BvD: Die neue Rolle des Datenschutzbeauftragten nach DS-GVO

Der BvD befasst sich seit langem mit der Entwicklung der Funktion des Datenschutzbeauftragten in der DS-GVO.

Während der Entwicklung der neuen Verordnung hat es viele Termine und Gespräche gegeben, um die Stellung und Rolle des Datenschutzbeauftragen möglichst klar herauszuarbeiten. Durch die zahlreichen Kompromisse in der DS-GVO ist nun aber noch viel Interpretationsbedarf geblieben, der auch durch das BDSG neu nur begrenzt geregelt wird. Aus diesem Grund hat der BvD-Vorstand einen Fragenkatalog entwickelt, der die wesentlichen Fragen und den wichtigsten Klärungsbedarf zum DSB beleuchten sollte – insbesondere um die vieldiskutierten Haftungsfragen zu klären.

Dieser Fragenkatalog war die Grundlage für das Gutachten der Experten von Derra, Meyer & Partner. Die Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht haben diese Punkte beleuchtet und versucht, dazu die richtungsweisenden Aussagen zusammenzufassen bzw. auch zu entwickeln. Die Entstehung des Gutachtens wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Trotzdem haben sich während der Bearbeitung neue Fragen und Aspekte ergeben, die der weiteren Untersuchung bedürfen. Diese werden insbesondere durch den Ausschuss Berufsbild aber auch durch den Vorstand einer weiteren Diskussion und Klärung zugeführt. Insbesondere wird geprüft, welche Mustervorlagen zur Benennung und für die vertragliche Klärung des DSB bereitgestellt werden können.

Hierzu werden wir weiterhin informieren.

Download Gutachten

E-Mail-Verschlüsselung ist Pflicht für Berufsgeheimnisträger

Der Sächsische Landesdatenschutzbeauftragte Andreas Schurig hat in seinem aktuellen Tätigkeitsbericht auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern (Apotheker, Ärzte und Rechtsanwälte, …) hingewiesen, wenn diese sensible personenbezogene Daten enthalten.

Laut Schurig ist insbesondere das Versenden von Gesundheitsdaten per unverschlüsselter E-Mail rechtlich unzulässig, da es sich hierbei um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG handelt. Dies würde nicht den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG entsprechen. Danach muss gewährleistet sein, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Schurig begründet dies mit der Tatsache, dass eine unverschlüsselte E-Mail von allen an der Übertragung beteiligten Stellen problemlos mitgelesen werden kann und nicht dem aktuellen Stand der Technik entsprechen.

Für die in § 203 Strafgesetzbuch (StGB) genannten Berufsgeheimnisträger wie z.B. Apotheker, Ärzte und Rechtsanwälte kann dies laut Schurig auch zu einer Strafbarkeit wegen der Verletzung von Privatgeheimnissen führen. § 203 StGB schütze die Individualinteressen Betroffener in besonderer Weise dadurch, dass er Geheimnisträgern wie z.B. Rechtsanwälten, denen Betroffene im Rahmen der Mandatserteilung regelmäßig Geheimnisse anvertrauen, für den Fall der Verletzung ihrer Geheimhaltungs- und Verschwiegenheitspflichten entsprechende Strafen androht. Wegen des hohen Schutzbedarfs der Kommunikationsinhalte sei daher in jedem Fall eine Verschlüsselung des E-Mail Verkehrs erforderlich.

Soweit die rechtliche Theorie. In der Realität ist dieses Problembewusstsein jedoch noch nicht verbreitet genug. Die Nutzung einer Verschlüsselungslösung wird oft aufgrund des vermeintlich hohen Aufwands und den Kosten nicht in Erwägung gezogen. Tatsächlich hält sich beides aber mittlerweile in Grenzen und bei einer modernen Softwarelösung verschickt der Anwender seine E-Mails ganz normal ohne zusätzlichen Aufwand. Der Knackpunkt ist, dass auch der Empfänger die Verschlüsselung einsetzen muss damit das Ganze funktioniert. Letztlich scheitert daran die verschlüsselte Kommunikation oftmals in der Praxis.

Berufsgeheimnisträger sollten sich daher auf sichere Kommunikationswege wie Post oder Fax beschränken, wenn sie keine E-Mail Verschlüsselung nutzen können. Falls es in dieser Ausgangslage doch einmal notwendig sein sollte, eine E-Mail mit sensiblen Daten zu verschicken, sollte man diese in einer verschlüsselten und passwortgeschützten Zip-Datei verschicken. Dabei muss man natürlich ein ausreichend starkes Passwort verwenden. Dieses lässt man dann dem Empfänger durch ein anderes, sicheres Kommunikationsmittel (z.B. am Telefon) zukommen.

