Archiv der Kategorie: Datenschutz

Datenschutzeinstellungen bei Windows 10

Schon auf Windows 10 umgestiegen?

Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat Tips für die Datenschutzeinstellungen herausgegeben.

Das neue Betriebssystem Windows 10 von Microsoft ist Ende Juli 2015 erschienen.1 Besitzer von Windows 7 und 8 können ein kostenloses Upgrade auf Windows 10 erhalten. Microsoft möchte damit erreichen, dass in naher Zukunft möglichst viele Geräte mit ein und demselben Betriebssystem laufen. Windows 10 soll Microsoft auch dabei helfen, seine Cloud-Dienste – etwa Office 365 – zu etablieren. Gerade diese starke Verzahnung des neuen Betriebssystems mit der Microsoft Cloud und die Einführung eines neuen persönlichen Assistenten – genannt „Cortana“ – bringen allerdings eine Reihe von Auswirkungen in Punkto Datenschutz mit sich. Microsoft hat sich leider gegen ein aus Datenschutzsicht zu befürwortendes „Opt in“-Verfahren (Einwilligung) entschieden und setzt stattdessen auf ein „Opt out“-Konzept (Widerspruch). Dies hat zur Folge, dass Sie als Nutzer selbst aktiv werden müssen, wenn Sie nicht möchten, dass persönliche Daten über Sie gesammelt und an Microsoft übertragen werden. Der Landesbeauftragte für den Datenschutz Baden-Württemberg zeigt in diesem Leitfaden, durch welche Einstellungen Sie dem Sammel-Drang nach persönlichen Daten von Microsoft entgegenhalten können.

Videoüberwachung in öffentlichen Verkehrsmitteln

Der Düsseldorfer Kreis hat im September 2015 eine neue Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrsmitteln“ herausgegeben.
Sie stellt hierin fest, dass eine Videoüberwachung in öffentlichen Verkehrsmitteln zur Wahrnehmung des Hausrechts oder berechtigter Interessen insbesondere zur Verhinderung oder Verfolgung von Gewalt gegen Personen und Beförderungseinrichtungen sowie zur technischen Fahrgastsicherheit in Betracht kommen kann. Dieser Überwachungszweck wird auf direkte Weise erreicht, wenn das Geschehen in Echtzeitdurch interventionsbereites Personal beobachtet und dadurch im Notfall ein schnelles Eingreifen möglich wird. Der Einsatz von Kameras kann nicht damit begründet werden, dass die Aufzeichnungen benötigt werden, um (unberechtigte) Ansprüche von Fahrgästen wegen Sturzverletzungen oder Beschädigungen persönlicher Gegenstände infolge(angeblich) starker Bremsungen o.Ä. abzuwehren.
Auch dürfen die Arbeitsplätze der Beschäftigten nicht ohne weiteres miterfasst werden. Daher sollte eine Betriebsvereinbarung in Zusammenarbeit mit dem Betriebsrat erstellt werden.
Der Datenschutzbeauftragte des Verkehrsunternehmens ist über die geplante Einrichtung einer Videoüberwachung rechtzeitig zu unterrichten.

OH Video OEPNV

Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DS-GVO weiter?

Handlungsempfehlungen für Unternehmen und Betriebsräte
Tim Wybitul   / ThorstenSörup / StephanPötters
Die geplante Datenschutzgrundverordnung (DS-GVO) wird das derzeit geltende Datenschutzrecht wohl bald ablösen. Der vorliegende Überblick gibt Handlungsempfehlungen, wie Unternehmen hierauf reagieren können. Viele Betriebe regeln den Umgang mit personenbezogenen Daten im Arbeitsverhältnis in Betriebsvereinbarungen. Der Beitrag untersucht, wie sie auch künftig als Rechtfertigungsgrundlage im Datenschutzrecht herangezogen werden können. Hierzu wird dargestellt, welche Regelungen die Betriebsparteien treffen sollten, um die Vorgaben der DS-GVO zeitnah umzusetzen. Eine Checkliste zeigt, wie Unternehmen und Betriebsräte die künftigen Vorgaben umsetzen können. Zudem untersucht der Beitrag die Frage, ob die Rechtsprechung zu § 32 BDSG auch bei Inkrafttreten der DS-GVO fortgelten kann und wie man in der Praxis mit der neuen Rechtslage umgeht.

