Bußgeld in Holland: UnrechtmĂ€ĂŸige Verarbeitung von FingerabdrĂŒcken

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bußgeld in Holland: UnrechtmĂ€ĂŸige Verarbeitung von FingerabdrĂŒcken

Bußgeld in Holland: UnrechtmĂ€ĂŸige Verarbeitung von FingerabdrĂŒcken

Die NiederlĂ€ndische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato zweithöchste Bußgeld (innerhalb Hollands) seit EinfĂŒhrung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier.

Was ist vorgefallen?

Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des GelĂ€ndes oder des GebĂ€udes optimiert werden kann. Dies dachte sich ebenfalls ein hollĂ€ndisches Unternehmen und wollte die gĂ€ngigen Zutrittskarten nicht mehr einsetzen und stattdessen die FingerabdrĂŒcke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID.

Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier FingerabdrĂŒcke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen FingerabdrĂŒcken unter dieser Verarbeitung.

Was hat das Unternehmen falsch gemacht?

Im Fokus stehen die FingerabdrĂŒcken der Mitarbeiter. Bei FingerabdrĂŒcken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO.

„[
]mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natĂŒrlichen Person, die die eindeutige Identifizierung dieser natĂŒrlichen Person ermöglichen oder bestĂ€tigen[
]“

Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und RechtmĂ€ĂŸigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die GrundsĂ€tze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmĂ€ĂŸigen Datenverarbeitung ausgegangen werden.

Transparenz

Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr ĂŒberraschend und unerwartet eingefĂŒhrt wurden. Zudem erhielten die Mitarbeiter keine Informationen ĂŒber den Verarbeitungsumfang. Dies lĂ€sst auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die hollĂ€ndische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde.

RechtmĂ€ĂŸigkeit

Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hÀtte jemand dem Unternehmen ebenfalls ans Herz legen sollen.

Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen grĂ¶ĂŸeren Aufwand fĂŒr Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwĂŒrdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mĂŒndliche Einwilligung gegeben.

Freiwilligkeit

Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, mĂŒssen die Anforderungen aus Art. 7 DSGVO erfĂŒllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung.

Die Freiwilligkeit wird im ErwĂ€gungsgrund 43 weiter erlĂ€utert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Da ein klares AbhĂ€ngigkeitsverhĂ€ltnis besteht, können die Mitarbeiter in Anbetracht ihres ArbeitsverhĂ€ltnisses nur unter sehr hohen Anforderungen eine freiwillige Einwilligung abgeben. Da das Unternehmen noch nicht mal eine Rechtsgrundlage fĂŒr die Verarbeitung definiert und verwendet hatte und einzelne Mitarbeiter im GesprĂ€ch mit der Behörde nicht wussten, dass die Nutzung der Fingerabdruck-Scan-Stationen freiwillig ist und eine Nichtnutzung keine Nachteile nach sich zieht, war auch Art. 9 Abs. 2 lit. a DSGVO nicht einschlĂ€gig.

Was lernen wir daraus?

Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine AbwĂ€gung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frĂŒhestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Bußgeld in Holland: UnrechtmĂ€ĂŸige Verarbeitung von FingerabdrĂŒcken.

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wenn im kommenden Halbjahr und besonders im nĂ€chsten Jahr die verschiedenen Veranstaltungen nachgeholt werden und man sich wieder angemessen prĂ€sentieren wird, denke man trotzdem und unbedingt an die Regeln fĂŒr Datenschutz und Marketing. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?

Das Messejahr scheint dieses Jahr zwar nicht im gewohnten Umfang stattfinden zu können, trotzdem erreichen uns immer wieder Anfragen zu Themen wie Informationspflichten am Messestand, Kundenakquise und der Umgang mit Visitenkarten. Im Post-Coronazeitalter werden wieder viele Gewerbetreibende auf Messen strömen und dort um die Gunst neuer Kunden buhlen. Hierbei kommen Sie unausweichlich mit personenbezogenen Daten in Kontakt. Es folgt eine Übersicht was bei typischen Messeszenarien zu beachten ist.

Der ĂŒberzeugte Kunde

Wir nehmen an, Sie sind Aussteller einer großen Automobilmesse. An ihrem Stand liegen verschiedene Kataloge und Infomaterialien zu ihren Flakschiffen Auto A, Auto B und Auto C aus.

Sie konnten einen Besucher ihres Standes aufgrund ihres Verkaufsgeschick von Auto A ĂŒberzeugen. Kurzerhand entschließt er sich, dass Fahrzeug noch vor Ort zu erwerben. Sie zĂŒcken das Bestellformular fĂŒr Neukunden und nehmen seine Daten auf. Irrelevant ist hierbei, ob Sie zum Erfassen ein good-old Papierformular oder eine digitale Variante einsetzen. Was gilt es nun zu beachten?

Es gilt: So viel wie nötig, so wenig wie möglich

ZunĂ€chst ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten. Sie dĂŒrfen daher nur diejenigen personenbezogenen Daten abfragen, die Sie auch tatsĂ€chlich zur Abwicklung der Kundenbestellung benötigen. In der Regel dĂŒrfte der Name, die Lieferanschrift und eine Kontaktmöglichkeit ausreichend sein. Der ausgeĂŒbte Beruf? Der Familienstand? Es ist, wie so oft, eine Frage von Fall zu Fall. Sofern mit dem Autokauf etwa zeitgleich auch ein Finanzierungsdarlehen einhergeht, erweitert sich die zulĂ€ssige Abfrage etwa auch auf Daten, die RĂŒckschlĂŒsse ĂŒber die BonitĂ€t des Kunden geben können. Überlegen Sie stets, welche Daten sind tatsĂ€chlich zur Erbringung meiner vertraglichen Leistungen erforderlich?

Informationspflichten am Messestand

Nach Art.13 DSGVO muss ihr Kunde im Zeitpunkt der Erhebung seiner Daten alle diejenigen Informationen erhalten, die notwendig sind, um eine faire und transparente Verarbeitung zu gewÀhrleisten. Durch das Dokument beantworten Sie als verantwortlicher Datenverarbeiter typische W-Fragen: Wer verarbeitet hier? Welche Zwecke verfolge ich dabei? Wer erhÀlt die Daten noch? Wie lange werden sie gespeichert? Welche Rechte hat mein Kunde?

In unserem Beispiel bietet sich eine abgedruckte ErklĂ€rung an. Diese kann als Anhang dem Vertrag oder der BestellbestĂ€tigung beigefĂŒgt werden und dem Kunden so dauerhaft zur VerfĂŒgung gestellt werden. In der Printversion sicherlich die rechtssicherste Variante. Nicht notwendig ist jedoch, dass der Kunde den Erhalt der Informationen mittels Unterschrift oder Checkbox bestĂ€tigt. Um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu genĂŒgen, ist vielmehr entscheidend, dass der gesamte Prozess so organisiert ist, dass jeder Kunde letztlich die Möglichkeit der Kenntnisnahme hat. Sofern die Daten digital erhoben werden und die BestellbestĂ€tigung etwa per Mail an den Kunden verschickt wird, kann es zweckmĂ€ĂŸig sein, die ErklĂ€rung zusĂ€tzlich als Anhang zu verschicken.

