DSGVO – Abmahnungen – möglich, aber nur halb so schlimm

Landgericht: Verstöße gegen die DSGVO grundsätzlich abmahnbar

Quelle: https://www.heise.de/newsticker/meldung/Landgericht-Verstoesse-gegen-die-DSGVO-grundsaetzlich-abmahnbar-4176595.html

 

Die vielfach vor Inkrafttreten der DSGVO (Datenschutzgrundverordnung) am 25. Mai 2018 befürchteten Abmahnungen sind bislang weitestgehend ausgeblieben. Zwar gab es vereinzelt solche Anwaltsschreiben, die prophezeite massenhafte Welle blieb jedoch zumindest bislang aus. Dies lag auch daran, dass es eine gewisse Rechtsunsicherheit gab, ob Datenschutzvergehen tatsächlich auch als Verstöße gegen das Wettbewerbsrecht von Mitbewerbern kostenpflichtig beanstandet werden dürfen.

Datenschutzverstoß abmahnbar?

Neu befeuert wird diese juristische Diskussion jetzt durch einen Beschluss des Landgerichts Würzburg vom 13. September 2018 (Az. 11 O 1741/18 UWG). Umstritten ist dabei die Frage, ob die Regelungen der DSGVO unter die Vorschrift des Paragrafen 3a des Gesetzes gegen den unlauteren Wettbewerb (UWG) fallen können. Dies ist der Fall, wenn es sich bei den Datenschutzvorgaben um Regeln handelt, die „auch dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln“. Weiterhin muss ein Verstoß gegen die Vorgaben geeignet sein, die Interessen von Verbrauchern oder Mitbewerbern „spürbar zu beeinträchtigen“.

Diese Frage hat das Landgericht Würzburg in seiner Entscheidung nun erstmals explizit für die DSGVO bejaht. Ausgangspunkt des Verfahrens war die Abmahnung eines Anwalts durch einen Kollegen. Der Abgemahnte hatte auf seiner Website eine Datenschutzerklärung bereitgehalten, die lediglich sieben Zeilen umfasste. Hierin sah das Landgericht einen klaren Verstoß, da dort unter anderem Angaben zu dem Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten oder der zuständigen Aufsichtsbehörde fehlten.

inRead invented by Teads

Das Gericht geht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht handele, die somit von einem anderen Rechtsanwalt als Wettbewerber abgemahnt werden können. Weiterhin hält das Gericht dem abgemahnten Juristen vor, dass dieser „jedenfalls über ein Kontaktformular Daten erheben kann“, so dass „zwingend auch eine Verschlüsselung der Homepage erforderlich ist, die hier fehlt“.

Weitere Schritte unklar

Bemerkenswert an der Entscheidung ist der vergleichsweise niedrige Streitwert von 2000 Euro. Aus diesem Wert berechnen sich die Gebühren, die Anwälte und das Gericht für die jeweilige Angelegenheit ansetzen können. Bei der Entscheidung des Gerichts handelt es sich allerdings nur um einen Beschluss im Rahmen eines juristischen Eilverfahrens, bei dem es keine mündliche Verhandlung gegeben hat. Ob der Abgemahnte gegen den Beschluss vorgehen wird, ist noch nicht bekannt. (Joerg Heidrich) / (mho)

Sofortmaßnahmen zur Umsetzung der DSGVO

Sofortmaßnahmen zur Umsetzung der DSGVO

 

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

 

  •  Erstellung eines Verarbeitungsverzeichnis mit folgenden Informationen :
    • Den Zweck der Verarbeitung
    • die Kategorien der betroffenen Personen
    • die Kategorien der personenbezogenen Daten
    • die Kategorien von Empfängern
    • gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland
    • die vorgesehene Speicherdauer
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung

(siehe Bayrisches Landesamt für Datenschutzaufsicht)

 

  • Die Datenschutzerklärung muss überarbeitet werden

Die Datenschutzerklärung muss überarbeitet werden und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu ist anzugeben: die Rechtsgrundlagen zur vorgesehenen Speicherdauer. der
(siehe Datenverarbeitung und Hinweise  der Datenschutz Sachsen-Anhalt)

 

  • Auftragsdatenverarbeitung

Daten, die durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletter-Versand über Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.

 

  • Einwilligungen

Daten die aufgrund der Einwilligung der Betroffenen verarbeitet werden sind zu überprüfen. Entspricht diese Einwilligung den Anforderungen der DSGVO, das heißt, ist der Zweck zur Datenverarbeitung beschrieben und ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit vorhanden?
Andernfalls müssen die Einwilligungen neu eingeholt werden.

 

  • IT-Sicherheit

Eine entsprechend zeitgemäße und Unternehmensangepasste IT-Sicherheit ist aufzubauen

 

  • Schnelle Reaktionszeiten

Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen
(künftig sind Datenschutzverletzungen binnen 72 Stunden zu melden)

 

  • Betroffenenrechte müssten berücksichtigt werden

Ein Prozess zur Beantwortung von Betroffenenrechten ist einrichten
(das sind die Rechte auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten)  

 

  • Betriebsvereinbarungen sind ggf. anzupassen.

