|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 19. März 2020
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Sehr geehrte Kunden und Abonnenten des Newsletters,
|
ich hoffe, dass Sie alle gesund sind und unbeschadet durch die derzeitige Krise kommen!
|
Aus aktuellem Anlass befasst sich dieser Newsletter mit Homeoffice, Telearbeit und dieser Thematik.
|
- Homeoffice und Telearbeit
- Tätigkeitsbericht des Hamburger DSB für 2019
- Datenschutz im Arbeitsverhältnis
|
1. Homeoffice und Telearbeit
Aus dem aktuellen Anlass der Coronavirus Krise hat auch das BSI, das Bundesamt für Sicherheit in der Informationstechnologie, auf die möglichen Sicherheitsprobleme im Homeoffice hingewiesen. Den Link zu dieser jüngst veröffentlichten Publikation zur Informationssicherheit finden Sie hier: BSI - Tipps für sicheres mobiles Arbeiten
|
Die vom BSI getätigten Aussagen gelten auch sinngemäß für den Datenschutz im Homeoffice. Im Sinne des Datenschutzes stellt Telearbeit und Homeoffice grundsätzlich kein Problem dar, so lange gewährleistet ist, dass personenbezogene Daten angemessen sicher auf den technischen Geräten oder auf Papier im Homeoffice verwahrt werden. Darüber hinaus müssen Daten sicher übertragen werden. Letzteres gilt auch für eine Telefon- oder Videokonferenz. In der Praxis heißt das zweierlei:
|
Zum einen ist der Arbeitnehmer im Homeoffice darauf hinzuweisen, dass er seine Unterlagen sicher gegen Einsicht unbefugter Dritter verwahrt. Sofern ein erhöhtes Diebstahlrisiko besteht, sollten technische Geräte verschlüsselt werden. Nutzt der Arbeitnehmer private Geräte, sollten diese Geräte ein aktuelle Betriebssystem mit den letzten Sicherheitsupdates, Firewalls und eine Malwarescanner, zum Beispiel Windows Defender oder vergleichbar, haben. Bei Arbeit in öffentlichen Verkehrsmitteln sind Sichtschutzfolien für Laptops empfehlenswert.
|
Zum anderen stellt sich die Frage nach einer sicheren und im Sinne des Datenschutzes rechtskonformen Kommunikation zwischen Arbeitnehmern im Homeoffice untereinander und mit dem Unternehmen. Hierbei ist unbedingt darauf zu achten, dass die dafür genutzten Dienste keine Daten abfangen können oder Daten über Server außerhalb der EU leiten. Es sollten Anbieter in der EU bevorzugt werden, die für ihre Dienste einen mit dem Datenschutz konformen Auftragsverarbeitungsvertrag anbieten und dabei Serverstandorte in der EU benennen. Andere Dienste sollten sehr umfangreich geprüft werden, bevor man diese nutzt. Eine end-to-end Verschlüsselung zwischen den teilnehmenden Geräten ist ebenso erforderlich, um den Datenschutz angemessen zu gewährleisten. Dieses gilt auch für Video- oder Tonkonferenzen, da auch diese abgefangen und ausgewertet werden können.
|
Wenn Sie als Kunde Fragen oder Unsicherheiten bei ihrer verwendeten Telearbeits-Software oder Methodik im Homeoffice haben, dann kontaktieren sie mich jederzeit.
|
2. Tätigkeitsbericht des Hamburger DSB für 2019
Der Hamburger Beauftragte für den Datenschutz, Prof. Dr. Johannes Casper, hat kürzlich seinen Jahresbericht für 2019 vorgestellt. In diesem berichtet er nicht nur über seine geleistete Arbeit, sondern nimmt auch Stellung zu aktuellen Themen. Ich möchte aus den insgesamt 180 Seiten der Publikation einige wissenswerte Aussagen aufführen:
|
Die Anzahl der Meldungen von Datenschutzverletzungen durch Betroffene ist in 2019 nochmals deutlich um 25% gestiegen. Es gingen 3.641 Meldungen ein. Ebenso sind auch die Meldungen von Datenpannen von verantwortlichen Stellen gestiegen. 2019 wurden 611 Datenschutzverletzungen von verantwortlichen Stellen gemeldet. Die Behörde gesteht selbst ein, dass sie mit Ihrer Arbeit hinterherhinkt und die Bearbeitung der Meldungen seitens Betroffener zu lange dauert. Eine personelle Aufstockung soll im Laufe des Jahres erfolgen und Entlastung bringen.
