Hacker kapern Facebooks Twitter- und Instagram-Accounts

IT-Security

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Hacker kapern Facebooks Twitter- und Instagram-Accounts

Hacker kapern Facebooks Twitter- und Instagram-Accounts

Die Hackergruppe OurMine hat die offiziellen Twitter- und Instagram-Accounts von Facebook gekapert.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Hacker kapern Facebooks Twitter- und Instagram-Accounts.

Alkolock: Sicherheit im Verkehr und im Datenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Alkolock: Sicherheit im Verkehr und im Datenschutz

Alkolock: Sicherheit im Verkehr und im Datenschutz

Jeden Tag sterben in Deutschland durchschittlich 8 Personen im Straßenverkehr und die Zahl der Verletzten ist sogar im vierstelligen Bereich. Bei einer Vielzahl von Verkehrsunfällen spielt leider der Alkoholkonsum eine nicht unerhebliche Rolle. Um die Verkehrssicherheit zu erhöhen, bieten einige Autohersteller den Einbau von sog. Alkohol-Interlock-Systemen, kurz Alkolock, an. Mit diesem Beitrag wird kurz erläutert, was es mit solchen Alkolocks auf sich hat und weshalb auch hier der Datenschutz Beachtung finden muss.

Funktionsweise von Alkolock

Ein Alkolock besteht aus zwei verschiedenen Elementen: Zunächst gibt es ein Alkohol-Handmessgerät, in dem der Fahrer oder die Fahrerin „reinpustet“ und welches den Alkoholwert in der Atemluft misst. Dieses sendet wiederum die Werte an das zweite Gerät. Bei diesem handelt es sich um ein Steuerelement, welches mit der Motorzündung verbunden ist. Nur wenn der gemessene Alkohol-Wert unter dem eingestellten Grenzwert liegt, lässt die Steuereinheit ein Starten des Motors zu.

Der für Deutschland einzustellende Wert ergibt sich aus § 24 a Abs. 1 StVG, wonach Fahrzeugführer eine Ordnungswidrigkeit begehen, wenn dieser

„0,5 Promille oder mehr Alkohol im Blut oder eine Alkoholmenge im Körper hat, die zu einer solchen Atem- oder Blutalkoholkonzentration führt“.

Der Alkolock verhindert also bereits den Beginn einer alkoholisierten Autofahrt und wirkt daher ähnlich wie ein guter Freund, der einem den Autoschlüssel wegnimmt. Dies ist natürlich wirksamer als Polizeikontrollen, die nur in Einzelfällen eine alkoholisierte Weiterfahrt unterbinden können, wenn sie mal jemanden erwischen.

Der Vollständigkeitshalber sollen noch die weiteren wichtigen Werte im Straßenverkehr für Autofahrer genannt werden:

  • Bereits bei einem Blutalkoholwert von 0,3 Promille besteht im strafrechtlichen Sinne eine sog. relative Fahruntüchtigkeit, soweit Ausfallerscheinungen wie Schlängellinien-Fahren, verlangsamte Reaktionen, Beeinträchtigungen des Sprachvermögens etc. hinzutreten.
  • Wird man mit Werten von mehr als 1,1 Promille erwischt, folgt die unwiderlegbare Vermutung, dass man nicht mehr fahrtüchtig sei.

Wenn neben der Fahruntüchtigkeit noch eine Gefährdung für Leib oder Leben anderer Menschen oder für Sachgüter hinzutritt, handelt es sich nicht mehr nur um eine Ordnungswidrigkeit, sondern um eine Straftat nach § 316c StGB.

Aktueller Stand der Nutzung

In den USA und Kanada werden solche Alkolocks bereits seit Jahren eingesetzt. Aber auch in unseren Nachbarländern ist deren Einsatz nicht neu. In den skandinavischen Ländern, Belgien, Polen und Frankreich haben Alkoholsünder meist die Wahl: Entweder dürfen diese für einen bestimmten Zeitraum nur noch mit eingebauten Alkolocks fahren. Oder aber sie müssen ihren Führerschein für eine wesentlich längere Zeit abgeben. In Schweden ist der Einbau von Alkolocks für Schulbus- und Taxifahrer als präventive Vorsichtsmaßnahme sogar gesetzlich vorgeschrieben.

In Deutschland wird der verpflichtende Einbau von Alkolocks zwar schon seit einigen Jahren diskutiert. Insbesondere ein Arbeitskreis des Deutschen Verkehrsgerichtstages empfiehlt den Einsatz von Alkolock im Rahmen von Straßenverkehrsdelikten unter Alkoholeinfluss. Fahrer sollen so die Möglichkeit haben, einem vollständigen Entzug der Fahrerlaubnis entgehen oder eine Sperrfrist verkürzen zu können. Eine Integration dieser Alternative in das deutsche Rechtssystem ist allerdings nicht so einfach, da der Besitz der Fahrerlaubnis an die Eignung und das Verantwortungsbewusstsein des Fahrers gebunden ist. Gemäß § 69 Abs. 2 StGB gelten Personen aber regelmäßig als ungeeignet zum Führen von Kraftfahrzeugen, wenn sie wegen Trunkenheit im Verkehr verurteilt wurden. Es entstünde also ein Wertungswiderspruch zu § 3 StVG, sodass Alkolocks lediglich bei bloßen Ordnungswidrigkeiten als Sanktionsalternative infrage käme.