 

  • Risikobewertung der Verfahren

 

  • Sensibilisierung der MitarbeiterInnen (Schulungen)

 

Die Datenschutz-Grundverordnung (DSGVO) – Anforderungen an Technik und Sicherheit der Verarbeitung

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) 

URL: https://www.datenschutz-bayern.de/datenschutzreform2018/technik_und_sicherheit.html

 

  • chätzung“,
  • Art. 36 DSGVO „Vorherige Konsultation“.

2. Pflichten des Verantwortlichen

Wie schon in Kapitel IV.1 des Überblicks zur Datenschutz-Grundverordnung dargestellt, richten sich die Regelungen der Datenschutz-Grundverordnung in erster Linie an den Verantwortlichen (siehe Art. 4 Nr. 7 DSGVO). Im vorliegenden Zusammenhang umfasst dies nach Art. 24 und Art. 32 DSGVO insbesondere die Pflicht, geeignete technische und organisatorische Maßnahmen einzusetzen, um zum einen sicherzustellen, dass eine Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang steht, und um zum anderen ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten.

Die Einhaltung dieser – und weiterer sich aus der Datenschutz-Grundverordnung ergebender – Pflichten ist durch den Verantwortlichen angemessen zu dokumentieren („Rechenschaftspflicht“, vgl. insbesondere Art. 5 Abs. 2, Art. 24 Abs. 1 Satz 1 DSGVO). Maßnahmen nach Art. 24 Abs. 1 Satz 1 DSGVO sind erforderlichenfalls zu überprüfen und zu aktualisieren (Art. 24 Abs. 1 Satz 2 DSGVO).

Hinweis: Gerade im Bereich der Dokumentation und Nachweisbarkeit steigen die Anforderungen durch die Datenschutz-Grundverordnung erheblich. Es sollte daher frühzeitig geprüft werden, welche Maßnahmen im Einzelnen ergriffen werden müssen (etwa Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren, vgl. Art. 24 Abs. 3 DSGVO). Es bietet sich an, ein übergreifendes Datenschutzmanagementsystem für alle Verfahren einzurichten.

Darüber hinaus erfordert die Überprüfungs- und Aktualisierungspflicht, auch bestehende Verfahren regelmäßig in Augenschein zu nehmen, insbesondere im Hinblick auf geänderte Rechtsvorschriften, auf wesentliche Verfahrensänderungen (etwa durch Hinzunahme neuer Datenarten), auf veränderte Zuständigkeiten sowie auch auf Weiterentwicklungen hinsichtlich des Standes der Technik (beispielsweise geänderte Anforderungen an Verschlüsselungsverfahren). Die insoweit durchgeführten Prüfungen müssen ebenfalls schriftlich dokumentiert werden.

3. Risikoanalyse

Die Datenschutz-Grundverordnung stellt die Rechte und Freiheiten der betroffenen Personen – also derjenigen, deren Daten verarbeitet werden – in den Vordergrund der (Sicherheits-)Betrachtungen. Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 DSGVO legen jeweils fest, dass die Erforderlichkeit von technischen und organisatorischen Maßnahmen unter Berücksichtigung „der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken (bzw. des Risikos) für die Rechte und Freiheiten natürlicher Personen“ geprüft werden muss.

Ähnlich wie im Bereich der IT-Sicherheit (siehe den „BSI-Grundschutz“) muss daher eine formale Risikoanalyse bei der Einführung eines neuen Verfahrens durchgeführt werden. Die Risikoanalyse ist zudem Grundlage für die Entscheidung, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nötig ist. Kriterien für die Risikobewertung lassen sich vor allem den Erwägungsgründen 75 und 76, 89 bis 91 sowie 94 der Datenschutz-Grundverordnung entnehmen.

Im Rahmen der Risikoanalyse muss insbesondere abgewogen werden, in welchem Umfang und zu welchem Zweck personenbezogene Daten erhoben werden sollen, welchen Schutzbedarf die Daten haben und welche Gefahren/Risiken (genannt werden in Art. 32 Abs. 2 DSGVO insbesondere Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten) dies für die betroffenen Personen mit sich bringen kann. Dabei muss sowohl geprüft werden, wie schwerwiegend mögliche Nachteile für die betroffenen Personen sind, als auch, mit welcher Wahrscheinlichkeit diese eintreten können. Anschließend muss geprüft werden, mit welchen Maßnahmen das jeweilige Risiko reduziert werden kann. In diesem Zusammenhang nennt die Datenschutz-Grundverordnung ausdrücklich die Datenminimierung, die Pseudonymisierung sowie den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default).

Die bayerischen öffentlichen Stellen sollten frühzeitig entscheiden, welche Methodik für die Risikoanalyse verwendet wird und durch welche Personen/Bereiche diese zukünftig durchgeführt werden soll.

4. Technische und organisatorische Maßnahmen, Datenschutz durch Technikgestaltung

Eine Auflistung von Datensicherheitsmaßnahmen, wie sie bisher in Art. 7 BayDSG enthalten war („Zehn Gebote“), sieht die Datenschutz-Grundverordnung nicht mehr vor. In Art. 25 und Art. 32 DSGVO werden jedoch einige Maßnahmen und Schutzziele in Bezug auf die Technik und Sicherheit der Datenverarbeitung aufgeführt. Diese beziehen sich teils unmittelbar auf die personenbezogenen Daten, teils aber auch auf die Systeme und Dienste, die im Zusammenhang mit der Datenverarbeitung eingesetzt werden (vgl. insbesondere Art. 32 Abs. 1 DSGVO).

