach: Business as usual. Solange die Frist läuft, gilt das Unionsrecht auch weiterhin für das Vereinigte Königreich – und damit auch die DSGVO. Geregelt ist dies in Art. 127 Abs. 1 und 6 des Austrittsabkommens:

„Unless otherwise provided in this Agreement, Union law shall be applicable to and in the United Kingdom during the transition period.

Unless otherwise provided in this Agreement, during the transition period, any reference to Member States in the Union law applicable pursuant to paragraph 1, including as implemented and applied by Member States, shall be understood as including the United Kingdom.“

Die Uhr tickt, da die Übergangsfrist gemäß Art. 132 Abs. 1 des Austrittsabkommens lediglich bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden kann.

Mit was haben Unternehmen nach Ablauf der Übergangsfrist zu rechnen?

Läuft die Übergangsfrist ab, wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt gegebenenfalls dazu, zur Persona non grata des Datenschutzrechts zu werden – es wird zwar niemand des Landes verwiesen, die DSGVO fährt jedoch ihre Krallen aus: Wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Und die haben es durchaus in sich.

Wer da mit den Schultern zuckt, hat den Schuss wohl nicht gehört – immerhin beschäftigt jedes siebte deutsche Unternehmen einen Dienstleister im Vereinigten Königreich. Dazu kommen Unternehmen, die einen Sitz in Großbritannien bzw. Nordirland haben oder deren Muttergesellschaft sich dort befindet.

Überträgt ein Unternehmen personenbezogene Daten in ein Drittland, ohne die oben genannten Vorschriften zu beachten, handelt es schlicht und ergreifend rechtswidrig. Die ein oder andere Aufsichtsbehörde dürfte sich schon klammheimlich ins Fäustchen lachen.

Möchte ein Unternehmen bei der Datenübertragung in das Vereinigte Königreich nach Ablauf der Übergangsfrist datenschutzkonform handeln, gibt es mehrere Möglichkeiten. Die Auswahl unter den zur Verfügung stehenden Optionen orientiert sich an der Entscheidung der Europäischen Kommission.

Bietet das Vereinigte Königreich ein angemessenes Schutzniveau?

Bejaht die Europäische Kommission diese Frage, ergeht ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 S. 1 DSGVO. Dieser wäre für europäische Unternehmen von Vorteil: Das Drittland würde dann wie ein Mitgliedsstaat der EU bzw. EWR behandelt.

Ein Angemessenheitsbeschluss wird zumindest laut Political Declaration vom 19. Oktober letzten Jahres bis Ende 2020 angestrebt. Um das Schutzniveau des Vereinigten Königreichs einschätzen zu können, prüft die Europäische Kommission gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen, beispielsweise die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Datenschutzvorschriften im Vereinigten Königreich.

Zwar beabsichtige die britische Regierung nach Aussage der britischen Aufsichtsbehörde ICO, sobald die Übergangsfrist abgelaufen sei, die DSGVO in das britische Datenschutzgesetz zu integrieren. Boris Johnson setzt beim Datenschutz jedoch neuerdings auf ein eigenständiges und unabhängiges Regelwerk. Ohne Kenntnis der britischen Datenschutzregelungen wird die Europäische Kommission allerdings keine Entscheidung treffen. Das Ziel, einen Angemessenheitsbeschluss bis Ende des Jahres erreicht zu haben, ist damit bestenfalls als sportlich anzusehen.

Zusätzlich ist unklar, ob die EU-Kommission dem Vereinigten Königreich überhaupt ein angemessenes Schutzniveau attestieren wird – die Briten nehmen es mit dem Datenschutz scheinbar nicht ganz so genau. Hinzuweisen sei hier auf den Investigatory Powers Act, ein Gesetz, welches eine umfangreiche Überwachung inklusive Vorratsdatenspeicherung anordnet. Dass eine anlasslose Massenüberwachung dem Datenschutzrecht zuwiderläuft, erkannte auch der EuGH. Dieser erklärte bereits das Safe-Harbor-Abkommen zwischen der EU und den USA 2015 für nichtig.