|
Inhaltlich wird im Bericht zu KIS Stellung genommen. KIS steht für Krankenhaus Informationssysteme. Hier wird erwartet, dass es klare, den jeweiligen Notwendigkeiten nach beschränkte Regelungen zu Lese- und Schreibzugriffen in diesem Systemen geben muss. Insbesondere dass die Art der Zugriffe, die zugreifende Person, von wo aus zugegriffen wurde und was bei dem Zugriff verändert wurde, sogenannte Logfiles, protokolliert werden und jederzeit nachvollziehbar sein müssen. Begründet wird diese mit der Verarbeitung von Gesundheitsdaten als besonders schutzwürdige Daten. Entsprechend gilt diese Erwartung der Datenschutzbehörde an komplexe EDV-Systeme für alle Organisationen, die besonders schutzwürdige Daten verarbeiten. Wann ein EDV-System so komplex ist, dass umfassende Logfiles unbedingt erforderlich sind, wäre im Einzelfall zu beurteilen und wird vermutlich daran festgemacht, wie viel Mitarbeiter auf ein EDV-System Zugriff haben und wie dieser Zugriff nachzuvollziehen ist. Ist dieser nicht ohne Logfiles eindeutig nachzuvollziehen, so sind Logfiles zwingend erforderlich.
|
Ferner teilt die Behörde mit, dass sie technisch aufgerüstet und eine umfangreiche Labor-Umgebung für die Prüfung technischer Geräte und Software auf Datenabfluss errichtet hat, teilweise unter Entwicklung eigener Verfahren. Hiermit prüft sie u.a. Windows 10 und zahlreiche Apps auf heimliche, nicht zu erkennende Datenübertragungen. Hintergrund sind zahlreiche Beschwerden, die sich dahingehend wenden, dass Betroffene auf ihren Smartphones Werbung empfangen haben, die Bezug auf im Vorfeld der Werbung geführte Telefonate nimmt. Dieses deutet daraufhin, dass Apps im Hintergrund Telefonate aufzeichnen und verarbeiten, ohne dass ein Nutzer zugestimmt oder überhaupt Kenntnis davon hat. Dieses nimmt die Behörde sehr ernst und geht entschieden dagegen vor.
|
Sehr klar wird sich zur Verwendung von Google Analytics oder anderer Tracking Software auf Webseiten geäußert. Diese Verwendung kann nicht mit einem berechtigten Interesse begründet werden, da die Schutzbedürftigkeit Betroffener überwiegt. Derartiges Tracking ist nur mit einer vorherigen, informierten und freiwilligen Zustimmung rechtens. Reine Informationsbanner, die man nur "mit OK absegnen" kann, sind rechtswidrig. In diesem Zusammenhang wurden Verfahren gegen einige Kreditinstitute und gegen das Stadtportal "hamburg.de" eröffnet. Bußgelder sollen verhängt werden.
|
Auch zum schießen von Fotos auf Betriebsfeiern und Veranstaltungen durch Gäste zu privaten Zwecken äußert sich der Hamburger Beauftragte für den Datenschutz. Hier wird aus Sicht des Datenschutzes kein Problem gesehen. Bilder, die zu rein privaten Zwecken aufgenommen werden, fallen unter das Haushaltsprivileg und sind uneingeschränkt erlaubt. Grenzen werden hier aber durch andere Gesetzgebungen gesetzt. So ist zwar das erstellen und verarbeiten zu privaten Zwecken erlaubt, nicht jedoch die Veröffentlichung von Bildern, ohne dass alle in dem Bild befindlichen, identifizierbaren Personen ihr Einverständnis gegeben haben. Eine Veröffentlichung wäre zum Beispiel das Eistellen eines Bildes auf einem Social Media Kanal, der nicht nur einer eng beschränkten Gruppe zugänglich ist. Die Verantwortung hierbei obliegt den Fotografen. Ein Veranstalter haftet nicht noch obliegt ihm eine Rechtsbelehrung der Besucher der Veranstaltung.
Anders verhält es sich bei einem gewerblich tätigen Fotografen auf einer Veranstaltung. Hierbei obliegt es dem Veranstalter, der den Fotografen beauftragt, diesen auch unter Datenschutzaspekten sorgfältig auszuwählen. Mit dem Fotografen muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Die so gemachten Bilder dürfen durch den Veranstalter nur gewerblich genutzt werden, wenn die darin befindlichen Personen dafür zugestimmt haben. Eine Überlassung an Gäste zu privaten Zwecken wäre aber unproblematisch, auch wenn diese gegen Entgelt erfolgt.