Rechtsgrundlage fĂŒr die Verarbeitung

Die rechtliche Grundlage in diesem Fallbeispiel ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die bei Bestellung des Autos verarbeiteten Daten sind zur VertragserfĂŒllung notwendig. Eine explizite Einwilligung des Kunden bedarf es an dieser Stelle nicht.

Der zweifelnde Kunde

In diesem Fall konnten Sie trotz intensivster BemĂŒhungen den Besucher vom Kauf eines ihrer Autos noch nicht vollends ĂŒberzeugen. Er interessiert sich sowohl fĂŒr Modell A, als auch fĂŒr Modell B und wĂŒnscht weitere Informationen. Auch hierzu haben Sie ein Formular (print oder digital). Um dem Kunden die Kaufentscheidung zu erleichtern, bieten Sie ihm den Versand einer HochglanzbroschĂŒre per Post oder in digitaler Form per E-Mail an. Je nachdem welche Art der Besucher wĂ€hlt, dĂŒrfen sie entsprechend Daten erheben. Zum Versand brauchen Sie zwingend die Anschrift, aber wohl nicht die Mailadresse. Sofern die BroschĂŒre per Mail gewĂŒnscht ist, brauchen Sie nicht zwingend die Anschrift.

Berechtigte Interessen an der Verarbeitung?

Sollte es bereits zu konkreten VerkaufsgesprĂ€chen gekommen sein, halte ich hier ebenfalls Art. 6 Abs. 1 S. 1 lit. b DSGVO aufgrund der Vertragsanbahnung fĂŒr vertretbar. Hier kann die Abgrenzung im Einzelfall jedoch schwierig sein. Jedenfalls haben Sie ein berechtigtes Interesse an der Verarbeitung der Daten ihres potenziellen Kunden gemĂ€ĂŸ Art. 6 Abs. 1 S. 1 lit. f DSGVO. Sie selbst haben ein wirtschaftliches Interesse an der Zusendung des Infomaterials, da Sie sich erhoffen, den Besucher ĂŒberzeugen zu können und so einen Neukunden zu gewinnen. Die erforderliche InteressenabwĂ€gung dĂŒrfte in diesem Fall zu ihren Gunsten ausgehen. Die Anfrage, das gewĂŒnschte Infomaterial zu erhalten, ist vom Besucher selbst ausgegangen. Ihm ist bewusst und er kann absehen, dass seine Daten gerade zu diesem Zweck verwendet werden und erforderlich sind. Der Besucher hat mithin ein eigenes Interesse an der Verarbeitung seiner Daten zur Beantwortung seiner BroschĂŒrenanfrage.

Ein dauerhafter Messe-Lead?

DĂŒrfen Sie die so gewonnen Daten nun dauerhaft nutzen? Nach Art. 5 Abs. 1 lit. b DSGVO gilt ein strenger Zweckbindungsgrundsatz. Sie dĂŒrfen personenbezogene Daten nur solange verarbeiten, wie auch der Erhebungszweck fortbesteht. Danach sind die Daten zu löschen. In diesem Fall wĂ€re der Zweck nach der Zusendung des gewĂŒnschten Materials zu entfallen. An dieser Stelle begehrt die Marketingabteilung regelmĂ€ĂŸig auf. Man habe doch noch weitere tolle Angebote und Informationen fĂŒr potenzielle Kunden. Können wir die einmal erhobenen Daten nicht auch fĂŒr weitere werbliche Maßnahmen nutzen?

Einwilligungserfordernis fĂŒr Werbenewsletter

Zwar kann ein berechtigtes Interesse von Ihnen als Aussteller sein, die am Messestand gewonnen E-Mail oder Kontaktdaten auch weiterhin zu Werbezwecken zu verwenden. Neben der DSGVO mĂŒssen Sie jedoch beachten, dass nach § 7 UWG eine werbliche Ansprache per E-Mail grundsĂ€tzlich nur mit vorheriger ausdrĂŒcklicher Einwilligung des Besuchers möglich ist. Es gilt daher streng zu unterscheiden, zwischen der vom Kunden gewĂŒnschten Infos zu Auto A und Auto B und darĂŒber hinaus gehender Werbemails etwa zu Auto C oder Zubehör XYZ.

Wollen Sie dem Besucher also im Nachgang zur Messe ĂŒber seine konkreten BroschĂŒrenwunsch hinaus weiterfĂŒhrende Werbung wie z.B. den Unternehmens-Newsletter per Email zusenden, sollten Sie sich hierfĂŒr zuvor eine EinwilligungserklĂ€rung einholen. Das kann mittels Checkbox auf dem Formular oder in einer Digitalversion erfolgen.

Double Opt-In und Protokollierung beachten

Durch das Double-Opt-In-Verfahren stellen Sie sicher, dass nur diejenigen E-Mail-Adressen beworben werden deren Inhaber dies auch wĂŒnschen. Nur wenn der Inhaber der Mailadresse eine BestĂ€tigungsmail erhĂ€lt und den darin enthaltenen Aktivierungslink klickt, haben Sie einen Nachweis ĂŒber seine Einwilligung. Achten Sie darauf, dass die BestĂ€tigungsmail keine werblichen Inhalte enthalten. Ein Firmenlogo oder Impressum, welches die SeriositĂ€t ihres Anliegens verdeutlicht, ist zulĂ€ssig.

Der Großkunde

An ihrem Stand erscheint ein Unternehmer aus dem Taxigewerbe. ZunĂ€chst Interessiert er sich fĂŒr die aktuell angebotene Flotte. Er möchte aber auch kĂŒnftig informiert bleiben – benötigt er doch regelmĂ€ĂŸig Fahrzeuge in hoher StĂŒckzahl. Er ĂŒberreicht Ihnen seine Visitenkarte. Man möge doch bitte in Kontakt bleiben.

Informationspflichten adĂ€quat erfĂŒllen

Sofern Sie jetzt die Visitenkartendaten in ihr CRM-System ĂŒbertragen wollen, bestehen erneut die Informationspflichten aus Art. 13 DSGVO. Nun wird kaum ein Besucher Lust dazu haben, von jedem Stand an dem er seine Visitenkarte hinterlĂ€sst, im Austausch eine ausgedruckte ErklĂ€rung in die Hand gedrĂŒckt zu bekommen. Diese Pflicht können Sie daher durch Informationsschilder oder ausgelegten Flyern nachkommen. Gerade bei B2B-Kontakten wird man in der Regel davon ausgehen dĂŒrfen, dass der Besucher mit einer Verarbeitung der Kontaktdaten nach der Messe rechnet und dies sogar erwĂŒnscht ist. Sollte die KartenĂŒbergabe mit einer konkreten Anfrage zu Produkten oder dem Erhalt von Informationen verbunden ist, erscheint es zudem zweckmĂ€ĂŸig bei erstmaliger Kontaktaufnahme auf den Umgang mit Kundendaten hinzuweisen. Dies kann dann entweder per Link auf die ErklĂ€rung oder als Mailanhang erfolgen. Aber Achtung: FĂŒr weiterfĂŒhrende Werbemails ĂŒber ein konkretes Angebot oder Anfrage hinaus gilt auch fĂŒr GeschĂ€ftskunden das strenge Einwilligungserfordernis.

