Beiträge zum Datenschutz

Datenschutz am Arbeitsplatz VII

Homeoffice

Immer beliebter und aufgrund des technischen Fortschrittes auch einfacher wird die Arbeit im Homeoffice. Datenschutzrechtlich bestehen hier aber besondere Herausforderungen.

Wer im Homeoffice beschäftigt ist, muss in gleichem Maße wie ein „normaler“ Arbeitnehmer in der Betriebsstätte die Vorschriften zum Datenschutz beachten. Insofern müssen am Arbeitsplatz alle zumutbaren und technisch möglichen Maßnahmen getroffen werden, um die Sicherheit und Geheimhaltung personenbezogener Daten zu gewährleisten. Dazu zählt vor allem, dass die Daten durch Benutzerzugänge und Passwörter vor dem Zugriff Nichtberechtigter geschützt sind, aber auch dass die Arbeitsmittel (PC, Laptop…) ausreichenden Schutz gegen Viren, Trojaner und andere Angriffe von außen beinhalten (z.B. Firewall und Virenschutzsoftware).

Daneben muss mit organisatorischen Maßnahmen sichergestellt werden, dass ein Zugriff auf oder eine Zerstörung von Arbeitsgeräten verhindert wird. Dies ist vorstellbar, indem das Büro des im Homeoffice Beschäftigten außerhalb seiner Arbeitszeiten abgeschlossen wird oder indem Geräte wie Laptops sicher eingeschlossen werden, z.B. in einem Schrank.

Der Arbeitgeber muss den Beschäftigten im Hinblick auf seine Tätigkeit im Homeoffice besonders zum Datenschutz belehren und die Einhaltung der Vorgaben sicherstellen. Dazu kann er seinen Beschäftigten auch im Homeoffice kontrollieren, z.B. im Rahmen einer Besichtigung des Arbeitsraumes. Sofern es sich beim Arbeitgeber um einen Auftragsdatenverarbeiter handelt, also ein Unternehmen, welches personenbezogene Daten eines anderen Unternehmens in dessen Auftrag verarbeitet (z.B. Durchführung der Lohnbuchhaltung für einen Auftraggeber), darf sogar dieses auftraggebende Unternehmen den Homeoffice-Arbeitsplatz auf die Einhaltung der datenschutzrechtlichen Bestimmungen kontrollieren.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz VI

Einsichtsrecht in die Personalakte

Im Laufe eines Arbeitsvertragsverhältnisses kommt es immer mal wieder vor, dass der Arbeitnehmer Einsicht in seine Personalakte begehrt, z.B. weil eine Abmahnung erteilt wurde oder Streit über den Inhalt eines (Zwischen-)Zeugnisses besteht.

Nach § 83 Abs. 1 S. 1 Betriebsverfassungsgesetz hat der Arbeitnehmer im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführte Personalakte Einsicht zu nehmen. Das Bundesarbeitsgericht versteht unter „Personalakte“ jede Sammlung von Unterlagen, die mit dem Arbeitnehmer im Zusammenhang steht, unabhängig von Material (Papier oder elektronisch), Form und Ort, an dem die Akte geführt wird.

Das Einsichtsrecht des Arbeitnehmers besteht umfassend. Eine Ausnahme könnte bestehen, wenn gegen den Arbeitnehmer betriebsinterne Ermittlungen wegen eines Verstosses gegen Vertragspflichten noch laufen, die durch die Akteneinsicht gefährdet werden könnten.

Soweit der Arbeitgeber in der Personalakte die Namen von Kollegen dokumentiert hat, die den Arbeitgeber auf Fehlverhalten des Mitarbeiters hingewiesen haben und denen er Anonymität zugesichert hat, darf er diese Daten nicht weitergeben. Da es aber keinen geheimen Teil der Personalakte gibt, hat der Arbeitgeber kein Recht, aus diesem Grund die Einsichtnahme in die Akte zu verweigern. Er muss alle Hinweise auf die Identität des Hinweisgebers schwärzen oder darf dessen Namen erst gar nicht in die Akte aufnehmen.