Mitbestimmungsrecht des Betriebsrats bei Outlook-Gruppenkalender

Hat der Arbeitgeber vor der Einrichtung des Gruppenkalenders in Outlook den Betriebsrat nicht gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt, ist eine Weisung, den Gruppenkalender zu benutzen, unwirksam. Eine entsprechende Abmahnung ist aus der Personalakte zu entfernen. So das Urteil des Landesarbeitsgerichts Nürnberg (LArbG Nürnberg, Urteil v. 21.02.2017 – 7 Sa 441/16).

Eine Beteiligung des Betriebsrats lag im Vorfeld der Einführung des Outlook-Gruppenkalenders nicht vor. Auf die Weigerung eines Arbeitnehmers den Gruppenkalender zu nutzen, reagierte der Arbeitgeber mit einer Abmahnung. Dieser klagte auf Entfernung der Abmahnung aus der Personalakte – und bekam Recht.

Im Rahmen seiner Entscheidung ging das Gericht davon aus, dass dem Betriebsrat nach § 87 Absatz 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen zusteht, wenn diese Einrichtung dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Zur Überwachung »bestimmt« sind technische Einrichtungen dann, wenn sie objektiv geeignet sind, Verhaltens- oder Leistungsinformationen der Arbeitnehmer zu erheben und aufzuzeichnen; auf die subjektive Überwachungsabsicht des Arbeitgebers kommt es nicht an (Bundesarbeitsgericht – Beschluss vom 10.12.2013 – 1 ABR 43/12).

Der Gruppenkalender ermöglicht es der Beklagten, eine Auswertung der Leistungen des Klägers im Hinblick auf die Koordination seiner Termine oder der Termindichte vorzunehmen. Insbesondere ist ihr dies möglich, ohne dass der Kläger hiervon Kenntnis erhält.

Der Betriebsrat ist vor der Einrichtung des Gruppenkalenders nicht beteiligt worden. Insbesondere stellt die Betriebsvereinbarung zum Umgang mit Informations- und Kommunikationsanlagen vom 01.11.2013 keine (vorweggenommene) Zustimmung des Betriebsrats zum Gruppenkalender dar.

Die fehlende Beteiligung des Betriebsrats führt zur Unwirksamkeit der Abmahnung. Abgemahnt werden können nur Verstöße gegen arbeitsvertragliche Pflichten. Da der Betriebsrat bei der Einführung des Gruppenkalenders nicht beteiligt wurde, war der Kläger berechtigt, der Anordnung der Beklagten, den Gruppenkalender zu nutzen, nicht Folge zu leisten.

Im Ergebnis kam das Gericht daher zu der Schlussfolgerung, dass die Abmahnung unberechtigt war, und diese somit aus der Personalakte entfernt werden musste.

Quelle: Landesarbeitsgericht Nürnberg

WLAN-Gesetz nimmt letzte Hürde im Bundesrat

Bislang bewegten sich Betreiber von öffentlichen Hotspots in Deutschland in einer rechtlichen Grauzone. Das neue WLAN-Gesetz soll hier Sicherheit schaffen.

Am Freitag, zwei Tage vor der Bundestagswahl befasst sich der Bundesrat ein letztes Mal mit dem neuen WLAN-Gesetz, das eine bessere rechtliche Grundlage für Anbieter öffentlicher Hotspots schaffen soll. Vom Bundestag war es bereits Ende Juni beschlossen worden. Da die Zeit vor der parlamentarischen Sommerpause zu knapp war, befasst sich der Bundesrat am kommenden Freitag abschließend damit. Bereits im Mai hatten sich die Länder in einer Stellungnahme sehr zufrieden mit den Regierungsplänen gezeigt.

Von öffentlichen Hotspots profitieren viele Menschen. Betreiber von Cafés, Hotels oder Restaurants wollen damit zudem ihren Kunden mit einem komfortablen Zugang zum Internet einen zusätzlichen Service bieten. Doch lange rangierte Deutschland im europäischen Ländervergleich weit hinten. Der Grund: Anbieter öffentlicher Hotspots – ob privat oder gewerblich – gerieten schnell in eine rechtliche Grauzone. Wenn ein Nutzer die Leitung missbrauchte, um illegal Inhalte herunterzuladen, drohten dem Anbieter wegen der sogenannten Störerhaftung bislang teure Abmahnungen. Mit der Änderung des Telemediengesetzes sollte rechtliche Klarheit geschaffen werden.