Pragmatische Lösungen sind gefragt

GrundsĂ€tzlich hat die Datenschutz-Grundverordnung bei der praktikablen ErfĂŒllung von Informationspflichten strukturelle SchwĂ€chen. Denken Sie zum Beispiel an die Warenbestellung per Telefon. Ein Vorlesen der Informationspflichten vor Aufnahme der Kontaktdaten wĂ€re unzumutbar. Die Information ĂŒber Transparenz und Fairness der Verarbeitung mĂŒssen hier auf die gegebenen UmstĂ€nde des GeschĂ€ftslebens angepasst werden, ohne ihre Sinnhaftigkeit zu verlieren. Im Zweifel hilft Ihnen ihr Datenschutzbeauftragter bei einer praxisgerechten Umsetzung sicher gerne weiter.


GefÀllt Ihnen der Beitrag?

Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Kundenakquise auf Messen: Was ist nach der DSGVO zu beachten?.

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Liebe Leser! Regeln Sie die private Nutzung von betrieblicher IT-Ausstattung, Smartphone und Laptop & Co. gemeinsam mit Ihren Mitarbeitern. Die grundsÀtzliche Regelung, Dienst ist Dienst und Schnaps ist Schnaps gilt weiterhin.

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber

Das Bundesarbeitsgericht (BAG) hat Ende Januar erneut festgestellt, dass der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Zudem kann der Arbeitgeber hierauf auch seine KĂŒndigung stĂŒtzen. Was heißt das fĂŒr den Datenschutz des Arbeitnehmers?

ÜberprĂŒfung von Arbeitsmitteln durch den Arbeitsgeber

ZunĂ€chst stellt sich die Frage, ob der Arbeitgeber ĂŒberhaupt auf den Arbeitsrechner seines Arbeitnehmers zugreifen darf. Nach mittlerweile gefestigter Rechtsprechung des BAG, darf der Arbeitgeber jedenfalls Erkenntnisse oder Beweismittel aus der Verwertung von Dateien-Inhalten eines Arbeitsrechners verwenden, wenn er diese im Einklang mit datenschutzrechtlichen Vorschriften erlangt hat (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 14 ff.).

Aktueller BAG-Fall

Im konkreten Fall befanden die Richter aus Erfurt im Sinne des Beklagten (Arbeitgeber), der auf Grund eines Verdachtsfalles (Hinweis fĂŒr die Spitzfindigen: nicht aber auf Tatsachen beruhenden Anfangsverdacht) den auch privat genutzten Arbeitsrechner seines Arbeitnehmers durchsuchte und eine darauf gegrĂŒndete KĂŒndigung aussprach. Die BAG-Richter ließen fĂŒr die KĂŒndigung einen begrĂŒndeten Verdacht einer Pflichtverletzung ausreichen.

Entscheidende Norm: § 26 BDSG

EinschlĂ€gige datenschutzrechtliche Norm zur Bewertung der ZulĂ€ssigkeit der Maßnahme ist § 26 Abs. 1 S. 1 BDSG (im Fall der inhaltsgleiche § 32 BDSG aF). Nach dieser Bestimmung dĂŒrfen personenbezogene Daten eines BeschĂ€ftigten fĂŒr Zwecke des BeschĂ€ftigungsverhĂ€ltnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies fĂŒr dessen DurchfĂŒhrung oder Beendigung erforderlich ist. Der Begriff der Beendigung umfasst dabei die Abwicklung eines BeschĂ€ftigungsverhĂ€ltnisses (so auch die Vorbereitung einer KĂŒndigung – BAG 23. August 2018 – 2 AZR 133/18 – Rn. 22).

„§ 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulĂ€ssig wĂ€re und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulĂ€ssig sein könnte (BAG 27. Juli 2017 – 2 AZR 681/16 – Rn. 30, BAGE 159, 380; ausfĂŒhrlich BAG 29. Juni 2017 – 2 AZR 597/16 – Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ VerhĂ€ltnismĂ€ĂŸigkeitsprĂŒfung zu erfolgen.“

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten muss geeignet, erforderlich und unter BerĂŒcksichtigung der Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dĂŒrfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschrĂ€nkenden Mittel zur VerfĂŒgung stehen.

Im Rahmen der VerhĂ€ltnismĂ€ĂŸigkeit im engeren Sinne (Angemessenheit) ist zu beachten, dass die Schwere des Eingriffs bei einer GesamtabwĂ€gung nicht außer VerhĂ€ltnis zu dem Gewicht der ihn rechtfertigenden GrĂŒnde steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine ĂŒbermĂ€ĂŸige Belastung fĂŒr den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies ist fĂŒr jedes personenbezogene Datum gesondert zu beurteilen (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 24).

Folgen fĂŒr die Praxis

Der Arbeitgeber hat folglich eine VerhĂ€ltnismĂ€ĂŸigkeitsprĂŒfung vorzunehmen, bevor er den Arbeitsrechner auswertet, die die Rechte seines Arbeitsnehmers entsprechend wĂŒrdigt.

Datenschutzrechtlich brisant ist, dass das BAG klargestellt hat, dass der Arbeitgeber grundsĂ€tzlich auf alle Dateien auf dem Arbeitsrechner zugreifen kann, insofern der Arbeitnehmer diese nicht als explizit „privat“ kennzeichnet. Es liegt folglich in der SphĂ€re des Arbeitnehmers Dateien auf dem Arbeitsrechner deutlich mit der Kennzeichnung „privat“ zu versehen, wenn er sich vor der ÜberprĂŒfung schĂŒtzen möchte. SelbstverstĂ€ndlich ist auch dieser Schutz begrenzt z. B. beim Verdacht einer schweren Verfehlung. Es bleibt somit die in diesem Kontext wiederholende Frage, warum ĂŒberhaupt private Dateien auf dem Arbeitsrechner speichern?


GefÀllt Ihnen der Beitrag?

Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: BAG-Urteil: Zugriff auf Inhalte des Arbeitsrechners durch den Arbeitgeber.

Kein Auskunftsanspruch bei unverhĂ€ltnismĂ€ĂŸigem Aufwand

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Kein Auskunftsanspruch bei unverhĂ€ltnismĂ€ĂŸigem Aufwand

Kein Auskunftsanspruch bei unverhĂ€ltnismĂ€ĂŸigem Aufwand

Das Landgericht Heidelberg (Urteil vom 06.02.2020 – Az. 4 O 6/19) lehnte in einer erst kürzlich ergangenen Entscheidung den Auskunftsanspruch einer betroffenen Person ab, da die Auskunftserteilung einen unverhältnismäßigen Aufwand darstelle.

Unsicherheiten beim Auskunftsrecht

Hinsichtlich des Auskunftsrechts nach Art. 15 DSGVO besteht in der Unternehmenspraxis bislang immer noch herrschende Unsicherheit. Auch wenn der Wortlaut des Art. 15 DSGVO auf den ersten Blick verständlich erscheint, besteht zumindest über die Reichweite des Auskunftsrechts grundsätzlich noch Unklarheit.

