Rolle des Ministerrats

Größe: px
Ab Seite anzeigen:

Download "Rolle des Ministerrats"

Transkript

1 RECHTSSICHER VOLLSTÄNDIG DAUERHAFT Ausgabe August zzgl. MwSt. Quelle: sinonimas/ istock/thinkstock Mitarbeitersensibilisierung Datenschutz im Online-Business Online-Pricing: Was steckt hinter dynamischen Preisen? Wasserdicht organisieren Inhalt, Bedeutung, nächste Verfahrensschritte Die Einigung des Ministerrats zur Datenschutz-Grundverordnung ; 4 Bayerischer Landesbeauftragter 2013/2014 Neues aus den Tätigkeitsberichten Best Practice Inhalt, Bedeutung, nächste Verfahrensschritte Die Einigung des Ministerrats zur Datenschutz-Grundverordnung Der Rat der Innen- und Justizminister hat am 15. Juni 2015 den Vorschlag der Europäischen Kommission für eine Datenschutz-Grundverordnung in einer geänderten Fassung als allgemeine Ausrichtung gebilligt. Das wird als ein Durchbruch angesehen. Aber was bedeutet es eigentlich? Was sind wichtige Punkte, auf die sich der Rat geeinigt hat? Und wie geht es jetzt weiter? Ausgangspunkt aller Beratungen zur Datenschutz-Grundverordnung war der Vorschlag der Europäischen Kommission vom 25. Januar 2012 (abrufbar unter Alle weiteren Beratungen bilden letztlich eine Reaktion auf diesen Vorschlag, mit dem das ordentliche Gesetzgebungsverfahren gemäß Art 294 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) in Gang gesetzt wurde. Änderungen durch EU-Parlament Wie in dieser Regelung vorgesehen meldete sich als Erstes das Europäische Parlament zu Wort. Das geschah dadurch, dass es am 12. März 2014 in erster Lesung einen Standpunkt zum Entwurf der Kommission beschloss. Dabei billigte das Parlament den Entwurf nicht einfach, sondern beschloss über 200 Vorschläge zu seiner Abänderung (siehe hierzu die Gegenüberstellung der entsprechenden Textstellen unter Rolle des Ministerrats Nun war der Rat der Europäischen Union an der Reihe. Denn dieser Rat, in den Medien oft auch als EU-Ministerrat oder einfach als Ministerrat bezeichnet, wird gemeinsam mit dem Europäischen Fortsetzung auf Seite 4 Heimarbeit regeln Best Practice Homeoffice Kontroll-Know-how Vernetzte Fahrzeuge So wird der Datenschutz zum Beifahrer News & Tipps Eurobarometer Spezial 431 Umfrage zum Datenschutz Abberufung möglich? Langfristerkrankung eines Datenschutzbeauftragten Nutzung von Dienstfahrzeugen Arbeitgeber darf Führerschein kopieren Rechtskompass Auf dem Weg durch die Instanzen Facebook-Seite des Arbeitgebers: Hat der Betriebsrat ein Mitbestimmungsrecht? Datenschutz im Gesundheitssektor Das E-Health-Gesetz Deutsch? Juristisch Deutsch! Autos im Verfahrensverzeichnis Vorschau ISSN-Nr

2 Mitarbeitersensibilisierung 2 Editorial Wie es weitergeht Liebe Leserinnen und Leser, ich freue mich, dass mit Dr. Eugen Ehmann, unserem langjährigen Stammautor und Tagungsleiter der IDACON, ein profunder Kenner der Datenschutzmaterie und Verwaltungsprofi seine detaillierte und höchst interessante Einschätzung zu den jüngsten Entwicklungen der Verhandlungen zur EU-Datenschutz-Grundverordnung abgibt. Viele Unternehmen stehen heutzutage dem Thema Homeoffice positiver gegenüber als in der Vergangenheit. Das mag an besseren technischen Möglichkeiten, schnelleren Verbindungen und überschaubaren Kosten für Heimarbeitsplätze liegen. Der Hauptgrund dürfte jedoch sein, dass immer mehr