Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

Datenschutzrecht

Flexibles Arbeiten, insbesondere im Hinblick auf den Arbeitsort, war noch bis vor kurzem, allen Sonntagsreden ob der Digitalisierung zum Trotz, oft mehr Wunsch der Arbeitnehmer*innen als Wirklichkeit in den Unternehmen. Schließlich boten im Jahr 2018 gerade einmal 26% der Arbeitgeber diese Möglichkeit an (lt. Studie des IAB). Die Corona-Pandemie wirkt(e) an dieser Stelle wie ein Brandbeschleuniger und in ungeahnter Schnelligkeit schufen viele Unternehmen aus Gründen des Infektionsschutzes die Möglichkeit zum Home Office bzw. zum mobilen Arbeiten. Doch genügt es den Mitarbeiter*innen aufzugeben, nunmehr von zu Hause aus zu arbeiten? Wie sieht es mit der IT-Sicherheit aus?  Welcher arbeitsrechtlicher und datenschutzrechtlicher Maßnahmen bedarf es, um die mobile Arbeit rechtskonform zu gestalten? Unterscheiden sich Home Office, Telearbeit und mobiles Arbeiten in irgendeiner Form und wenn ja, welcher?

Mit diesen Fragen haben wir uns in Teilen zwar auch schon unmittelbar im März an dieser und dieser Stelle hier im Blog beschäftigt. Da jedoch die Nachfragen zu diesen Themen nicht abreißen, die datenschutz- wie arbeitsrechtlichen Problemstellungen rund um das mobile Arbeiten doch noch etwas vielfältiger sind und sich diese selbst mit einer Impfung gegen Covid19 nicht gleichsam aus der Welt schaffen ließen, sondern anders gelöst werden müssen, haben wir bei MÖHRLE HAPP LUTHER beschlossen, eben hierzu ein kostenfreies Webinar zu veranstalten:

Webinar am 18.06.2020 um 9.00 Uhr

Mobiles Arbeiten aus arbeits- und datenschutzrechtlicher Sicht

Worum wird es gehen? – Agenda:

  • Welcher arbeitsvertraglicher Regelungen bedarf es zum Thema „Home Office“ bzw. mobiles Arbeiten ?
  • Was ist in Sachen Datenschutz & Datensicherheit bei der mobilen Arbeit zu beachten?
  • Videokonferenzen – Was sagen die Datenschutzbehörden dazu?
  • Welche Rolle spielen Arbeitsschutz & Arbeitssicherheit beim mobilen Arbeiten?

Gemeinsam mit ihnen gehen wir den  aufgeworfenen Fragen  im virtuellen Panoramatalk am 18.06.2020 um 9.00 Uhr gewohnt lösungsorientiert und praxisnah nach. Wir bringen eine Menge an Informationen mit, freuen uns aber auch auf Ihre Fragen!

Wer ist wir? – Referenten

Dr. Patrick Zeising ist Partner, Rechtsanwalt und Fachanwalt für Arbeitsrecht

Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin und Rechtsanwältin für IT- und Datenschutzrecht

 

An wen richtet sich das Webinar?

Das Webinar richtet sich in erster Linie an Geschäftsführer*innen, Syndizi und Personalleiter*innen sowie sonstige Personalverantwortliche. Genauso herzlich willkommen sind aber auch Datenschutzbeauftragte sowie sonst interessierte Kolleg*innen.

Wo kann ich mich anmelden? – Hier!

Anmelden können Sie sich ganz einfach unter diesem Link.

Die Informationen zur Datenverarbeitung finden Sie  hier; die Hinweise zur Teilnahme hier.

In diesem Sinne,

ich freue mich, Sie am 18.06. zu sehen.

