Die Frage ist nicht ob, sondern wann!
HILFE , WIR WURDEN GEHACKT! Auch wenn Sie solche Erfahrungen noch nicht gemacht haben, sicherlich werden Sie in den Medien bereits einiges darüber gehört haben. Viele Unternehmen trifft dann der bittere Schlag. Nicht nur Imageprobleme ziehen diese Misere mit sich, sondern auch ernsthafte Existenzschäden. Die meisten Unternehmen beginnen erst dann zu handeln, wenn es zu spät ist!
In nur wenigen Schritten sichern Sie Ihre Systeme ab:
- E-Mail-System: Sichern Sie Ihre E-Mail-Infrastruktur ab. Eine zuverlässige Firewall überwacht den E-Mail-Verkehr von ein- und ausgehenden Nachrichten. Verdächtige Inhalte werden direkt herausgefiltert und sind für den Empfänger nicht mehr gefährlich. Halten Sie die Firewall stets aktuell.
- Microsoft 365 Business Pakete wie Basic oder Standard reichen in dieser komplexdenkenden Hackerwelt nicht mehr aus. Wechseln Sie zu Microsoft 365 Business Premium. Warum? Der integrierte Antivirenschutz „Defender“ wird zentral auf allen Geräten bereitgestellt. Zusätzlich können Sie mit der Anwendung „Intune“ mobile Geräte (z. B. Diensthandy oder iPad) zentral von überall aus managen. Achten Sie darauf, dass sämtliche Antivirenprogramme sowie Softwarelösungen auf allen Endgeräten aktuell sind. Mit einer Monitoringsoftware lässt sich dies problemlos überwachen.
- Überprüfen Sie die Datensicherung. Diese muss physikalisch vom System getrennt und an einem anderen Ort aufbewahrt werden. Auch Daten, die sich in der Cloud befinden, müssen zusätzlich gesichert werden! Nur so haben Sie die Garantie, dass sich ein Hackerangriff mit seinen möglichen Folgen wie Verschlüsselung nicht auf die komplette Datensicherung auswirken kann. Sind Sie bereits in der Terracloud, müssen Sie sich darum keine Sorgen machen.
- Richten Sie auf allen Geräten eine 2-Faktor-Authentifizierung ein. Neben der Passworteingabe bestätigen Sie den Login zusätzlich auf einem weiteren Gerät (Diensthandy). Wenn Passwörter offengelegt werden, erlangen Hacker dennoch keinen Zugang zum System.
- Testen Sie Ihre Mitarbeiter! Ein weiteres Feature von Microsoft 365 sind Fake-E-Mails an Mitarbeiter. Über den Test erhalten Sie eine Auswertung, welcher Mitarbeiter die E-Mail geöffnet, welcher Mitarbeiter auf den Link geklickt und welcher Mitarbeiter sogar seine Zugangsdaten eingegeben hat.
Wenn Sie noch nicht alle Schritte umgesetzt haben, ist jetzt der richtige Zeitpunkt. Ein Unternehmen in der heutigen Zeit kann und darf nicht mehr auf eine vollumfängliche IT-Sicherheit verzichten.
Denn sonst stellt sich bald die Frage: nicht ob, sondern wann!
Wir unterstützen Sie, melden Sie sich mit Terminvorschlägen zur Beratung bei uns.
Sicherheitslücken bei Microsoft Exchange-Mail-Servern
Sicherheitslücken bei Microsoft Exchange-Mail-Servern alarmieren derzeit Datenschützer und Behörden weltweit. Bereits Anfang März warnte Microsoft vor den Sicherheitslücken, dann das Bundesamt für Sicherheit in der Informationstechnik (BSI) und anschließend auch die Aufsichtsbehörden. Gleichzeitig veröffentlichte Microsoft Sicherheitsupdates und verkündete, dass die Sicherheitslücken bereits ausgenutzt worden seien.
Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Betroffen sind die Exchange-Server-Versionen 2013, 2016 und 2019. Lediglich Exchange Online und solche Server, die ausschließlich über vertrauenswürdige Verbindungen erreicht werden können (VPN), sind von den Attacken nicht betroffen.
Trotz Rundschreiben BSI und sofortiger Sicherheitsupdates durch Microsoft dürften noch bei einer Vielzahl von Unternehmen die Mail-Server weiterhin akut gefährdet sein. Das BSI geht davon aus, dass verwundbare Systeme mit hoher Wahrscheinlichkeit auch bereits attackiert und mit Schadsoftware infiziert sind. Das BSI hat bislang rund 10.000 betroffene Unternehmen angeschrieben und Gegenmaßnahmen empfohlen. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte aber deutlich höher liegen.