|
Abschließend kann aus dem Bericht entnommen werden, dass die Behörde große Wichtigkeit auf ordentliche Meldungen von Datenschutzbeauftragten der Verantwortlichen Stellen sowie bei Datenpannen legt. Stellt die Behörde bei Bearbeitung einer Meldung fest, dass eine betroffenen Stelle nach Art und Umfang der Tätigkeit verpflichtet war, einen Datenschutzbeauftragten zu melden, dieses aber nicht getan hat, so muss man mit einem Bußgeld rechnen. Gleiches gilt für nicht oder verspätet gemeldete Datenlecks. Diese müssen der Behörde gemäß Artikel 33 DSGVO binnen 72 Stunden gemeldet werden. Dabei kann eine Meldung dann unterbleiben, wenn ein Risiko für die Betroffenen Personen nicht besteht. Das Nichtbestehen eines solchen Risikos ist dabei sehr eng auszulegen und im Zweifelsfall sollte immer eine Meldung erfolgen. Allein das Nichttätigen oder verspätete Melden eines Vorfalls nach Artikel 33 DSGVO kann zu einem empfindlichen Bußgeld führen. Auch eine inhaltlich nicht den Vorgaben des Artikel 33 Abs. 3 DSGVO entsprechende Meldung einer Datenpanne kann unter Umständen zu einem Bußgeld führen.
|
3. Datenschutz im Arbeitsverhältnis
Der Datenschutz gilt nicht nur gegenüber Kunden, sondern auch zwischen dem Arbeitgeber und den Arbeitnehmern. Der Arbeitgeber darf nur im Rahmen der Umsetzung des Arbeitsvertrags Daten sammeln und verarbeiten. Eine Sammlung von Daten darüber hinaus bedarf der Kenntnis und nachweisbaren Zustimmung des Arbeitnehmers. Als Faustregel kann man sagen, dass jede Sammlung von Daten, die nach allgemeinen Verständnis eines Arbeitsverhältnisses nicht im Sinne von Treu und Glauben zu einem Schutzzweck erforderlich sind, verboten sind.
|
Insbesondere Verboten ist auch eine Überwachung der Tätigkeit des Arbeitnehmers, ohne dass dieser darüber vorab informiert wurde und zugestimmt hat. Ein Beispiel wäre die Aufzeichnung von Toilettengängen, Anzahl von Gesprächen mit Mitarbeitern etc., die im späteren bei einer Beförderung des Mitarbeiters berücksichtigt werden. Die Rechtswidrigkeit dieses Sachverhalts im Arbeitsrecht ist nicht neu. Allerdings waren bisher die Rechtsmittel des Arbeitnehmers dagegen vorzugehen sehr beschränkt. Es blieb nur das Arbeitsgericht. Das führte dann meist zu Mobbing und einer Auflösung des Arbeitsverhältnisses, was für den Arbeitnehmer mit sehr viel psychischen Stress verbunden war. Dem Arbeitgeber erwuchs daraus nur geringer finanzieller Schaden.
|
Mit der Einführung der DSGVO hat sich letzteres geändert. Der Arbeitnehmer, wenn er über eine solche illegale Datensammlung und Verarbeitung Kenntnis gelangt, kann nun eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde machen. Er bleibt dabei anonym und muss erst einmal keine persönlichen Benachteiligungen aus seinem Vorgehen, anders als vor einem Arbeitsgericht, fürchten. Die Datenschutzbehörde hat dann die Möglichkeit sehr hohe Strafen zu verhängen. Ein erstes Verfahren dieser Art steht kurz vor dem Abschluss. Der Hamburger Beauftragte für den Datenschutz wird gegen den H&M Konzern in Kürze einen solchen Bußgeldbescheid erlassen. In der Branche erwarten wir alle eine Strafe an der oberen Grenze des Möglichen. Somit muss ein Arbeitgeber nun mit erheblichen finanziellen Risiken aus derartigen Praktik rechnen.
|
Zu derartigen Praktiken würde auch eine zwar rechtlich zulässige Sammlung von Daten, aber die Verarbeitung zu einem unerlaubten Zweck, gehören. Ein Beispiel wäre die Erfassung von Krankheitszeiten, die der Arbeitnehmer zur Lohnfortzahlung und weiteren administrativen Tätigkeiten führen muss und auch darf. Verarbeitet der Arbeitgeber die Krankheitszeiten aber in der Form, dass er die daraus gewonnen Erkenntnisse zur Benachteiligung eines Mitarbeiters im betrieblichen Beförderungsverfahren oder dergleichen nutzt, dann ist das ein vom Arbeitsverhältnis nicht gedeckter Zweck. Der Arbeitgeber verstößt dann nicht nur gegen Arbeitsrecht, sondern auch gegen den Datenschutz. Und es droht ein hohes Bußgeld, wenn der Sachverhalt der Behörde angezeigt wird.
|
|
Fazit kann nur sein, dass man als Arbeitgeber sehr penibel auf den Datenschutz im Arbeitsverhältnis achten sollte, da empfindliche finanzielle Bußgelder erfolgen können.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass Sie die Themen interessant fanden.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com
|
|
|
|
  
|
|
|
|