Mitarbeiter (auch) von zu Hause aus arbeiten möchten und gute Arbeitnehmer gilt es künftig immer stärker zu umgarnen, um sie zu halten. Damit auch aus Datenschutzsicht nichts dagegen spricht, haben wir dem Thema einen Best- Practice-Beitrag gewidmet. Lesen Sie darüber hinaus viele weitere spannende neue Beiträge und bleiben Sie vorn! Ihr Dominikus Zwink Chefredakteur Datenschutz im Online-Business Online-Pricing: Was steckt hinter dynamischen Preisen? Online-Shops arbeiten zunehmend mit dynamischen Preisen. Sie berücksichtigen dabei nicht nur die aktuellen Angebote der Wettbewerber, sondern auch bestimmte Eigenschaften der Online-Kunden. Die Individualisierung der Preise darf aber nicht zu weit gehen. Beraten Sie deshalb Online-Vertrieb und Marketing. Stellen Sie sich vor, Sie wollen die DVD zu einem Kinofilm erwerben, den Sie vor Kurzem gesehen haben. Fixpreise waren gestern Erfahrungsgemäß ist die DVD anfangs recht teuer und wird dann innerhalb relativ kurzer Zeit immer günstiger. Wer sich in Geduld übt, spart also. Denn gerade im Internet sind die Preise nicht auf Dauer fixiert, sondern ändern sich schnell. Allerdings können Preise im Internet nicht nur fallen, sie können auch ohne Weiteres ansteigen. Tatsächlich kommt es nicht nur auf die Geduld an, sondern auch auf den richtigen Zeitpunkt. Wie eine Studie des Preismonitoring-Dienstes Minderest im Februar 2015 zeigte, können z.b. bei Amazon die Preise für bestimmte Produkte innerhalb weniger Stunden um mehr als 200 Prozent schwanken. Hinter solchen dynamischen Preisen stecken ausgefeilte Berechnungsmodelle und nicht einfach nur das Prinzip Angebot und Nachfrage. Mit sogenannten BI-Lösungen (Business Intelligence) werden v.a. die Wettbewerbsangebote bei der Preisfindung einberechnet. Nicht nur Markt und Wettbewerb werden ausgewertet Wenn es keine rechtlichen Einschränkungen wie die Preisbindung bei Büchern gibt, werten viele Online- Händler nicht nur aus, wie hoch Lagerbestand und Lagerkosten für das jeweilige Produkt sind und welche Marge wirtschaftlich erforderlich und möglich ist. Sie analysieren auch die konkrete Situation des potenziellen Käufers. Dazu gehört es, den möglichen Wettbewerb zu betrachten, also zu untersuchen, welche Wettbewerber für den Kunden relevant sind. Für Online-Händler können auch lokale, stationäre Anbieter eine Konkurrenz darstellen. Um die lokalen Wettbewerber ermitteln und analysieren zu können, muss der Online-Anbieter allerdings wissen, wo sich der mögliche Kunde aktuell befindet. Bereits an dieser Stelle wird deutlich, dass dynamische Preise ein Thema für den Datenschutz sein können. Gewinnmaximierung dank Online-Pricing Die Vorteile dynamischer Preise im Internet, auch Online-Pricing genannt, liegen für den Anbieter auf der Hand: Wenn man feststellen kann, was ein Kunde maximal bereit ist zu bezahlen, dann lässt sich der Gewinn maximieren. Dieser Gedanke ist für jeden Online-Vertrieb und jedes Marketing reizvoll, sodass es nicht unwahrscheinlich ist, dass auch Ihr Unternehmen Online-Pricing nutzen möchte oder es vielleicht sogar schon tut. Ohne personenbezogene Daten geht nichts Da Online-Pricing in vollendeter Form versucht, Preise kundenindividuell anzupassen, sollten Sie als Datenschutzbeauftragter die betreffenden Fachbereiche Vertrieb, Marketing und u.u.