Welche Alternativen bestehen?

Wenn ein Angemessenheitsbeschluss nicht erfolgen sollte: Keine Panik! Zurückgegriffen werden kann auf folgende Möglichkeiten:

Manchmal kann eine Datenübermittlung in ein Drittland auch infolge einer Ausnahme nach Art. 49 Abs. 1 S. 1, 2 DSGVO erfolgen. Die dort genannten Voraussetzungen sind aber eng auszulegen. Wer sich Zeit und Nerven sparen möchte, wählt mit Ablauf der Übergangsfrist die Standardvertragsklauseln. Vorausgesetzt diese bieten zu dem Zeitpunkt noch eine ausreichende Garantie für ein angemessenes Datenschutzniveau. Zudem sind diverse Dokumentationspflichten einzuhalten.

Rette sich, wer kann?

Auch wenn der epische Kampf des Vereinigten Königreichs gegen die EU – aus Sicht der Brexit-Befürworter fast wie David gegen Goliath – mit dem Brexit auf den ersten Blick geschlagen sein dürfte, ist es noch lange nicht vorbei: Erneut wird mit dem No Deal gedroht. Von wem? Sein Name ist Johnson. Boris Johnson. Geschüttelt, nicht gerührt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen.

Facebook lässt sich erstmals in die Karten schauen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Facebook lässt sich erstmals in die Karten schauen

Facebook lässt sich erstmals in die Karten schauen

Facebook belauscht Sie über das Mikrofon in Laptop und Smartphone? So mancher ist davon überzeugt. Anders können sie es sich nicht erklären, dass ihnen Anzeigen für Produkte gezeigt wurden, nach denen sie noch nicht mal gesucht haben. Eine Erwähnung in (Selbst-) Gesprächen scheint zu reichen. Mit der neuen Funktion „Aktivitäten außerhalb von Facebook“ lässt sich Facebook nun zumindest ein bisschen in die Karten schauen, wie es wirklich dazu kommt.

Was sind „Aktivitäten außerhalb von Facebook“?

Wer Facebook, Instagram und WhatsApp nutzt, stellt Facebook natürlich Informationen zu Freunden, Posts und Präferenzen zur Verfügung. Darüber hinaus bekommt Facebook aber auch von anderen Webseiten und Apps Informationen, die wir nicht freiwillig teilen (und von denen wir auch oft gar nichts ahnen). Facebook äußert sich auf der Webseite so:

„Als Aktivitäten außerhalb von Facebook bezeichnen wir Informationen zu deinen Interaktionen mit Unternehmen und Organisationen, die letztere mit uns teilen. Als Interaktion gilt zum Beispiel, wenn du eine App öffnest oder eine Website besuchst.“

Welche Daten so mit Facebook geteilt werden, soll nun die neue Funktion „Aktivitäten außerhalb von Facebook“ (hier mit direktem Link ins Facebook Menü) transparent werden.

Business Tools – so gelangt Facebook an die Informationen

Facebook bietet viele Tools an, die andere Apps und Webseiten bei sich einbinden können. Beide Seiten profitieren: Facebook bietet fertige Bausteine für die Webseiten- und App-Entwicklung, sodass Entwickler nicht alles von Grund auf selbst entwickeln müssen und erhält im Gegenzug Daten:

„Wenn du eine Website besuchst oder eine App verwendest, können die entsprechenden Unternehmen oder Organisationen mithilfe unserer Business-Tools Informationen zu deinen Aktivitäten mit uns teilen.“

Zu den Business Tools gehören sichtbare Tools wie „Facebook Login“ oder „Like Buttons“. Nutzt man diese Funktionen, erhält Facebook Informationen und kann diese mit dem Facebook-Profil des Besuchers verbinden. Viele wissen aber nicht, dass auch ganz unsichtbar Daten an Facebook gesendet werden, z.B. bei Apps, die mit dem Software Development Kit „Facebook SDK“ entwickelt wurden. So wurden laut einem Artikel der New York Times allein in der Dating-App „Feeld“ (Anm. d. Red.: Speziell zur Anbahnung sexueller Abenteuer in Gruppen) 42 SDK.‘s gefunden. Aber auch bei Tinder und verschiedenen Gesundheits-Apps wurden Facebook SDK’s entdeckt.