Arbeitnehmer können sich bei einem Gesuch auf Einsicht in ihre Personalakte auch darauf berufen, dass Art. 15 Abs. 3 Datenschutz-Grundverordnung vorsieht, dass die betroffene Person eine Kopie ihrer personenbezogenen Daten erhält, die Gegenstand der Datenverarbeitung sind. Die genaue Reichweite dieses Rechtes ist in der Rechtsprechung noch nicht ausdiskutiert. Es lässt sich daraus aber zumindest der Anspruch ableiten, den Personaldatensatz und die wesentlichsten Informationen zu erhalten.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz V

GPS und Datenschutz

Ein GPS im Dienstwagen oder Firmen –LKW hat zwei grundlegende Funktionen: Es ermöglicht eine zuverlässige Navigation und damit ein schnelles Auffinden von Kunden und Lieferadressen. Es erlaubt aber auch zu lokalisieren, wo sich das Fahrzeug, und damit der Arbeitnehmer, befindet. Diese Ortsbestimmung ist insbesondere bei Dienstwagen, die auch privat genutzt werden dürfen, kritisch.

Die Eingriffsintensität des GPS hängt von der technischen Ausgestaltung und der tatsächlichen Verwendung ab. In der arbeitsrechtlichen Rechtsprechung gibt es unseres Wissens nach noch keine relevanten Urteile zur Verwendung von GPS.

Da ein wichtiger Grundsatz der DSGVO (Datenschutz-Grundverordnung) der der Datensparsamkeit ist, muss die vorhandene Technik so genutzt werden, dass nur die essentiell wichtigen Informationen abrufbar sind und ggf. gespeichert werden. Außerdem empfehlen wir, bei Nutzung von GPS eine Datenschutzfolgeabschätzung zu tätigen, um sich auch den technischen Risiken bewusst zu werden. Oft werden die Daten, bei denen es sich um personenbezogene Daten des Arbeitnehmers handelt, weil sie seinen Standort wiedergeben, in einer Cloud gespeichert. Und ob die Daten dort hinreichend geschützt sind, lässt sich nur mit einer gründlichen Analyse sowie einer Interessenabwägung zwischen den Nutzungsinteressen des Arbeitgebers und dem Anspruch auf Datenschutz des Arbeitnehmers feststellen.

Gerne informieren wir Sie über die Datenschutzfolgeabschätzung und analysieren das Risiko Ihrer technischen Einrichtungen.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz IV

Bring your own device

Unter diesem Stichwort ist die mobile Vernetzung von privaten Geräten (Handy, Laptop) mit berufsbezogenen Daten gemeint. Die Geräte werden in Netzwerke des Unternehmens integriert, z.B. durch Abruf der E-Mails auf dem privaten Gerät oder Zugang zu Datenbanken.

Aus Sicht des Datenschutzes sind hierfür klare Regeln im Unternehmen erforderlich. Die Datensicherheit muss gewährleistet werden. Zweifellos bringt die Nutzung privater Geräte ein höheres Risiko des Datenverlustes oder der Verletzung der Vertraulichkeit mit sich.

Doch nicht nur die Datensicherheit ist ein wichtiges Thema, sondern auch Fragen nach Arbeitszeitverstößen, wenn der Arbeitnehmer das Gerät dienstlich nutzt, obwohl Ruhepausen anstehen.

Die Regelung aller Fragen rund um die privaten Geräte sind im Arbeitsvertrag oder in einer Zusatzvereinbarung möglich. In größeren Unternehmen werden oft Betriebsvereinbarungen abgeschlossen. Hier sollten sich die Arbeitsvertragsparteien auch fragen, wie Kostenfragen geregelt werden, ob es Lizenzrechte zu beachten gilt (betriebliche Nutzung eines Handys mit nur privater Lizenz für das Office-Paket), und ob eine Versicherung gegen Verlust oder Cyber-Attacken gewünscht ist. Dazu gehört auch die Frage, wie bei der Beendigung des Arbeitsverhältnisses mit den Unternehmensdaten auf dem privaten Gerät umgegangen wird.