Für einen freiwilligen Einsatz dieser Alkolocks schrecken die hohen Kosten für Einbau und Wartung noch zu sehr ab. Diese liegen derzeit bei mehreren tausend Euro.

Zudem wurde im Rahmen einer Studie aus den USA festgestellt, dass die Ursachen für Alkoholfahrten nicht behoben werden und daher die Wiederholungsgefahr genauso hoch ist, wie wenn der Fahrer ohne Alkolock seine Sperrzeit abgewartet hätte. Nur eine Kombination aus Alkolock und verkehrspsychologischer Betreuung führen letztlich zu einer dauerhaften Verhaltensverbesserung.

Und was hat das mit Datenschutz zu tun?

Wenn man Alkohol zu sich nimmt, beeinträchtigt dies – je nach Alkoholmenge und Trinkfestigkeit – die kognitiven und physischen Fähigkeiten. Der Atemalkoholwert lässt also Rückschlüsse auf den temporären Gesundheitszustand einer Person zu. Wenn dieser „temporäre“ Zustand immer wieder gemessen wird, lässt sich zudem auf eine Alkoholsucht schließen. Es handelt sich damit um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Diese sind besonders sensibel und bedürfen daher eines höheren Schutzes. Die Messung der Atemluft und das Übermitteln des Wertes zwischen dem Messgerät an das Steuerelement stellt auch eine automatische Datenverarbeitung dar, sodass der Anwendungsbereich der DSGVO grundsätzlich eröffnet ist.

Darüber hinaus werden aber noch weitere Daten erhoben:

  • Datum und Uhrzeit der Atemprobe
  • ggf. Verweigerung der Atemprobe
  • Motorstart und -verweigerung.

Um Manipulationsversuche des Fahrers zu unterbinden, indem er beispielsweise seinen nüchternen Beifahrer pusten lässt, sind Erweiterungen der Geräte in Form von Kameras zur Durchführung von Gesichtserkennungen ebenfalls verfügbar.

Rechtsgrundlage für die Datenverarbeitung

Privatmann

Wenn man ein solches Alkolock-System freiwillig in sein privates Fahrzeug einbauen lässt, dann befindet man sich im persönlichen und familiären Bereich, für den nach Art. 2 Abs. 2 lit. c DSGVO die Bestimmungen der DSGVO keine Anwendung finden. In diesem Falle muss man sich als Privatperson erstmal keine weiteren Gedanken über die Rechtmäßigkeit der Datenverarbeitung machen.

Nichtöffentliche Stelle: Arbeitgeber

Anders sieht dies aber für einen Arbeitgeber aus, der Alkolocks in seinen Firmenfahrzeugen einbauen lassen will. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, außer es liegt ein gesetzlicher Ausnahmegrund vor.

Die betroffenen Beschäftigten können natürlich gemäß Art. 9 Abs. 2 lit. a DSGVO in die Verarbeitung ihrer Gesundheitsdaten einwilligen. Dies muss aber einerseits freiwillig erfolgen, was mit Hinblick auf das typische Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten fragwürdig erscheint. Andererseits kann eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Dies stellt also im Arbeitsverhältnis keine taugliche Rechtsgrundlage dar. In Deutschland müssen zudem die Bestimmungen aus § 26 Abs. 1 und 2 BDSG (i. V. m. Art. 88 DSGVO) beachtet werden.

Art. 9 Abs. 2 lit. h und Abs. 3 DSGVO („Verarbeitung für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“) scheitert daran, dass der Atemalkoholwert nicht durch Berufsgeheimnisträger oder andere der Geheimhaltungspflicht unterliegenden Personen erhoben wird. Allerdings könnte für Deutschland § 26 Abs. 3 S. 1 BDSG greifen. Dieser sieht eine solche Einschränkung nicht vor. Hier muss aber eine Interessenabwägung zwischen dem Interesse des Beschäftigten an einer Nichtverarbeitung seiner Gesundheitsdaten und den arbeitsrechtlichen Fürsorgepflichten des Arbeitgebers vorgenommen werden. Folgende Fragen muss man sich hierbei unter anderem stellen: Ist der Beschäftigte ein Berufsfahrer? Befördert er andere Personen, für die gewisse Fürsorgepflichten zu ergreifen sind?

Bei Vorliegen einer entsprechenden Kollektivvereinbarung kann ggf. § 26 Abs. 4 BDSG i. V. m. Art. 9 Abs. 2 lit. b und 88 DSGVO als Rechtsgrundlage in Betracht kommen.