Wir empfehlen Ihnen dringend das Einspielen der bereitgestellten Sicherheitsupdates. Angesichts des hohen Schadenspotentials prüfen Sie anschließend bitte, ob die Maßnahme zu spät erfolgte und bereits Schadcode installiert wurde. Zur Analyse stellt Microsoft ein eigenes Prüf-Script zur Verfügung, anhand dessen Systemadministratoren Anhaltspunkte für Angriffe auf die Systeme erhalten können.
Gerne unterstützen wir Sie bei der Analyse – sprechen Sie uns einfach an.
Bitte beachten Sie, dass festgestellte Datenschutzverletzungen der zuständigen Aufsichtsbehörde gemeldet werden müssen. Auch hier unterstützen wir Sie gerne.
Weitere Informationen finden Sie unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
Beachtung datenschutzrechtlicher Aspekte der Corona-Schutzverordnung
Fordern die Corona-Schutzverordnungen der jeweiligen Bundesländer Schnelltests für Beschäftigte oder Besucher oder bieten Unternehmen diese den Beschäftigten und Besuchern freiwillig an, müssen Unternehmen den Datenschutz beachten.
Die während des Schnelltests erhobenen Daten gehören zu den Gesundheitsdaten und sind nach der DSGVO besonders schützenswert. Für die Verarbeitung dieser Gesundheitsdaten benötigen Sie daher eine Rechtsgrundlage nach der DSGVO bzw. dem BDSG. Welche Rechtsgrundlage für die Verarbeitung gilt, hängt davon ab, ob die Tests durch die Corona-Schutzverordnung vorgeschrieben wurden oder ob ein Unternehmen diese freiwillig anbietet:
Sind Tests für Beschäftigte oder Kunden vorgeschrieben, ergibt sich die Rechtsgrundlage der Verarbeitung von Gesundheitsdaten aus Art. 9 Abs. 2 lit. g, h DSGVO, § 26 Abs. 1 BDSG in Verbindung mit der jeweils geltenden Corona-Schutzverordnung. Die Verarbeitung der Gesundheitsdaten können Sie demnach auf die gesetzliche Vorschrift stützen. Eine Einwilligung benötigen Sie nicht.
Handelt es sich jedoch um freiwillige Schnelltests, können Sie sich nicht auf die Corona-Schutzverordnung berufen. Ohne Testpflicht benötigen Sie daher eine Einwilligung für die Verarbeitung der Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO, § 26 Abs. 2 BDSG).
Unabhängig von der jeweiligen Rechtsgrundlage müssen Sie die Betroffenen nach Art. 13 DSGVO über die Verarbeitung ihrer personenbezogenen Daten informieren. Für den konkreten Fall bedeutet dies: Sie müssen die Betroffenen über die Verarbeitung ihrer Gesundheitsdaten im Rahmen der Schnelltests informieren. Die Mindestinhalte der Information ergeben sich aus Art. 13 Abs. 1 und 2 DSGVO. So müssen Sie die Betroffenen u.a. darüber informieren, zu welchem Zweck und auf welcher Rechtsgrundlage Sie die Daten verarbeiten, an wen Sie die Daten weitergeben und wie lange Sie die Daten speichern.
In einigen Corona-Schutzverordnungen ist geregelt, dass ein Nachweis über die Testung aufbewahrt werden muss. Wer die Nachweise aufbewahrt, ist nicht immer nicht geregelt. Da sowohl ein fehlendes Testangebot als auch ein nicht durchgeführter Pflichttest eine Ordnungswidrigkeit darstellen, empfehlen wir Ihnen aus Nachweisgründen, dass das Unternehmen die Nachweise bzw. Tests aufbewahrt. Doch auch bei der Aufbewahrung gilt der Datenschutz zu beachten:
Nicht nur für die Erhebung, sondern auch für die Speicherung/Aufbewahrung der Nachweise bzw. Tests benötigen Sie eine Rechtsgrundlage. Da nicht in jeder Corona-Schutzverordnung eine Regelung dazu getroffen wurde, dass Unternehmen die Nachweise aufbewahren müssen, können Sie sich nicht immer auf eine gesetzliche Vorschrift berufen. Vielmehr benötigen Sie dann für die Aufbewahrung eine Einwilligung der Betroffenen. Unabhängig davon, ob es sich um einen freiwilligen oder verpflichteten Test handelt.
Bewahren Sie die Nachweise auf, müssen Sie zudem gewährleisten, dass nur berechtigte Mitarbeiter Zugriff auf diese Daten haben. Zudem empfehlen wir, die Nachweise in einem verschlossenen und mit Namen und Datum beschrifteten Umschlag aufzubewahren, zu dem nur berechtigte Mitarbeiter Zugang haben. Nach der vorgeschriebenen Aufbewahrungsfrist (i.d.R. 4 Wochen) müssen Sie anschließend Sorge dafür tragen, dass die Nachweise datenschutzkonform vernichtet werden, sodass anschließend nicht mehr erkennbar ist, welcher Mitarbeiter zu welchem Zeitpunkt wie getestet wurde.