Quelle: ZD 12/2015 Seite 565

Gesamter Text: http://hoganlovells-blog.de/

EuGH: Safe Harbor-Abkommen ist ungültig

GRCh Art. 7, 8, 47, 51; RL 95/46/EG Art. 25 Abs. 6, 28; Entscheidung 2000/520/EG der Kommission v. 26.7.2000; AEUV Art. 288 Abs. 4
Leitsätze
1. Art. 25 Abs. 6 der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die VO (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates v. 29.9.2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 GRCh dahin auszulegen, dass eine auf Grund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission v. 26.7.2000 gem. der RL 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens” und der diesbezüglichen „Häufig gestellten Fragen” (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die EU-Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats i.S.v. Art. 28 der RL in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.

2. Die Entscheidung 2000/520 ist ungültig.

EuGH, Urteil vom 6.10.2015 – C-362/14 Maximillian Schrems / Data Protection Commissioner

Quelle: ZD 2015 Seite 461

LAG Rheinland-Pfalz: Einsicht des Arbeitgebers in einen elektronischen Kalender

BDSG §§ 1, 4a Abs. 1, 32 Abs. 1 Satz 1 und Satz 2; BGB § 626 Abs. 1
Leitsätze
1. Gibt ein Arbeitnehmer im Voraus eine ganztägige Dienstreise für die Zeiterfassung an und leistet an diesem Tag tatsächlich mehrere Stunden Hilfe bei einer Sportveranstaltung, ist dieses Verhalten an sich geeignet, einen wichtigen Grund zur außerordentlichen Kündigung i.S.v. § 626 Abs. 1 BGB darzustellen.
2. Bei einer Einsicht in als privat markierte Einträge im elektronischen Kalender des Arbeitnehmers ist die Rechtmäßigkeit des Eingriffs nach § 32 Abs. 1 Satz 2 BDSG zu überprüfen. Eine in Anwesenheit des Arbeitnehmers durchgeführte Kontrolle des Kalenders ist regelmäßig das mildere Mittel zur Aufklärung eines Arbeitszeitbetrugs.
3. Auf Grund der anzustellenden Güterabwägung unter Berücksichtigung der Art und Weise des Verstoßes gegen § 32 Abs. 1 Satz 2 BDSG kann sich auch bei einer unverhältnismäßigen Kontrolle von als privat markierten Einträgen im elektronischen Kalender eine Verwertbarkeit des unstreitig gewordenen Sachverhalts ergeben.
LAG Rheinland-Pfalz, Urteil vom 25.11.2014 – 8 Sa 363/14 (ArbG Mainz) (nicht rechtskräftig)

Quelle: ZD 2015 Seite 488

E-Mail-Überwachung am Arbeitsplatz

Wer bewacht den Wächter?

Arbeitgeber können ein nachvollziehbares Interesse daran haben, zur Gewinnung
betriebsrelevanter Informationen auf E-Mail-Accounts ihrer Mitarbeiter zuzugreifen. Ob bei längeren Urlaubsabwesenheiten oder nach dem Ausscheiden eines Mitarbeiters aus dem Betrieb, ob zu allgemeinen Kontrollzwecken oder zum Klären konkreter Verdachtsmomente wegen regelwidrigen Verhaltens: So plausibel das Interesse des Arbeitgebers am Zugriff auf Mitarbeiter- E-Mails sein mag, so problematisch ist der Zugriff im Lichte des Rechts auf informationelle Selbstbestimmung. Zudem steht die Vertraulichkeit der Kommunikation auf dem Spiel, wenn der externe Zugriff auf ein Postfach erfolgt, das neben der dienstlichen Kommunikation auch privat genutzt werden darf. Vor dem Hintergrund der verfassungsrechtlichen Gemengelage befasst sich dieser Beitrag mit den Schranken, die ein Arbeitgeber in der Praxis beachten muss, wenn er auf ein E-Mail-Postfach eines Mitarbeiters zugreift. Zugleich beleuchtet er die Frage, unter welchen Voraussetzungen auf diese Weise erlangte E-Mails in einem späteren Prozess verwertet werden können.