In jedem Fall hat das Unternehmen zu Fragen der Nutzung privater Endgeräte den betrieblichen Datenschutzbeauftragten zu beteiligen. Wir können Ihnen in allen Fragen zu „Bring your own device“ rechtssichere Lösungen präsentieren.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz III

Die ersten Schlaglichter in unserer Themenreihe „Datenschutz am Arbeitsplatz“ haben wir auf die Fragen der IT-Sicherheit geworfen. Der Datenschutz schützt aber auch den Arbeitnehmer selbst. Denn auch mit dessen personenbezogenen Daten soll der Arbeitgeber sicher umgehen. Somit werden unter dem Begriff „Beschäftigten-Datenschutz“ die Normen zusammengefasst, die den Umgang mit den personenbezogenen Daten der Arbeitnehmer und den Daten aus dem Beschäftigtenverhältnis regeln.

Vorschriften finden sich vor allem in der Datenschutz-Grundverordnung, aber auch im Bundesdatenschutzgesetz. Wichtigste Regel hierbei ist, dass Daten des Arbeitnehmers nur erhoben werden dürfen, wenn diese für die Erfüllung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Hierzu gehören z.B. Kontaktdaten, Versicherungsnummer, Steuerklasse, Bankverbindung usw.

Zwingende Voraussetzung neben der Zweckbindung (die Daten sind für die Durchführung des Vertrages erforderlich) ist die Gewährleistung der Betroffenenrechte des Arbeitnehmers, also Information über die gespeicherten Daten, Recht auf Berichtigung, Löschung und Widerruf von Einwilligungen zur Datenverarbeitung.

Diese Fragen sollten Sie sich als Arbeitgeber stellen, wenn Sie den Beschäftigten-Datenschutz ernst nehmen:

  • Habe ich alle Arbeitnehmer und Auszubildenden über die Verarbeitung ihrer Daten ausreichend informiert?
  • Erhebe ich nur Daten, die ich für das Arbeitsverhältnis benötige?
  • Gebe ich Daten meiner Arbeitnehmer an Dritte weiter und darf ich das überhaupt?
  • Werden personenbezogene Daten meiner Arbeitnehmer erhoben, die ich noch gar nicht als solche erkannt habe (Videoüberwachung, Fahrtenbuch usw.)?
  • Wer hat Zugriff auf in meinem Unternehmen gespeicherte Daten und ist der Datenschutz auch für meine Arbeitnehmer hier gewährleistet (z.B. Fernwartung der IT, Speicherung von Daten in einer Cloud)?

Wir beraten Sie gern zum Datenschutz und Arbeitsrecht, damit Sie die Datenschutzbestimmungen korrekt umsetzen.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz II

Der Arbeitnehmer: Ein Sicherheitsrisiko?

Datenschutz fängt damit an, dass die eigene Technik und IT-Infrastruktur möglichst sicher ist. Aber Technik ist nur gut, wenn der Mensch, der sie bedient, sie auch versteht. Und ihre Risiken kennt.

Die Frage, ob ein Mitarbeiter in Sachen IT-Sicherheit ein Problembewusstsein hat und Risiken kennt, wird oft mit dem Begriff „Security Awareness“ umschrieben. Wie viele Kenntnisse haben Ihre Mitarbeiter oder Kollegen?