In der aktuellen Entscheidung geht das LG Heidelberg unter anderem auf die Präzisierung des Auskunftsanspruchs bei umfangreicher Verarbeitung ein. Insbesondere stellt das Gericht seine Entscheidung auf einen unverhältnismäßigen Aufwand ab. Das Urteil bezieht sich jedoch noch auf alter Rechtslage (vgl. § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr 1 BDSGaF), wonach von einer Auskunftserteilung abgesehen werden kann, wenn die Daten ausschließlich der Datensicherung dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde. Im Folgenden werden die Entscheidungsgründe näher beleuchtet.

Aktueller Fall

Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, gem. Art. 15 DSGVO Auskunft sowie die Aushändigung einer Kopie aller verfügbaren verarbeiteten personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz innerhalb eines bestimmten Zeitraums. Die betroffene Person war ehemaliges Vorstandsmitglied des Verantwortlichen. Besonders an diesem Fall ist, dass der Verantwortliche mittlerweile insolvent war und sämtliche Daten aus der Amtszeit des Klägers an einen Dritten zu Backupzwecken übergeben wurden. Das LG Heidelberg lehnte beide geltend gemachte Ansprüche als unbegründet ab.

Was waren die Entscheidungsgründe?

Zunächst geht das Gericht in seinen Entscheidungsgründen darauf ein, dass Erwägungsgrund 63 zunächst eine Erleichterung für Verantwortliche, die eine große Menge von Informationen über die betroffene Person verarbeiten, vorsieht. Demzufolge dürfe der Verantwortliche vor Auskunftserteilung von der betroffenen Person eine Präzisierung des Auskunftsbegehrens verlangen.

In Bezug auf den Hilfsanspruch führte das Gericht an, dass die Herausgabe der E-Mail Korrespondenz zwar ausreichend bestimmt sei, jedoch scheitere dieser aufgrund eines unverhältnismäßigen Aufwands. Weiter zweifelte das Gericht daran, dass der Verantwortliche die in den Backup gespeicherten Daten tatsächlich noch verarbeite. In der Urteilsbegründung heißt es weiterhin:

„Hingegen muss der Verantwortliche grundsätzlich keine Auskunft über Daten erteilen, die er in der Vergangenheit verarbeitet hat, über die er jedoch nicht mehr verfügt.“ (Rn. 23)

In diesem Fall sei dies vorliegend gewesen, da die Daten an einen Dritten übergeben worden seien. Daran ändere auch ein mögliches Zugriffsrecht des Verantwortlichen nichts, da Daten in Backups für den Verantwortlichen unter Umständen nicht unmittelbar greifbar seien.

Bereitstellung der Daten führt zu unverhältnismäßigem Aufwand

Insbesondere stellt das LG Heidelberg sein Ergebnis auf einen unverhältnismäßig großen Aufwand ab. Denn für die verlangte Auskunft sei zunächst die Beschaffung der Daten für den Verantwortlichen erforderlich. Allein die Kosten für die Wiederherstellung würden von bis zu 4.000€ betragen. Darüber hinaus könne auch davon ausgegangen werden, dass die E-Mail Korrespondenz mehrere tausend E-Mails umfasse, da die betroffene Person mindestens ein oder eineinhalb Jahre als Vorstandsmitglied tätig war. Auch würde die potentielle Aufbereitung der Daten bei dem Verantwortlichen unverhältnismäßige Ressourcen binden. Denn die E-Mails müssten zur Sicherung berechtigter Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene Person herausgegeben werden könnten. Das Informationsinteresse der betroffenen Person sei demgegenüber geringer einzustufen. Dies begründete das Gericht damit, dass es sich um neun oder zehn Jahre alte E-Mails handle und die betroffene Person schon seit neun Jahren nicht mehr für den Verantwortlichen tätig sei und dieser mittlerweile insolvent sei.

Bedeutung für die Praxis

Die Entscheidung lässt besonders Compliance-Verantwortliche aufatmen und zeigt insbesondere Praxisnähe hinsichtlich des Umgangs mit einem Auskunftsersuchen, welches eine aufwändige Wiederherstellung bzw. Beschaffung der Daten mit sich zieht. Demzufolge kann es unverhältnismäßig sein, wenn ein Auskunftsersuchen unvermeidlich hohe Ressourcen bindet und Kosten verursacht, die nicht mehr im Einklang mit dem Informationsinteresse der betroffenen Person bestehen. Jedoch ist zu beachten, dass das Vorliegen eines unverhältnismäßigen Aufwands immer noch im Einzelfall zu bewerten ist. Mit der Entscheidung werden allerdings strenge Bewertungskriterien an die Hand gegeben, wenn kein Auskunftsbegehren vorliegen soll.

Erwähnenswert ist zudem, dass das LG Heidelberg als erstes deutsches Gericht einen geltend gemachten Auskunftsanspruch als zu weitgehend und zu unbestimmt bewertet hat. Zuletzt legten das Landesarbeitsgericht Baden-Württemberg und das Oberlandesgericht Köln den Auskunftsanspruch noch sehr weit aus.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Kein Auskunftsanspruch bei unverhĂ€ltnismĂ€ĂŸigem Aufwand.

Datenverarbeitung beim Rechtsanwalt

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenverarbeitung beim Rechtsanwalt

Datenverarbeitung beim Rechtsanwalt

Das Thema Datenschutz beim Rechtsanwalt steht auch im Rahmen der DSGVO weiter im Fokus von AnwĂ€lten und Mandanten gleichermaßen. Dieser Beitrag gibt daher ein Update zur Rechtslage nach der DSGVO.

Verschwiegenheitsverpflichtung des Rechtsanwalts

Die DSGVO kennt keine Bereichsausnahme fĂŒr RechtsanwĂ€lte. Daher ist grundsĂ€tzlich auch von einer Anwendbarkeit auf RechtsanwĂ€lte auszugehen. Im Konfliktfall geht allerdings das Mandatsgeheimnis nach §§ 43 ab Abs. 2 BRAO, § 2 BORA vor. Wie zuvor § 1 Abs. 3 S. 2 BDSG aF besagt auch § 1 Abs. 2 S. 3 BDSG:

„Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberĂŒhrt.“

Die Verschwiegenheitspflicht des Anwalts ist, wie bei anderen BerufsgeheimnistrĂ€gern (z.B. Ärzten) auch, durch § 203 StGB strafrechtlich abgesichert. Sie bezieht sich auf alles, was dem Rechtsanwalt in AusĂŒbung seines Berufes bekannt geworden ist und fasst damit alle mit dem Mandat zusammenhĂ€nge Inhalte und Daten.

Externe Dienstleister

Durch die Einbeziehung externer Dienstleister der RechtsanwÀlte in den Adressatenkreis des § 203 StGB (in Abs. 3) ist eine Weitergabe von mandatsbezogenen Informationen ohne Verletzung des Mandatsgeheimnisses möglich,

„soweit dies fĂŒr die Inanspruchnahme der TĂ€tigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt fĂŒr sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen TĂ€tigkeit (
) mitwirken.“

§ 43 e BRAO enthĂ€lt Auswahlkriterien und Voraussetzungen fĂŒr die Inanspruchnahme externer Dienstleister. Dienstleister sind nach § 43 a Abs. 2 BRAO wie eigene Mitarbeiter auf die Vertraulichkeit zu verpflichten.