Interaktionen – das wird mit Facebook geteilt

Mit Facebook werden sogenannte „Interaktionen“ geteilt. Welche Daten dabei übertragen werden, ist schwer nachzuvollziehen. Laut Facebook gehören zu den geteilten „Interaktionen“:

  • Das Einloggen in eine App mit Facebook
  • Das Ansehen von Inhalten
  • Die Suche nach Artikeln
  • Das Hinzufügen eines Artikels zum Einkaufswagen
  • Der Kauf eines Artikels
  • Das Spenden eines Geldbetrags

Ob man also eine App öffnet, einen Artikel liest oder Artikel in den Warenkorb legt, wenn Facebook-Tools verwendet werden, ist das soziale Netzwerk immer bestens informiert, wie es selbst beschreibt:

„Tanja kauft bei einem Bekleidungs-Store online ein Paar Schuhe.

Der Store verwendet unsere Business-Tools und sendet so die Infos über Tanjas Aktivitäten an uns.

Wir erhalten die Informationen zu Tanjas Aktivitäten außerhalb von Facebook und speichern diese in ihrem Facebook-Konto. Die Aktivitäten werden gespeichert als „hat die Bekleidungs-Website besucht“ und „hat einen Kauf getätigt“. Tanja sieht auf Facebook eine Werbeanzeige mit einem 10 %-Rabattgutschein auf ihren nächsten Einkauf in dem Online-Store.“

Laut einer Untersuchung der Electronic Frontier Foundation sind auf immerhin 30 % der weltweit meistbesuchten 10.000 Webseiten Facebook-Business-Tools eingebunden.

Etwas Licht ins Dunkel

Mit der neuen Funktion löst Mark Zuckerberg ein Versprechen ein. Er hatte 2018 auf dem Höhepunkt des Cambridge-Analytica-Skandals versprochen, dass Facebook ähnlich wie Browser eine Möglichkeit bieten wird, den Aktivitätsverlauf zu sehen und zu löschen.

Facebook hat die neue Funktion nun zwar fein säuberlich in seinem Menü „versteckt“ und die neue Funktion ist auch nicht vergleichbar mit dem Löschen des Browserverlaufs, weil man nicht all die Daten, die Facebook über einen gesammelt hat, löschen kann. Es bietet aber immerhin erstmals eine Möglichkeit nachzuvollziehen, welche Daten Facebook unbemerkt sammelt. So kann man in „meinen Werbepräferenzen“ auch erfahren, welche Unternehmen Listen mit Informationen über einen bei Facebook hochgeladen haben und in welche Interessengruppen man von Facebook eingeordnet wird. Es ist also ein Schritt in die richtige Richtung. Man wird nur das beklemmende Gefühl nicht los, dass man der Überwachung kaum entkommen kann.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Facebook lässt sich erstmals in die Karten schauen.

Bewerbertools – Das digitale Bewerbermanagement

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bewerbertools – Das digitale Bewerbermanagement

Bewerbertools – Das digitale Bewerbermanagement

Der Bewerbungsprozess stellt Arbeitgeber oftmals vor Herausforderungen. Insbesondere bei größeren (Konzern-) Unternehmen kann hier schnell Chaos entstehen, wo keines sein soll. Abhilfe schaffen immer öfter digitale Bewerbertools. Schnell, effektiv, modern und kostensparend – die positiven Aspekte sind verlockend, doch gibt es auch hier einige Feinheiten zu beachten. Wo wir in der Vergangenheit vertieft auf die Grundlagen des E-Recruitment und spezielle Techniken wie das Videointerview eingingen, möchten wir uns anlässlich des europäischen Datenschutztages mit diesem Beitrag vertieft dem Bereich der Bewerbermanagement-Plattformen widmen.