Darüber hinaus möchten wir Sie über einen weiteren datenschutzrechtlichen Aspekt in Bezug auf eine Maßnahme der Corona-Schutzverordnung informieren. Unter Umständen sind Sie dazu verpflichtet, die Kontaktdaten der Beschäftigten und Kunden für Kontaktnachverfolgung zu dokumentieren. Dabei verarbeiten Sie i.d.R. folgende personenbezogene Daten: Name, Adresse, Telefonnummer oder E-Mail-Adresse sowie Zeitraum und Ort des Besuchs. Auch in diesem Fall müssen Sie gegenüber den Kunden die Informationspflichten zum Zeitpunkt der Erhebung erfüllen. Bitte beachten Sie, dass für andere Kunden die personenbezogenen Daten nicht einsehbar sein dürfen. Wir empfehlen daher, sollte eine Registrierung nicht digital erfolgen, pro Kunde ein Formular auszuhändigen.
Gerne arbeiten wir Ihnen die geforderten Dokumente zu und beraten Sie zu den datenschutzrechtlichen Maßnahmen der für Sie geltenden Corona-Schutzverordnung.
Unterlassungsanspruch gegen unzulässige Überwachungsmaßnahme
Das ArbG Heilbronn hat in dem Urteil vom 30.01.2019 (2 Ca 360/18) entschieden, dass die Speicherung und Nutzung der von in das Dienstfahrzeug eines Mitarbeiters eingebauten Telematik-Box (Überwachung des Fahrverhalten) erfassbaren und speicherbaren Daten einen erheblichen Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt, sofern die Verarbeitung nicht erforderlich ist für die Zwecke des Beschäftigungsverhältnisses. Das ArbG Heilbronn hat ein Ordnungsgeld in Höhe von 250.000,00 € oder Ordnungshaft bis zur Dauer von sechs Monaten – zu vollziehen am Geschäftsführer – angedroht, sofern der Arbeitgeber die Erfassung und Speicherung dieser Daten nicht unterlässt.
Im Rahmen des Beschäftigungsverhältnisses ist eine Verarbeitung personenbezogener Daten durch den Arbeitgeber ohne Einwilligung nur durch § 26 Abs. 1 Satz 1 BDSG gerechtfertigt:
„Personenbezogene Daten von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Im Regelfall ist die dauerhafte Überwachung des Arbeitnehmers aber nicht notwendig. Selbst wenn eine GPS-Ortung im Falle eines Diebstahls behilflich sein kann, bedarf es der Ortung und Datenerfassung nicht in Bezug auf die Fahrweise und Nutzung des Fahrzeuges.
Unter Telematik (zusammengesetzt aus Telekommunikation und Informatik) versteht man eine Technik, die die Bereiche Telekommunikation und Informatik verknüpft. Mittlerweile setzen viele Versicherungen auf diese Technik: Hier wird die sog. Telematik-Box fest im Fahrzeug installiert und übermittelt Daten über das Fahr- und Bremsverhalten automatisch. Versicherungen können so das Fahrverhalten analysieren und ermitteln dadurch einen individuellen Rabatt in der Kfz-Versicherung. Der Vorteil liegt darin, dass sich ein sicheres Fahrverhalten direkt auswirkt und nicht erst nach Jahren in Form einer Schadenfreiheitsklasse.
Sofern Sie an einem GPS-Tracking Ihrer Fahrzeugflotte überlegen, müssen Sie im Regelfall eine Einwilligung einholen. Dabei müssen Sie folgende Dinge beachten: Eine permanente und allgemeine Verhaltens- oder Leistungskontrolle ist aus datenschutz- sowie arbeitsrechtlichen Gründen unzulässig. Zulässig sind lediglich Stichproben sowie durch einen begründeten Verdacht veranlasste Kontrollen. Daneben müssen Sie die Löschung erhobener GPS-Daten nach einer gewissen Zeit (etwa 4 Wochen) gewährleisten. Bei der Erstellung einer entsprechenden Einwilligungserklärung sind wir Ihnen gerne behilflich.
Meldepflicht bei Datenpannen
Ihr Mitarbeiter hat versehentlich eine E-Mail an den falschen Empfänger gesendet? Ein Laptop oder USB-Stick geht verloren? Hacker greifen Ihr Unternehmen an? Diese Szenarien sind nicht selten und werfen beim Verantwortlichen viele Fragen auf. Ist das eine Datenpanne? Wen muss ich benachrichtigen? Wie ist die Meldung zu gestalten?
Was sind Datenpannen?
Datenpannen sind Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die zu einem Risiko der Betroffenen führen, beispielsweise:
- versehentliche Veröffentlichung von personenbezogenen Daten
- Hackerangriff auf eine Datenbank
- Verlust eines Laptops, USB-Sticks oder Smartphones
Wann und wem muss ich eine Datenpanne melden?