Auch wenn hier teilweise neue Begrifflichkeiten und Systematiken verwendet werden, finden sich doch letztlich alle bisher schon aus dem Bayerischen Datenschutzgesetz abgeleiteten Sicherheitsanforderungen auch in der Datenschutz-Grundverordnung wieder:

  • Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme der Daten;
  • Integrität: Gewährleistung der Echtheit, Vollständigkeit, Zurechenbarkeit, Urheberschaft und (Rechts-)Gültigkeit der Daten;
  • Verfügbarkeit: zeitgerechte Bereitstellung von Daten, Möglichkeit zur ordnungsgemäßen Verarbeitung;
  • Belastbarkeit („Resilience“): Dies ist ein neuer Begriff, der bisher im Datenschutzbereich nicht verwendet wurde. Im IT-Bereich ist mit „Resilience“ üblicherweise eine gewisse Stabilität gegenüber Ausfällen oder Angriffen – wie etwa „Denial of Service“-Angriffen – gemeint. Die Abgrenzung zur Verfügbarkeit ist jedoch nicht eindeutig;
  • Wiederherstellbarkeit: Dieser Begriff wurde bisher ebenfalls nicht als eigenständiges Schutzziel verwendet, da auch er dem Begriff der Verfügbarkeit zugeordnet werden könnte. Hierunter fallen Notfallkonzepte für Rechenzentren, um nach einem Ausfall oder Angriff schnell wieder betriebsbereit zu sein;
  • Data protection by design/Datenschutz durch Technikgestaltung: Fragen des Datenschutzes müssen zukünftig bereits bei der Konzipierung von Verfahren und Produkten betrachtet werden. Dies betrifft etwa die Punkte Datenminimierung (Pflichtfelder), Pseudonymisierung, Möglichkeiten zur Datenlöschung, sichere Verschlüsselung und Berechtigungskonzept;
  • Data protection by default/datenschutzfreundliche Voreinstellungen: Die Voreinstellungen von Produkten und Verfahren sollen so gestaltet sein, dass sie die Grundprinzipien des Datenschutzes und der IT-Sicherheit von vornherein berücksichtigen (Beispiele: keine Standard-Passwörter, Verschlüsselung aktiviert, Beschränkung der Berechtigungen von Nutzenden, Ortungsdienste ausgeschaltet). Dieser Aspekt sollte zukünftig insbesondere bei der Beschaffung von Produkten berücksichtigt werden;
  • Pseudonymisierung, Verschlüsselung: Diese beiden Maßnahmen dienen den Zielen der Vertraulichkeit und Integrität.

Bei der Auswahl der technischen und organisatorischen Maßnahmen ist gemäß Art. 25 DSGVO der „Stand der Technik“ zu beachten, der jedoch gesetzlich nicht näher definiert wird. Wie bisher auch, ist es daher sinnvoll, sich an öffentlich zugänglichen Standards zu orientieren, wie etwa an den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu Schlüssellängen, Cipher-Suites oder zur WLAN-Konfiguration.

Für die Prüfung, ob eine konkrete technische und organisatorische Maßnahme erforderlich ist, müssen nach wie vor die Implementierungskosten mit den Ergebnissen der Risikoanalyse abgewogen werden. Zudem müssen der Schutzbedarf der Daten und die Ergebnisse der Risikoanalyse betrachtet werden. Je sensibler die Daten (siehe etwa besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO) und je höher die Risiken für die betroffenen Personen sind, desto umfassendere Maßnahmen sind erforderlich.

Hinweis: Die tatsächlich von bayerischen öffentlichen Stellen zu ergreifenden technischen und organisatorischen Maßnahmen zur Absicherung von Verfahren ändern sich durch die Datenschutz-Grundverordnung nicht zwangsläufig, auch wenn hier teilweise andere Begrifflichkeiten und Schutzziele verwendet werden. Allerdings steigt der Aufwand hinsichtlich der Vorabprüfung und Dokumentation von Maßnahmen in der Regel deutlich an. Es wird stets ein Datenschutzkonzept erforderlich sein, das die Risikoanalyse, die ergriffenen Maßnahmen und die regelmäßigen Prüfungen umfasst.

5. Handlungsempfehlungen

Nach allgemeiner Auffassung werden die Anforderungen der Datenschutz-Grundverordnung an Technik und Sicherheit nicht nur an neu zu entwickelnde Verarbeitungen, sondern auch an bereits bestehende Verarbeitungen zu stellen sein. Hinsichtlich des vorgeschriebenen Überprüfungsturnus wird derzeit voraussichtlich von einem Zwei- bis Drei-Jahres-Rhythmus ausgegangen.

Es wird daher empfohlen, frühzeitig mit der Überprüfung bestehender Verarbeitungen hinsichtlich ihrer Konformität mit den technischen und organisatorischen Vorgaben der Datenschutz-Grundverordnung zu beginnen, diese geeignet zu dokumentieren und ein Datenschutzmanagementsystem zu etablieren.

