Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Category

IT-Richtlinien

Mittlerweile haben sehr viele Unternehmen die Beschäftigten,  bei denen die Tätigkeit auch im Home Office möglich ist, in selbiges verfrachtet. Im ersten Teil haben wir Sie dabei unterstützt: Wie Sie ein Einvernehmen mit den Beschäftigten über das Home Office herstellen, wie notfalls auch mit privaten Geräten gearbeitet werden kann, wie der Zugriff auf E-Mails von statten gehen und wie die benötigte IT-Richtlinie aussehen kann. Das waren unsere 6 Schritte per UYOD ins Home Office – HEUREKA, mag nun die ein oder andere denken.

Nun, da die Arbeitsfähigkeit zumindest in Teilen gesichert ist, kommt jedoch noch ein wenig Arbeit auf Sie zu. Ein paar Dokumente werden schon benötigt, damit auch der Schutz von personenbezogenen Daten sichergestellt und vor allem auch nachgewiesen ist.

Wir haben das im ersten Teil schon angedeutet und versprochen zu erläutern, was „später“ noch getan werden muss. Nun denn:

Was muss jetzt noch getan werden?

Nicht dass hier Klagen kommen: Ja, Pragmatismus ist super und es ist toll, dass das Unternehmen dank Home Office noch handlungsfähig ist. Wenn aber Daten verloren gehen, seien es personenbezogene Daten oder auch schlicht Betriebsinterna, kann das auch sehr unschöne Folgen für das Unternehmen haben. Die Aufsichtsbehörden haben angekündigt, dass die inoffizielle Schonzeit vorbei sei und Datenschutzverstöße nun geahndet werden. Möglicherweise mag das während der aktuellen Krise ein wenig langsamer von statten gehen – aber die Krise geht vorbei. Ganz abgesehen von Bußgeldern: Es ist auch im eigenen Interesse, dass IT-Sicherheit und Datenschutz beachtet wird. Niemand möchte schlechte Presse wegen Datenschutzverstößen. Vor allem möchte niemand wertvolle Arbeitszeit zur Schadensbegrenzung einsetzen, weil bspw. durch falsche Berechtigungskonzepte der gekündigte Mitarbeiter alles löschte, was ihm in die Finger kam. Daher ist es besser, Sie kümmern sich drum.

In normalen Zeiten, wenn Sie also nicht gerade holterdipolter die Belegschaft in Home Office verfrachtet hätten und nun die Dinge gerade ziehen müssten, wäre für die DSGVO-Compliance nun ein klarer Fahrplan angesagt, so wie er hier ausgeführt wird. Sofern Sie das noch nicht gemacht haben, sollten Sie sich darum kümmern, sobald es die Prioritäten zulassen.

Erster Punkt ist dann immer das Verzeichnis von Verarbeitungstätigkeiten – weshalb, erkläre ich Ihnen unten. Die folgende Liste ist der aktuellen Situation geschuldet und entspricht NICHT der regulär empfohlenen Reihenfolge. Die nun folgende Sortierung ist (ausnahmsweise, Sie wissen schon) auch nicht zwingend:

  • Regelungen zum Home Office
  • IT- und Datenschutzrichtlinie
  • Dokumentation über Meldepflichten bei einer Datenpanne
  • Verpflichtung auf Vertraulichkeit nach dem Datenschutz
  • Auftragsverarbeitungsvereinbarungen
  • Information zur Datenverarbeitung
  • Verzeichnis der Verarbeitungstätigkeiten

Nur, damit wir uns nicht missverstehen: Das hier ist nicht die Kür. Wir sprechen von Pflichten, die die DSGVO Ihnen auferlegt. Pflichten, die Sie erfüllen müssen, um Ihre IT-Sicherheit im Griff zu haben und Bußgeldern zu entgehen.

Den ganzen Artikel lesen.

Es ist noch nicht lange her, da war Corona bzw. Covid19 eine ferne Geschichte aus dem noch ferneren China. Eine Epidemie wie sie nun einmal auf fernen Kontinenten ausbricht und nichts mit uns in Europa zu tun hat. Und als Covid19 langsam auf unseren Kontinent schwappte, nahmen viele diesen kleinen Virus nicht ernst. Sagten nicht auch einige Ärzte zu Beginn, er sei nicht schlimmer als eine Grippe? Ich gestehe, auch ich habe das Problem erst verstanden als ich am 08. März – im Urlaub in einem verschlafenen Nest in Tirol – den Artikel Ist Covid-19 wirklich gefährlicher als die Grippe? von dem Wissenschaftsjournalisten Lars Fischer gelesen hatte. (Damals wussten wir noch nichts davon, dass das RKI Tirol wenige Tage später zu einem Hochrisikogebiet erklären würde, aber das ist eine andere Geschichte…)

Knapp 14 Tage später ist das Land, sind wir, in einem Zustand, den wir noch nicht kannten. Inzwischen hat jedes Bundesland Allgemeinverfügungen oder Verordnungen erlassen und Ausgangsbeschränkungen verhängt. Ganz generell sind alle Bürger dazu aufgerufen, wann immer möglich, zu Hause zu bleiben und alle Arbeitgeber sind gehalten, dies zu unterstützen – sofern die Art der Arbeit dies erlaubt.