Die Störerhaftung wird unter anderem im Bürgerlichen Gesetzbuch (BGB) geregelt. Danach kann jemand zur Verantwortung gezogen werden, wenn er an der Verletzung eines geschützten Gutes beteiligt ist, ohne selbst Täter zu sein. In der Vergangenheit wurde sie vielfach bei Urheberrechtsverletzungen im Internet bemüht. Wer etwa auf seiner Website auf geschützte Inhalte verlinkt, kann sich damit strafbar machen. Auch Betreiber von Auktionsplattformen können in die Haftung genommen werden, wenn sie zum Beispiel gefälschte Markenprodukte oder Plagiate vertreiben. Auch auf Anbieter von öffentlichen Hotspots wurde sie bei Missbrauch durch Dritte angewandt.

Das vom Wirtschaftsminister Anfang 2015 auf den Weg gebrachte WLAN-Gesetz sollte Hotspot-Betreibern eine klare rechtliche Grundlage verschaffen. Doch bereits der erste Entwurf geriet prompt ins Fadenkreuz der Kritik. Er sah noch vor, dass Betreiber eine Reihe von Auflagen erfüllen sollten. So sollten gewerbliche Anbieter ihre Router verschlüsseln und von den Nutzern schriftlich zusichern lassen, dass sie keine Rechtsverletzungen planen. Kritiker sahen darin unrealistische und alltagsuntaugliche Hürden, die eine Verbreitung öffentlicher Hotspots eher behindern als fördern würden.

Verbände und Verbraucherschützer übten harsche Kritik und äußerten die Befürchtung, dass durch das Gesetz neue Rechtsunsicherheiten für die Betreiber festgeschrieben werden. Im Bundesrat forderten schließlich mehrere Länder deutliche Korrekturen. Zu viele «interpretationsbedürftige Einschränkungen» sowie Unklarheiten seien dort enthalten. Und die Störerhaftung sei auf Grundlage der Formulierungen nicht vom Tisch.

Sind alle Zweifel nun ausgeräumt?

Mit der im Juni im Bundestag beschlossenen Fassung des WLAN-Gesetzes sollten schließlich alle umstrittenen Punkte entfernt und die Störerhaftung endgültig passé sein. Weder eine Verschlüsselung, noch eine Vorschalt-Seite zur Registrierung der Nutzer ist mehr vorgesehen. Auch der Europäische Gerichtshof bekräftigte zuvor in einem Urteil im September 2016, dass Betreiber nicht bei Urheberrechtsverletzungen anderer haften. Bei konkreten Missbrauchsfällen sollen sie laut Urteil des EuGH jedoch dazu verpflichtet werden können, den Zugang per Passwort zu sichern.

Urteil des Europäischen Gerichtshof für Menschenrechte (EGMR): Überwachung der Internetnutzung durch Arbeitgeber unzulässig

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat ein Urteil mit hoher Relevanz für Unternehmen veröffentlicht. Konkret ging es um die Frage, ob ein Arbeitgeber bei einem bestehenden Verbot der privaten Internetnutzung berechtigt ist, die Nutzung des Anschlusses zu überwachen. Das Urteil hat erhebliche praktische Auswirkungen auch in Deutschland.

Private Nutzung der dienstlichen Kommunikationsmittel

Das Urteil des EGMR vom 05.09.2017 – Application no. 61496/08 betrifft einen datenschutzrechtlichen Dauerbrenner: die Einsichts- bzw. Kontrollmöglichkeiten des Arbeitgebers in die Nutzung des dienstlichen Internetanschlusses. Sofern eine private Nutzung des Internets oder des dienstlichen E-Mail-Accounts stattfindet, kollidieren erhebliche Interessen von Mitarbeitern und Unternehmen. Auf Seiten des Mitarbeiters stehen dabei Grundrechte z.B. aus § 10 GG oder auch § 8 EMRK. Demgegenüber stehen die Interessen – und zudem gesetzliche Aufbewahrungspflichten – des Arbeitgebers, der ein legitimes Interesse am pflichtgemäßen Umgang mit den grundsätzlich zur Erfüllung der Arbeitspflichten bereitgestellten Arbeitsmitteln hat.

Dieses Spannungsfeld entsteht insbesondere dann, wenn – wie in vielen Unternehmen immer noch der Fall – überhaupt keine Regelungen zur privaten Nutzung des Internetanschlusses und/oder des geschäftlichen E-Mail-Accounts getroffen wurden. Nach der im Datenschutzrecht herrschenden Meinung duldet der Arbeitgeber in diesem Fall auch eine private Nutzung mit der Konsequenz, dass ein Zugriff auf den dienstlichen E-Mail-Account ohne explizite Einwilligung mit erheblichen rechtlichen Konsequenzen behaftet ist und hiervon nur abgeraten werden kann. Gleiches gilt für die sonstige Kontrolle der Nutzung des dienstlichen Internetzuganges ohne explizite Einwilligung des Mitarbeiters. Ist die private Nutzung des Internetanschlusses nicht ausdrücklich verboten und wird dieses Verbot zudem nicht auch kontrolliert, ist eine Kontrolle z.B. des Besuches von Webseiten ebenfalls ohne explizite Einwilligung des Mitarbeiters rechtlich sehr problematisch.