3 Mitarbeitersensibilisierung Wirklich der beste Preis? Online-Preise können enorm schwanken. den Webmaster, in jedem Fall aber die verantwortliche Stelle informieren, wo die Grenzen zu ziehen sind. Denn individuelle Preise für Kunden basieren v.a. auf deren personenbezogenen Daten. Gerade bei Online-Angeboten gibt es eine Vielfalt an Daten, die sich bei Preisoptimierungen nutzen lassen. Die Frage ist nur, ob der Kunde das wirklich weiß und auch so will. Transparenz? Fehlanzeige Was bei der Berechnung des kundenspezifischen Preises einfließt, würde so mancher Anbieter am liebsten für sich behalten, aus guten Gründen: Zum einen könnten Kunden es ausnutzen, wenn sie verstehen, wovon die aktuellen Online-Preise abhängen. Zum anderen könnten Kunden verärgert sein, wenn sie erkennen müssen, dass sie ggf. mehr zahlen müssen als andere und warum das so ist. Was genau wird ausgewertet? Beispiele aus der Praxis geben trotzdem Einblick in das Online-Pricing. Zu den Parametern, die häufig zur Bildung kundenspezifischer Preise ausgewertet werden, gehören die aktuelle Zeit, der Standort des Nutzers, Quelle: stevanovicigor/istock/thinkstock das verwendete Endgerät und durchaus auch die Webseiten, die die Kunden vorher besucht haben, wenn der Online-Anbieter das auswerten kann. Selbst das lokale Wetter am Standort des möglichen Kunden kann eine Rolle spielen und den Preis bestimmter Produkte beeinflussen. Online-Shopping zu bestimmten Zeiten, an bestimmten Orten, mit eher teuren Endgeräten und ohne Besuch möglicher Wettbewerbsseiten kann somit teurer werden, als es dem Betroffenen lieb und bewusst ist. Informierte Einwilligung nötig! Letztlich steckt also ein Nutzerprofiling hinter einem Online-Pricing, ein Umstand, der Sie als Datenschutzbeauftragten hellhörig machen wird. Ein Profiling unterliegt den Vorgaben aus dem Telemediengesetz (TMG): Wenn keine Anonymisierung oder Pseudonymisierung der Nutzerdaten vorgenommen wird, müssen die Nutzer dem Profiling zuerst zustimmen. Sprechen Sie deshalb mit Ihren Fachbereichen und der verantwortlichen Stelle über die notwendige informierte Einwilligung, wenn einzelnen Kunden individuelle Online- Preise angeboten werden sollen. Thema für die Datenschutzschulung und wichtiges Argument für Datensparsamkeit Setzen Sie Online-Pricing aber auch auf die Agenda für Ihre nächste Datenschutzunterweisung. Machen Sie deutlich, dass Nutzerprofile und Targeting nicht nur zu personalisierter Werbung führen können, sondern auch zu individuellen, unter Umständen deutlich höheren Preisen. Man zahlt also letztlich nicht nur MIT seinen Daten, sondern bei Online-Pricing auch WEGEN seiner Daten! Datensparsamkeit bekommt so eine ganz neue Bedeutung: Wer sparsam mit seinen Daten ist, könnte auch finanziell sparen. Wenn die eigenen Online-Profile in sozialen Netzwerken, die Verwendung des privaten, teuren Smartphones für das Online-Shopping und die eigenen Online-Aktivitäten dazu führen, dass die Preise steigen, gibt es ein mehr als deutliches Argument für einen besseren Datenschutz. Nutzen Sie das in Ihrer Unterweisung und werben Sie dort für mehr Zurückhaltung bei Informationen zum Kaufverhalten in sozialen Netzwerken, ein aktives Cookie-Management und ein Löschen der Browserhistorie bzw. der Suchverlaufsdaten bei den Suchmaschinen. Der Aufwand lohnt sich nicht nur, er rechnet sich womöglich tatsächlich. Oliver Schonschek Typische Einflussfaktoren auf kundenindividuelle Preise: aktueller Zeitpunkt des Zugriffs aktueller Aufenthaltsort des möglichen Kunden lokale Wettbewerbsangebote regionale Werbemaßnahmen (eigene und die des Wettbewerbs) genutztes Endgerät (Wertigkeit) Online-Verhalten des möglichen Kunden (z.b. zuvor besuchte Webseiten, eingegebene Suchbegriffe, wenn verfügbar) Strömungen in sozialen Netzwerken (Trends im Markt, bei Wettbewerbern, auf der eigenen Seite des Anbieters) Aktivitäten des Kunden in sozialen Netzwerken (wenn verfügbar) 3