Eine Datenpanne ist nur dann meldepflichtig, wenn sie zu einem Risiko für den Betroffenen führt. Bei einem einfachen Risiko muss eine Meldung lediglich an die nach dem jeweiligen Bundesland zuständige Aufsichtsbehörde erfolgen. Sofern das Risiko bei der Datenpanne für den Betroffenen hoch ist, muss auch der Betroffene informiert werden.
Übrigens: Sofern die Risiken unmittelbar durch geeignete Maßnahmen abgewendet werden können, muss keine Meldung erfolgen! Geeignete Maßnahmen können dabei sein:
- Sofortige Kontaktaufnahme mit dem falschen Empfänger und Einholen einer Löschbestätigung
- Erfolgreiche Fernlöschung eines abhandengekommenen Smartphones
Ob eine Meldepflicht besteht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab. Deswegen müssen Datenpannen immer dokumentiert werden. Auf Wunsch stellen wir Ihnen ein entsprechendes Muster zur Verfügung.
Wichtig: Bei Datenpannen müssen Sie umgehend handeln. Gem. Art. 33 Abs. 1 DSGVO muss die Datenpanne unverzüglich (ohne schuldhaftes Zögern) und binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Auch dem Betroffenen müssen Sie die Datenpanne unverzüglich melden.
Wie muss eine Meldung aussehen?
Die DSGVO schreibt nicht vor, in welcher Form die Meldung erfolgen muss. Einige Bundesländer bieten sogar ein Onlineformular für die Meldung an. Der Inhalt der Meldung ist gesetzlich geregelt und unterscheidet sich zwischen Meldung an die Aufsichtsbehörde und Meldung an den Betroffenen:
Meldung an die Aufsichtsbehörde (kann je nach Bundesland auch online erfolgen):
- Art der Datenpanne (Diebstahl, Datenverlust etc.)
- Kategorie und ungefähre Anzahl der betroffenen Personen (20 Mitarbeiter, 50 Kunden etc.)
- Kategorie und ungefähre Anzahl der personenbezogenen Daten (Kontaktdaten, Bankdaten etc.)
- ggf. Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen der Datenpanne
- Beschreibung der ergriffenen oder geplanten Schutzmaßnahmen
Meldung an den Betroffenen (in klarer und einfacher Sprache):
- ggf. Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen der Datenpanne
- Beschreibung der ergriffenen oder geplanten Schutzmaßnahmen
Drohen Strafen bei nicht gemeldeten Datenpannen?
Bei nicht gemeldeten Datenpanne drohen Bußgelder in Höhe von bis zu 10 Mio. € bzw. bis zu 2 % des weltweiten Umsatzes des vorherigen Geschäftsjahrs.
Konzept zum Umgang mit Datenpannen
Da die Meldefrist bei einer Datenpanne sehr kurz ist, die Strafen bei nicht erfolgter Meldung jedoch sehr hoch sein können, empfehlen wir Ihnen, im Unternehmen einen Ablaufplan bzw. eine Arbeitsanweisung für Mitarbeiter zu implementieren. Dabei sind wir Ihnen mit unserem vorgefertigten Konzept gerne behilflich.
Hinweis für Unternehmen mit Betriebsrat: Laut Beschluss des LAG Kiel vom 06.08.2019 unterliegen auch Arbeitsanweisungen an die Arbeitnehmer, im Falle einer Datenpanne einen bestimmten Meldeweg zur Feststellung und Behebung der Datenpanne einzuhalten, der Mitbestimmung des Betriebsrats. Wir empfehlen Ihnen daher, eine entsprechende Betriebsvereinbarung mit dem Betriebsrat zu beschließen.
Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter
Ein langer Disput zwischen Auftraggebern und Steuerberatern bzw. Steuerberatern und den Aufsichtsbehörden ist nun beendet: Ist ein Steuerberater Auftragsverarbeiter, wenn er für seine Mandanten die Lohnbuchhaltung übernimmt?
Während viele Aufsichtsbehörden von einer Auftragsverarbeitung ausgingen, sahen sich die Steuerberater hingegen als weisungsfrei und damit eben nicht als Auftragsverarbeiter. In der Praxis hat der Konflikt zu nicht unerheblichen Problemen geführt. Dies ging sogar so weit, dass eine Aufsichtsbehörde einem Unternehmen dazu riet, den Steuerberater zu wechseln, da sich dieser weigerte, einen Auftragsverarbeitungsvertrag abzuschließen.
Die unklare Rechtslage wurde nun durch eine Änderung des Steuerberatungsgesetzes beseitigt. Der neu gefasste § 11 StBerG stellt ausdrücklich klar, dass Steuerberater bei der Verarbeitung der personenbezogenen Daten ihrer Mandanten selbst Verantwortliche i.S.d. DSGVO sind. Somit ist ausgeschlossen, dass es sich bei Steuerberatern um Auftragsverarbeiter handelt, auch dann nicht, wenn diese nur die Lohnbuchhaltung übernehmen.