Grundsätzlich sollten sich alle (!) Mitarbeiter in einem Betrieb mit folgenden Problemfeldern auskennen und wirksame Sicherungsmaßnahmen im Falle von Problemen oder Angriffen ergreifen können:

  • Sicherer Umgang mit E-Mails, vor allem Virenschutz, Phishing und gefälschte Links
  • Sicherer Umgang mit Passwörtern
  • Sicheres Surfen im Internet
  • Sicherer Umgang mit Speichermedien

Diese Themen sollte jedes Unternehmen ernst nehmen und seine Mitarbeiter entsprechend schulen. Denn oft wird die betriebseigene IT und damit die Datensicherheit gefährdet, weil die Sensibilisierung für Sicherheitsrisiken fehlt. Wir bieten hierzu Schulungen an, wie zu allen anderen Themen des Datenschutzes. Informieren Sie sich auf den entsprechenden Seiten unserer Homepage.

Noch einen Hinweis zum Schluss: Besonders sensibel im Umgang mit Sicherheitsfragen sollten die Mitarbeiter sein, die an leicht angreifbaren Stellen tätig sind. Und diese zeigen sich nicht immer auf den ersten Blick: Haben Sie eventuell einen Mitarbeiter, der Ihre Unternehmenspräsenz im Social-Media-Bereich aufbaut? Manche Seiten werden erstellt von einem persönlichen Profil des Mitarbeiters aus (z.B. bei Facebook). Daher kann es sein, dass Ihr Unternehmensprofil und ein anderes Profil Ihres Mitarbeiters verknüpft sind. Nur wenn der Mitarbeiter auch auf seinem Profil hohe Sicherheitsstandards einhält, z.B. über ein besonders sicheres Passwort verfügt, ist auch Ihr Unternehmensprofil sicher!

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz am Arbeitsplatz I

Mit diesem Beitrag starten unsere Themenwochen „Datenschutz am Arbeitsplatz“. Wir werden Sie jede Woche mit interessanten Beiträgen zur Datenschutz-Grundverordnung (DSGVO) und ihren Auswirkungen auf das Arbeitsverhältnis und die IT-Sicherheit am Arbeitsplatz informieren. Wir freuen uns, wenn Sie sich beteiligen und uns Ihre Anregungen für weitere Themen geben.

Wenn Sie sich über Datenschutz am Arbeitsplatz Gedanken machen, sollten Sie zunächst überlegen, wie die Haltung der eigenen Arbeitnehmer bzw. Ihre Einstellung und die der Kollegen zur Datensicherheit ist. Wieviel Kenntnis besteht überhaupt im Betrieb über Regelungen zum Datenschutz? Und sind sich alle Arbeitnehmer der Risiken im Bereich IT-Sicherheit bewusst?

Die gesetzlichen Vorgaben machen es heute zwingend erforderlich, dass alle Arbeitnehmer sich mit den Grundlagen des Datenschutzes auskennen. Denn jeder Arbeitnehmer kommt mit personenbezogenen Daten in Berührung, entweder wenn er E-Mails oder Kalender öffnet, Kundenadressen erhält usw.

Und auch die IT-Sicherheit kann nur gewährleistet werden, wenn alle Mitarbeiter mögliche Gefahrenquellen kennen, wie z.B. Phishing-Mails, Übermittlung von Viren oder Trojanern per Mail oder Speichermedium (Gibt es in Ihrer Firma Anweisungen zum Umgang mit USB-Sticks?).

Da wir es für extrem wichtig halten, dass alle Mitarbeiter hinsichtlich Fragen der Sicherheit und des Datenschutzes ausreichend informiert und problembewusst sind, empfehlen wir allen Unternehmen eine Schulung der Mitarbeiter. Damit können Sie Ihre Risiken im Hinblick auf Datenverlust, Haftung und Kundenbeschwerden bereits erheblich vermindern. Gerne bieten wir entsprechende Schulungen an.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz-Grundverordnung: Neue Pflichten auch für Vermieter

Die europäische Datenschutz-Grundverordnung muss bis zum 25.05.2018 umgesetzt werden. Dabei gilt sie nicht für Unternehmen, wie Hausverwaltungen und Makler, sondern auch für Vermieter. Neue Pflichten zum Datenschutz sind zu beachten!