Der Zugriff auf das E-Mail-Postfach eines Mitarbeiters durch den Arbeitgeber ist im Hinblick auf mögliche Verletzungen des Rechts auf informationelle Selbstbestimmung und das Fernmeldegeheimnis problematisch.

Ausschließlich für dienstliche Kommunikation freigegebene Postfächer dürfen auf der Grundlage von §§ 28, 32 BDSG gesichtet werden, während bei erlaubter privater Nutzung wegen der zusätzlichen Berührung des Fernmeldegeheimnisses die Eingriffsvoraussetzungen nach §§ 91 ff. TKG ungleich schwerer sind: Es muss danach differenziert werden, ob ein Mitarbeiter Kenntnis von einer E-Mail erlangt und den Kommunikationsvorgang erkennbar abgeschlossen oder einen entsprechenden Willen über den weiteren Verbleib der E-Mail getätigt hat. So sind gelöschte oder als ungelesen markierte E-Mails des Mitarbeiters vom Schutz des Art. 10 GG erfasst und dem Zugriff des Arbeitgebers entzogen, wohingegen als geöffnet gekennzeichnete E-Mails im Posteingangsfach oder in dessen Unterordnern auf Grund der erkennbaren Beendigung des Kommunikationsvorgangs keinen Schutz durch das Fernmeldegeheiminis mehr genießen.

Es ist zu wünschen, dass die bis heute umstrittene Rechtsfrage, ob der Arbeitgeber tatsächlich Diensteanbieter i.S.d. § 88 TKG ist, eines Tages durch den Gesetzgeber ausdrücklich beantwortet wird, z.B., indem er im BDSG unter Einhaltung des Zitiergebots gem. § 88 Abs. 3 Satz 3 TKG klarstellt, dass auf Grund des BDSG auch in das Fernmeldegeheimnis eingegriffen werden kann. Auch im Anwendungsbereich des Fernmeldegeheimnisses könnte das BDSG dann als Ermächtigungsgrundlage herangezogen werden.

Quelle: ZD 2015 Seite 461

Datenschutz bei freien Berufen

Anwendungsbereich und Grenzen des BDSG und das Berufsrecht der Rechtsanwälte, Steuerberater und Wirtschaftsprüfer

Der Streit der Rechtsanwälte mit den Datenschützern ist so alt wie das Gesetz selbst: Wie weit reicht der Regelungsbereich des BDSG, und für welche Berufsgruppen gelten Sonderregelungen?
Die gleichen Fragen stellen sich bei anderen Berufsträgern wie den Steuerberatern und Wirtschaftsprüfern. Gerichtsurteile, Aussagen der Datenschutzaufsichtsbehörden und Stellungnahmen der Berufsverbände verschieben hier immer mal wieder die Positionen, ohne eine abschließende inhaltliche Klärung zu erreichen. Dieser Herausforderung muss sich künftig die Gesetzgebung stellen.
Der im deutschen Datenschutzrecht nach § 1 Abs. 3 BDSG geltende Vorrang besonderen Berufsrechts bei Tatbestandskongruenz mit allgemeinen Datenschutzregelungen wurde zwar nicht immer einheitlich gesehen und angewendet, er führte im Einzelfall gleichwohl stets zu sachgerechten Ergebnissen bei der Lösung von materiellen Konflikten der betroffenen Rechtsgebiete Datenschutz- und Berufsrecht.
Auch wenn die Rechtsprechung in manchen der Abgrenzungsfragen eine Klärung schaffen konnte, besteht hinsichtlich der Anwendbarkeit etlicher Datenschutzregeln auf Mandatsdaten, wie etwa der Aufsicht oder der technischen und organisatorischen Sicherheit, immer noch rechtliche Unsicherheit für Berufsträger.
Da eine Lösung auf nationaler Gesetzgebungsebene nicht absehbar ist, bietet die Neuregelung des Datenschutzes in Europa in einer Datenschutzgrundverordnung (DS-GVO) die Chance, die bestehenden Rechtsfragen bei der Verarbeitung personenbezogener Daten durch Berufsgeheimnisträger, die unter eine berufsrechtlich geschützte Geheimnispflicht fallen, auszuräumen. Auch die lange umstrittene Frage der Zuständigkeit für die (datenschutzrechtliche) Aufsicht über Berufsträger kann in der DS-GVO ihre gesetzliche Klärung finden.
Daher ruhen die Hoffnungen auf dem europäischen Datenschutzgesetzgeber, Fragen der systematischen Abgrenzung des Berufsrechts zum Datenschutzrecht so zu gestalten, dass die berufsrechtlichen Anforderungen an umfassende Verschwiegenheit gegenüber jedermann, auch gegenüber staatlichen Organen, berücksichtigt werden, selbst wenn diese personenbezogene Daten umfassen.