Übrigens: Lohnbüros sind weiterhin Auftragsverarbeiter. Sollten Sie also ein Lohnbüro mit der Lohnbuchhaltung beauftragt haben, müssen Sie mit diesen einen Auftragsverarbeitungsvertag abschließen, andernfalls drohen Bußgelder. Gerne stellen wir Ihnen hierzu ein Muster zur Verfügung.
Die beliebtesten Passwörter der Deutschen
Es sind nicht nur die beliebtesten, sondern auch die unsichersten: Das Hasso-Plattner-Institut hat vorgestern eine Liste der beliebtesten Passwörter in Deutschland herausgegeben. Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des Hasso-Plattner-Instituts. Datengrundlage sind 67 Millionen Zugangsdaten, die 2019 geleakt, also veröffentlicht wurden.
Top 5 der beliebtesten Passwörter:
- 123456
- 123456789
- 12345678
- 1234567
- password
Viele Internetnutzer verwalten bereits eine Vielzahl an Online-Konten, bei denen sie dasselbe Passwort verwenden. Schließlich ist es lästig, sich für jeden Dienst ein anderes Passwort zu merken. Im Ernstfall haben Kriminelle jedoch ein leichtes Spiel, so Zugriff auf gleich mehrere Konten zu erlangen.
Unser Tipp für ein sicheres Passwort:
- mindestens 8 Zeichen lang
- aus Groß- und Kleinbuchstaben bestehen
- Ziffern enthalten
- Sonderzeichen (!Ӥ$%&/()=?`) enthalten
- darf keinen persönlichen Bezug besitzen (wie Namen, Geburtstag, usw.)
- darf kein Wort sein, das in identischer Schreibweise in Wörterbüchern vorkommt
- keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
Jedes Zeichen mehr steigert die Sicherheit Ihres Passworts und somit die Sicherheit Ihres Kontos exponentiell!
Damit Sie sich die Vielzahl der Passwörter merken können, empfehlen wir, Ihre Passwörter nach einer gewissen Passwortstrategie zu erstellen, z.B. „Name des Dienstes + Lieblingstier + Lieblingszahl + Sonderzeichen“. Daneben können Sie Ihre Passwörter auch mit einem Passwortmanager verwalten, der Ihre Passwörter verschlüsselt speichert.
Eine weitere Methode ist die Verwendung einer „DsiN-Passwortkarte“ von DATEV.
ePrivacy-Verordnung vorerst gescheitert
Nachdem in den letzten Wochen wieder Bewegung in Sachen ePrivacy-Verordnung gekommen ist, konnten sich die Mitgliedstaaten nun doch nicht auf eine gemeinsame Verhandlungsposition einigen.
Letzte Woche wurde dann bekannt, dass die ePrivacy-Verordnung in der derzeitigen Entwurfsfassung endgültig gescheitert ist. Wie bekannt wurde, wird die EU-Kommission im Rahmen der bevorstehenden kroatischen EU-Präsidentschaft von vorne anfangen und einen überarbeiteten Vorschlag vorlegen.
Einige Länder forderten die Kommission sogar auf, darüber nachzudenken, ob die ePrivacy-Verordnung überhaupt noch notwendig sei. Luxemburg hingegen beklagte, dass die EU-Kommission nur Lippenbekenntnisse zum besseren Schutz der Privatsphäre ihrer Bürger abgegeben und letztlich somit mehrere Jahre Zeit verschwendet hat.
Ziel der Verordnung ist es unter anderem, Datensammlungen im Internet über Cookies zu beschränken und Datenschutzregeln, die für klassische Telefonanbieter schon gelten, auf Internetdienste wie Skype, WhatsApp und Facebook auszuweiten. Die ePrivacy-Verordnung ist als Ergänzung der DSGVO gedacht, da sie diese durch speziellere Regelungen bezüglich elektronischer Kommunikationsdaten ergänzt und präzisiert, und soll die ePrivacy-Richtlinie von 2002 ersetzen. Ursprünglich sollte die ePrivacy-Verordnung zusammen mit der DSGVO in Kraft treten.
Da Kroatien die EU-Ratspräsidentschaft im Januar 2020 übernimmt, ist mit einem neuen Vorschlag somit frühestens Anfang 2020 zu rechnen, das Gesetzgebungsverfahren dürfte dann wieder jahrelang dauern. Bis dahin sind vor allem die Vorgaben aus der DSGVO entscheidend, die im Bereich der elektronischen Kommunikation aber lückenhaft sind.