Wer den Newsletter dieses Blogs abonniert hat oder mir auf Twitter oder LinkedIn folgt, der weiß, dass sich am vergangenen Freitag auf Initiative von Peter Hense und Johannes Nehlsen nicht nur das #TeamDatenschutz zum 1. virtuellen Stammtisch traf, sondern ich dort auch mit einem Beitrag zur „Datenübermittlung im Konzern“ vertreten war. Ehrlich gesagt, gingen wir von einem familiären, nerdigen Treffen mit 20, maximal 40 TeilnehmerInnen, aus und waren in Folge dessen von den mehr als 150 FachteilnehmerInnen wirklich überrascht. Ebenso groß war natürlich die Freude, dass das Format so gut ankam.  Oder wie Peter es auf Twitter ausdrückte „Es braucht offenbar keine EUR 1000/Tag-Veranstaltung, um mit Kollegen zu plaudern.„. Es steht auch schon fest, es wird eine Wiederholung geben. Mit anderen Themen und anderen ReferentInnen. (Wer Interesse hat: Einfach Johannes Nehlsen auf Twitter folgen!)

Doch nun weg vom famosen Stammtisch (dennoch: Danke nochmal, Johannes, für Deine Orga!) hin zu meinem Beitrag und dem oben stehenden Titel: „Datenübermittlung  im Konzern“. Auf das Thema kam ich,  da ich schon seit Ewigkeiten einen recht umfangreichen Aufsatz dazu in der Schublade liegen habe. So umfangreich, dass er für eine Zeitschrift zu lang ist. Leider auch zu kurz, um ein Büchlein draus werden zu lassen. Und natürlich wäre es möglich zu kürzen oder das Ganze noch weiter aufzubohren. Aber woher all die Zeit nehmen und nicht stehlen? Und dann die Absprachen mit den Verlagen. Kürzer? Welcher Fokus? Länger? Wohin denn bitte? Und ach ja, da sind wir wieder beim Problem der nicht vorhandenen Zeit. Und so nahm ich den virtuellen Stammtisch als Anlass, meine Gedanken dort einmal in die Runde zu schicken. Unvorsichtigerweise fragte ich danach, ob Interesse bestünde, das Ganze noch einmal ausführlicher in Form eines Aufsatzes nachlesen zu können, den ich einfach zur Diskussion auf den Blog stellen könne. Die Antwort lautete „Ja!“.

Und da habe ich nun an diesem Sonntag den Salat. Natürlich dauert die „kurze“ Überarbeitung für die Online-Stellung schon den ganzen Nachmittag und ich fürchte, ich habe einen Sonnenbrand auf der Stirn (was tue ich nicht alles für den Datenschutz!1!11).  Aber hier ist er nun, frisch gedruckt, äh, in das Internet gestellt:

Datenübermittlung im Konzern

Rechtsgrundlagen und formelle Anforderungen

Oder auch: Existiert ein Konzernprivileg und sind Intercompany-Verträge eine Lösung?

Ja, der Aufsatz hat nun keine rechtswissenschaftliche Redaktion durchlaufen. Aber wir machen das jetzt einfach wie die Virologen. Der Aufsatz wird online gestellt und muss sich dem kritischen Auge der fachlich versierten LeserInnen stellen. Ich freue mich auf Kritik, Ergänzungen oder am besten vollständige Erwiderungen an anderer Stelle. Und ja, natürlich noch mehr über Zustimmungen. 😉 (Und wer weiß, vielleicht sind wir 2020 ja auch so weit, dass Gedankengänge, die nicht zuerst auf Papier gedruckt wurden, einmal Eingang in die klassischen Literaturempfehlungen finden. Die Hoffnung stirbt bekanntermaßen zuletzt…)

Der Aufsatz hat nun natürlich auch kein Lektorat gesehen. Ich bitte also, sämtliche Typos etc. zu verzeihen. Wenn ich dazu kommen sollte, stelle ich vielleicht die Tage auch noch mal eine korrigierte Fassung bereit.

Nun wünsche ich erst einmal viel Spaß beim Lesen!

Last but not least, an meine interessierten Laien-Leser: Es handelt sich wirklich um einen juristischen Aufsatz. Sie können den gerne lesen. Aber suchen Sie nicht die gleiche Verständlichkeit wie sonst im Blog. Vielleicht machen wir auch noch mal eine Blog-Fassung daraus, versprechen möchte ich an dieser Stelle aber nichts.

