Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tag

Datenschutz

Mitautor: Tobias Pollmann*

Während es in den letzten Beiträgen wieder vermehrt um Datenschutz im engeren Sinne und dabei vor allem ein datenschutzgerechtes sowie datensicheres Homeoffice ging (Teil 1 und Teil 2!), wenden wir uns heute maßgeblich dem Arbeitsschutz zu. Allerdings nicht ohne doch noch auch in diesem Zusammenhang auf den Datenschutz zurückzukommen.

Am Mittwoch, den 15.04.2020 verkündete die Bundesregierung gemeinsam mit den Ministerpräsident*innen die ersten Lockerungen der strengen Maßnahmen zur Eindämmung der Coronakrise. Damit jedoch das langsame „Hochfahren“ der Wirtschaft nicht schiefgeht und in kürzester Zeit die Lockerungen uns erneut an den Rand des Zusammenbruchs führen, bedarf es – nicht nur, aber auch – einiger einheitlicher Regeln zum Schutz der Arbeitnehmer*innen vor dem Coronavirus in den Betrieben. Diesem Thema hat sich das zuständige Bundesministerium für Arbeit und Soziales (BMAS) angenommen und am Donnerstag, den 16.04.2020 ein Papier mit dem Titel „SARS-CoV-2-Arbeitsschutzstandard“ vorgestellt.

Welche rechtlichen und tatsächlichen Implikationen dieses Papier hat, haben wir uns für Sie angeschaut.

Den ganzen Artikel lesen.

Es ist noch nicht lange her, da war Corona bzw. Covid19 eine ferne Geschichte aus dem noch ferneren China. Eine Epidemie wie sie nun einmal auf fernen Kontinenten ausbricht und nichts mit uns in Europa zu tun hat. Und als Covid19 langsam auf unseren Kontinent schwappte, nahmen viele diesen kleinen Virus nicht ernst. Sagten nicht auch einige Ärzte zu Beginn, er sei nicht schlimmer als eine Grippe? Ich gestehe, auch ich habe das Problem erst verstanden als ich am 08. März – im Urlaub in einem verschlafenen Nest in Tirol – den Artikel Ist Covid-19 wirklich gefährlicher als die Grippe? von dem Wissenschaftsjournalisten Lars Fischer gelesen hatte. (Damals wussten wir noch nichts davon, dass das RKI Tirol wenige Tage später zu einem Hochrisikogebiet erklären würde, aber das ist eine andere Geschichte…)

Knapp 14 Tage später ist das Land, sind wir, in einem Zustand, den wir noch nicht kannten. Inzwischen hat jedes Bundesland Allgemeinverfügungen oder Verordnungen erlassen und Ausgangsbeschränkungen verhängt. Ganz generell sind alle Bürger dazu aufgerufen, wann immer möglich, zu Hause zu bleiben und alle Arbeitgeber sind gehalten, dies zu unterstützen – sofern die Art der Arbeit dies erlaubt.

Doch es gibt eben nicht nur urbane, hochdigitalisierte arbeitende Hippster, die schon seit Jahren mindestens tageweise im Home Office sitzen und Unternehmen, für die solche Arbeitsformen selbstverständlich sind. Davon abgesehen, dass nicht wenige Unternehmen weiterhin der Meinung sind, ein*e Mitarbeiter*in arbeite ja „nicht richtig“, wenn sie zu Hause am Computer sitzt, steht dem Home Office – allen Sonntagsreden zur Digitalisierung Deutschlands zum Trotz- noch eine ganz andere Hürde im Jahr 2020 entgegen:

Viele Unternehmen sind (immer noch) nicht darauf vorbereitet, dass ihre Mitarbeiter auch remote arbeiten können bzw. können müssen. Die Infrastruktur sieht nur vor, dass die Mitarbeiter*innen ins Büro kommen und über das firmeninterne Netzwerk auf den im Keller oder hinter dem Büroschrank stehenden Server zugreifen. Fine.