4 Wasserdicht organisieren Fortsetzung von Seite 1 Parlament als Gesetzgeber tätig (so Art. 16 EU-Vertrag, Volltext abrufbar unter Es ist auf der Ebene der Europäischen Union also nicht so, dass das Europäische Parlament der alleinige Gesetzgeber wäre. Vielmehr wirken bei der Gesetzgebung Europäischer Rat und Europäisches Parlament zusammen. Das ist auch der Grund, warum das ordentliche Gesetzgebungsverfahren oft als Mitentscheidungsverfahren bezeichnet wird. Bedeutung der Beschlüsse des Rats Der Rat besteht aus den jeweils fachlich zuständigen Ministern der Regierungen in den Mitgliedstaaten (Näheres zur Zusammensetzung und Arbeitsweise des Rats siehe de/eu-rat). Fachlich zuständig für Fragen des Datenschutzes sind die Innenminister und die Justizminister. Das ist der Grund dafür, warum am 15. Juni 2015 der Rat der Innen- und Justizminister einen Beschluss gefasst hat. Durch diesen Beschluss haben letztlich die Regierungen der Mitgliedstaaten eine Art gemeinsamen Standpunkt gegenüber dem Vorschlag der Europäischen Kommission eingenommen. Was die Kommission von diesem Standpunkt hält, ist rein rechtlich gesehen ohne Bedeutung, weil das weitere Gesetzgebungsverfahren durch den Rat und das Parlament gesteuert wird. In der Praxis ist es jedoch üblich, die Kommission bei der Erstellung der Vorlage für einen Beschluss des Rats eng einzubeziehen. Deshalb kann man davon ausgehen, dass die Kommission den Beschluss inhaltlich mitträgt. Was bedeutet Billigung einer allgemeinen Ausrichtung? Der Rat hat den Entwurf der Kommission mit den von ihm vorgeschlagenen Änderungen als allgemeine Ausrichtung gebilligt. Das bedeutet, dass sich 4 die Regierungen der Mitgliedstaaten, vertreten durch die fachlich zuständigen Minister, auf diese Fassung des Entwurfs politisch geeinigt haben. Das wird allgemein zu Recht als Durchbruch gewertet. Denn nunmehr gilt es nur noch, eine abschließende Einigung zwischen dem Rat und dem Parlament herbeizuführen. Am Ende dieses Prozesses steht dann letztlich eine von Rat und Parlament gebilligte Fassung der Datenschutz-Grundverordnung, die Gesetz wird. Der Trilog Dieser weitere Einigungsprozess, bei dem die Europäische Kommission in der Art eines Moderators unterstützend mitwirken kann, wird in einer Art Wortspiel als Trilog bezeichnet. Denn anders als bei einem Dialog, der wörtlich genommen nur zwei Beteiligte kennt, gibt es dabei drei Beteiligte: Rat, Parlament und Kommission. Einzelheiten des Trilogs müssen einen Datenschutzpraktiker zunächst einmal nicht interessieren. Letztlich kommt es nämlich darauf an, dass eine inhaltliche Einigung erzielt wird, und weniger darauf, wie, also in welchen Verfahrensschritten, dies geschieht. Das ist eher für Lobbyisten von Bedeutung, die im Lauf des weiteren Verfahrens Einfluss nehmen wollen. Was will der Rat? Erwägungsgründe zur Verordnung Einen raschen Überblick darüber, in welchen Punkten der Rat vom Vorschlag der Kommission abweichen will, gewinnt man aus den Teilen der Erwägungsgründe, die in dem Dokument, das der Rat beschlossen hat, unterstrichen sind (Dokument 9565/15 vom 11. Juni 2015, abrufbar unter Die Bedeutung der Erwägungsgründe wird oft unterschätzt. In der Praxis des Europäischen Gerichtshofs ist sie oft kaum geringer als die Bedeutung des Textes der Regelung, deren Hintergrund sie beleuchten. Spielräume