Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Search Results

DSGVO teil 7

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Den ganzen Artikel lesen.

Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).

Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.

Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.

Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise


Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive ;) ).


Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.

Grund genug einmal einen Blick auf den Fall Zonar sowie  auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

Den ganzen Artikel lesen.

Gestern gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczy, per Pressemitteilung bekannt, dass am 30. Oktober gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro aufgrund von Verstößen gegen die DSGVO erlassen worden sei. Dabei handelt es sich um das fünfthöchste Bußgeld, dass bislang EU-weit und um das höchste Bußgeld, dass bislang in Deutschland erlassen wurde.

Naturgemäß eilt nun diese Meldung durch die Presselandschaft und wird auf Twitter kommentiert. Dazu hat der geschätzte Kollege Niko Haerting bereits die erste juristische Kritik geäußert, seiner Auffassung nach steht der Bußgeldbescheid auf dünnem Eis.

Doch worum geht es eigentlich? Wie ist der Bußgeldbescheid rechtlich einzuordnen? Und ist das Eis tatsächlich so dünn wie vom Kollegen Haerting beschrieben?

Den ganzen Artikel lesen.

Im August erschien an dieser Stelle der erste Teil des Fachaufsatzes zu den vielen Mythen und Halbwahrheiten, die sich um den Datenschutz im Beschäftigungsverhältnis ranken.

Dort konnten Sie unter anderem erfahren, warum es gerade keiner Unterschrift von Bewerbern unter die Datenschutzerklärung bedarf, man weiterhin Personalmanagement-Systeme nutzen kann und nicht wegen der DSGVO zur analogen Personalverwaltung zurückkehren muss.

Nachdem mit diesen Mythen und Halbwahrheiten aufgeräumt wurde, geht es nun um die ToDos, den Leitfaden, an dem Sie sich für eine DSGVO-konforme Arbeit im Beschäftigungsverhältnis orientieren müssen. Dabei geht es unter anderem um das gefürchtete Verzeichnis von Verarbeitungstätigkeiten, den konkreten Maßnahmen und was bei einer Datenpanne zu tun ist.

Was nun aber genau an notwendigen Maßnahmen (*spoiler, es sind nur *acht* Punkte!) ergriffen werden muss, um den Anforderungen an die DSGVO gerecht zu werden und somit sicher die Personalverwaltung zu digitalisieren und das volle Potential aktueller wissenschaftlicher Feststellungen der Eignungsdiagnostik zu nutzen, erklärt Rechtsanwältin Nina Diercks im zweiten Teil ihres Fachaufsatzes

Datenschutz im Beschäftigungsverhältnis – Teil 2

Zeit, mit den Mythen aufzuräumen und endlich das Notwendige zu tun!

der in der zfm, 2019, 186 erschien und der wieder freundlicherweise in Absprache mit der Schriftleiterin (Danke an @DanielaGaub!) an dieser Stelle öffentlich zugänglich gemacht werden darf.

Nun können Sie voll durchstarten und brauchen endgültig keine Sorge mehr vor Einwilligungsmonstern, DSGVO-Schreckgespensten und anderen Befürchtungen rund um den Beschäftigtendatenschutz haben.

Artikel lesen

Der erste Teil findet sich übrigens im Blogbeitrag aus dem August!

In diesem Sinne,

bis bald!

Das mit Spannung erwartete Urteil des EuGH C-673/17 in Sachen Planet49 GmbH ./. Bundesverband der Verbraucherverbände um die (vermeintliche) Frage, ob Cookies einer Einwilligung bedürfen, ist endlich da. Und wie zu erwarten, tönte es schon mit der Pressemitteilung (fast) unisono aus allen Ecken „Cookies sind nur noch mit Einwilligung erlaubt!“ und „Das war es mit den Werbenetzwerken!“. Doch wie immer gilt zu hinterfragen: Ist das wirklich so?

Die tl,dr Version oder: Die Pressemitteilung

Um zu verstehen, warum die Headlines voll mit Aussagen á la „Cookies sind nur noch mit Einwilligungen erlaubt!“ sind, ist es hilfreich einen Blick in die Pressemittelung zu werfen. Dort heißt es:

„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. [betrifft Frage 1. a) und c)]

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. [betrifft Frage 1. b)]

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss. [betrifft Frage 2.]“

Für den unbefangenen Betrachter klingt es tatsächlich so, als sei eine Einwilligung stets von Nöten.

Die einschlägig bewanderte JurstIn denkt dazu hingegen: Ist dieses Ergebnis überraschend? Nein, nicht wirklich. Und: Bedeutet das jetzt, dass für jedes Cookie eine Einwilligung eingeholt werden muss? Nein, auch das nicht.

Und so ist es durchaus sinnvoll für die praktische Arbeit, sich das Urteil einmal näher anzusehen und die möglichen Konsequenzen zu diskutieren. Dies aber nicht, ohne vorher einen Blick in den Sachverhalt und auf die gesetzlichen Grundlagen, auf derer das Urteil basiert, zu werfen (das hilft schließlich gemeinhin bei der Rechtsfindung).

Den ganzen Artikel lesen.

1 2 3 12

Rechtsanwältin Nina Diercks

Nina Diercks (M.Litt, University of Aberdeen) ist seit 2010 Rechtsanwältin und seit 2011 selbstständig. Sie führt derzeit die Anwaltskanzlei Diercks in Hamburg. Die Rechtsanwältin arbeitet ausschließlich in den Bereichen IT-Recht | Medienrecht | Datenschutzrecht und Arbeitsrecht. Ab 2020 wird Nina Diercks als Partnerin für IT- und Datenschutzrecht bei MÖHRLE HAPP LUTHER tätig sein. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

 

Anmeldung zum Blog-Newsletter

Anmeldung zum Seminar-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @kanzleidiercks.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.