Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Search Results

DSGVO teil 7

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Den ganzen Artikel lesen.

Mitautorin: Ulrike Berger*

Sie ist da. Die stark herbeigesehnte Entscheidung des Bundesgerichtshof zur Frage, wie mit der Speicherung von Cookies und etwaigen Einwilligungen umzugehen sei (BGH, Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“). Bislang liegt allerdings nur die diesbezügliche Pressemitteilung des BGH vor. Auf die Urteilsgründe werden wir noch warten müssen.

Auf Basis dessen jedoch in aller Kürze eine erste Einordnung des Urteils:

Den ganzen Artikel lesen.

Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

  • Regelungen zum Home Office
  • IT- und Datenschutzrichtlinie
  • Dokumentation über Meldepflichten bei einer Datenpanne
  • Verpflichtung auf Vertraulichkeit nach dem Datenschutz
  • Auftragsverarbeitungsvereinbarungen
  • Information zur Datenverarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).

Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.

Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.

Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise


Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive 😉 ).


Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.

Grund genug einmal einen Blick auf den Fall Zonar sowie  auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

Den ganzen Artikel lesen.

Gestern gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczy, per Pressemitteilung bekannt, dass am 30. Oktober gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro aufgrund von Verstößen gegen die DSGVO erlassen worden sei. Dabei handelt es sich um das fünfthöchste Bußgeld, dass bislang EU-weit und um das höchste Bußgeld, dass bislang in Deutschland erlassen wurde.

Naturgemäß eilt nun diese Meldung durch die Presselandschaft und wird auf Twitter kommentiert. Dazu hat der geschätzte Kollege Niko Haerting bereits die erste juristische Kritik geäußert, seiner Auffassung nach steht der Bußgeldbescheid auf dünnem Eis.

Doch worum geht es eigentlich? Wie ist der Bußgeldbescheid rechtlich einzuordnen? Und ist das Eis tatsächlich so dünn wie vom Kollegen Haerting beschrieben?

Den ganzen Artikel lesen.

1 2 3 13

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.