In diesem Sinne,

so oder so, auf bald!

 

Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

  • Regelungen zum Home Office
  • IT- und Datenschutzrichtlinie
  • Dokumentation über Meldepflichten bei einer Datenpanne
  • Verpflichtung auf Vertraulichkeit nach dem Datenschutz
  • Auftragsverarbeitungsvereinbarungen
  • Information zur Datenverarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

Es ist noch nicht lange her, da war Corona bzw. Covid19 eine ferne Geschichte aus dem noch ferneren China. Eine Epidemie wie sie nun einmal auf fernen Kontinenten ausbricht und nichts mit uns in Europa zu tun hat. Und als Covid19 langsam auf unseren Kontinent schwappte, nahmen viele diesen kleinen Virus nicht ernst. Sagten nicht auch einige Ärzte zu Beginn, er sei nicht schlimmer als eine Grippe? Ich gestehe, auch ich habe das Problem erst verstanden als ich am 08. März – im Urlaub in einem verschlafenen Nest in Tirol – den Artikel Ist Covid-19 wirklich gefährlicher als die Grippe? von dem Wissenschaftsjournalisten Lars Fischer gelesen hatte. (Damals wussten wir noch nichts davon, dass das RKI Tirol wenige Tage später zu einem Hochrisikogebiet erklären würde, aber das ist eine andere Geschichte…)

Knapp 14 Tage später ist das Land, sind wir, in einem Zustand, den wir noch nicht kannten. Inzwischen hat jedes Bundesland Allgemeinverfügungen oder Verordnungen erlassen und Ausgangsbeschränkungen verhängt. Ganz generell sind alle Bürger dazu aufgerufen, wann immer möglich, zu Hause zu bleiben und alle Arbeitgeber sind gehalten, dies zu unterstützen – sofern die Art der Arbeit dies erlaubt.

Doch es gibt eben nicht nur urbane, hochdigitalisierte arbeitende Hippster, die schon seit Jahren mindestens tageweise im Home Office sitzen und Unternehmen, für die solche Arbeitsformen selbstverständlich sind. Davon abgesehen, dass nicht wenige Unternehmen weiterhin der Meinung sind, ein*e Mitarbeiter*in arbeite ja „nicht richtig“, wenn sie zu Hause am Computer sitzt, steht dem Home Office – allen Sonntagsreden zur Digitalisierung Deutschlands zum Trotz- noch eine ganz andere Hürde im Jahr 2020 entgegen:

Viele Unternehmen sind (immer noch) nicht darauf vorbereitet, dass ihre Mitarbeiter auch remote arbeiten können bzw. können müssen. Die Infrastruktur sieht nur vor, dass die Mitarbeiter*innen ins Büro kommen und über das firmeninterne Netzwerk auf den im Keller oder hinter dem Büroschrank stehenden Server zugreifen. Fine.

O tempora o mores. So manche*r Unternehmer*in wünscht jetzt, er oder sie hätte dazu schon frühe eine andere Haltung gehabt. Aber was soll es. Es nützt ja nichts. Die Mitarbeiter gehören jetzt ins Home Office. Und das nicht nur aus Solidarität gegenüber der Gesellschaft, sondern aus handfestem unternehmerischem Eigeninteresse. Schließlich hilft es dem Unternehmen nicht, wenn Corona-Infektionen in der Firma auftauchen und binnen Tagen faktisch ein 10-, 20-, 150- oder 420-köpfiges Team komplett lahmgelegt wird.

Was können wir  jetzt tun?

An sich müsste eine Menge getan werden. Aus arbeitsrechtlicher wie datenschutzrechtlicher Sicht sowie aus der Perspektive der IT-Sicherheit. Aber ganz ehrlich, dazu hat in der aktuten Krise niemand den Kopf, die Zeit und die Ressourcen. Deswegen müssen jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Jetzt geht es um die Erhaltung der Arbeitsfähigkeit des Unternehmens und eine Art Grundsicherung in Sachen Datenschutz und IT-Sicherheit. Sobald wieder mehr als auf Sicht gefahren werden kann, muss dann die notwendige Re- bzw. Erststrukturierung im Ganzen umgesetzt werden. Was das heißt, das können Sie am Ende des Artikels gerne nachlesen.