Anforderungen an eine sichere Kommunikation

§ 2 Abs. 2 BORA regelt, dass zur GewĂ€hrleistung der Verschwiegenheitspflicht geeignete „organisatorische und technische Maßnahmen“ zu ergreifen sind. Diese mĂŒssen angemessen fĂŒr den Schutz personenbezogener Daten und außerdem fĂŒr die Umsetzung des Anwaltsberufs zumutbar sein.

Hinsichtlich einer sicheren Kommunikation mit dem Mandanten regelt § 2 Abs. 2 S. 5 ff. BORA:

„Zwischen Rechtsanwalt und Mandant ist die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken fĂŒr die Vertraulichkeit dieser Kommunikation verbunden ist, jedenfalls dann erlaubt, wenn der Mandant ihr zustimmt. Von einer Zustimmung ist auszugehen, wenn der Mandant diesen Kommunikationsweg vorschlĂ€gt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt.“

Zur VerfassungskonformitĂ€t und Auslegung des § 2 BORA, insbesondere im Hinblick auf den Versand unverschlĂŒsselter E-Mails, haben wir uns in der Vergangenheit in unserem Artikel „Ist die neue BORA-Norm zur Verschluesslung DSGVO-konform?“ beschĂ€ftigt.

Auskunftsersuchen von Aufsichtsbehörden und Betroffenen

Auch nach der Datenschutz-Grundverordnung muss unter UmstĂ€nden der Auskunftsanspruch der Datenschutzaufsichtsbehörden nach Artikel 58 DSGVO und Betroffener nach Artikel 15 DSGVO gegen die Verschwiegenheitsverpflichtung des Rechtsanwalts zurĂŒckstehen.

EinschrÀnkung des Auskunftsanspruchs der Behörde

Zum Auskunftsanspruch einer Aufsichtsbehörde, die sich im Rahmen ihrer Befugnisse nach Artikel 58 DSGVO an einen Rechtsanwalt oder anderen GeheimnistrÀger wendet, regelt § 29 Abs. 3 S. 1 BDSG:

„GegenĂŒber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemĂ€ĂŸ Artikel 58 Absatz 1 Buchstabe e und f DSGVO nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen fĂŒhren wĂŒrde.“

Die EinschrĂ€nkung gilt nur fĂŒr das Recht auf Zugang zu allen personenbezogenen Daten und Informationen zur ErfĂŒllung der behördlichen Aufgaben nach Artikel 58 Abs. 1 lit. e DSGVO, sowie fĂŒr den Zugang zu GeschĂ€ftsrĂ€umen und Datenverarbeitungsanlagen nach Art. 58 Abs. 1 lit. f DSGVO.

In diesen FÀllen besteht ggf. also kein Auskunftsanspruch der Aufsichtsbehörden.

GegenĂŒber wem gilt die EinschrĂ€nkung des Auskunftsrechts?

Die EinschrĂ€nkung des Rechts auf Auskunft der Aufsichtsbehörden aus § 29 Abs. 3 BDSG besteht gegenĂŒber BerufsgeheimnistrĂ€gern nach 203 Abs.1 StGB, aber auch gegenĂŒber deren Gehilfen und in die Verarbeitung einbezogene externe Dienstleister, § 203 Abs. 3 StGB.

Wann gilt die EinschrÀnkung des Auskunftsrechts?

Bei personenbezogenen Daten i.S.d. § 29 Abs. 3 BDSG, muss es sich um Daten handeln, die bei AusĂŒbung der geheimnisverpflichteten TĂ€tigkeit erworben wurden.

Die Öffnungsklausel des Art. 90 Abs. 1 Satz 1 DSGVO knĂŒpft an den Erlass von nationalen Regelungen die Bedingung, dass diese verhĂ€ltnismĂ€ĂŸig und notwendig sind, um das Recht auf Schutz der personenbezogenen Daten des Betroffenen mit der Geheimhaltungsverpflichtung zu vereinbaren. RegelmĂ€ĂŸig wird daher davon auszugehen sein, dass die vom Auskunftsersuchen umfassten personenbezogenen Daten in AusĂŒbung des Mandatsgehemnisses erlangt wurden. Damit wĂ€re ein Preisgeben in den oben genannten FĂ€llen grundsĂ€tzlich ein Verstoß gegen das Mandatsgeheimnis.

Auskunftsersuchen Dritter

Nach Artikel 15 DSGVO hat die von der Verarbeitung betroffene Person einen Auskunftsanspruch. Informationen wann ein solcher rechtmĂ€ĂŸig ist und wie eine Auskunft richtig erteilt wird haben wir in unserem Artikel „Auskunft richtig erteilen – innerhalb der Frist“ fĂŒr Sie zusammengefasst.

Zum VerhÀltnis Auskunftsanspruch und (berufsrechtliche) Geheimhaltungspflicht stellt § 29 Abs. 1 S. 2 BDSG klar:

„Das Recht auf Auskunft der betroffenen Person gemĂ€ĂŸ Artikel 15 DSGVO besteht nicht, soweit durch die Auskunft Informationen offenbart wĂŒrden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der ĂŒberwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden mĂŒssen.“

§ 29 Abs. 1 Satz 2 BDSG schrĂ€nkt das Auskunftsrecht aus Artikel 15 DSGVO insofern ein, als geheimhaltungsbedĂŒrftige Informationen offenbart wĂŒrden.

Maßgeblich fĂŒr das Bestehen einer Geheimhaltungsverpflichtung ist dem Wortlaut nach, dass die Informationen ihrem Wesen nach, insbesondere wegen der ĂŒberwiegenden Interessen eines Dritten, geheim gehalten werden mĂŒssen. Durch die Verwendung des Wortes „insbesondere“, ist die Vorschrift auch auf andere, als auf berechtigtem Interesse begrĂŒndete, UmstĂ€nde anwendbar, soweit diese einer Geheimhaltungspflicht unterfallen.

Die EinschrÀnkung des Auskunftsrechts besteht aber dann nicht, wenn personenbezogene Daten betroffen sind, die nicht im Rahmen eines MandatsverhÀltnisses erhoben wurden, wie z.B. Lieferanten-, oder Mitarbeiterdaten.

Mitteilung der GrĂŒnde der Ablehnung des Auskunftsersuchens

Sehr umstritten ist auch, ob dem Betroffenen die GrĂŒnde fĂŒr die Ablehnung des Auskunftsbegehrens durch den BerufsgeheimnistrĂ€ger mitgeteilt werden mĂŒssen.