O tempora o mores. So manche*r Unternehmer*in wünscht jetzt, er oder sie hätte dazu schon frühe eine andere Haltung gehabt. Aber was soll es. Es nützt ja nichts. Die Mitarbeiter gehören jetzt ins Home Office. Und das nicht nur aus Solidarität gegenüber der Gesellschaft, sondern aus handfestem unternehmerischem Eigeninteresse. Schließlich hilft es dem Unternehmen nicht, wenn Corona-Infektionen in der Firma auftauchen und binnen Tagen faktisch ein 10-, 20-, 150- oder 420-köpfiges Team komplett lahmgelegt wird.

Was können wir  jetzt tun?

An sich müsste eine Menge getan werden. Aus arbeitsrechtlicher wie datenschutzrechtlicher Sicht sowie aus der Perspektive der IT-Sicherheit. Aber ganz ehrlich, dazu hat in der aktuten Krise niemand den Kopf, die Zeit und die Ressourcen. Deswegen müssen jetzt pragmatische Ansätze gewählt und das Nötigste getan werden. Jetzt geht es um die Erhaltung der Arbeitsfähigkeit des Unternehmens und eine Art Grundsicherung in Sachen Datenschutz und IT-Sicherheit. Sobald wieder mehr als auf Sicht gefahren werden kann, muss dann die notwendige Re- bzw. Erststrukturierung im Ganzen umgesetzt werden. Was das heißt, das können Sie am Ende des Artikels gerne nachlesen.

Nun kommen aber die zwei versprochenen Ansätze, mit denen Sie Ihre Firma ebenso zügig wie halbwegs rechts- und IT-sicher ins Home Office bekommen. Zunächst befassen wir uns mit dem komplizierten Fall, dass Ihre Mitarbeiter nicht über firmeneigene mobile Geräte verfügen und nur private Devices zur Verfügung stehen. Im Anschluss befassen wir uns mit dem „einfacheren“ Fall, dass Sie „nur noch“ das Home Office regeln müssen.

Den ganzen Artikel lesen.

Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).

Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.

Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.

Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise


Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive 😉 ).


Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.

Grund genug einmal einen Blick auf den Fall Zonar sowie  auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

Den ganzen Artikel lesen.

Heute befassen wir uns mit einer Entscheidung, die zwar schon ein paar Tage älter ist, aber deswegen noch lange nicht an wissenswerter Aktualität verloren hat.  Das KG Berlin (Urteil vom 21.03.2019, Az, 23 U 268/13) entschied, dass die seitens der Google Ireland Ltd (vormals: Google Inc.) für die Marke Google und deren Dienste bereitgestellten und als „Datenschutzerklärung“ bezeichneten Informationen zur Datenverarbeitung

  • in großen Teilen unwirksam sind und
  • der AGB-Kontrolle unterliegen.

Erstritten wurde die Entscheidung durch den Bundesverband der Verbraucherzentralen.

Damit stellt sich die Frage, ob die Anforderung an Informationen zur Datenverarbeitung nach Art. 12, 13 DSGVO (aka „Datenschutzerklärungen“ oder „Datenschutzbestimmungen“) mit diesem Urteil weiter gestiegen sind und/oder ob das Risiko der Abmahnungen bzw. der Unterlassungsklagen durch Verbraucherschutzverbände im Hinblick auf Informationen zur Datenverarbeitung (im Folgenden: IDV) gestiegen sind.

Zur Klärung dieser Fragen wenden wir uns der Reihe nach diesen Themen zu

  • Klagebefugnis von gemeinnützigen Verbänden im Datenschutzrecht
  • Einordnung von Informationen zur Datenverarbeitung als Allgemeine Geschäftsbedingungen
  • Der Fall der Googe IDV vor dem KG Berlin
  • Mögliche Beschneidung der Datenschutzaufsichtsbehörden durch AGB-Kontrolle durch Zivilgerichte
  • Einbeziehung der Google IDV in Form von AGB
  • Folge der Einordnung von IDV als AGB für die Praxis

Den ganzen Artikel lesen.