für den nationalen Gesetzgeber im öffentlichen Bereich Anders als zunächst angedacht und für eine EU-Verordnung typisch möchte der Rat dem nationalen Gesetzgeber erhebliche nationale Spielräume dafür belassen, wie er den Datenschutz im öffentlichen Bereich also im Wesentlichen bei Behörden regeln möchte. So sollen die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. (Erwägungsgrund 8). Dabei sollen sie sektorspezifische Rechtsvorschriften, die sie zur Umsetzung der Richtlinie 95/46/EG erlassen haben, beibehalten können (Erwägungsgrund 8). Ähnlich formuliert Erwägungsgrund 16, dass der nationale Gesetzgeber in den Mitgliedstaaten in Bezug auf die Verarbeitung personenbezogener Daten durch bestimmte Behörden spezifischere Bestimmungen beibehalten oder einführen könne, um die Anwendung der Vorschriften der Datenschutz- Grundverordnung anzupassen. Fortgeltung von Einwilligungen Für die Praxis von großer Bedeutung ist die Frage, ob nach Inkrafttreten der Datenschutz-Grundverordnung vorhandene Einwilligungen Betroffener erneut eingeholt werden müssen. Sie ist gemäß Erwägungsgrund 134 zu verneinen. Denn dort heißt es: Finden Verarbeitungen nach Maßgabe der Richtlinie 95/46/EG statt, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Zustimmung dazu erteilt, dass der für die Verarbeitung Verantwortliche die Verarbeitung nach dem Inkrafttreten der vorliegenden Verordnung fortsetzen kann.

5 Wasserdicht organisieren Rechtliche Absicherung des betrieblichen DSB Nur aus dem Entwurf der Verordnung selbst, nicht dagegen aus den Erwägungsgründen ergibt es sich, dass nach dem Willen des Rats der betriebliche Datenschutzbeauftragte in der Verordnung selbst nicht verbindlich vorgeschrieben werden soll. Vielmehr muss ein Datenschutzbeauftragter nur dann bestellt werden, wenn dies im nationalen Recht (oder im Unionsrecht) ausdrücklich vorgesehen ist (Art. 35 Abs. 1 des Entwurfs). Mit anderen Worten: Nur wenn der nationale Gesetzgeber so wie jetzt im BDSG den betrieblichen Datenschutzbeauftragten verbindlich vorschreibt, ist dieser künftig noch obligatorisch. Hierzu ist im politischen Raum zu hören, dass eine weitergehende Regelung im Rat nicht durchzusetzen war. BDSG-Regelungen bleiben für öffentliche Stellen voraussichtlich relevant Im Ergebnis bedeutet dies, dass die Grundverordnung zwar die Regelungen des Bundesdatenschutzgesetzes (BDSG) für die Privatwirtschaft im Wesentlichen ablöst. Soweit das BDSG dagegen Vorschriften für öffentliche Stellen insbesondere also für Behörden des Bundes enthält, können sie voraussichtlich im Wesentlichen unverändert aufrechterhalten werden. Dasselbe gilt für bereichsspezifische Regelungen wie etwa die Datenschutzvorschriften des Sozialgesetzbuchs. Positive Haltung zur Direktwerbung Recht positiv sieht der Rat die Verarbeitung von Daten zum Zweck der Direktwerbung. Hierzu heißt es in Erwägungsgrund 39: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Gleichzeitig möchte der Rat das Recht des Betroffenen auf Widerspruch gegen die Verwendung von Daten für die Direktwerbung präzisieren und formuliert daher in Erwägungsgrund 57, dass der Betroffene gegen eine ursprüngliche oder spätere Verarbeitung von Daten für diesen Zweck Widerspruch einlegen können soll. Übermittlung von Daten im Konzern Ähnlich pragmatisch nähert sich der Rat der Frage, unter welchen Voraussetzungen personenbezogene Daten innerhalb eines Konzerns übermittelt werden dürfen. Hierzu heißt es in einem völlig neu eingefügten Erwägungsgrund 38a): Für die Verarbeitung Verantwortliche, die Teil einer Unternehmensgruppe oder einer Einrichtung sind, die einer zentralen