Eine entsprechende Forderung des Bundesrats im Gesetzgebungsverfahren zur Aufnahme einer ausdrĂŒcklichen Befreiung von der ErklĂ€rungspflicht wurde nicht umgesetzt (BT-Drs. 18/11655, 27). Nach altem Recht (§ 34 BDSG aF) wurde vertreten, dass eine unbegrĂŒndete Ablehnung eines Auskunftsersuchens nicht zulĂ€ssig war. BegrĂŒndung dafĂŒr war u.a., dass dem Betroffenen mangels Kenntnis ĂŒber das Vorhandensein von persönlichen Informationen, sonst die Möglichkeit genommen wurde den Rechtsweg zu beschreiten.

Der Sinn und Zweck des § 29 BDSG ist aber der umfassende Schutz von Berufsgeheimnissen. Nach der oben stehenden Ansicht, war der Schutz des Mandatsgeheimnisses allerdings nicht umfassend gewÀhrleistet. Vielmehr sollte eine Ablehnung des Auskunftsersuchens mit Hinweis auf das Nichtbestehen eines Auskunftsanspruches ausreichend sein.

Bestellung eines Datenschutzbeauftragten

Da die DSGVO grundsÀtzlich auch auf Kanzleien anwendbar ist, ist ein Datenschutzbeauftragter zu benennen, wenn zumindest 20 Personen stÀndig mit der automatisierten Verarbeitung personenbezogener Daten beschÀftigt sind (Artikel 37 DSGVO; § 38 BDSG).

Dennoch sind auch kleine Kanzleien unter zehn Mitarbeitern nach Datenschutzrecht verantwortliche Stelle. Es ist daher auch in diesen FÀllen empfehlenswert, einen Datenschutzbeauftragten zu benennen, um den datenschutzrechtlichen Anforderungen gerecht werden zu können.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Datenverarbeitung beim Rechtsanwalt.

Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

Notfallmanagement-Tools und der Arbeitnehmerdatenschutz

In Krisenzeiten wie zur Corona-Epidemie, aber auch bei Terroranschlägen oder Naturkatastrophen überlegen viele Arbeitgeber, ob ihre bisher dokumentierten Notfallmaßnahmen im Ernstfall genügen. Im WorldWideWeb findet man eine Vielzahl an Dienstleistern, die eine leichte und automatisierte Unterstützung anbieten. Bei der Suche nach dem passenden Notfallmanagement-Tool, darf der Arbeitnehmerdatenschutz aber nicht unberücksichtigt bleiben.

Was bieten solche Notfallmanagement-Tools an?

Es gibt viele Gründe, warum ein Unternehmen ein Notfallmanagement integrieren möchte:

  • Erfüllung der Sorgfaltspflichten als Arbeitgeber durch effektiveren Schutz für die Mitarbeiter
  • Erhöhung des Schutzes für die IT-Sicherheit und Datensicherheit
  • Schadensbegrenzung durch schnelles und effektives Handeln in Krisensituationen
  • Ermöglichen einer schnellen Wiederaufnahme des Hauptgeschäfts.

In der Vergangenheit schrieb man daher umfassende Notfallhandbücher und probte den Ernstfall mit den Mitarbeitern im Rahmen von Übungen für den Feueralarm o.Ä.

Durch die Globalisierung und Vernetzung der Welt veränderte sich die Arbeitsweise nachhaltig, sodass sich Unternehmen auch auf andere Krisenszenarien und mögliche Gefahren (z.B. Terroranschlag, Cyber-Kriminalität) einstellen müssen. Verschiedene Software-Lösungen wie die von Everbridge oder Rave Mobile Safety versuchen auch diesen Bereich zu digitalisieren und ermöglichen es dem Unternehmen u.a.:

  • durch Tracking der Lokaldaten zu wissen, wer sich im Gebäude befindet, und mit diesen Personen im Notfall kommunizieren zu können,
  • die Kommunikation und die Kollaboration für die Sammlung von Personen und Evakuierungsplänen zu automatisieren,
  • Evakuierungspläne für Notfallsituationen zu automatisieren,
  • zielgerichtet mittels SMS-Textwarnmeldungen, Sprachnachrichten, Mobil-App-Warnmeldungen, digitale Anzeigen oder Desktop-Benachrichtigungen Informationen zu senden sowie
  • mit Hilfe mobiler Applikationen für das Smartphone sofort eine Nachricht an das Team zu senden.

Welche personenbezogenen Daten werden verarbeitet?

Je nach Funktionsweise des Notfallmanagement-Tools können folgende Daten der Mitarbeiter verarbeitet werden:

  • Name
  • betriebliche Kontaktdaten (E-Mail-Adresse und Telefonnummer)
  • Standort und Adresse der Arbeitsstelle
  • private Kontaktdaten
  • dynamische Standortdaten (zuletzt bekannter Aufenthaltsort und vermuteter Aufenthaltsort anhand von Check-Ins oder Kalendereinträgen)
  • aktuelle Standortdaten

Manche Notfallmanagement-Tools bieten die Möglichkeit der Verknüpfung mit dem Schlüsselsystem an. So wird getrackt, wo der Mitarbeiter zuletzt den Schlüssel verwendet hat und ob dies als Ein- oder Ausgang zu werten ist. Der Mitarbeiter kann aber auch seinen digitalen Terminkalender freigeben und anhand der Termine wird dann vermutet, wo sich der Mitarbeiter nun befindet.

Wenn das Tool auch eine App-Lösung für das Handy anbietet, können bei Zugriff auf die Ortungsdienste sogar die aktuellen Standortdaten erfasst werden.

Welche Rechtsgrundlagen kommen für die Datenverarbeitung in Betracht?

Diese Frage kann man nicht pauschal beantworten, da sie einerseits von der Funktionsweise des jeweiligen Tools, als auch von den Arten der zu verarbeitenden Daten abhängt. Aber auch der vom Unternehmen verfolgte Zweck spielt maßgeblich eine Rolle. Im Folgenden werden daher nur allgemeine rechtliche Überlegungen aufgezeigt.

§ 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (überwiegend berechtigte Interessen)

Der Arbeitgeber muss gegenüber seinen Mitarbeitern diverse Fürsorgepflichten gerecht werden und insbesondere dessen Sicherheit am Arbeitsplatz gewährleisten. Im Rahmen der Arbeitssicherheit muss der Arbeitgeber gewährleisten, dass er seine Mitarbeiter effektiv vor Gefahren schützen kann. Bei der Wahl der Mittel steht ihm hierzu auch ein gewisser Ermessensspielraum zu. Ein Notfallmanagement-Tool kann grundsätzlich zur Erhöhung der Arbeitssicherheit führen. Insoweit kann hier die Erforderlichkeit der Datenverarbeitung in der Regel grundsätzlich bejaht werden.

Da hier Mitarbeiter betroffenen sind, sind zunächst die Voraussetzungen des § 26 Abs. 1 BDSG (i. V. m. Art. 88 Abs. DSGVO) zu prüfen. Hier hat der Gesetzgeber eine Sondernorm für den Arbeitnehmerdatenschutz geschaffen. Es stellt sich also die Frage, ob ein solches Notfallmanagement-Tool gerade für die Durchführung des Arbeitsverhältnisses erforderlich ist. In der Regel gibt es bereits ein Notfallmanagement im Unternehmen, bei dem weniger Daten verarbeitet werden. Soweit man dieses ersetzen will, sollte man die Gründe für die Erwägung dokumentieren: Möglicherweise hat sich in der Vergangenheit gezeigt, dass das bisherige Notfallmanagement nicht effektiv war. Vielleicht ist sogar ein Mitarbeiter zu Schaden gekommen. Aber auch eine tatsächliche Erhöhung der Gefährdungslage für die Mitarbeiter kann den Einsatz eines solchen Tools erforderlich machen.