Aus Sicht des Arbeitgebers verschärft das Urteil des EGMR die Problematik weiter, denn selbst bei einem ausdrücklichen Verbot der privaten Nutzung des Internetanschlusses und der Bekanntmachung der Überwachung dieses Verbots soll eine Kontrolle unter gewissen Umständen unwirksam sein.

Kündigung wegen privater Nutzung des Yahoo-Messengers

Dem Urteil des EGMR liegt ein Sachverhalt aus dem 2007 zu Grunde. Ein rumänischer Staatsangehöriger und Kläger in dem Verfahren hatte damals an seinem Arbeitsplatz den Yahoo-Messenger nicht nur zur Kommunikation mit Kunden seines Arbeitergebers, sondern auch zur privaten Kommunikation mit seinem Bruder und seiner Verlobten genutzt. In dem Unternehmen war die private Nutzung des Internetanschlusses strikt verboten. Zudem war in unmittelbarer zeitlicher Nähe zum fraglichen Zeitraum seitens des Unternehmens nochmals ausdrücklich auf das Verbot hingewiesen worden. Es wurde zudem darauf verwiesen, dass kürzlich eine Mitarbeiterin wegen eines Verstoßes entlassen worden war und das Verbot weiterhin kontrolliert werden würde. Der Kläger hatte zudem schriftlich bestätigt, dass ihm das Verbot bekannt war.

Trotzdem führte er über den Yahoo-Messenger während der Arbeitszeit private Gespräche mit seiner Verlobten und seinem Bruder. Gegenstand der Chats sollen auch intime Informationen zum Sexualleben des Klägers gewesen sein.

Der Arbeitgeber zeichnete die Chatverläufe auf und kündigte dem Arbeitnehmer nachdem die privaten Gespräche bemerkt worden waren. Eine Kündigungsschutzklage des Arbeitnehmers war vor den rumänischen Arbeitsgerichten gescheitert.

EGMR: Informationen zur Überwachung des Klägers möglicherweise unzureichend

Erfolg hingegen hatte die Klage vor dem EGMR. Der Europäische Gerichtshof für Menschenrechte befand, dass die Überwachung bzw. Aufzeichnung der Kommunikation den Klägern in seinen Rechten aus Art. 8 EMRK verletzt habe. Die rumänischen Arbeitsgerichte hätten bei der Ablehnung der Kündigungsschutzklage nicht ausreichend festgestellt, ob der Kläger vorab nicht nur generell über Kontrollen informiert worden war, sondern auch ausdrücklich darüber, dass auch seine Kommunikation über den Yahoo-Messenger aufgezeichnet wird. Weiter fehle es an der Feststellung, ob das Kläger über das Ausmaß der Überwachung und die Intensität des Eingriffs in seine Rechte informiert worden sei. Auch das Fehlen weiterer Feststellungen durch die rumänischen Gerichte bemängelte der EGMR.

Auswirkungen des Urteils für Unternehmen

Das Urteil hat in der Praxis erhebliche Auswirkungen für Unternehmen. Wie eingangs dargestellt bestehen für Unternehmen erhebliche datenschutzrechtliche Schwierigkeiten, wenn die private Nutzung des geschäftlichen Internetanschlusses erlaubt oder gar nicht geregelt ist. In diesem Fall ist z.B. der Zugriff auf das geschäftliche E-Mail-Postfach bei einer Abwesenheit des Mitarbeiters ohne dessen Einwilligung rechtlich höchst bedenklich. Dies ist insbesondere deshalb problematisch, weil Unternehmen bzgl. Geschäftsunterlagen nach dem HGB und der AO eine gesetzliche Aufbewahrungspflicht trifft. Da Geschäftsunterlagen auch z.B. in einer E-Mail-Korrespondenz bestehen können, stehen eine ganze Reihe von Unternehmen vor dem Problem, dass ein E-Mail-Account ggfls. archiviert wurde, aber ein Zugriff aufgrund von datenschutzrechtlichen Vorgaben und einer möglichen Verletzung des Telekommunikationsgeheimnisses faktisch unmöglich wird. Dies jedenfalls dann, wenn der Mitarbeiter hierzu nicht explizit sein Einverständnis erklärt hat.