Doch es gibt eben nicht nur urbane, hochdigitalisierte arbeitende Hippster, die schon seit Jahren mindestens tageweise im Home Office sitzen und Unternehmen, für die solche Arbeitsformen selbstverständlich sind. Davon abgesehen, dass nicht wenige Unternehmen weiterhin der Meinung sind, ein*e Mitarbeiter*in arbeite ja „nicht richtig“, wenn sie zu Hause am Computer sitzt, steht dem Home Office – allen Sonntagsreden zur Digitalisierung Deutschlands zum Trotz- noch eine ganz andere Hürde im Jahr 2020 entgegen:

Viele Unternehmen sind (immer noch) nicht darauf vorbereitet, dass ihre Mitarbeiter auch remote arbeiten können bzw. können müssen. Die Infrastruktur sieht nur vor, dass die Mitarbeiter*innen ins Büro kommen und über das firmeninterne Netzwerk auf den im Keller oder hinter dem Büroschrank stehenden Server zugreifen. Fine.

O tempora o mores. So manche*r Unternehmer*in wünscht jetzt, er oder sie hätte dazu schon frühe eine andere Haltung gehabt. Aber was soll es. Es nützt ja nichts. Die Mitarbeiter gehören jetzt ins Home Office. Und das nicht nur aus Solidarität gegenüber der Gesellschaft, sondern aus handfestem unternehmerischem Eigeninteresse. Schließlich hilft es dem Unternehmen nicht, wenn Corona-Infektionen in der Firma auftauchen und binnen Tagen faktisch ein 10-, 20-, 150- oder 420-köpfiges Team komplett lahmgelegt wird.

Was können wir  jetzt tun?

An sich müsste eine Menge getan werden. Aus arbeitsrechtlicher wie datenschutzrechtlicher Sicht sowie aus der Perspektive der IT-Sicherheit. Aber ganz ehrlich, dazu hat in der aktuten Krise niemand den Kopf, die Zeit und die Ressourcen. Deswegen müssen jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Jetzt geht es um die Erhaltung der Arbeitsfähigkeit des Unternehmens und eine Art Grundsicherung in Sachen Datenschutz und IT-Sicherheit. Sobald wieder mehr als auf Sicht gefahren werden kann, muss dann die notwendige Re- bzw. Erststrukturierung im Ganzen umgesetzt werden. Was das heißt, das können Sie am Ende des Artikels gerne nachlesen.

Nun kommen aber die zwei versprochenen Ansätze, mit denen Sie Ihre Firma ebenso zügig wie halbwegs rechts- und IT-sicher ins Home Office bekommen. Zunächst befassen wir uns mit dem komplizierten Fall, dass Ihre Mitarbeiter nicht über firmeneigene mobile Geräte verfügen und nur private Devices zur Verfügung stehen. Im Anschluss befassen wir uns mit dem „einfacheren“ Fall, dass Sie „nur noch“ das Home Office regeln müssen.

Den ganzen Artikel lesen.

Hurra!
Nun ist es endlich soweit und wir freuen uns schon sehr auf den 02. Oktober 2020. Denn dann treffen wir uns hoffentlich alle wieder zum 2.

und dieses Mal im schönen Hamburg.

Und hier gleich eine der wichtigsten Informationen zum derzeitigen Zeitpunkt. Der Vorverkauf startet am

25. Februar um 15.00 Uhr!

Sie waren das letzte Mal nicht dabei? Sie fragen sich, was das für eine Veranstaltung sein soll. Kein Problem, wir erklären es Ihnen sehr gern.

Der IT Juristinnen Tag wird von der Anwaltskanzlei Diercks und HÄRTING Rechtsanwälte veranstaltet. Organisiert wird diese eintägige Unkonferenz von Nina Diercks, Inhaberin der Anwaltskanzlei Diercks und Marlene Schreiber, Rechtsanwältin bei HÄRTING Rechtsanwälte.

Wie der vollständige Name schon sagt, ist der IT Jurstinnen Tag keine klassische Tagung, sondern als BarCamp ausgestaltet und soll die vielen Frauen, die im Bereich des IT- und Datenschutzrechts unterwegs sind und jeden Tag großartige Arbeit leisten, sichtbarer machen und untereinander zu vernetzen.

Deswegen richtet sich der IT Juristinnen Tag auch ausdrücklich nicht nur an AnwältInnen, sondern vielmehr auch an SyndikusanwältInnen, Referendar*innen und Student*innen sowie sonstige Jurist*innen, aber ausdrücklich auch an Datenschutzbeauftragte und IT-Sicherheitsbeauftragte, die ihrerseits naturgemäß ebenfalls an der Schnittstelle zwischen IT und Recht arbeiten und möglicherweise ursprünglich von der IT-Seite zu dieser Thematik gekommen sind. Der IT Jurstinnen Tag soll vor allem den Austausch von Wissen und der Vernetzung rund um die Themen Digitalisierung und Recht dienen. Denn wie alle wissen, die in diesen Bereichen tätig sind, nützt gerade hier ein Silo-Denken im Rahmen einer Profession herzlich wenig.