Falls man die Erforderlichkeit für das Arbeitsverhältnis nicht bejahen kann, wird man die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DSGVO prüfen. Hier findet dann eine umfassende Interessenabwägung statt.

Art der Daten sind maßgeblich für die Bewertung

Sowohl bei dieser Interessenabwägung nach Art. 6 DSGVO als auch bei § 26 BDSG sind die Grundsätze der Datensparsamkeit und Zweckbindung hinreichend zu beachten. Da je nach Funktionen des Tools verschiedene Arten und Anzahl an Daten verarbeitet werden, muss man hier eine differenzierte Betrachtung vornehmen. Je mehr Daten des Arbeitnehmers verarbeitet werden, umso schwerer wiegt der Eingriff in dessen Rechte und Freiheiten. Umso besser müssen die Gründe und verfolgten Zwecke hierfür sein, um dies legitimieren zu können. Am Ende der Bewertung des Tools kann man zu dem Schluss kommen, dass man einzelne Funktionen mangels Rechtsgrundlage nicht nutzen darf oder nur, soweit der Mitarbeiter freiwillig zustimmt.

Name, betriebliche Kontaktdaten und Standort der Arbeitsstelle

Diese statischen Daten sind nicht besonders schutzbedürftig, weil sie innerhalb des Unternehmens ohnehin intern bekannt sind. Mit dem Notfallmanagement-Tool und diesen Angaben wird lediglich der Arbeitsschritt der Benachrichtigung via SMS, E-Mail, oder Telefon im Falle eines Notfalls automatisiert und damit die zuständigen Personen entlastet. Es ändert sich also nur die Vorgehensweise der Datenverarbeitung, aber nicht die Art der Daten.

Private Kontaktdaten

Zwischen Arbeitsleben und Privatleben ist grundsätzlich strikt zu trennen. Außerhalb der Arbeitszeit und Arbeitsstätte überwiegen grundsätzlich die Interessen und Rechte der Arbeitnehmer an Privatsphäre. Die in der Praxis bislang herrschende Ansicht geht daher davon aus, dass der Arbeitgeber die privaten Kontaktdaten der Mitarbeiter im Falle von Notfällen nur auf Grundlage deren Einwilligung verarbeiten darf. Etwas Anderes kann sich wohl nur dann ausnahmsweise ergeben, wenn betriebliche Kontaktmöglichkeiten nicht bestehen.

Aktuelle Standortdaten

Insoweit ist zu berücksichtigen, dass ein Tool bei einer Erfassung von Standortdaten zu einer Verhaltenskontrolle und damit auch zu einer Rundumüberwachung führen kann. Dies stellt einen besonders schweren Eingriff in die Rechte und Freiheiten des Arbeitnehmers dar. In der datenschutzrechtlichen Literatur sowie der Rechtsprechung wurden einige Grundsätze zum Einsatz von Ortungssystemen und zur Auswertung des Fahrverhaltens von Beschäftigten bei Dienstwagen herausgearbeitet. Diese sind hier entsprechend zu beachten. Dazu gehören insbesondere die folgenden Punkte:

  • Verbot einer Totalüberwachung,
  • Verbot einer Überwachung im privaten Bereich und
  • Verbot einer heimlichen Überwachung.

Eine umfassende Überwachung kann nur ausnahmsweise bei Risikoberufsgruppen wie Feuerwehrmann, Soldat im Kriegseinsatz o.Ä. zulässig sein. In der Regel wird man aber die Erforderlichkeit der Datenverarbeitung verneinen müssen.

Dynamische Standortdaten

Die vorgenannten Überlegungen gelten auch hier, insbesondere wenn die Bewegungsabläufe innerhalb des Gebäude durch eine Verknüpfung mit dem Schlüsselsystem getrackt werden. Die Freigabe von digitalen Terminkalendern stellt allerdings ein milderes Mittel dar, da die Standortdaten ungenauer ermittelt werden. Bei Mitarbeitern, die viele Dienstreisen im Ausland wahrnehmen – insbesondere in Krisengebieten – kann diese Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein.

Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung)

Bei all den Datenarten oder Funktionen des Notfallmanagement-Tools, die weder nach § 26 Abs. 1 BDSG noch auf Grundlage eines überwiegenden Interesses des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO begründet werden können, kann die Datenverarbeitung nur auf eine Einwilligung gestützt werden. Die Einwilligung ist demnach in der Regel für folgende Informationen einzuholen:

  • private Kontaktdaten
  • dynamische Standortdaten
  • Freigabe der Ortungsdienste auf dem Handy bei Nutzung der App

Hierbei gilt es § 26 Abs. 2 Satz 3 BDSG zu beachten, wonach die Einwilligung von Mitarbeitern schriftlich oder oder elektronisch zu erfolgen hat. Der Arbeitgeber muss seine Mitarbeiter also vorab umfassend über die Datenverarbeitung und deren Rechte informieren. Zudem muss klargestellt werden, dass die Verweigerung einer Einwilligung das Arbeitsverhältnis nicht nachteilig beeinflusst.

Was muss ich als Arbeitgeber noch vor der Implementierung beachten?

Es ist an den Betriebsrat zu denken, da sich aus § 87 Nr. 6 Betriebsverfassungsgesetz ein Mitbestimmungsrecht für diesen ergeben kann. Eventuell bestehen auch schon sonstige Kollektivvereinbarungen, die ebenfalls bei der rechtlichen Bewertung zu berücksichtigen sind.

Soweit es sich um eine Software-as-a-Service Lösung handelt und der Software-Anbieter Zugriff auf Mitarbeiterdaten erhält, bedarf es den Abschluss einer Vereinbarung zur Auftragsverarbeitung i. S. v. Art. 28 DSGVO. Wenn ein Drittlandsbezug bei der Datenverarbeitung besteht, dann ist auch immer an den Abschluss von EU-Standardvertragsklauseln zu denken.

Je mehr Funktionen das Tool bietet und damit die Zahl der verarbeiteten Daten steigt, umso mehr ist auf die Datensicherheit zu achten. Der IT-Sicherheitsbeauftragte sollte daher einen prüfenden Blick auf die technischen und organisatorischen Maßnahmen werfen. Bei der Auswertung von aktuellen Standortdaten kann sich zudem eine Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergeben.

Aufgrund der rechtlichen Komplexität sollte der Datenschutzbeauftragte frühzeitig bei der Auswahl eines Notfallmanagement-Tool einbezogen werden. Er kann am besten beurteilen, welche Funktionen unter Berücksichtigung des Arbeitnehmerdatenschutzes eingesetzt werden können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Notfallmanagement-Tools und der Arbeitnehmerdatenschutz.

Sie arbeiten gerade im Home-Office? Unerlaubte Offenlegung: Wann muss ein Datenschutzvorfall gemeldet werden?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wann muss ein Datenschutzvorfall gemeldet werden?