Insbesondere um diese Problematik zu vermeiden, ist es aus Unternehmenssicht der einzig rechtsichere Weg jedenfalls die private Nutzung des geschäftlichen E-Mail-Accounts generell zu untersagen und das Verbot zu kontrollieren. Da die Grundsätze der dargestellten EGMR-Entscheidung sicherlich auch auf den E-Mail-Verkehr anzuwenden sind, sollten zudem eingesetzte Kontrollmaßnahmen vorab detailliert den Mitarbeitern dargestellt werden. Dabei ist auch darauf zu achten, dass mitgeteilt wird, ob und in welchem Ausmaß Kommunikationsinhalte zur Kenntnis genommen werden können.

Soll weiter auch ein Zugriff auf den Browserverlauf durch den Arbeitgeber oder andere – auch nur technische – Kontrollen der Nutzung des Internetanschlusses möglich sein, gilt das Vorangestellte entsprechend.

Dient das Urteil dem Datenschutz wirklich?

Als Medien- und Datenschutzrechtler habe ich viele gelesen. Das vorliegende Urteil des EGMR gehört nicht zu den gut begründeten und nachvollziehbaren Urteilen. Meine Einschätzung beruht dabei nicht nur auf der komplizierten Begründung des Urteils, die juristische Fragen aufwirft um ihnen nachher selbst wieder auszuweichen oder juristischen Gegenargumenten. Vielmehr wird aus meiner Sicht in der gesamten Problemstellung die Unternehmenssicht nicht ausreichend gewürdigt. Ich bin zwar ein großer Verfechter von Persönlichkeitsrechten, aber es ist vorliegend doch so, dass es um die Nutzung von Arbeitsmitteln geht, die der Arbeitgeber zur Erfüllung der Arbeitspflichten zur Verfügung stellt. Im Grundsatz ist es daher eine Selbstverständlichkeit, dass diese Arbeitsmittel nur für geschäftliche Zwecke genutzt werden dürfen. Es bedarf daher nicht eines expliziten Verbots der privaten Nutzung, sondern im Gegenteil einer expliziten Erlaubnis der privaten Nutzung. Liegt eine solche explizite Gestattung nicht vor, sollte eine Vermutung zu Gunsten einer ausschließlich geschäftlichen Nutzung gelten. Die derzeit herrschende gegenteilige Auffassung, die nicht nur ein Verbot, sondern zudem die Kontrollen dieses Verbots verlangt, degradiert m.E. Arbeitnehmer zu „Kindergartenkindern“ denen man unterstellt, dass Verbote nicht immer eingehalten werden.

Das vorliegende Urteil verschärft diesen einseitigen und letztlich auch unangemessenen Schutz von Arbeitnehmern noch zusätzlich. Es muss nicht nur ein Verbot und eine Kontrolle erfolgen, sondern zudem auch eine explizite und umfassende Aufklärung über die Kontrollmaßnahmen im Einzelnen. Anderenfalls läuft der Arbeitgeber Gefahr, dass die Kontrolle unrechtmäßig erfolgt. Eine solche Ausdehnung des Persönlichkeitsschutzes am Arbeitsplatz ist m.E. sicherlich nicht geeignet die Akzeptanz des Datenschutzes zu erhöhen. Dies bestätigt auch meine Erfahrung als Datenschutzbeauftragter. Ich kenne kein Unternehmen in dem nicht einerseits der Arbeitgeber generell kein Problem damit hätte, wenn die Arbeitnehmer den Internetanschluss gelegentlich privat nutzen. Umgekehrt zeigen die Arbeitnehmer und auch der Betriebsrat stets ebenfalls großes Verständnis dafür, dass der Arbeitgeber zur Wahrung seiner gesetzlichen Pflichten Zugriff z.B. auf den geschäftlichen E-Mail-Account nehmen können muss. Dies zeigt, dass in der Praxis eine Interessenkollision grundsätzlich gar nicht wahrgenommen wird und der gesamte Problemkreis der rechtlichen Ausgestaltung geschuldet ist.

Es wäre daher deutlich besser gewesen, wenn der Europäische Gerichtshof für Menschenrechte mit der vorliegenden Entscheidung die Ausgangslage nicht noch verschärft hätte, sondern insgesamt der Meinung der abweichenden Richter gefolgt wären. Die Entscheidung ist mit 11 zu 6 Stimmen gefällt worden und die abweichenden Richter haben in Ihrer Begründung aus meiner Sicht sehr zutreffend festgestellt, dass bereits schon Schwierigkeiten bestehen, zu erkennen, warum der Kläger in der vorliegenden Konstellation überhaupt eine vernünftige Erwartung bzgl. des Schutz seiner Privatsphäre; also der vorliegenden privaten Kommunikation haben konnte.

Es wäre wünschenswert, wenn der Gesetzgeber sich endlich entschließen könnte, den gesamten Problemkreis abschließend zu regeln und die bestehenden Unsicherheiten und unverhältnismäßige Gewichtung von Interessen zu beseitigen.