OVG-Beschluss: GESCHWINDIGKEITSKONTROLLE mittels “SECTION CONTROL” bleibt vorläufig verboten
Das niedersächsische Oberverwaltungsgericht (OVG) hat das vorläufige Aus für das bundesweit erste Streckenradar bestätigt. Die gegen den Beschluss des Verwaltungsgerichts Hannover eingelegte Beschwerde der Polizeidirektion Hannover wurde durch den 12. Senat zurückgewiesen.
Hintergrund ist ein Antrag auf Erlass einer einstweiligen Verfügung sowie einer Klage, mit denen der Antragsteller und Kläger die Unterlassung der Geschwindigkeitskontrolle mittels Section Control begehrte. Section Control ist eine Geschwindigkeitskontrolle, bei der die Kennzeichen der Fahrzeuge an zwei Kontrollpunkten erfasst werden und so die Durchschnittsgeschwindigkeit ermittelt wird.
Bei diesem Verfahren werden die Kennzeichen unabhängig der Geschwindigkeit erfasst.
Das Verwaltungsgericht Hannover führt in seiner Begründung aus, dass mit der Erfassung in das verfassungsrechtlich garantierte informationelle Selbstbestimmungsrecht eingegriffen werde. Für einen solchen Eingriff bedarf es stets einer gesetzlichen Grundlage, die jedoch sowohl im sog. Treffer- als auch im sog. Nichttrefferfall fehle.
Zwar befand sich Section Control zu dem Zeitpunkt noch im Probebetrieb, dies ändere laut Verwaltungsgericht Hannover nichts daran, dass der Antragsteller und Kläger einen Eingriff in seine Rechte nicht hinnehmen müsse.
Ausschlaggebend für die Zurückweisung der Beschwerde der Polizeidirektion Hannover gegen diesen Beschluss war, dass diese sich nicht hinreichend mit den tragenden Gründen des verwaltungsgerichtlichen Beschlusses auseinandergesetzt habe. Insbesondere konnte sie nicht darlegen, wieso der Antragsteller und Kläger eine Verletzung seiner Grundrechte im öffentlichen Interesse hinnehmen müsse.
Zwar ist gegen die Entscheidung des OVG kein Rechtsmittel gegeben, jedoch kann die unterlegende Beteiligte bei Änderung der Rechtslage eine erneute gerichtliche Überprüfung beantragen. Im Niedersächsischen Landtag wurde bereits ein entsprechender Gesetzentwurf zur Änderung des Niedersächsischen für Sicherheit und Ordnung eingebracht. Ob eine solche Rechtsgrundlage der Gesetzgebungskompetenz des Landes Niedersachsen obliegt, oder der Bundesgesetzgeber tätig werden muss, ist derzeit nicht geklärt.
Von daher bleibt abzuwarten, ob bzw. wann Section Control in Zukunft überhaupt eingeführt wird.
NUTZUNG von MESSENGER-DIENSTEN
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat kürzlich den 27. Tätigkeitsbericht veröffentlicht und nimmt darin zur Nutzung von Messenger-Diensten Stellung.
Die Messenger-Dienste sind für die Telekommunikation besonders beliebt, da eine Kommunikation nicht nur mobil, sondern auch immer schneller von statten gehen. Weit verbreitet ist der Messenger-Dienst WhatsApp, der in den letzten Jahren jedoch häufig kritisiert wird. Besonders geht es dabei um den potenziellen Datenaustausch zwischen WhatsApp und Facebook, aber auch um die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Kritisch zu betrachten ist, dass das Unternehmen alle Kontaktdaten eines Nutzers verarbeiten kann, die auf dessen Mobiltelefon gespeichert sind und zwar unabhängig davon, ob der jeweilige Kontakt WhatsApp überhaupt nutzt. Zu WhatsApp liegen dem Bundesbeauftragten für Datenschutz und Informationsfreiheit unzählige Beschwerden und Anfragen vor. Dabei geht es einerseits ganz allgemein um die Datenschutzbestimmungen des Dienstes, andererseits aber auch um nicht bzw. nicht ausreichend beantwortete Auskunftsersuchen und um die Frage, wie Widerspruch gegen eine Datenweitergabe eingelegt werden kann. Aber welcher Messenger-Dienst ist eine gute Alternative? Diese Frage erreichte den Bundesbeauftragten für Datenschutz und Informationsfreiheit in den letzten Monaten unzählige Male. Das Angebot von Messenger-Diensten ist groß. Für welchen Dienst soll man sich nun entscheiden? Welchen Dienst setzt das eigene soziale Umfeld ein? Welcher Dienst ist sicher und datenschutzgerecht oder welcher nicht? Welcher Dienst läuft auf meinen Endgeräten (Smartphone, Tablet oder Laptop und PC)? Zu den gängigsten Alternativen Hoccer, Line, Signal, SIMSme, Skype, Telegram, Threema, Viber und Wire. Die Entscheidung für oder gegen einen Messenger-Dienst kann aber letzten Endes nur jeder selbst – bzw. im beruflichen Umfeld der Arbeitgeber – treffen. Denn es hängt schließlich immer auch vom individuellen Nutzungszweck und den daraus resultierenden Anforderungen an Vertraulichkeit, Verschlüsselung, Datensicherheit, Löschfristen etc. ab, welcher Messenger-Dienst den Anforderungen am ehesten entspricht. Und leider gilt auch hier: Solange die E-Privacy‑Verordnung nicht verabschiedet ist, sind viele Rechtsfragen der vertraulichen elektronischen Kommunikation noch nicht abschließend geklärt.