Art. 9 Abs. 2 lit. c DSGVO („Schutz lebenswichtiger Interessen“) dürfte wohl als Rechtsgrundlage nur greifen, wenn sich eine Person im Vollrausch befindet und daher nicht mehr fähig ist, eine Einwilligung abzugeben. Und auch wenn dieser Rauschzustand für jeden offen erkennbar sein sollte, liegt nicht Art. 9 Abs. 2 lit. e DSGVO kumulativ vor, weil der – berauschte- Betroffene die Bekanntgabe wohl nicht willentlich gemacht hat. Dies wäre allerdings erforderlich.

Nichtöffentliche Stelle: Carsharing

Auch Carsharing-Unternehmen hätten ein Interesse daran, dass ihre Fahrzeuge nicht von alkoholisierten Personen genutzt werden. Zwar stehen sich hier Unternehmen und Nutzen gleichrangig gegenüber, sodass die Freiwilligkeit nicht wie im Arbeitsverhältnis von Anfang an als fragwürdig erscheint. Schwierig wird es aber dann, wenn die Weigerung zur Abgabe der Einwilligung zu der für den Nutzer nachteiligen Konsequenz führt, dass er das Fahrzeug nicht nutzen darf. Insoweit könnte hier ein Verstoße gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO begründet werden.

Die Rechtsgrundlagen im Zusammenhang mit einem Arbeitsverhältnis passen hier nicht, da der Carsharing-Nutzer kein Beschäftigter ist.

Seit dem 26.11.2019 wurde der § 22 Abs. 1 Nr. 1 BDSG um einen weiteren Ausnahmegrund erweitert. Danach dürfen abweichend von Art. 9 Abs. 1 DSGVO Gesundheitsdaten durch nichtöffentliche verarbeitet werden, wenn dies

„aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist (…) und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person überwiegen.“

In seinem Gesetzesentwurf zum 2. DSAnpUG-EU (S. 256) werden als erhebliche öffentliche Interessen u. a. die Bekämpfung von Pandemien, Katastrophenschutzes oder hinsichtlich Religionsdaten Präventions-und Deradikalisierungsprogramme aufgelistet. Nichtöffentliche Stellen, die besondere Daten geschäftsmäßig verarbeiten, sollen sich allerdings nicht hierauf stützen können. Für Carsharing-Unternehmen dürfte die Interessenlage nicht vergleichbar sein, sodass diese sich wohl nicht hierauf stützen können.

Datensicherheit

Die vom Alkolock erfassten Daten werden grundsätzlich verschlüsselt in dem Steuergerät gespeichert. Nur mit einer speziellen Software können diese Daten dann ausgelesen werden. Insbesondere wenn die Alkolocks durch Unternehmen eingesetzt werden, müssen die Zugriffsberechtigungen sowie die Bedingungen für eine Datenauswertung geregelt werden.

Don´t drink and drive!

Der deutsche Gesetzgeber muss noch einige Hürden nehmen, eh solche Alkolocks auf den deutschen Straßen alltäglich werden. Aber auch wenn diese Hürden beseitigt sind, werden weitere Fragen aufkommen. Wie ist schließlich damit umzugehen, wenn jemand immer wieder nur mit Hilfe des Alkolocks vom Fahren im alkoholisierten Zustand abgehalten wird? Dieser kennt dann ja anscheinend seine Grenzen nicht und wäre daher ungeeignet zum Führen von Fahrzeugen. Dürfen Behörden dann auf diese Daten zugreifen, um entsprechende Sanktionen vorzunehmen?

Bis dahin kann jeder seinen Anteil dazu beitragen, die Straßen sicherer zu machen und auf Alkohol am Steuer verzichten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Alkolock: Sicherheit im Verkehr und im Datenschutz.

Neues vom Standard-Datenschutzmodell

SFC | Stephan Frank Consulting

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!
HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Neues vom Standard-Datenschutzmodell

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

Neues vom Standard-Datenschutzmodell

Die halbjährliche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) verabschiedete Anfang November 2019 eine neue Version des Standard-Datenschutzmodells (SDM-V2). Damit ist die knapp dreijährige Auswertungsphase des Modells beendet. Wir stellen das Ergebnis vor.

The post Neues vom Standard-Datenschutzmodell appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Neues vom Standard-Datenschutzmodell.

Kurzes Erklärvideo: “Was ist eigentlich das Problem mit… WhatsApp & Co.”?

Was ist eigentlich das Problem mit... WhatsApp & Co.?

Ein kurzes Erklärvideo zum Grundproblem mit WhatsApp & Co. Das Problem an sich ist, dass die Kommunikation Deutschland bzw. Europa verlässt. Allerdings hat eine Aufsichtsbehörde für den Datenschutz in Deutschland zumindest – unter bestimmten technischen Voraussetzungen – ein Einsatz von WhatsApp bei Behörden / Öffentlichen Stellen möglich ist. Wie das geht, sehen Sie im Video. Und dann, gerne melden!

So setzen Unternehmen die DSGVO um

SFC | Stephan Frank Consulting

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: So setzen Unternehmen die DSGVO um

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

So setzen Unternehmen die DSGVO um

Ein großer Teil der deutschen Unternehmen setzt bei der Umsetzung der DSGVO auf die Unterstützung von speziellen Softwarelösungen. Das hat der Branchenverband Bitkom im Rahmen einer Befragung herausgefunden.