Wann muss ein Datenschutzvorfall gemeldet werden?

Seit Inkrafttreten der DSGVO ist die Zahl der gemeldeten DatenschutzvorfÀlle immens gestiegen. Alleine im Jahr 2019 gab es europaweit mehr als 40.000 Datenpannen, wovon die meisten in Deutschland registriert wurden. Was die Auslöser von DatenschutzvorfÀllen und die gesetzlichen Anforderungen bei der Meldung sind, lesen Sie hier.

Auslöser eines Vorfalls

Die Pflicht zur Meldung von DatenschutzvorfÀllen ist in Art. 33 DSGVO geregelt

Demnach ist vonseiten eines Verantwortlichen eine Meldung bei der zustĂ€ndigen Aufsichtsbehörde durchzufĂŒhren, falls eine Verletzung des Schutzes personenbezogener Daten eintritt. Doch was bedeutet eine Verletzung des Schutzes personenbezogener Daten? Hierzu hilft der Definitionskatalog in Art.4 Nr. 12 DSGVO. Eine solche liegt demnach vor bei einer Verletzung der Sicherheit, die zur

  • Vernichtung,
  • Verlust,
  • VerĂ€nderung,
  • unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten fĂŒhrt, die ĂŒbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Wann liegt eine Vernichtung und ein Verlust vor?

Nun eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten der Betroffenen faktisch nicht mehr oder nicht mehr in irgendeiner bekannten Form existieren, die fĂŒr den Verantwortlichen von Nutzen sind. Ursache dessen kann z.B. das Zerstören einer Festplatte sein.

Beim Verlust von personenbezogenen Daten handelt es sich oftmals um die nicht mehr vorhandene Zugriffsmöglichkeit, beispielsweise ein gestohlener Laptop. Denn faktisch sind die personenbezogenen Daten auf dem GerĂ€t, jedoch besteht keine Zugriffsmöglichkeit mehr fĂŒr den Mitarbeiter bzw. dem Verantwortlichen.

Eine Verletzung besteht auch dann, wenn der Zustand nicht dauerhaft ist. Beide Begriffe verleiten dazu, dass sie endgĂŒltig verstanden werden. An dieser Stelle sollte klar darauf hingewiesen werden, dass die Verletzung auch bei vorĂŒbergehenden Einwirkungen besteht. Ein Verlust, sogar in besonderen FĂ€llen eine Vernichtung, kann nĂ€mlich auch nur temporĂ€r sein.

VerÀnderung personenbezogener Daten

Diese liegt vor, wenn der Inhalt personenbezogener Daten umgestaltet wird. Ein in der Praxis hĂ€ufig angewandte Methode ist die SQL-Injection. Dabei erfolgt ein Angriff ĂŒber eine Web-Anwendung, um auf eine Datenbank zuzugreifen. Damit können Bankkonten, Adressen oder sonstige personenbezogene Daten entwendet werden.

In der EU wurde bislang noch kein bußgeldbewehrter Fall öffentlich – in den USA gibt es bereits BeispielfĂ€lle.

Unbefugte Offenlegung

Eine Offenlegung liegt meist vor, wenn Dritten die Möglichkeit zur Kenntnisnahme ermöglicht wird. Ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine hierzu nicht-autorisierte Person Kenntnis oder den Besitz an einem GerÀt, auf dem diese personenbezogenen Daten verarbeitet werden, erlangt hat.

Hierbei wirkt der Dritte immer als Außenstehender bzw. verantwortliche fremde Person. Allerdings kann ebenfalls ein Mitarbeiter innerhalb eines Unternehmen als unbefugte Person qualifiziert werden und personenbezogene Daten offenlegen, indem ihm keine Zugriffsrechte eingerĂ€umt wurden oder keine Autorisierung erfolgte.

In der Praxis wurde ein Großteil der Bußgelder aufgrund der unbefugten Offenlegung erlassen. Prominente FĂ€lle waren Marriot, British Airways und auch deutsche Unternehmen Knuddels.

Rolle der Aufsichtsbehörde

Beim Melden eines Datenschutzvorfalls an die Aufsichtsbehörde nach Art.33 Abs. 1 DSGVO erhÀlt die jeweilige Aufsichtsbehörde eine Doppelstellung. Sie können nÀmlich sowohl beratend als auch kontrollierend tÀtig werden.

Sollten in komplexen Situationen sowohl der Verantwortliche als auch der zustĂ€ndige Datenschutzbeauftragte den potentiellen Datenschutzverstoß nicht einschĂ€tzen können, so können sie Beratung der Aufsichtsbehörde einholen. Dazu legitimiert Art. 57 Abs. 1 lit. c DSGVO die Aufsichtsbehörde. Eine Beratung kommt ebenfalls in Betracht, wenn es um die Auswahl und Umsetzung von Abhilfemaßnahmen einer Schutzzielverletzung oder zu Abmilderung der Folgen geht.

In der Regel erfolgt ein Kontrollverfahren der Aufsichtsbehörden nicht unmittelbar nach der Meldung eines Datenschutzvorfalls. Das Kontrollverfahren wird meist erst dann eingeleitet, wenn sich Anhaltspunkte dazu ergeben, dass der Verletzung unzureichende Schutzmaßnahmen nach Art.33 DSGVO zugrunde liegen. Beispielhaft dafĂŒr sind unzureichende Abhilfemaßnahmen, eine unzureichende Beschreibung der technisch-organisatorischen Maßnahmen oder das Überschreiten der Meldefrist der Auslöser eines Kontrollverfahrens sein.

Den Überblick behalten

Wichtig ist, dass Sie einen Prozess zur Reaktion auf einen Datenschutzvorfall innerhalb ihres Unternehmens implementiert haben. Dies ist insofern relevant, um die 72-Stunden-Frist einzuhalten. DafĂŒr ist es entscheidend, dass die Mitarbeiter sensibilisiert sind und einen Datenschutzvorfall erkennen. Über eine genaue Beschreibung des Prozesses haben wir bereits in Vergangenheit berichtet.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Wann muss ein Datenschutzvorfall gemeldet werden?.

Kurzes ErklĂ€rvideo: “Was ist eigentlich das Problem mit… Cookies, Webfonts & Co.”?

Was ist eigentlich das Problem mit … Cookies, Webfonts und Co.?

Ein kurzes ErklÀrvideo zum Grundproblem von Cookie, Webfonts & Co. Das Problem an sich ist, dass die IP-Adresse des Besuchers der Website an einen Dritten, oft an eine andere Firma weitergegeben wird. Diese kann dann u.U. Profile bilden und stellt ZusammenhÀnge zu eigenen (Marketing-) Zwecken her.

Wir haben auch den sehr interessanten SFC-Newsletter...

SFC hilft Ihnen wenn Sie mögen!

DSGVO & Datenschutz sind super! Wenn man weiß, was zu tun ist… Wir melden uns gerne bei Ihnen!

Sie registrieren sich fĂŒr unseren Newsletter. NatĂŒrlich wird Ihre Registrierung durch einen Double-Opt-In abgesichert.