Bereits vor Inkrafttreten der Datenschutz-Grundverordnung sollten sich die bayerischen öffentlichen Stellen insbesondere einen Überblick darüber verschaffen, welche risikoverringernden Maßnahmen sie bereits getroffen haben und was noch zu tun ist, um auch den künftigen Vorgaben zu genügen.

 

Ab wann benötigt ein Unternehmen einen Datenschutzbeauftragten?

Ab wann benötigt ein Unternehmen einen Datenschutzbeauftragten?

 

  • bei Unternehmen, deren Kerntätigkeit t in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht

 

  • wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder

 

  • wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist,

Fotokopierer: Die angreifbare Datenstation

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/fotokopierer__die_angreifbare_datenstation-3904

Tastenkombinationen, die beim Einschalten des jeweiligen Geräts gedrückt werden müssen, um administrative und somit allumfassende Rechte für den Zugang zum Innersten der Kopiersysteme zu erhalten.
Unbefugte, die direkt am Kopierer stehen, können so alle Möglichkeiten ausschöpfen, die das Gerät bietet: Noch gespeicherte Aufträge sind ebenso leicht auszudrucken wie scheinbar gelöschte, real aber noch vorhandene Daten alter Kopien, Faxe oder Druckaufträge wieder sichtbar gemacht werden können. Dieses Risiko besteht selbstverständlich auch, wenn der Kopierer mit einem lokalen Computer-Netzwerk verbunden ist, um seine Ressourcen mehreren Personen zur Verfügung zu stellen. In der Regel können die Geräte dann bequem und einfach von einem beliebigen PC dieses Netzes aus konfiguriert werden. Mit den Standardpasswörtern des Herstellers, wenn diese nicht bei Inbetriebnahme des Kopiersystems abgeändert wurden, und einem Browser ist das meist problemlos möglich. Falls das jeweilige Computer-Netzwerk Anschluss hat an das Internet, können sachkundige Hacker sich sogar von außen Zugang zu den gespeicherten Daten der Geräte verschaffen.

 

Es ist also unbedingt darauf zu achten, dass für die ach, so alltäglichen und einfach anmutenden „Fotokopierer“ mindestens so scharfe Sicherheitsstandards entwickelt und beachtet werden wie für herkömmliche Computer (und Netzwerke). Diese Sorgfaltspflicht reicht weit: Denn auch der Verkauf eines nicht mehr benötigten Geräts, seine Rückgabe (falls es gemietet war) oder seine Entsorgung bringen Datenschutzrisiken mit sich. Bei jedem dieser Vorgänge muss sichergestellt werden, dass die auf den Datenträgern des Kopierers noch verbliebenen Daten nicht in unbefugte Hände gelangen.
Auf den hier beschriebenen multifunktionalen Fotokopiergeräten werden alle nur denkbaren Arten personenbezogener, aber auch sonstiger schützenswerter Daten verarbeitet: Bewerbungen, Gehaltsbescheinigungen, Fotos, Kontoauszüge, medizinische Berichte und Gutachten, Führungszeugnisse oder Strafbefehle, Asylanträge, Ausschreibungsunterlage oder Buchhaltungsunterlagen, Rechenschaftsberichte, Entwicklungskonzepte, Patentunterlagen – die Aufzählung könnte nahezu endlos weitergeführt werden. Die meisten Nutzer achten zwar darauf, dass weder papierne Originale noch Kopien im Gerät verbleiben. Die Daten aber, die in den Speichern des Kopierers verbleiben, können in der Regel nicht einfach und problemlos entfernt werden. Für den normalen Nutzer sind diese Daten unsichtbar, vielen ist nicht einmal bewusst, dass sie existieren. Es liegt also nahe, dass sie im Umgang mit solchen Geräten eigentlich notwendige Sorgfalt vermissen lassen.
„Was man nicht sieht, ist auch nicht da“? – Dieser Schein trügt.

 

1. Eckpunkte: Datenschutzgerechter Einsatz digitaler Kopiersysteme

1. Nutzung nur durch berechtigte Personen ermöglichen

Die Kopiersysteme sollten gegen eine unbefugte Nutzung gesichert werden, insbesondere sollten sie nicht in Bereichen mit Publikumsverkehr oder an unbeaufsichtigten Orten aufgestellt werden. Durch die notwendige Eingabe von Codes vor jeder Benutzung oder durch den Einsatz elektronischer Schlüssel wie beispielsweise Kopierkarten kann erreicht werden, dass nur berechtigte Personen den Kopierer nutzen können. Eine Weitergabe von Schlüsseln oder Freigabecodes an Dritte darf selbstverständlich nicht erfolgen.

 

2. Ändern der Standardpasswörter

Wie viele andere Geräte der EDV werden auch Fotokopierer vom Hersteller mit Standardpasswörtern ausgeliefert. Da diese nicht nur in den offiziellen Handbüchern nachzulesen, sondern mit hoher Wahrscheinlichkeit auch im Internet recherchierbar sind, eignen sie sich überhaupt nicht, um das Kopiersystem vor unbefugter Nutzung oder Konfiguration zu schützen. Deshalb sind die Standardpasswörter bei Inbetriebnahme unbedingt in geeigneter Weise abzuändern.

 

3. Umgang mit Kopiergut

Originale und Kopien sind immer sofort nach Ende der Nutzung aus dem Gerät zu entfernen.