The post So setzen Unternehmen die DSGVO um appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: So setzen Unternehmen die DSGVO um.

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Liebe Leser!
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten
Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten

Das beste Datenschutzmanagement und die ausgefeilteste IT-Sicherheit helfen wenig, wenn an Schulungen und Sensibilisierung von Mitarbeitern gespart wird. Diese gehören zum Grundrepertoire des datenschutzrechtlichen Einmaleins. Doch kann die Schulungsdokumentation Verantwortliche vor Herausforderungen stellen. Denn einerseits soll diese zum Wohle der Rechenschaftspflicht umfassend erfolgen, andererseits kann eine überschießende Speicherung wiederum für einen neuen Datenschutzverstoß sorgen. Wir geben einen Überblick.

Emotet und andere Späße

Mittlerweile ist im datenschutzrechtlichen Karussell etwas Ruhe eingekehrt, die Grundregeln sind scheinbar bekannt. Auf die Pflicht folgt nun bei vielen Unternehmen die Kür. Besonders in den letzten Wochen und Monaten zeigt sich immer mehr, dass die größten Haftungsrisiken für Unternehmen und andere verantwortliche Stellen im Bereich des Datenschutzes nicht in fehlerhaften Cookie-Bannern oder unvollständigen Datenschutzerklärungen auf der eigenen Website liegen. Vielmehr sorgen IT-Sicherheitslücken und Cyberattacken fast täglich für Schlagzeilen.

Die Schlagzeilen der letzten Wochen und Monate über Datenschutzvorfälle sowie lahmgelegte Unternehmen und Behörden zeigen, dass solche Angriffe oftmals auf das schwächste Glied in der Kette zielen: Den Menschen. Insbesondere die Schadsoftware „Emotet“ erwies sich hierbei als beängstigend effektiv. Die Malware zeichnet sich durch äußerst authentisch wirkende Spam-Mails aus, die anhand vorher ausgelesenen Daten aus E-Mails und Adressbüchern kaum von Originalen zu unterscheiden sind. Auch der LfDI Baden-Württemberg warnt in seinem aktuellen Tätigkeitsbericht (S. 28) vor Spear Phishing und Malware, da diese in der Praxis Unternehmen immer noch große Probleme bereiten und schnell existenzbedrohend werden können. So sollten

„auch kleine Firmen […] bei einem mehrtägigem bis teils mehrwöchigem Ausfall ihres IT-Netzes und den dabei anfallenden Lohnkosten, entgangenen Aufträgen, Strafzahlungen durch nicht eingehaltene Termine, Reputationsverlust, Bußgeldern, Lösegeldforderungen der Hacker, Kosten für spezialisierte IT-Firmen etc. von einem mindestens fünf- bis sechsstelligem Schaden ausgehen.“

Die beste IT-Sicherheit ist nicht viel wert, wenn die angegriffene Schwachstelle der Mitarbeiter selbst ist. Verantwortliche müssen diesem Problem daher auf andere Art und Weise Herr werden.

Schulungen als organisatorische Maßnahme

Die Datenschutz-Grundverordnung (DSGVO) enthält in Art. 5 DSGVO diverse Grundsätze, die sich durch das Fundament jedes datenverarbeitenden Prozesses ziehen.

Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO verpflichten den Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Eine leicht durchzuführende und effektive organisatorische Maßnahme stellt die regelmäßige Schulung der Mitarbeiter dar. Hierin können einerseits datenschutzrechtliche Grundlagen, aber auch konkrete Handlungsanweisungen und Fallbeispiele hinsichtlich der Gefahren durch Malware und Social Engineering vermittelt werden.

Welche Inhalte bei einer solchen Schulung vermittelt werden können, haben wir an anderer Stelle bereits beleuchtet. Hier gilt: Weniger ist mehr. Anstatt Mitarbeiter mit ganztägigen Veranstaltungen zu quälen, sollten Schlaglichter gesetzt und aktuelle Problematiken besprochen werden.

Dokumentation und Speicherung

Die Durchführung einer Schulung sollte dokumentiert werden. So kann es im Einzelfall durchaus darauf ankommen, ob die Teilnahme an einer Schulung durch bestimmte Mitarbeiter nachgewiesen werden kann. Im Falle eines Datenschutzvorfalls stellt sich nämlich schnell die Frage, ob die verantwortliche Stelle alle erforderlichen Maßnahmen getroffen hat, um einen solchen Vorfall im Vorfeld zu vermeiden.

Üblicherweise werden bei Schulungen Teilnehmerlisten geführt, welche Teilnehmer- und Referentendaten sowie Zeitpunkt und Thema der Schulung beinhalten. Die Pflicht zur Dokumentation durchgeführter Schulungen lässt sich Art. 5 Abs. 2 DSGVO entnehmen, welcher eine Rechenschaftspflicht über ergriffene Maßnahmen enthält.