Ziel der Veranstaltung ist es, den Wissenstand zu erweitern, Raum zu finden, um fachlich miteinander diskutieren zu können, aber auch um zeitgleich über den eigenen Tellerrand zu schauen.

Wie das Format „BarCamp“ Ihnen verrät, können wir Ihnen gar nicht ganz genau sagen, was Sie inhaltlich erwarten wird. Denn das werden alle Teilnehmer*innen gemeinsam am Morgen des 02. Oktobers festlegen. Sie fragen sich, wie dieses Format genau funktioniert. Eine genaue Beschreibung finden Sie unter dem folgenden Link:
https://it-juristinnentag.de/was-ist-ein-barcamp/

Sie hätten gern noch Meinungen anderer Teilnehmer*innen vom vergangenen Jahr. Bitte gern. Schauen Sie sich doch gleich einmal bei Twitter unter #ITJurT19 um.

Sollten nach dieser Kurzbeschreibung, dem Blick in Richtung Twitter und dem Studieren unserer Seite https://it-juristinnentag.de/ noch Fragen offen sein, kommen Sie gern auf uns zu.

Und hier noch ein gut gemeinter Rat zum Schluss: warten Sie lieber nicht zulange mit dem Kauf der Karten, die Karten waren im letzten Jahr ziemlich schnell weg ?
Also; setzen Sie sich eine Erinnerung in Ihren Kalender für Dienstag, 25. Februar um 15 Uhr, denn genau dann startet der Vorverkauf auf Eventbrite.

Das war es erstmal von unserer Seite aus; wir freuen uns schon sehr auf Sie und Euch beim IT Juristinnen Tag 2020!

Als ich sah, dass das #EFAR (Expertenforum Arbeitsrecht) zu einer Blogparade zum Thema Umgang mit sozialen Medien am Arbeitsplatz“ aufrief habe ich mich sehr gefreut und sofort gedacht „Da mach ich mit!“. Dann verzweifelte ich aber etwas, raufte mir die Haare und dachte „Ja, aber wie denn!? Soll ich denen meinen Blog schicken?!“. Denn es ist zwar richtig, dass Fragen wie unter anderem

„Ist eine Social-Media-Nutzung eigentlich stets zulässig oder nur, wenn sie zu beruflichen Zwecken erfolgt? Und wann ist sie „privat“, wann „beruflich“? Welche Kriterien können gegebenenfalls für eine solche Unterscheidung herangezogen werden? Und wie sieht es eigentlich aus, wenn neueste Pressemitteilungen oder sonstige Informationen des Unternehmens auf eigenen Seiten der Arbeitnehmer gepostet werden? [Quelle: #EFAR]“

in der arbeitsrechtlichen Literatur dem Grunde nach immer noch ein Schattendasein fristen und darüber hinaus allenfalls stiefmütterlich behandelt werden. Aber in meiner täglichen Arbeit in der Kanzlei, auf diesem Blog sowie und in den von mir regelmäßig unregelmäßig veröffentlichen Gastbeiträgen und Fachartikeln andernorts spielen alle diese Fragen – seit inzwischen sieben Jahren – eine tragende Rolle. [SPOILER: Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist ganz theoretisch immer noch möglich, praktisch jedoch weder umsetzbar noch sinnvoll.].

Den ganzen Artikel lesen.

Mitarbeit: Christian Frerix*

Zugegeben, die Entscheidung des BAG ist inzwischen schon eine Weile her. Da diese Entscheidung aber für alle Unternehmen, die eine moderne digitale Kommunikation betreiben und über einen Betriebsrat verfügen, doch wesentlich ist, habe ich dieses Thema doch endlich noch einmal für die Leser aufbereiten wollen. Also, los.

Viele Unternehmen nutzen die sozialen Netzwerke um sich als Unternehmen, als Arbeitgeber und/oder um die eigenen Produkte und Dienstleistungen vorzustellen. Im Gegensatz zur Webseite, welche eine kommunikative Einbahnstraße ist, vermittelt Social Media bekanntermaßen  die Möglichkeit der Interaktion der Nutzer mit dem Unternehmen und damit auch eine gewisse Nähe zum Unternehmen. Aus Sicht der Kommunikation bzw. des (Personal-)Marketing  ist das natürlich hervorragend.

Etwas weniger hervorragend könnte das Ganze aus Arbeitnehmersicht sein, wenn die Interaktion Rückschlüsse auf das Verhalten oder die Leistung einzelner Arbeitnehmer zuließe. – Sie runzeln gerade ihre Stirn? Ja. Verstehe ich. Aber eben hierauf entschied das Bundesarbeitsgericht (BAG) per Beschluss am 13.12.2016 entschieden (1 ABR 7/15). Der mediale und juristische Aufschrei als Reaktion war zwar groß, doch… es ist wie es ist:

Nach dem BAG hat der Betriebsrat bei der Einrichtung einer Facebook-Seite durch den Arbeitgeber ein Mitbestimmungsrecht.  Den ganzen Artikel lesen.

1 2 3 4

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.