 

4. Fehlkopien datenschutzgerecht vernichten

In unmittelbarer Nähe zum Kopiersystem sollte ein Schredder möglichst in so genannter Crosscut-Qualität (Kreuzschnitt/Partikelschnitt) platziert werden, mit dem Fehlkopien mit personenbezogenem oder anderweitig sensiblem Inhalt umgehend und wirksam vernichtet werden können.

 

5. Rückstellung

Alle Nutzer müssen angehalten sein, das System nach Gebrauch manuell in seinen ursprünglichen Zustand zurück zu versetzen, beispielsweise durch Drücken der „C“-Taste oder einer Tastenkombination, mit der das System in den Stand-by-Modus geschaltet wird. Ist die Nutzung nur durch bestimmte Schlüssel (Zahlen, Token, Kopierkarte) möglich, ist das Gerät so zu konfigurieren, dass es nach Entfernen des Schlüssels automatisch in den ursprünglichen Zustand versetzt wird. Die Schlüssel sind aus dem Gerät zu entfernen, sobald die Nutzung abgeschlossen ist; ein Schlüssel, der aus Gründen der einfacheren Nutzbarkeit über längere Zeit (etwa für einen kompletten Arbeitstag) im Kopierer aktiv bleibt, ist nutzlos.

 

6. Einsatz des Kopierers als Abteilungsdrucker

Werden die Kopierer als Arbeitsgruppendrucker von mehreren Personen genutzt, so sollten dort möglichst keine Dokumente mit personenbezogenen oder anderweitig sensiblen Daten ausgedruckt werden. Lässt sich dies indes nicht vermeiden, sollte die Druckfunktion mit einer Sperre versehen werden: Der Druck wird solange nicht ausgeführt, bis der zugehörige Auftraggeber direkt am Gerät einen mehrstelligen Code eingibt. So wird sichergestellt, dass die ausgedruckten Dokumente sofort nach Abschluss des Druckvorgangs entfernt werden können und dass keine unbefugten Personen Kenntnis der ausgedruckten Daten erhalten können.

 

7. Nicht benötigte Dienste abschalten

Die Kopiersysteme stellen, wenn sie mit einem Computernetzwerk verbunden sind, eine Vielzahl von Netzdiensten zur Verfügung. Vom Hersteller werden die Geräte in der Regel so konfiguriert, dass sie möglichst problemlos in Betrieb genommen werden können. Beispielsweise werden die Geräte mit unterschiedlichsten Netzwerkprotokollen programmiert, damit von verschiedensten Computersystemen aus auf sie zugegriffen werden kann. Bei der Inbetriebnahme sollten daher die Dienste, die für den konkreten Einsatzzweck nicht benötigt werden, abgeschaltet werden. In reinen Microsoft-Windows-Netzwerken etwa wird das Netzwerkprotokoll „AppleTalk“ nicht benötigt; es gehört abgeschaltet.

 

8. Verschlüsselte Ablage der Daten

Je nachdem, wo das Fotokopiersystem eingesetzt wird (Handelsunternehmen, Forschungseinrichtungen, Ärzte, Steuerverwaltung et cetera) und welche Arten von Daten hauptsächlich auf ihm verarbeitet werden, sollte die Datenspeicherung möglichst in geeigneter Weise verschlüsselt erfolgen. Insbesondere bei der Neuanschaffung von Geräten sollte auf diese Option geachtet werden. Die Daten sind dann vor missbräuchlicher Nutzung geschützt, auch wenn das Kopiergerät beispielsweise gestohlen wird. Wichtig dabei ist, dass die verwendeten Zugangscodes und Passwörter wie unter Punkt 2 beschrieben bei Übergabe niemandem mitgeteilt werden. Oft ist Verschlüsselung nur über eine Zusatzfunktion erreichbar, die den Einsatz so genannter „Security-Kits“ erfordert (siehe auch folgender Punkt: 9. Löschen der Daten).

 

9. Löschen der Daten

Bei der Neubeschaffung von Kopiergeräten muss auf eine Konfiguration geachtet werden, mit der die Daten unumkehrbar automatisch gelöscht werden, sobald sie nicht mehr benötigt werden. Meist wird diese Funktion über (optional erhältliche) Zusatzmodule mit Namen wie „Security-Kit“ oder „Daten-Sicherheits-Kit (DSK)“ ermöglicht. Zusätzlich sollte es jederzeit möglich sein, die vollständige Löschung aller Daten manuell anzustoßen.

 

10. Sicherheitsupdates

Sicherheitsupdates, die von den Herstellern zur Verfügung gestellt werden, sollten umgehend installiert werden, um bekannte Sicherheitslücken im Kopiersystem zu schließen. Dies gilt insbesondere dann, wenn der Kopierer als Multifunktionsgerät innerhalb eines Computernetzwerks betrieben wird.

 

11. Wartungspasswörter

In der Regel existiert zu jedem Gerät ein so genanntes Masterkennwort, Wartungskennwort oder Servicekennwort. Damit ist es den Wartungstechnikern der Hersteller möglich, auch dann administrativ auf das System zuzugreifen, wenn Kunden ihre Passwörter vergessen haben. Es sollten nach Möglichkeit nur solche Systeme angeschafft werden, bei denen es möglich ist, die Daten innerhalb des Systems vor dem Zugriff nach Eingabe des Masterpasswortes zu schützen.