Spätestens bei einer Wiederholung solcher Schulungen oder beim Ausscheiden des Mitarbeiters aus dem Unternehmen entsteht jedoch ein Spannungsverhältnis zwischen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO. Wo die Rechenschaftspflicht verlangt, dass die Einhaltung der technischen und organisatorischen Maßnahmen nachgewiesen werden kann, fordert die Speicherbegrenzung die Löschung von Daten nach Fortfall des Zwecks.

Somit stellt sich die Frage: Wie lange dürfen und müssen Belege von durchgeführten Schulungen tatsächlich aufbewahrt werden?

Keine gesetzliche Regelung

Ein Blick ins Gesetz lässt uns zunächst ernüchtert zurück. Weder enthält dieses Regelungen über die Dokumentation selbst, noch gibt es uns konkrete Handlungsanweisungen an die Hand, die Aufschluss über zulässige Speicherfristen geben könnten. Art. 5 Abs. 1 lit. e DSGVO besagt lediglich, dass Maßstab für die Frist der Speicherung der jeweils verfolgte Zweck sein soll.

Die Dokumentation von durchgeführten Schulungen bei aktuell angestellten Beschäftigten dürfte für die Dauer des Beschäftigungsverhältnisses somit relativ unproblematisch begründbar sein. Denn es kommt für den Verantwortlichen mitunter nicht nur darauf an, die Regelmäßigkeit von Unterweisungen belegen zu können. So besteht darüber hinaus auch ein Bedürfnis daran, bezüglich eines einzelnen, langjährigen Mitarbeiters nachweisen zu können, dass dieser durchgehend geschult wurde.

Diese Belege können als Bestandteil der Personalakte somit im Zweifel über die gesamte Dauer des Beschäftigungsverhältnisses gespeichert werden. Ob dies in jedem Einzelfall gilt, hängt maßgeblich von den vom Mitarbeiter übernommenen Aufgaben im Unternehmen und der Relevanz entsprechender Schulungen hierfür ab.

Dieses Bedürfnis endet jedoch in der Regel spätestens dann, wenn der Mitarbeiter schließlich das Unternehmen verlässt.

Zivilrechtliche Verjährungsfristen

Doch auch nach dem Ende des Arbeitsverhältnisses könnten tragfähige Gründe für eine Aufbewahrung von Teilnehmerlisten oder Zertifikaten bestehen. So sieht Art. 82 DSGVO einen Ersatzanspruch Betroffener gegen den Verantwortlichen vor, wenn diesen ein Schaden aufgrund eines Datenschutzverstoßes entstanden ist.

Diese Regelung unterliegt den nationalen Gesetzen zur Verjährung. In Anwendung der §§ 195, 199 BGB verjähren diese Schadensersatzansprüche somit 3 Jahre nach dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis von den Umständen erlangt hat oder ohne grobe Fahrlässigkeit hätte erlangen müssen.

Da Art. 82 Abs. 3 DSGVO eine Exkulpationsmöglichkeit für den Verantwortlichen ausdrücklich vorsieht, muss er zumindest in die Lage versetzt werden, sich bis zum Ablauf der zivilrechtlichen Verjährungsfrist rechtfertigen zu können.

Zwar können die konkreten Zeiträume, in welchen diese Verjährungsfrist beginnt, durchaus vom Beendigungszeitpunkt des Beschäftigungsverhältnisses abweichen. Jedoch erscheint es sachdienlich, im hier besprochenen Fall von drei Jahren ab dem Jahr des Austritts auszugehen. Allgemeinere Überlegungen zum Thema Verjährungsfristen und Löschpflichten haben wir an anderer Stelle genauer beleuchtet.

Verfolgungsverjährung nach dem OWiG

Ein weiterer – und für Unternehmen dieser Tage ungleich relevanterer – Aspekt der datenschutzrechtlichen Haftung stellen derzeit mit Sicherheit die Bußgelder dar, welche die Aufsichtsbehörden gegen Verantwortliche festsetzen können.

Hierfür gelten nach § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Ein Blick in § 31 Abs. 2 Nr. 1 OWiG zeigt, dass die sogenannte „Verfolgungsverjährung“ im Falle eines bußgeldbewährten Verstoßes gegen die DSGVO drei Jahre ab „Begehung der Tat“ eintritt. Da die Begehungshandlung durch den hier im Raume stehenden Mitarbeiter wohl spätestens am letzten Arbeitstag erfolgen kann, wäre dies auch der maßgebliche Zeitpunkt.