HINWEIS ZUM BETRIEBSRAT
Der Betriebsrat kann gemäß § 80 Abs. 2 S. 2 BetrVG durch den Betriebsausschuss oder einen nach § 28 BetrVG gebildeten Ausschuss Einsicht in die Listen über die Bruttolöhne und -gehälter nehmen. Das Landesarbeitsgericht Niedersachsen musste sich nunmehr mit der Frage auseinandersetzen, ob es ausreiche, dem Betriebsrat anonymisierte Lohnlisten vorzulegen. Der Arbeitgeber vertrat die Auffassung, dass das Gebot der Datensparsamkeit und die Persönlichkeitsrechte der betroffenen Arbeitnehmer beachtet werden müssen. Eine Offenlegung der Klarnamen müsse erst erfolgen, wenn der Betriebsrat bei Durchsicht der anonymisierten Daten Unregelmäßigkeiten erkenne und in Bezug auf diese Daten die Nennung der dahinterstehenden Arbeitnehmer verlange. Diese Auffassung wurde durch das Landesarbeitsgericht in seinem Beschluss vom 22.10.2018 – 12 TaBV 23/18 abgelehnt. Der Betriebsrat hat ein entsprechendes Einsichtsrecht. Datenschutzrechtliche Erwägungen stehen nicht entgegen. Eine Rechtmäßigkeit der Datenverarbeitung folge hier aus Art. 6 Abs. 1 lit. c DSGVO, da die Einsichtnahme in die Bruttolohn- und Gehaltslisten der Erfüllung einer rechtlichen Verpflichtung der Arbeitgeberin gegenüber dem Betriebsrat diene. Es bedürfe auch keine Entscheidung, ob das informationelle Selbstbestimmungsrecht der Arbeitnehmer dem Einsichtsrecht des Betriebsrates entgegenstehe. Der Arbeitgeber ist zumindest nicht befugt, sich gegenüber dem Anspruch des Betriebsrates auf Grundrechte von Arbeitnehmern zu berufen.
Gegen diese Entscheidung wurde Rechtsbeschwerde eingelegt. D. h. letztlich wird das Bundesarbeitsgericht diese Frage zu entscheiden haben. Bis zu diesem Zeitpunkt ist davon auszugehen, dass die Einsichtnahme in die Bruttolohnlisten ebenso wie gemäß § 80 BetrVG gerechtfertigte Informationsansprüche des Betriebsrates nicht an datenschutzrechtlichen Erwägungen scheitern werden.
Sollten sich hieraus Nachfragen ergeben, so stehen wir Ihnen selbstverständlich gern zur Verfügung.
WICHTIGER HINWEIS ZUM BEWERBUNGSVERFAHREN
Das Bayerische Landesamt für Datenschutzaufsicht untersucht gegenwärtig die Verarbeitung von personenbezogenen Daten in Bewerbungsverfahren. Schwerpunkt ist dabei die korrekte Umsetzung von Informationspflichten gegenüber Bewerbern, wodurch jeder Bewerber letztendlich auch erfahren soll, wie mit seinen Daten umgegangen wird.
Daher möchten wir Ihnen nachfolgend einige Hinweise zum Umgang mit Bewerberdaten und der Ausgestaltung von Bewerbungsverfahren geben.
- Personenbezogene Daten dürfen gemäß § 26 Abs. 1 BDSG verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Gemäß § 26 Abs. 8 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als Beschäftigte. D. h. sie dürfen Daten verarbeiten, wenn dies für die Begründung eines Beschäftigungsfeldes es erforderlich ist. Gleichzeitig gelten aber auch die datenschutzrechtlichen Vorschriften in diesem Kontext.
- Art. 13 DSGVO sieht Informationspflichten im Zusammenhang mit der Erhebung von personenbezogenen Daten vor. Diese müssen zum Zeitpunkt der Erhebung der Daten erfüllt werden. Dies kann sich im Bewerbungsverfahren als schwierig darstellen.
Bei einer Stellenausschreibung auf einer Homepage sollten entsprechende Informationen über die Verarbeitung der Bewerberdaten bereits aufgenommen werden. Insbesondere bei Bewerbungsverfahren über Kontaktformulare sollte erwogen werden, auch die Zustimmung zur Datenverarbeitung einzuholen. Ob man auch eine Stellenanzeige in einer Zeitung oder im Internet mit umfangreichen Ausführungen belasten will oder ob über einen Link auf entsprechende Datenschutzhinweise verwiesen werden soll, müsste diskutiert werden.