 

12. Rückgabe, Verkauf und Entsorgung

Bei der Entsorgung ausgemusterter Geräte gilt, dass alle Daten, die noch auf dem System verblieben sind beziehungsweise sein könnten, gelöscht werden müssen. Falls dies nicht durch manuelles Anstoßen eines Löschvorgangs und/oder durch Einsatz von „Security-Kits“ (siehe Punkt 9) wirksam erreicht werden kann, müssen die Datenträger physikalisch zerstört werden.

Robinsonliste – Widerspruch zum Direktmarketing

Robinsonliste

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/robinsonliste-3805

Der Weg über den Widerspruch in jedem Einzelfall der Direktwerbung ist äußerst umständlich. Deshalb hat sich der Deutsche Direkt-Marketing-Verband (DDV) die Robinson-Liste einfallen lassen. Zweck dieser Liste ist es, den Wunsch von Verbraucherinnen und Verbrauchern, weniger adressierte Werbung zu erhalten, soweit wie möglich zu erfüllen. Die Robinson-Liste wird sowohl Mitgliedern als auch Nichtmitgliedern des DDV zum Abgleich angeboten.

Das Problem mit der Robinson-Liste besteht darin, dass nicht alle mit Adressen handelnden Unternehmen, sondern nur ca. 40 % davon dem DDV angeschlossen sind. Die Liste wird auch nur viermal im Jahr aktualisiert. Die Daten bleiben für fünf Jahre gespeichert. Selbst wenn der Adressenhändler dem Direktmarketing-Verband angehört, kann es vorkommen, dass Ihre Adresse für Werbezwecke genutzt wird, weil der Aufwand und die Kosten für den Abgleich mit der Robinson-Liste gescheut wurden.

Wenn Sie sich auf diese „Robinson-Liste“ setzen lassen wollen, so verwenden Sie das entsprechende

Quelle: https://www.datenschutz.bremen.de/sixcms/media.php/13/robinsonliste.rtf

Haben Sie Beschwerden wegen aggressiver, belästigender und Ihnen unzulässig erscheinender Werbung, so können Sie Verbraucherzentralen in Bremen und Bremerhaven wenden.

Verbraucherzentrale Bremen e. V.
Altenweg 4
28195 Bremen
Tel.: 0421/160 777
Fax: 0421/160 77 80

Verbraucherzentrale Bremerhaven e. V.
Barkhausen Str. 16
27568 Bremerhaven
Tel.: 0471/261 94
Fax: 0471/20 70 00

Speziell mit der Problematik des Adressenhandels beschäftigt sich bundesweit im Auftrag des Verbandes der Verbraucherschutzorganisationen der

Verbraucherschutzverein
Lützowstr. 33-36
10785 Berlin
Tel.: 030/254 907 22

 

Videoüberwachung am Arbeitsplatz

Videoüberwachung am Arbeitsplatz

Quelle:

https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/videoueberwachung_am_arbeitsplatz-15383

Überwachungskamera

Der Einsatz von Videoüberwachung in der Arbeitswelt nimmt dramatisch zu. Dies ist auch anhand von öffentlich bekannt gewordenen Datenschutzskandalen festzustellen, wie der heimlichen Videoüberwachung der Beschäftigten bei Lidl vor zehn Jahren. Aber es geht nicht immer um die Videoüberwachung der Beschäftigten, sondern zum Beispiel um Prozesssteuerungen in der Produktion oder um die Materialkontrolle oder aber um Kundenüberwachung. Gleichwohl sind fast immer Interessen oder Grundrechte und Grundfreiheiten der Beschäftigten berührt. Dies hängt im Wesentlichen von der Art und der Einsatzzeit der verwendeten Video-Technik wie dem Beobachtungsraum ab.

Sollen zum Beispiel Kunden an der Kasse eines Kreditinstituts beobachtet werden, kann sich der Fokus der Kamera auch auf die Kassiererin oder den Kassierer richten. In einem solchen Fall würden die betroffenen Beschäftigten ununterbrochen an ihren Arbeitsplätzen überwacht werden, was ein besonders tiefgreifender Eingriff in ihre Grundrechte und Grundfreiheiten wäre. Bei der Rechtsanwendung kommt es daher nicht nur auf die mit der Videoüberwachung unmittelbar verfolgten Zwecke an, sondern auch mittelbare personenbeziehbare Videoerhebungen sind datenschutzrechtlich von Belang. Arbeitsrechtlich ist es bereits ausreichend, wenn die eingesetzte Technik für die Überwachung des Verhaltens der Beschäftigten geeignet ist, unabhängig davon, ob sie dafür tatsächlich eingesetzt wird. Bereits die theoretische Gefährdung von Grundrechten und Grundfreiheiten der Beschäftigten ist hier ausreichend.

Regelmäßig sind hier die Voraussetzungen des Artikels 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung (DS-GVO) und des § 26 Absatz 1 Bundesdatenschutzgesetz (BDSG) zu prüfen. Danach darf der Arbeitgeber personenbezogene Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses erheben, verarbeiten oder nutzen, wenn sie für dessen Durchführung erforderlich sind.