In 5 Schritten zur DS-GVO

Seit Mai 2016 ist die endgültige Fassung der Datenschutz-Grundverordnung (DS-GVO) verabschiedet und veröffentlicht. Unternehmen haben nun bis zum 25. Mai 2018 Zeit, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Denn dann gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab. Welche Maßnahmen Unternehmen bis dahin ergreifen sollten, zeigt der folgende Beitrag.

1. Der Status quo

In einem ersten Schritt sollte eine Bestandsaufnahme der vorhandenen datenschutzrechtlich relevanten Prozesse durchgeführt werden, um zu sehen an welchen Stellen das Unternehmen überhaupt Änderungsbedarf hat. Dann kann im Rahmen dieser sogenannten GAP-Analyse geklärt werden, auf welchem Stand sich der Datenschutz im Unternehmen befindet.

Auf Grund der daraus resultierenden Feststellungen kann dann geprüft werden, inwieweit der Ist-Zustand von den Anforderungen der DS-GVO abweicht. Anschließend sollte ein geeigneter Fahrplan für die verbleibende Umsetzungszeit festgelegt werden. So lässt sich systematisch mit entsprechenden Maßnahmen nach und nach der gewünschte Soll-Zustand erreichen.

2. Verfahrensverzeichnisse aufbauen

Das Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Die Pflicht ein solches Verfahrensverzeichnis zu führen trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Inhaltlich werden aber geringere Anforderungen an das Verfahrensverzeichnis eines Auftragsverarbeiters gestellt. Aus Art. 30 Abs. 5 DSGVO ergeben sich auch Ausnahmen für die Erstellung eines Verfahrensverzeichnisses: Die Pflicht zur Führung gilt zum Beispiel dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat und „die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt“ oder die Verarbeitung keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten betrifft.

3. Pflicht statt Kür – das Datenschutz-Management-System

Die DS-GVO verpflichtet Unternehmen zudem ein Datenschutz-Management-System einzuführen. Zentrale Normen sind hier Art. 5 und Art. 24 DS-GVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet. Künftig müssen Unternehmen nämlich nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern sie müssen dies auch nachweisen können.

Gleiches gilt auch im Bereich Datensicherheit – denn auch hier bedarf es eines Nachweises, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Im Klartext heißt das, dass künftig Dokumentationen etwa aus den Bereichen:

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
  • Einbindung des Datenschutzbeauftragten (Fälle, in denen Mitarbeiter sich an den Datenschutzbeauftragten wenden sollten)
  • Verzeichnis von Verarbeitungstätigkeiten (an welchen Stellen liegen personenbezogenen Daten im Unternehmen vor?)
  • Datenschutz-Folgenabschätzung, Art. 35 DS-GVO (wie Vorabkontrolle nach § 4d Abs. 5 BDSG beim Umgang mit sensiblen Daten)
  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)
  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis
  • Prozess zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen) angelegt und gepflegt werden sollten.

Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DS-GVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

4. Zulässigkeit der Datenverarbeitung

Des Weiteren ist auch zu überprüfen, ob die Verarbeitung und Nutzung personenbezogener Daten mit der erforderlichen Erlaubnis erfolgt. Daher sollten die Rechtsgrundlagen und Einwilligungen überprüft werden. In Betracht kommen die Artikel 6 bis 11 DS-GVO. Aus Art. 7 DS-GVO ergeben sich die Bedingungen, unter denen eine Einwilligung künftig rechtskonform sein wird:

  • Freie Entscheidung des Betroffenen
  • Ausführliche, erkennbare und bestimmte Information des Betroffenen
  • Schriftform der Einwilligungserklärung
  • Widerruflichkeit der Einwilligungserklärung

Eine Neuerung ergibt sich im Bereich der Einwilligung von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht). Diese sollen generell nur wirksam sein, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DS-GVO).

5. Informationspflichten

Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Unter der DS-GVO vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Maßgebliche Normen sind hier Art. 13 und 14 DS-GVO. Nach Art. 13 DS-GVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Berechtigtes Interesse
  • Empfänger der Daten
  • Übermittlung der Daten in Drittstaaten
  • Dauer der Speicherung
  • Betroffenenrechte
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Aus Art. 14 DS-GVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.

Rechtzeitiges Handeln zahlt sich aus

Das eher stiefmütterlich behandelte Thema Datenschutz darf künftig nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber hat sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen. Während aktuell nach dem BDSG gerade mal Geldbußen von bis zu 300.000 Euro je Verstoß verhängt werden können, sieht die DS-GVO als Obergrenze 4 % des globalen Konzernumsatzes des Vorjahres vor. Wenn sich Unternehmen jetzt bereits mit den kommenden Änderungen vertraut machen, kann vieles in die richtige Richtung gelenkt werden und so späteres Nacharbeiten oder sogar wirtschaftliche Einbußen vermieden werden.