Im Falle von Initiativbewerbungen sollte erwogen werden, unmittelbar nach Eingang der entsprechenden Bewerbung ein Formular mit entsprechenden Informationen und die Aufforderung zur Abgabe einer Einwilligung an den Bewerber zu übersenden. Gleichzeitig sollte darauf hingewiesen werden, dass ansonsten die Bewerbung nicht bearbeitet werden kann.
- Das Internet bietet vielfältige Möglichkeiten, sich über Bewerber zu informieren. Ganz allgemein wird es als zulässig angesehen, wenn mittels allgemein zugänglicher Quellen im Internet über Bewerber recherchiert wird. Auch der Zugriff auf Datenbanken wie Xing oder LinkedIn, die einen entsprechenden beruflichen Bezug haben, wird im Bewerbungskontext als zulässig angesehen. Ausgeschlossen sind aber Recherchen in privaten Datenbanken wie Facebook oder Instagram.
- Die Einholung von Auskünften bei vorherigen Arbeitgebern ist nur dann zulässig, wenn die Arbeitnehmer hierin eingewilligt haben. Dies kann z.B. dergestalt erfolgen, dass ein ehemaliger Arbeitgeber als Referenz angegeben wird. Allein die Benennung eines ehemaligen Arbeitgebers im Lebenslauf ist hierfür allerdings nicht ausreichend. Gleichzeitig ist es für einen ehemaligen Arbeitgeber unzulässig und stellt einen Datenschutzverstoß dar, sofern er auf Nachfrage Auskunft über einen Arbeitnehmer erteilt, wenn hieran keine Einwilligung vorliegt. D. h. ehemalige Arbeitgeber sollten sich im Zweifel bei dem Arbeitnehmer zunächst vergewissern, ob sie tatsächlich als Referenz benannt worden sind.
- Aufmerksamkeit sollte man unseres Erachtens auf dem Umgang mit Bewerberdaten im Betrieb schenken. Ob es erforderlich ist, sämtliche Daten des Bewerbers z.B. auch Adresse, Geburtsdatum etc. allen beteiligten Personen zugänglich zu machen, erscheint fraglich. Vielmehr sollte man erwägen, dass nur die für die Auswahlentscheidung erforderlichen Daten denjenigen Personen zugänglich gemacht werden, die in das Bewerbungsverfahren eingebunden sind. Weitere Daten sollten im Personalbereich getrennt aufbewahrt werden.
- Im Rahmen von Bewerbungsgesprächen dürfen nur solche Daten erhoben werden, die für die Entscheidung über die Stellenbesetzung erforderlich sind. Hier wird man sich insbesondere auch an denjenigen Grundsätzen orientieren, die im Arbeitsrecht für die Beurteilung der Zulässigkeit von Fragen gelten. So werden Fragen nach dem Gesundheitszustand, einer Schwangerschaft, einer Schwerbehinderung, der sexuellen Orientierung oder auch der politischen Einstellung nur im Ausnahmefall erforderlich sein. Die Erhebung dieser Daten wäre im Regelfall unzulässig. Zudem kann sie ein Indiz dafür sein, dass der Arbeitgeber bei seiner Auswahlentscheidung gegen das Allgemeine Gleichbehandlungsgesetz verstößt. Dies kann mögliche Schadensersatzansprüche von Arbeitnehmern nach sich ziehen.
- Nach Beendigung des Auswahlverfahrens sind die Bewerberdaten zu löschen, wenn sie nicht mehr benötigt werden. Eine Notwendigkeit, Bewerberdaten noch vorzuhalten, kann sich zum ergeben, solange mögliche Bewerber noch Ansprüche nach dem allgemeinen Gleichbehandlungsgesetz geltend machen können. Wenn derartige Ansprüche geltend gemacht werden, kann sich auf die Notwendigkeit des Verhaltens dieser Daten für einen längeren Zeitraum (Dauer des Rechtsstreits) ergeben, da der Arbeitgeber nur so umfangreich zu dem Bewerbungsverfahren vortragen kann. Dies gilt auch dann, wenn eine dritte Partei entsprechende Ansprüche geltend macht. Sollte ein solcher Fall nicht, so dürfte eine Aufbewahrung der Daten über einen Zeitraum von mehr als 6 Monaten im Regelfall nicht erforderlich sein.
Sofern Arbeitgeber für zukünftige Bewerbungsverfahren noch auf entsprechende Daten zurückgreifen möchten, bedarf dies einer ausdrücklichen Einwilligung. Diese sollte nach Beendigung des Bewerbungsverfahrens eingeholt werden.