Zur Aufdeckung von Strafdaten dürfen zudem nach § 26 Absatz 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Hierbei muss die Verarbeitung erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Da die Videoüberwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist regelmäßig eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 2 Buchstabe DS-GVO durchzuführen.
Hierbei ist auch die hierzu ergangene Rechtsprechung des Bundesverfassungsgerichts und des Bundesarbeitsgerichts zu beachten, auf die nachfolgend kurz verwiesen wird:

Danach würde eine zeitlich unbegrenzte Videoüberwachung am Arbeitsplatz einen schwerwiegenden Eingriff in das Persönlichkeitsrecht der betroffenen Beschäftigten darstellen. Ein solcher Eingriff wäre weder durch ausdrückliche gesetzliche Regelungen noch durch schützenswerte Interessen des Arbeitgebers, die im Rahmen einer Gesamtabwägung die Interessen der betroffenen Beschäftigten überwiegen würden, gerechtfertigt. Die Beschäftigten würden einem ständigen Überwachungsdruck ausgesetzt sein, weil sie stets damit rechnen müssten, gerade gefilmt zu werden. Unabhängig davon, ob die Videokameras sichtbar wären, könnten die Beschäftigten nicht erkennen, wann sie in Betrieb seien. Während bei öffentlich zugänglichen Räumen der Kreis der beobachteten Personen in der Regel zunächst unbekannt wäre, wären die Beschäftigten am nicht öffentlich zugänglichen Arbeitsplatz nicht anonym, sondern überschaubar und dem Arbeitgeber bekannt. Der Überwachungsdruck und Anpassungsdruck wäre daher für die Beschäftigten sehr viel größer.

Außerdem würden die Beschäftigten am Arbeitsplatz – im Gegensatz zu zum Beispiel Bahnhöfen oder Kaufhäusern – nicht nur kurzfristig und vorübergehend der Videoüberwachung ausgesetzt. Sie würde sich vielmehr potenziell an jedem Arbeitstag wiederholen und jeweils mehrere Stunden dauern. Die Beschäftigten könnten den Besuch des überwachten Raums weder vermeiden noch sich der Überwachung durch ein Verlassen des Arbeitsplatzes entziehen.

Anders verhält es sich bei der Videoüberwachung in zum Beispiel Kaufhäusern, Tankstellen oder Museen, weil es sich hier um öffentlich zugängliche Räume handelt und zunächst und vordergründig ein unbekannter beziehungsweise anonymer Personenkreis (Beschäftigte, Kunden und Besucher) der Beobachtung ausgesetzt wäre.
Bei der räumlichen und zeitlichen Festlegung der Videoüberwachung muss unter anderem gewährleistet sein, dass Beschäftigte nur kurzfristig und vorübergehend beobachtet werden können, zum Beispiel durch schwenkbare Kameras oder der Möglichkeit, dass sich die Beschäftigten jederzeit der Überwachung entziehen können und sie – wie die übrigen Personenkreise auch – durch geeignete Maßnahmen auf den Umstand der Videoüberwachung hingewiesen werden (zum Beispiel Hinweisschilder und so weiter). Zusätzlich sind die Beschäftigten bei einer beabsichtigten Aufzeichnung von ihrem Arbeitgeber entsprechend § 4 Absatz 3 BDSG darüber zu unterrichten.

Soweit in dem Unternehmen ein Betriebsrat vorhanden ist, gelten ergänzend die Bestimmungen des § 87 Absatz 1 Nummer 6 Betriebsverfassungsgesetz (BetrVG), wonach der Betriebsrat ein Mitbestimmungsrecht hat, wenn technische Einrichtungen eingesetzt oder angewendet werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies gilt nach der Rechtsprechung des Bundesarbeitsgerichts auch schon dann, wenn diese Einrichtungen dazu geeignet sind.

Zur Wahrung der Interessen oder Grundrechte und Grundfreiheiten der Beschäftigten empfiehlt sich, soweit im Unternehmen ein Betriebsrat gewählt ist, entsprechend § 88 BetrVG eine Betriebsvereinbarung über die beabsichtigte Videoüberwachung abzuschließen, die allen Beschäftigten zur Kenntnis zu geben ist. Die Befugnis, im Beschäftigtenkontext Kollektivvereinbarungen abschließen zu dürfen, enthält Artikel 88 DS-GVO. Danach müssen Betriebsvereinbarungen auch geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und Grundreche der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung und die Überwachungssysteme am Arbeitsplatz umfassen.

 

Weitere Informationen:

Datenschutzkonferenz Kurzpapier Nr. 15 Bideoüberwachung nach der Datenschutz-Grundverordnung:

https://www.datenschutz.bremen.de/sixcms/media.php/13/DSK_Nr15_Video%FCberwachung.pdf

 

Fotos von Mitarbeitern im Internet

Fotos von Mitarbeitern im Internet

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/fotos_von_mitarbeitern_im_internet-15386

Ins Internet eingestellte Daten – auch Fotos – können jederzeit weltweit von jedermann eingesehen, vielfältig ausgewertet und sonst wie verwendet werden. Auch könnten sie verändert werden.
Diese Auswirkungen sollten vor einer Veröffentlichung im Internet immer bedacht werden, auch wenn konkrete Missbrauchsfälle hierzu nicht bekannt sind. Der Arbeitgeber darf Daten über seine Beschäftigten nur dann im Internet veröffentlichen, soweit es zur Wahrung der berechtigten Interessen des Verantwortlichen (zum Beispiel Präsentation der Firma) erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

 
Kamera

Dies ergibt sich aus Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung (DS-GVO). Insoweit sollten Arbeitgeber generell auf die Veröffentlichung von Fotos über Beschäftigte verzichten, weil sie nicht für die berechtigten Interessen von Arbeitgebern erforderlich sind und die Rechte der betroffenen Beschäftigten überwiegen.