Abgestufte Dokumentation der Schulungen

Nun stehen Verantwortliche vor der Problematik, mit einer Vielzahl unterschiedlicher Verjährungsfristen und Argumenten für längerfristige Aufbewahrung von Teilnehmerlisten konfrontiert zu sein. Grundlegende Ordnung in das Chaos könnte ein abgestuftes Dokumentationssystem liefern. So wäre es beispielsweise denkbar,

  • konkrete Teilnehmerlisten einzelner Schulungen lediglich bis zur nächsten, thematisch ähnlichen Schulung aufzubewahren.
  • Ab diesem Zeitpunkt könnte eine Dokumentation der grundsätzlichen Teilnahme in der Personalakte, aber ohne eine konkrete Teilnehmerliste, angeschlossen werden.
  • Für längerfristige Dokumentation bietet es sich an, den allgemeinen Prozess zur Durchführung regelmäßiger Schulungen detailliert zu dokumentieren. So kann im Zweifelsfall immer noch dargelegt werden, dass zum Zeitpunkt der Beschäftigung des Mitarbeiters regelmäßige, verpflichtende Schulungen durchgeführt wurden.

Es kommt wie immer auf die Interessenlage an

Letzten Endes wird sich die Frage nach der zulässigen Speicherdauer von Teilnehmerlisten oder sonstigen Schulungsnachweisen wie so oft nicht pauschal beantworten lassen. Durchaus vertretbar erscheint es aber, Nachweise bis zum Ablauf etwaiger Verjährungsfristen aufbewahren zu dürfen.

Zwar gibt es auch hier Gegenansichten, welche für eine solche Speicherung verlangen, dass es zumindest Anhaltspunkte für einen drohenden Rechtsstreit geben müsse. Diese Ansicht vermag angesichts der Tatsache, dass Verantwortliche oftmals schlicht nicht wissen, ob durch unerkannt gebliebene Datenschutzverstöße konkrete Schäden entstanden sind, nicht zu überzeugen. Die Entscheidung über die Gefahr drohenden Rechtsstreits wird hierbei regelmäßig nicht mit hinreichender Sicherheit gefällt werden können.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Bild der Seminarteilnehmer habe ich eingefügt (Lizenziert: Shutterstock). Hier geht’s zum Original: Schulungen im Unternehmen: Aufbewahrungsfrist von Teilnehmerlisten.

Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen

Wer gedacht hat, man würde den Brexit – ebenso wie die Fertigstellung des BER – nicht mehr erleben, der wurde eines Besseren belehrt: Der Austritt des Vereinigten Königreichs aus der EU ist nach einer gefühlten Ewigkeit erfolgt. Um Unklarheiten zu beseitigen, widmet sich dieser Beitrag den datenschutzrechtlichen Auswirkungen der neuesten Brexit-Entwicklungen auf Unternehmen.

Bye Bye, Britannia?

Was für ein Paukenschlag: In der Nacht vom 31. Januar auf den 01. Februar 2020 ist das Vereinigte Königreich Großbritannien und Nordirland aus der Europäischen Union ausgetreten. Lang genug hat es gedauert – wer erinnert sich nicht an den sagenumwobenen 23. Juni 2016, an welchem sich eine knappe Mehrheit der Wähler Großbritanniens als not amused entpuppte.

Nach all dem Brexit-Tohuwabohu wurde das Austrittsabkommen mit dem Vereinigten Königreich unterzeichnet, mit Ablauf des 31. Januars trat es in Kraft. Für Freudentränen und Trauerfeiern ist es jedoch zu früh – gemäß Art. 126 des Austrittsabkommens gilt eine Übergangsfrist bis Ende 2020.

Zumindest aber leuchtet schon einmal ein Licht am Ende des Tunnels. Ob dieses himmlische Erlösung prophezeit oder ob es sich um einen heranbrausenden Zug handelt, darüber hat sich jeder selbst eine Meinung zu bilden.

Was erwartet Unternehmen während der Übergangsfrist?

Nun, ganz einfach: Business as usual. Solange die Frist läuft, gilt das Unionsrecht auch weiterhin für das Vereinigte Königreich – und damit auch die DSGVO. Geregelt ist dies in Art. 127 Abs. 1 und 6 des Austrittsabkommens:

„Unless otherwise provided in this Agreement, Union law shall be applicable to and in the United Kingdom during the transition period.

Unless otherwise provided in this Agreement, during the transition period, any reference to Member States in the Union law applicable pursuant to paragraph 1, including as implemented and applied by Member States, shall be understood as including the United Kingdom.“

Die Uhr tickt, da die Übergangsfrist gemäß Art. 132 Abs. 1 des Austrittsabkommens lediglich bis zum 01. Juli 2020 einmalig um ein oder zwei Jahre verlängert werden kann.

Mit was haben Unternehmen nach Ablauf der Übergangsfrist zu rechnen?

Läuft die Übergangsfrist ab, wird das Vereinigte Königreich zum Drittland. Die Einstufung vom EU/EWR-Mitgliedsstaat zum Drittland führt gegebenenfalls dazu, zur Persona non grata des Datenschutzrechts zu werden – es wird zwar niemand des Landes verwiesen, die DSGVO fährt jedoch ihre Krallen aus: Wer personenbezogene Daten in Drittländer übertragen möchte, muss die Art. 44 ff. DSGVO beachten. Und die haben es durchaus in sich.

Wer da mit den Schultern zuckt, hat den Schuss wohl nicht gehört – immerhin beschäftigt jedes siebte deutsche Unternehmen einen Dienstleister im Vereinigten Königreich. Dazu kommen Unternehmen, die einen Sitz in Großbritannien bzw. Nordirland haben oder deren Muttergesellschaft sich dort befindet.