Die europäische Datenschutz-Grundverordnung (DSGVO) löst die bisher geltenden Bestimmungen des Datenschutzrechts ab. Verbraucher bekommen mehr Rechte; bei Verstößen drohen erhebliche Bußgelder. Die neuen Vorschriften betreffen nicht nur Unternehmen, sondern auch Mieter und Vermieter, Makler und Verwalter.

Die Datenschutz-Grundverordnung nimmt nur solche Tätigkeiten aus ihrem Anwendungsbereich aus, die „ausschließlich familiär oder privat“ sind. Diese Ausnahme gilt jedoch bei Vermietung selbst dann nicht, wenn sie nur ein Objekt vermieten oder Vermietung nur im Rahmen privater Vermögensverwaltung, z.B. eines geerbten Objekts, durchgeführt wird. Der Kontakt mit dem Mieter erfolgt stets außerhalb der persönlichen Sphäre, weshalb die Regelungen des Datenschutzes zwingend von jedem Vermieter zu beachten sind.

Der Vermieter darf alle Daten erheben, die für das Mietverhältnis wichtig und zur Abwicklung erforderlich sind. Darunter können auch Selbstauskünfte der Mieter fallen. Er ist aber auch verpflichtet, den Mieter über die Datenverarbeitung zu informieren und ihm mitzuteilen, wer außerdem die Daten zur Abwicklung des Mietverhältnisses erhält, z.B. Hausverwaltung oder Ablesedienste.

Personenbezogene Daten von Mietinteressenten, mit denen kein Mietvertrag zustande gekommen ist, dürfen weder gesammelt noch gespeichert werden, es sei denn der Mietinteressent willigt ausdrücklich ein, z.B. um Informationen über die nächste freie Wohnung zu bekommen.

Neben der Pflicht zum sicheren Abspeichern von Daten einschließlich Schutz vor Datendiebstahl hat der Vermieter zu dokumentieren, wer noch Zugriff darauf hat. Immer, wenn Dritte eingeschaltet werden (Hausverwaltung, Handwerker, Ablesedienst) werden dem Vermieter durch die DSGVO Pflichten auferlegt, denn er muss dafür Sorge tragen, dass der Dienstleister die Bestimmungen zum Datenschutz einhält.

Verstöße gegen die in der DSGVO festgelegten Pflichten können mit erheblichen Bußgeldern geahndet werden! Daher sollte jeder Vermieter sich entsprechend beraten lassen, um die Vorgaben der DSGVO umzusetzen.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay

Datenschutz ab Mai 2018 verschärft

Ab dem 25.5.2018 gelten in der Europäischen Union einheitlich die Regelungen der Datenschutz-Grundverordnung. Mit dieser Verordnung wachsen die Anforderungen an Unternehmen, Selbständige und Vereine. Wenn Sie sich bisher wenig Gedanken über den Datenschutz in Ihrem Betrieb gemacht haben, sollten Sie dies jetzt umgehend nachholen. Das neue Recht ermächtigt die Aufsichtsbehörden für den Datenschutz, bei Verstößen Geldbußen in einer Höhe von bis zu 20 Mio. EUR festzusetzen, bei Unternehmen alternativ bis zu 4 % des Umsatzes. Außerdem ist die Nichteinhaltung der gesetzlichen Regelungen ein wettbewerbsrechtlicher Verstoß und kann auch zu zivilrechtlichen Schadensersatzansprüchen führen.

Wenn Sie mit Daten von Mitarbeitern, Kunden, Mitgliedern usw. zu tun haben, müssen Sie sicherstellen, die rechtlichen Vorgaben zum Umgang mit personenbezogenen Daten einzuhalten. Wir beraten und unterstützen Sie gerne, Näheres erfahren Sie hier.

Ihre Ansprechpartnerinnen zum Thema Datenschutz:

Rechtsanwältinnen Dr. Marina Bolinski und Linn van Raay