Bewerbermanagement wird hip

Die Digitalisierung hat unsere Welt fest im Griff. Wo Behörden noch allzu häufig dem technischen Fortschritt hinterherhinken, schreitet die Privatwirtschaft mit Riesenschritten voran. In Zeiten, in welchen Kunden per Chatbot sekundenschnelle Rückmeldung erhalten und selbst Steuererklärungen mit wenigen Klicks online eingereicht werden können, drängt sich der Wunsch nach einfachen, klar strukturierten und übersichtlichen Prozessen auf.

Solche Prozesse kommen zudem auch dem datenschutzrechtlich Verantwortlichen zugute: Ein wesentlicher Teil der Pflichten eines Verantwortlichen betrifft die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht. Die Einhaltung der datenschutzrechtlichen Grundsätze muss danach von jedem Verantwortlichen nachgewiesen werden können. Es leuchtet ein, dass dieser Pflicht nur dann effektiv nachgekommen werden kann, wenn Prozesse ausreichend transparent und übersichtlich gestaltet sind. Dies fällt insbesondere in komplexen Unternehmensstrukturen recht schwer, da Daten oft über verschiedene Abteilungen verteilt sind und der nötige Überblick fehlt.

Abhilfe versprechen verschiedene Anbieter sogenannter Bewerbertools bzw. Bewerbermanagement-Plattformen. Hierbei wird dem Verantwortlichen meist durch eine Cloud-basierte Plattform eine Infrastruktur an die Hand gegeben, die es ermöglicht, den gesamten Bewerbungsprozess – vom ersten Kontakt über Bewerbungsgespräche bis hin zum Vertragsschluss – umfassend abzubilden. Eingekleidet wird das Ganze bestenfalls noch in ein hippes, pastellfarbenes Gewand voller sympathischer Profilbildchen.

Der Arbeitgeber kann hier flexibel entscheiden, welche Mitarbeiter aus welchen Fachabteilungen oder gar Konzernunternehmen in den Bewerbungsprozess eingebunden werden sollen, über integrierte Chatprogramme besteht ein direkter Kontakt zum Bewerber und auch die Terminfindung für Vorstellungsgespräche wird zum Kinderspiel.

Der Bewerber selbst hat die Möglichkeit, eigene Profile anzulegen, Lebensläufe online zu stellen oder gar private Social-Media-Accounts zu verknüpfen. Dies schafft unmittelbar eine spürbare Nähe zwischen den Akteuren und vermittelt beiden Seiten ein Gefühl gesteigerter Kontrolle. Vorbei scheinen die Zeiten, in denen ein Bewerber monatelang auf die Beantwortung eines Bewerbungsschreibens wartet, dass er nie erhalten wird.

Bewerbertools: Chancen für das Datenschutzmanagement

Die Zentralisierung eines oft sehr sensiblen Feldes wie dem des Bewerbermanagements bringt in datenschutzrechtlicher Hinsicht zunächst einige Vorteile.

  • Durch die Abbildung aller Daten innerhalb eines Tools fällt das Management von Löschverpflichtungen deutlich leichter. Löschroutinen oder bestenfalls sogar ein ganzes Löschkonzept können so deutlich leichter eingeführt werden. Viele Tools bieten automatische Erinnerungs- oder gar Löschfunktionen an.
  • Es besteht die einfache Möglichkeit, Einwilligungen von Bewerbern nachhaltig zu dokumentieren. Dies wird insbesondere dann relevant, wenn Bewerber in sog. Bewerberpools aufgenommen werden, die Daten also länger als für den konkreten Bewerbungsprozess gespeichert werden sollen.
  • Dem Bewerber werden Kontrollmöglichkeiten eingeräumt, die er im klassischen Bewerbungsverfahren nicht hat. Oftmals besteht für den Bewerber die Möglichkeit, Daten selbst aus dem Profil zu löschen, diese exportieren zu lassen oder sie zu korrigieren. Die Ausübung von Betroffenenrechten nach den Art. 15 ff. DSGVO kann somit deutlich leichter gehandhabt werden. Auch können Betroffenenrechte meist direkt innerhalb des Tools geltend gemacht werden. Der Weg einer – irgendwo im Unternehmen eingegangenen – Betroffenenanfrage über mehrere E-Mail-Konten, der hoffentlich letztendlich beim zuständigen Mitarbeiter mündet, wird so weitestgehend vermieden.