 

BEM: Datenschutzrechtliche Aspekte zur Verfahrensweise

Seit 2004 sind Arbeitgeber verpflichtet, länger erkrankten Beschäftigten ein Betriebliches Eingliederungsmanagement (kurz: BEM) anzubieten. Das BEM dient dem Erhalt der Beschäftigungsfähigkeit und ist ein Instrument, um den Folgen des demographischen Wandels wirksam zu begegnen. Gleichzeitig sichert das BEM durch frühzeitige Intervention die individuellen Chancen den Arbeitsplatz zu behalten.

Bei dem BEM nach § 84 Abs. 2 des Neunten Buchs des Sozialgesetzbuchs (SGB IX) handelt es sich um eine originäre Aufgabe der Personalverwaltung, die hinsichtlich der Verwendung der erhobenen Daten einer strengen Zweckbindung unterliegt. Dort ist festgelegt, dass ein Arbeitgeber alle Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein BEM anzubieten hat. Das bedeutet, dass der Arbeitgeber klären muss, „wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann.

Die Landesbeauftragte für den Datenschutz Niedersachsen hat ein Infoblatt zu dem Thema erarbeitet und stellt es zum Download bereit. Es soll als Hilfestellung bei der Datenverarbeitung im Zusammenhang mit dem BEM-Verfahren dienen.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen

BSI: Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern

Bonn, 23.06.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung. Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: „Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes.“

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

  • Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
  • Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
  • Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
  • Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
  • Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
  • Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
  • Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
  • Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.

OLG NRW: Vorratsdatenspeicherung verstößt gegen EU-Recht

Die Pflicht zur Speicherung von Verkehrs- und Standortdaten für TK-Anbieter, die ab dem 1. Juli wieder gilt, ist nach Ansicht des Oberverwaltungsgerichts Nordrhein-Westfalen nicht mit EU-Recht vereinbar.

Bereits Ende 2015 hatte die Bundesregierung eine neue Vorratsdatenspeicherung auf den Weg gebracht, die TK-Anbieter ab dem 1. Juli dieses Jahres verpflichtet, die Verkehrsdaten ihrer Kunden für zehn und die Standortdaten für vier Wochen auf Vorrat zu speichern, um sie Behörden etwa für die Strafverfolgung zur Verfügung stellen zu können. Kurz vor Beginn der Speicherpflicht hat der Provider Spacenet nun einen Sieg vor dem Oberverwaltungsgericht Nordrhein-Westfalen in Münster erzielt, der die Kritiker bestätigt: Auch das OLG sah es als erwiesen an, dass die deutsche Regelung nicht mit EU-Recht vereinbar ist.

Im vergangenen Dezember hatte der Europäische Gerichtshof noch einmal klargestellt, dass nicht pauschal die Daten der elektronischen Kommunikation fast aller Telefon- und Internet-Nutzer erfasst werden dürfen. Es müsse vorab ein beschränkter Personenkreis definiert werden, der im Zusammenhang mit schweren Straftaten oder einer Gefahr für die öffentliche Sicherheit stehe. Anlasslos alle Daten zu speichern und dann nur bei der Verfolgung von Straftaten oder Terroranschlägen darauf zuzugreifen, sei nicht zulässig.

Mit seinem Beschluss hat das OLG eine Entscheidung des Verwaltungsgerichts Köln kassiert. Dort hatte Spacenet, unterstützt vom Verband der Internetwirtschaft eco, einen Antrag auf Erlass einer einstweiligen Anordnung eingereicht, mit dem Ziel, die Speicherverpflichtung auszusetzen, bis über eine gleichzeitig eingereichte Klage entschieden ist. Diesen Antrag hatte das VG zu Jahresbeginn abgelehnt, doch das OLG gab der Beschwerde nun statt. Der Beschluss ist nicht anfechtbar. Damit haben die Gegner der Vorratsdatenspeicherung ein wichtiges Etappenziel erreicht, ihr Hauptanliegen bleibt jedoch, die Speicherpflicht durch eine Grundsatzentscheidung des Bundesverfassungsgerichts oder des Europäischen Gerichtshofs endgültig zu stoppen.

»Es ist schön zu sehen, dass wir mit unserer Klage und dem Eilantrag den richtigen Weg gegangen sind. Auch wenn das Gericht formal zunächst nur über den Eilantrag entschieden hat, findet sich in der Urteilsbegründung einiges, was den Ausgang der Sache zu Gunsten der Position der Spacenet AG präjudiziert«, erklärte Spacenet-Vorstand Sebastian von Bomhard. »Das Gesetz zur Vorratsdatenspeicherung verpflichtet uns, alle Verbindungsdaten unserer Kunden zu speichern und gegebenenfalls Polizei, Staatsanwaltschaft oder Verfassungsschutz darüber Auskunft zu geben. Das ist ein Vertrauensbruch, zu dem wir genötigt werden sollen und dem wir freiwillig niemals zustimmen werden.«

Was ist mit anderen TK-Anbietern?