Quelle: ZD 10/2015 Seite 461

Auftraggeberhaftung für den „Mindestlohn“ aus Datenschutzsicht

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat in einer Stellungnahme dargelegt, dass es zur Vermeidung von Haftungsrisiken nach dem Mindestlohngesetz in der Regel weder erforderlich noch zulässig ist, Beschäftigtendaten von einem beauftragten Unternehmen an den Auftraggeber zu übermitteln. Zur Begrenzung seiner Haftung muss der Auftraggeber zunächst auf Maßnahmen zurückgreifen, bei denen eine Erhebung personenbezogener Daten entbehrlich ist.

Quelle: https://www.datenschutzzentrum.de/artikel/871-.html

Mitarbeiter-Screening

Seit bekannt wurde, dass der Autokonzern Daimler alle drei Monate überprüft, ob Mitarbeiter auf den Terror-Sanktionslisten stehen, ist das Thema wieder aktuell.
Das Außenwirtschaftsgesetz (AWG) verlangt auf Grundlage der EG-Verordnungen VO (EG) 2580/2001 und VO (EG) 881/2002 Mitarbeiterscreenings hinsichtlich terrorverdächtiger Personen. Auch die Zollbehörden verlangen zur Erlangung des AEO-Status entsprechende Screenings anhand der vorgenannten Listen. Die datenschutzrechtliche Rechtmäßigkeit solcher Listen ist umstritten.
Dieses Thema wurde ausführlich nach dem Urteil des BUNDESFINANZHOF Urteil vom 19.6.2012, VII R 43/11 in der Zeitschrift für Datenschutz diskutiert:

„Sowohl auf Seiten des Datenschutzrechts als auch auf Seiten des Außenwirtschaftsrechts drohen bei Verstößen erhebliche Sanktionen. Gewichtige Argumente sprechen allerdings in der Tat für eine datenschutzrechtliche Unzulässigkeit der beschriebenen Terror-Screenings anhand der VO (EG) 2580/2001 und der VO (EG) 881/2002. Soweit Unternehmen sich infolge der Strafandrohung daher aus Risikomanagementsicht dennoch dazu entscheiden, entsprechende Screenings auf Basis der beiden EU-Verordnungen bei ihren Mitarbeitern durchzuführen, so sollte zumindest darauf geachtet werden, dass

  • diese nicht flächendeckend für alle Beschäftigten, sondern nur beschränkt für die in Sicherheitsbereichen tätigen Personen vorgenommen werden,
  • nach Möglichkeit allenfalls jährlich erfolgen,
  • Beschäftigte und der ggf. vorhandene Betriebsrat hierüber informiert werden sowie
  • der betriebliche Datenschutzbeauftragte involviert wird. „

Quelle: ZD 2012 Seite 519,