Altbekannte Risiken in neuem Gewand

Allerdings ist auch hier nicht alles Gold, was glänzt. Nicht jeder Dienstleister bietet ein adäquates Schutzniveau. Es sollte besonders darauf geachtet werden, in welchen Ländern die zugehörigen Clouds betrieben und mit welcher Bereitschaft Auskunft über technische und organisatorische Maßnahmen beim Dienstleister gegeben werden. Hier gilt es, besser zweimal hinzuschauen, denn die Auswahl geeigneter Dienstleister gehört schon nach Art. 28 Abs. 1 DSGVO zu grundlegenden Pflichten des Verantwortlichen.

Das größte Gefahrenpotenzial birgt jedoch – wie so oft  – die konkrete Anwendung durch das Unternehmen und seine Mitarbeiter selbst:

Berechtigungskonzepte

Bewerbertools verfügen meistens über Rollenkonzepte, welche die Zugriffsbefugnisse einzelner Mitarbeiter auf Bewerberdaten regeln. Um dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO gerecht zu werden, muss auch hier das sog. „Need to know“-Prinzip beachtet werden. Zugriff auf die Daten eines Bewerbers dürfen somit nur solche Mitarbeiter haben, deren Einbindung für die Durchführung des Bewerbungsverfahrens auch erforderlich ist. Personen, die lediglich ein Interesse an der Bewerbung haben könnten oder nur möglicherweise etwas Konstruktives beizutragen haben, sollten nicht per se, sondern nur nach sorgfältiger Prüfung einbezogen werden. Dies gilt umso mehr, als in Bewerbungsunterlagen in der Regel sehr sensible Daten enthalten sind.

Löschpflichten

Der Verpflichtung, nicht mehr benötigte Daten nach Beendigung des Bewerbungsverfahrens zu löschen, muss aktiv nachgekommen werden. Hierbei können automatische Wiedervorlagefristen sicherlich unterstützen. Auch wenn automatische Löschroutinen implementiert werden können, müssen diese dennoch regelmäßig überprüft werden.

Social Media

Viele Tools bieten Bewerbern die Möglichkeit, sich per Social Login anzumelden oder zumindest den eigenen Facebook- oder LinkedIn-Account zu verknüpfen. Verzichtet werden sollte jedoch auf ein aktives „Anreichern“ der Bewerberdaten mit Daten aus dem Social-Media-Profil. Dies gilt insbesondere für privat genutzte Facebook-Accounts, da der Bewerber zwar wohl grundsätzlich damit einverstanden ist, dass der Arbeitgeber durch die Verknüpfung Name, Profilbild und E-Mail-Adresse erhält. Er jedoch nicht damit rechnen muss, dass sämtliche privaten Informationen Teil des Bewerbungsprozesses werden.

Analyse und Tracking

Auch der Einsatz von Analysetools wie Google Analytics sollte überdacht werden. So wird man – folgt man der Ansicht der Aufsichtsbehörden sowie der DSK – einen Einsatz von Drittanbieter-Analysetools nur mit Einwilligung des Betroffenen rechtssicher gestalten können. Zumindest sollte dem Verantwortlichen das bestehende Risiko bewusst sein und hinreichend abgewogen werden.