Überträgt ein Unternehmen personenbezogene Daten in ein Drittland, ohne die oben genannten Vorschriften zu beachten, handelt es schlicht und ergreifend rechtswidrig. Die ein oder andere Aufsichtsbehörde dürfte sich schon klammheimlich ins Fäustchen lachen.

Möchte ein Unternehmen bei der Datenübertragung in das Vereinigte Königreich nach Ablauf der Übergangsfrist datenschutzkonform handeln, gibt es mehrere Möglichkeiten. Die Auswahl unter den zur Verfügung stehenden Optionen orientiert sich an der Entscheidung der Europäischen Kommission.

Bietet das Vereinigte Königreich ein angemessenes Schutzniveau?

Bejaht die Europäische Kommission diese Frage, ergeht ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 S. 1 DSGVO. Dieser wäre für europäische Unternehmen von Vorteil: Das Drittland würde dann wie ein Mitgliedsstaat der EU bzw. EWR behandelt.

Ein Angemessenheitsbeschluss wird zumindest laut Political Declaration vom 19. Oktober letzten Jahres bis Ende 2020 angestrebt. Um das Schutzniveau des Vereinigten Königreichs einschätzen zu können, prüft die Europäische Kommission gemäß Art. 45 Abs. 2 DSGVO mehrere Voraussetzungen, beispielsweise die Rechtsstaatlichkeit, die Achtung der Menschenrechte und die Datenschutzvorschriften im Vereinigten Königreich.

Zwar beabsichtige die britische Regierung nach Aussage der britischen Aufsichtsbehörde ICO, sobald die Übergangsfrist abgelaufen sei, die DSGVO in das britische Datenschutzgesetz zu integrieren. Boris Johnson setzt beim Datenschutz jedoch neuerdings auf ein eigenständiges und unabhängiges Regelwerk. Ohne Kenntnis der britischen Datenschutzregelungen wird die Europäische Kommission allerdings keine Entscheidung treffen. Das Ziel, einen Angemessenheitsbeschluss bis Ende des Jahres erreicht zu haben, ist damit bestenfalls als sportlich anzusehen.

Zusätzlich ist unklar, ob die EU-Kommission dem Vereinigten Königreich überhaupt ein angemessenes Schutzniveau attestieren wird – die Briten nehmen es mit dem Datenschutz scheinbar nicht ganz so genau. Hinzuweisen sei hier auf den Investigatory Powers Act, ein Gesetz, welches eine umfangreiche Überwachung inklusive Vorratsdatenspeicherung anordnet. Dass eine anlasslose Massenüberwachung dem Datenschutzrecht zuwiderläuft, erkannte auch der EuGH. Dieser erklärte bereits das Safe-Harbor-Abkommen zwischen der EU und den USA 2015 für nichtig.

Welche Alternativen bestehen?

Wenn ein Angemessenheitsbeschluss nicht erfolgen sollte: Keine Panik! Zurückgegriffen werden kann auf folgende Möglichkeiten:

Manchmal kann eine Datenübermittlung in ein Drittland auch infolge einer Ausnahme nach Art. 49 Abs. 1 S. 1, 2 DSGVO erfolgen. Die dort genannten Voraussetzungen sind aber eng auszulegen. Wer sich Zeit und Nerven sparen möchte, wählt mit Ablauf der Übergangsfrist die Standardvertragsklauseln. Vorausgesetzt diese bieten zu dem Zeitpunkt noch eine ausreichende Garantie für ein angemessenes Datenschutzniveau. Zudem sind diverse Dokumentationspflichten einzuhalten.

Rette sich, wer kann?

Auch wenn der epische Kampf des Vereinigten Königreichs gegen die EU – aus Sicht der Brexit-Befürworter fast wie David gegen Goliath – mit dem Brexit auf den ersten Blick geschlagen sein dürfte, ist es noch lange nicht vorbei: Erneut wird mit dem No Deal gedroht. Von wem? Sein Name ist Johnson. Boris Johnson. Geschüttelt, nicht gerührt.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Brexit und Datenschutz – Unternehmen stehen vor Herausforderungen.

Facebook lässt sich erstmals in die Karten schauen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Facebook lässt sich erstmals in die Karten schauen

Facebook lässt sich erstmals in die Karten schauen

Facebook belauscht Sie über das Mikrofon in Laptop und Smartphone? So mancher ist davon überzeugt. Anders können sie es sich nicht erklären, dass ihnen Anzeigen für Produkte gezeigt wurden, nach denen sie noch nicht mal gesucht haben. Eine Erwähnung in (Selbst-) Gesprächen scheint zu reichen. Mit der neuen Funktion „Aktivitäten außerhalb von Facebook“ lässt sich Facebook nun zumindest ein bisschen in die Karten schauen, wie es wirklich dazu kommt.

Was sind „Aktivitäten außerhalb von Facebook“?