Dieser Beitrag der Rechtsanwältin Nina Diercks erschien zuerst (und leicht gekürzt) in der Zeitschrift Arbeit und Arbeitsrecht (AuA) in Heft 12/18.

Vielen Dank an die Redaktion und damit natürlich an Volker Hassel!


 

Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG

Datenschutz ist naturgemäß ein Thema für die Personalabteilung. Schließlich arbeitet man dort mit nichts anderem als personenbezogenen Daten. Dennoch sahen lange recht wenige Personalabteilungen eine primäre Zuständigkeit für dieses Thema. Es hieß vielmehr, der Datenschutz liege in den Händen der Compliance-Abteilung. Dass sich diese zumeist mit den Spezifika der Datenverarbeitung im Bereich Personal nicht auskennen (nicht auskennen können), wurde sanft ignoriert. Auch von beratenden Arbeitsrechtskanzleien war oft kaum etwas zu vernehmen. Wenig verwunderlich, galt Datenschutz unter Fachanwälten für Arbeitsrecht doch als das „Orchideenfach“, das „einem als Arbeitsrechtler einfach nicht liege“ (so noch Dozenten beim Fachanwaltslehrgang Ende 2016). Dazu verstehen zu viele Arbeitsrechtler unter Personalauswahlverfahren immer noch ausschließlich das Lesen von Bewerbungsunterlagen nebst Interview. Die Folge? Vielmehr, als dass Fristen zur Aufbewahrung von Bewerber- wie auch Personalakten existieren, war nicht bekannt. Und selbst hier herrschte große Unsicherheit darüber, wie lang diese tatsächlich sind. Drei Monate für Bewerber? Oder doch sechs? Daneben tauchten zwar Fragen auf wie „Wie ist das eigentlich beim Sourcing?“, „Was ist mit Daten im Talent-Pool?“ „Video-Interviews dürfen wir doch nicht führen oder?“, jedoch wandte man sich diesen Themen nicht zu tief zu, das Tagesgeschäft rief schließlich.

Diese fürsorglich ignorierte Unsicherheit schlug mit der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 Geltung erlangte, vielerorts in Panik um. Mit einmal war Datenschutz keine jämmerliche Büropflanze mehr, der man einen Blick zuwerfen und sie wieder vergessen konnte, sondern wurde aufgrund der in Rede stehenden Sanktionsmöglichkeiten von bis zu 20 Millionen EUR bzw. bis zu 4% des weltweiten Jahresumsatzes und der Schadensersatzansprüche von Betroffenen als wesentlicher Teil der Unternehmensprozesse erkannt.

Die Panik flüsterte, man brauche für alles Rechtsgrundlagen und vor allem Einwilligungen, denn mit Einwilligungen sei wirklich immer alles sicher. Vor allem, wenn eine Einwilligung vom Bewerber zur Datenverarbeitung oder zum Einsatz von Online-Assessments vorliege. Der erleichterte Ausruf vieler Orten: „Ach, wie toll, das Bewerbermanagement-System bietet die Einwilligungsabfrage direkt an!“

Die Wahrheit ist, mit der DSGVO und dem angepassten Bundesdatenschutzgesetz (BDSG) hat sich die Rechtslage im Hinblick auf Recruiting- und Personalauswahlverfahren nur verhältnismäßig wenig geändert. Um der dennoch aufkeimenden Panik entgegenzutreten, werfen nun einen unaufgeregten Blick auf die Verfahren unter DSGVO und BDSG.

1. Der Anfang jeder Einstellung – Die Bewerbungsphase

Am Anfang jeder Einstellung steht entweder die klassische Bewerbung oder – o tempora, o mores! – die Suche nach geeigneten Kandidaten, die Identifikation und Ansprache derer (sog. Sourcing.)

Den ganzen Artikel lesen.

1 2 3 4 6

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.