Nun kommen aber die zwei versprochenen Ansätze, mit denen Sie Ihre Firma ebenso zügig wie halbwegs rechts- und IT-sicher ins Home Office bekommen. Zunächst befassen wir uns mit dem komplizierten Fall, dass Ihre Mitarbeiter nicht über firmeneigene mobile Geräte verfügen und nur private Devices zur Verfügung stehen. Im Anschluss befassen wir uns mit dem „einfacheren“ Fall, dass Sie „nur noch“ das Home Office regeln müssen.

Den ganzen Artikel lesen.

Liebe Leserinnen und Leser,

herzlich willkommen zum ersten Rechtsüberblick des Jahres 2020. Damit schließt er sich nahtlos an den Rechtsüberblick aus – ähm – September 2019 an. Im Zuge des Umzugs zu MÖHRLE HAPP LUTHER ist der Überblick ein wenig in den Hintergrund geraten. Nun aber ist er hier, im Februar 2020 schauen wir auf das zurück, was so in den letzten Monaten im Bereich des IT- und Datenschutzrechts los gewesen ist. (Spoiler: Viel!).

Dabei sind diesmal diese Themen:

  1. Datenlecks bei Buchbinder & Microsoft – Gelegenheit zur Rückbesinnung auf Meldepflichten aufgrund der DSGVO
  2. Untätigkeit der irischen Datenschutzaufsicht bei Rechtsaufsicht über IT-Giganten wird zunehmend kritisch gesehen
  3. KG Berlin bestätigt Urteil: Facebook begeht in vielen Fällen Datenschutzverstöße
  4. BVerfG definiert Verhältnis zum Europäischen Gerichtshof neu
  5. Landesdatenschutzbeauftragter Baden-Württemberg zieht sich aus Twitter zurück

Viel Spaß und möglichen Erkenntnisgewinn wünschen wir beim Lesen des Rechtsüberblicks 01/20.Den ganzen Artikel lesen.

1 2 3 16

Rechtsanwältin Nina Diercks – Partnerin bei MÖHRLE HAPP LUTHER

Rechtsanwältin Nina Diercks (M.Litt, University of Aberdeen) ist Partnerin bei MÖHRLE HAPP LUTHER und verantwortet dort den Bereich IT- und Datenschutzrecht. Dem entsprechend ist sie ausschließlich in den Bereichen  IT- | Medien-| Datenschutz- und dem angrenzenden Arbeitsrecht tätig. Daneben steht die Anwältin gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

MÖHRLE HAPP LUTHER

MÖHRLE HAPP LUTHER ist eine führende Wirtschaftskanzlei aus Norddeutschland, in der Wirtschaftsprüfer, Steuerberater und Rechtsanwälte Hand in Hand arbeiten. Diese multidisziplinäre Aufstellung zeichnet uns aus. Verbunden mit langjähriger Erfahrung führt sie zu kurzen Wegen und schneller Bearbeitung. So bieten wir unseren Mandanten eine hochqualifizierte Beratung und persönliche Betreuung in allen Rechts-, Wirtschafts- und Steuerfragen. Mit mehr als 350 Mitarbeitern beraten wir Unternehmen sowie Unternehmer zielorientiert und engagiert – im Tagesgeschäft und bei komplexen Fragestellungen.

Anmeldung zum Blog-Newsletter

Twitter

Wenn Sie ausschließlich an juristischen Informationen zum IT-| Medien-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie dem Kanzlei-Account @MHL_ITDS.

Sehr gerne können Sie auch meinem persönlichen Account unter @RAinDiercks folgen. Hier finden Sie neben dem Recht persönliche Meinung zu den Themen Politik, HR und Vereinbarkeit. Und dann oder wann den einen oder anderen Nonsense.