Wer Facebook, Instagram und WhatsApp nutzt, stellt Facebook natürlich Informationen zu Freunden, Posts und Präferenzen zur Verfügung. Darüber hinaus bekommt Facebook aber auch von anderen Webseiten und Apps Informationen, die wir nicht freiwillig teilen (und von denen wir auch oft gar nichts ahnen). Facebook äußert sich auf der Webseite so:

„Als Aktivitäten außerhalb von Facebook bezeichnen wir Informationen zu deinen Interaktionen mit Unternehmen und Organisationen, die letztere mit uns teilen. Als Interaktion gilt zum Beispiel, wenn du eine App öffnest oder eine Website besuchst.“

Welche Daten so mit Facebook geteilt werden, soll nun die neue Funktion „Aktivitäten außerhalb von Facebook“ (hier mit direktem Link ins Facebook Menü) transparent werden.

Business Tools – so gelangt Facebook an die Informationen

Facebook bietet viele Tools an, die andere Apps und Webseiten bei sich einbinden können. Beide Seiten profitieren: Facebook bietet fertige Bausteine für die Webseiten- und App-Entwicklung, sodass Entwickler nicht alles von Grund auf selbst entwickeln müssen und erhält im Gegenzug Daten:

„Wenn du eine Website besuchst oder eine App verwendest, können die entsprechenden Unternehmen oder Organisationen mithilfe unserer Business-Tools Informationen zu deinen Aktivitäten mit uns teilen.“

Zu den Business Tools gehören sichtbare Tools wie „Facebook Login“ oder „Like Buttons“. Nutzt man diese Funktionen, erhält Facebook Informationen und kann diese mit dem Facebook-Profil des Besuchers verbinden. Viele wissen aber nicht, dass auch ganz unsichtbar Daten an Facebook gesendet werden, z.B. bei Apps, die mit dem Software Development Kit „Facebook SDK“ entwickelt wurden. So wurden laut einem Artikel der New York Times allein in der Dating-App „Feeld“ (Anm. d. Red.: Speziell zur Anbahnung sexueller Abenteuer in Gruppen) 42 SDK.‘s gefunden. Aber auch bei Tinder und verschiedenen Gesundheits-Apps wurden Facebook SDK’s entdeckt.

Interaktionen – das wird mit Facebook geteilt

Mit Facebook werden sogenannte „Interaktionen“ geteilt. Welche Daten dabei übertragen werden, ist schwer nachzuvollziehen. Laut Facebook gehören zu den geteilten „Interaktionen“:

  • Das Einloggen in eine App mit Facebook
  • Das Ansehen von Inhalten
  • Die Suche nach Artikeln
  • Das Hinzufügen eines Artikels zum Einkaufswagen
  • Der Kauf eines Artikels
  • Das Spenden eines Geldbetrags

Ob man also eine App öffnet, einen Artikel liest oder Artikel in den Warenkorb legt, wenn Facebook-Tools verwendet werden, ist das soziale Netzwerk immer bestens informiert, wie es selbst beschreibt:

„Tanja kauft bei einem Bekleidungs-Store online ein Paar Schuhe.

Der Store verwendet unsere Business-Tools und sendet so die Infos über Tanjas Aktivitäten an uns.

Wir erhalten die Informationen zu Tanjas Aktivitäten außerhalb von Facebook und speichern diese in ihrem Facebook-Konto. Die Aktivitäten werden gespeichert als „hat die Bekleidungs-Website besucht“ und „hat einen Kauf getätigt“. Tanja sieht auf Facebook eine Werbeanzeige mit einem 10 %-Rabattgutschein auf ihren nächsten Einkauf in dem Online-Store.“

Laut einer Untersuchung der Electronic Frontier Foundation sind auf immerhin 30 % der weltweit meistbesuchten 10.000 Webseiten Facebook-Business-Tools eingebunden.

Etwas Licht ins Dunkel

Mit der neuen Funktion löst Mark Zuckerberg ein Versprechen ein. Er hatte 2018 auf dem Höhepunkt des Cambridge-Analytica-Skandals versprochen, dass Facebook ähnlich wie Browser eine Möglichkeit bieten wird, den Aktivitätsverlauf zu sehen und zu löschen.

Facebook hat die neue Funktion nun zwar fein säuberlich in seinem Menü „versteckt“ und die neue Funktion ist auch nicht vergleichbar mit dem Löschen des Browserverlaufs, weil man nicht all die Daten, die Facebook über einen gesammelt hat, löschen kann. Es bietet aber immerhin erstmals eine Möglichkeit nachzuvollziehen, welche Daten Facebook unbemerkt sammelt. So kann man in „meinen Werbepräferenzen“ auch erfahren, welche Unternehmen Listen mit Informationen über einen bei Facebook hochgeladen haben und in welche Interessengruppen man von Facebook eingeordnet wird. Es ist also ein Schritt in die richtige Richtung. Man wird nur das beklemmende Gefühl nicht los, dass man der Überwachung kaum entkommen kann.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Facebook lässt sich erstmals in die Karten schauen.