Soweit der Arbeitgeber es der einzelnen beschäftigten Person auf freiwilliger Basis überlässt, ob er sein Foto ins Internet einstellen will, muss Artikel 7 DS-GVO beachtet werden. Insbesondere muss der Arbeitgeber nach Artikel 7 Absatz 1 DS-GVO nachweisen, dass die Einwilligung der betroffenen Person vorliegt. Auch hat der Arbeitgeber nach Artikel 7 Absatz 3 DS-GVO zu beurteilen, ob die Einwilligung freiwillig erteilt wurde.

Hierbei sind insbesondere die Erwägungsgründe 42 und 43 der DS-GVO einzuhalten. Nach dem letzten Satz im Erwägungsgrund 42 sollte davon ausgegangen werden, dass eine Einwilligung freiwillig erteilt wurde, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

Nach dem ersten Satz im Erwägungsgrund 43 ist eine Einwilligung nicht freiwillig erteilt, wenn zwischen der betroffenen Person und dem Verantwortlichen ein Ungleichgewicht besteht. Nach einem Beschluss des Bundesverfassungsgerichts vom 32.11.2006 – 1 BvR 1909/06 befinde sich der Arbeitnehmer beim Abschluss des Arbeitsvertrags typischerweise in einer Situation struktureller Unterlegenheit. Diese bestehe auch im bestehenden Arbeitsverhältnis und ende auch nicht durch das Erreichen des allgemeinen Kündigungsschutzes. Dieser ändere nichts an dem ungleichen wirtschaftlichen Kräfteverhältnis der Arbeitsvertragsparteien. Der einzelne Arbeitnehmer sei typischerweise ungleich stärker auf sein Arbeitsverhältnis angewiesen als der Arbeitgeber auf den einzelnen Arbeitnehmer.

Aus den vorgenannten Gründen ist grundsätzlich davon auszugehen, dass eine Einwilligung in die Veröffentlichung von Fotos der betroffenen Person auf der Homepage des Arbeitgebers nicht freiwillig ist, weil insoweit ein faktischer Zwang besteht, die Einwilligung zu erteilen, um keine Nachteile befürchten zu müssen.

Erwägungsgrund 155 der DS-GVO verweist auf die Möglichkeit, im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen Bedingungen zu schaffen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung der beschäftigten Person verarbeitet werden können. Diese Bedingungen sind in § 26 Absatz 3 Bundesdatenschutzgesetz (BDSG) festgelegt. Allerdings ist in jedem Einzelfall konkret zu klären, ob die Einwilligung tatsächlich freiwillig ist.

Datenschutz bei Online-Bewerbungen

Eine HTTPS verschlüsselte Webseite ist das mindeste bei Online-Bewerbungen. Schützen Sie diese besonders schützenswerten Informationen.

 

Quelle: https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/datenschutz_bei_online_bewerbungen-15416

Online-Bewerbungsbögen sind ohne Datensicherheitsmaßnahmen nicht geschützt und können insoweit mit dem nötigen Know-how weltweit eingesehen, vielfältig ausgewertet und verknüpft werden, ohne dass die betroffene Person davon Kenntnis erhält. Nutzer können anhand des Namens einer betroffenen Person in den Internet-Suchmaschinen mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person zu findenden Informationen erhalten, anhand dessen sie ein mehr oder weniger detailliertes Profil der Person erstellen können. Somit können die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigt werden (Urteil des Europäischen Gerichtshofs – EuGH vom 13.05.2014; – C-131, EWS 2014, 166).
Daher hat der Verantwortliche im Sinne des Artikel 4 Nummer 7 Datenschutz-Grundverordnung (DS-GVO), also der potentielle Arbeitgeber, dafür zu sorgen, dass die Anforderungen des Artikel 32 DS-GVO erfüllt werden. Insbesondere hat er technische und organisatorische Maßnahmen zu treffen, um den Datenschutz-Grundsatz nach Artikel 5 Absatz 1 Buchstabe F DS-GVO einzuhalten. Danach müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung „Integrität und Vertraulichkeit“).
Als wesentliche Maßnahme kommt nach Artikel 32 Absatz 1 DS-GVO insbesondere die Verschlüsselung der Daten in Betracht, deren Entschlüsselung nur dem Absender (betroffene Person) und dem Empfänger (potentieller Arbeitgeber) ermöglicht werden dürfen.
Gleichwohl kann auch eine Verschlüsselung nicht hundertprozentig gewährleisten, dass die Bewerberdaten nur den befugten Personen zugänglich sind, sodass es ratsam ist, auf Bewerbungen über das Internet zu verzichten. Die Verantwortung für die Online-Bewerbung trägt der Arbeitgeber, der Bewerberdaten immer vertraulich zu behandeln hat.