Einbeziehung Dritter

Es sollte auf sog. „Tell a Friend“- oder Drittempfehlungs-Funktionen verzichtet werden. Zwar erscheint die Idee, von eigenen Mitarbeitern auf geeignete potenzielle Bewerber aufmerksam gemacht werden zu können, zunächst sehr attraktiv. Jedoch stellen sich bei der erstmaligen Ansprache eines unbeteiligten Dritten oftmals wettbewerbsrechtliche Probleme, da auch eine Ansprache mit dem Ziel, einen potenziellen Arbeitnehmer anzuwerben, als werbliche Ansprache im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) gewertet werden kann (vgl. BGH Urteil vom 12.09.2013, Az.: I ZR 208/12).

Informationspflichten

Zwar bieten die Tools stets eine eigene Datenschutzerklärung an, jedoch ist diese in einer Vielzahl von Fällen entweder lückenhaft oder zumindest anpassungsbedürftig. Es sollte hier bestenfalls eine eigene Datenschutzerklärung vorgehalten und im Tool integriert werden.

Zudem können alle bisher genannten Grundregeln meistens nicht alleine softwareseitig umgesetzt werden, sondern müssen in der täglichen Praxis von den beteiligten Mitarbeitern gelebt werden. Hierfür sollten bei Einführung eines solchen Tools eindeutige interne Richtlinien vorgehalten werden. Auch die regelmäßige Durchführung von Schulungen bietet sich an, um eine Sensibilisierung für die riskanten Bereiche des Verfahrens zu erreichen.

Vertragliche Aspekte auch im Konzern nicht vernachlässigen

Regelmäßig wird der Anbieter eines solchen Tools als Auftragsverarbeiter i.S.d. Art. 28 DSGVO auftreten. Dass hier ein entsprechender Vertrag zu schließen ist, wurde von uns bereits thematisiert.

Vor eine weitere organisatorische Herausforderung wird ein Verantwortlicher jedoch dann gestellt, wenn das Tool nicht nur ein Unternehmen abbilden soll, sondern in einer komplexen Konzernstruktur mit mehreren beteiligten Unternehmen eingesetzt wird. Dann stellt sich zum einen die Frage, welche Parteien nun die oben erwähnten Auftragsverarbeitungsverträge schließen sollen.

Zum anderen ist denkbar, dass Verantwortliche aus Fachbereichen mehrerer Konzernunternehmen bei bestimmten Bewerbungsverfahren gemeinsam tätig werden, beispielsweise, weil der Muttergesellschaft eigene Mitbestimmungsbefugnisse im Bewerbungsprozess der Tochterunternehmen zustehen. In diesen Fällen muss geprüft werden, ob ein Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO vorliegt.

Eine Möglichkeit, besonders bei vielen Beteiligten das Vertragsmanagement übersichtlich zu halten, könnte hier in Rahmenvereinbarungen liegen, die die Rechtsverhältnisse innerhalb des Konzerns regeln und auch ein Management von möglicherweise erforderlichen Auftragsverarbeitungsverträgen mit Dienstleistern erleichtern können.

Es sollte deshalb im Einzelfall genau geprüft werden, welche Unternehmen in welcher Funktion am Bewerbungsprozess teilnehmen. Erst mit ausreichend transparenten Datenflüssen innerhalb des Konzerns kann die Einschätzung hinsichtlich der zu ergreifenden datenschutzrechtlichen Schritte sinnvoll gestaltet werden.

Bei richtigem Einsatz sind Bewerbertools eine gute Alternative

Bei ausreichender Sensibilisierung der HR-Abteilung, bedachter Auswahl von Dienstleistern und einem maßvollen Einsatz von möglichen Zusatzfunktionen wie Tracking oder Social-Media-Verknüpfung kann der Einsatz von digitalen Bewerbungsmanagement-Tools viele Prozesse im Bewerbungsverfahren schneller, moderner und übersichtlicher Gestalten. Die Chancen mit Blick auf strukturierte Datenschutzmanagement-Prozesse sind durchaus vorhanden, gleichwohl bergen gesteigerte Möglichkeiten auch neue Risiken.

In jedem Fall ist zu empfehlen, den Datenschutzbeauftragten frühzeitig bei der Implementierung neuer Tools – besonders im HR-Bereich – einzubinden.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bewerbertools – Das digitale Bewerbermanagement.