Allerdings gilt der Beschluss des OLG derzeit nur für Spacenet – alle anderen TK-Anbieter sind weiterhin verpflichtet, die Vorratsdatenspeicherung umzusetzen. Die dafür notwendigen Investitionen wären allerdings umsonst, sollte das Gesetz wie von den Gegnern geplant, gestoppt werden. Dementsprechend betont etwa Matthias Bäcker, Universitätsprofessor für Öffentliches Recht und Verfasser der Klageschrift: »Das Oberverwaltungsgericht hat ausdrücklich ausgeführt, dass die Vorratsdatenspeicherung generell europarechtswidrig ist. Jetzt sollte die Bundesnetzagentur gegenüber allen Telekommunikationsunternehmen klarstellen, dass sie die Daten nicht speichern müssen, bis über die Klage endgültig entschieden ist.«

Ähnlich sieht es eco-Vorstand Oliver Süme: »Die Entscheidung des Oberverwaltungsgerichts Nordrhein-Westfalen ist der erste Schritt in die richtige Richtung. Aber jetzt ist es an der Zeit für eine Grundsatzentscheidung, um die Vorratsdatenspeicherung endgültig zu stoppen, andernfalls laufen die Unternehmen Gefahr, ein europarechts- und verfassungswidriges Gesetz umsetzen zu müssen und damit Gelder in Millionenhöhe in den Sand zu setzen.«

Bitkom: Jedes fünfte IT-Unternehmen ignoriert bislang Datenschutzgrundverordnung

  • Erst jedes dritte IT- und Digitalunternehmen hat erste Maßnahmen zur Umsetzung der DSGVO begonnen
  • Ab 25. Mai 2018 drohen bei Datenschutz-Verstößen empfindliche Bußgelder

Berlin, 16. Juni 2017 – In weniger als einem Jahr drohen IT-Unternehmen in Deutschland Millionen-Bußgelder, wenn sie die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Doch immer noch gibt jedes fünfte IT- und Digitalunternehmen (19 Prozent) an, sich noch gar nicht mit dem Thema beschäftigt zu haben. Und nur jedes Dritte (34 Prozent) hat zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen, und 5 Prozent wollten oder konnten keine Angaben machen. Das ist das Ergebnis einer aktuellen Umfrage unter mehr als 200 IT- und Digitalunternehmen im Auftrag des Bitkom. Im vergangenen Herbst hatten in einer Bitkom-Umfrage 32 Prozent der Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen angegeben, sich noch nicht mit der DSGVO beschäftigt zu haben, 12 Prozent war das Thema überhaupt nicht bekannt.

Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den IT-Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung. Von den IT- und Digitalunternehmen, die aktuell bereits erste Maßnahmen begonnen haben, hat jedes Dritte (31 Prozent) nach eigener Einschätzung gerade einmal höchstens 20 Prozent der notwendigen Arbeiten erledigt. „Allmählich wird die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die IT-Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – dies setzt aber eine aktive Beschäftigung mit dem Thema voraus“, sagt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Digitalverband Bitkom. „IT-Unternehmen, die bis jetzt die Vorgaben der DSGVO ignoriert haben, sollten sich dringend überlegen, wie sie das Thema schnellstmöglich aufarbeiten können.“

Für den Einstieg hat Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Wie verschiedene Verpflichtungen aus der Verordnung praktisch umgesetzt werden können ergibt sich aus den Praxisleitfäden „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie der „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Leitfäden stehen auf der Bitkom Webseite zum kostenlosen Download bereit: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.html

Die Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 offiziell in Kraft getreten. Die Frist bis zur tatsächlichen Anwendung der Verordnung wurde mit zwei Jahren festgelegt, Stichtag ist somit der 25. Mai 2018. Die IT-Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen.

Um die EU-Datenschutzgrundverordnung geht es auch am 19. September 2017 auf der internationalen Privacy Conference in Berlin. Mehr als 200 Datenschutzexperten aus Unternehmen, Politik und Forschung kommen zusammen, um praktische Lösungen für die Umsetzung von Datenschutzregelungen zu diskutieren. Alle Informationen zu Programm und Anmeldung unter https://www.privacy-conference.com/

Hinweis zur Methodik: Grundlage der Angaben ist eine von Bitkom Research durchgeführte Umfrage unter 228 IT- und Digitalunternehmen.