Stelle zugeordnet ist, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Mitarbeitern, zu übermitteln. Der Hinweis auf Kunden und Mitarbeiter dürfte insbesondere auf Skill-Datenbanken in Unternehmensverbänden zu beziehen sein. Schutz von Daten Verstorbener Angesichts der in Deutschland inzwischen teils recht lebhaften Diskussion um den digitalen Nachlass verdient der völlig neu eingefügte Erwägungsgrund 23aa) Beachtung. Er lautet: Die Grundsätze des Datenschutzes sollten nicht für die Daten Verstorbener gelten. Im nationalen Recht eines Mitgliedstaats können Vorschriften über die Verarbeitung der Daten Verstorbener vorgesehen sein. Zulässigkeit von Verbandsklagen Wohl ebenso v.a. auf Diskussionen in Deutschland bezogen ist Erwägungsgrund 112 zur Frage, ob gegen die Verletzung von Datenschutzvorschriften nicht nur der Betroffene selbst vorgehen können soll, sondern auch Organisationen und Verbände im Rahmen einer Verbandsklage. Sie soll im Prinzip zulässig sein, doch enthält der Erwägungsgrund folgende Einschränkung: Diesen Einrichtungen, Organisationen oder Verbänden kann nicht gestattet werden, im Namen einer betroffenen Person Schadensersatz zu verlangen. Daraus folgt im Umkehrschluss, dass Unterlassungsklagen durch Verbände möglich sein sollen. Weitere Kompromisse wahrscheinlich Die wenigen Beispiele zeigen, dass die Beratungen im Rat zu wesentlichen Änderungen und Präzisierungen des Entwurfs der Kommission geführt haben. Abzuwarten bleibt, wie sich das Parlament zu diesen Vorstellungen des Rats stellt. Dabei wird es noch den einen oder anderen Kompromiss geben. Dr. Eugen Ehmann Zusammenfassung: Was ist bisher gelaufen, und wie geht s weiter? 1. Vorschlag der Europäischen Kommission vom 25. Januar 2012: Grundlage für die weiteren Verhandlungen 2. Abänderungen durch das Europäische Parlament am 12. März 2014: über 200 Vorschläge für Änderungen 3. Beschluss des Rats der Innen- und Justizminister, 15. Juni 2015: gemeinsamer Standpunkt gegenüber dem Vorschlag der EU-Kommission, Billigung einer allgemeinen Ausrichtung Das Bayerische Landesamt für Datenschutzaufsicht hat den Entwurf der Europäischen Kommission sowie die Beschlüsse des Europäischen Parlaments und des Europäischen Rats in einer Synopse (http://t1p.de/baylda-synopse) gegenübergestellt. Sie geht von den deutschen Fassungen der Texte aus. Abschluss Ende 2015? Die Beratungen über diese Texte im Rahmen des Trilogs haben am 24. Juni 2015 begonnen und sollen bis zum Jahresende 2015 abgeschlossen sein. 5

6 Wasserdicht organisieren Bayerischer Landesbeauftragter 2013/2014 Neues aus den Tätigkeitsberichten 2015 ist das Jahr zahlreicher Tätigkeitsberichte für den öffentlichen Bereich, also mit Schwerpunkt Datenschutz in Behörden. Datenschutzbeauftragte im Unternehmen beachten sie oft kaum: Zeit ist ohnehin knapp, und man meint, sich die Lektüre dieser Berichte nicht gönnen zu können. Beispiele aus dem Bericht des Bayerischen Landesbeauftragten für den Datenschutz zeigen jedoch, dass Ihnen dadurch auch manches Interessante entgeht. Die Auswahl der Beispiele ist dabei subjektiv. Wer sich ein eigenes Bild machen möchte, blättert den Bericht am besten einmal selbst durch. Die Datenschutzaufsicht in Bayern hat eine andere Struktur als in allen anderen Bundesländern. Es gibt in Bayern nämlich zwei Aufsichtsbehörden: Das Bayerische Landesamt für Datenschutzaufsicht mit Sitz in Ansbach kümmert sich um den Datenschutz im nicht-öffentlichen Bereich, der sich vereinfacht mit der Privatwirtschaft gleichsetzen lässt. Der Bayerische Landesbeauftragte für den Datenschutz mit Sitz in München sorgt dagegen für die Überwachung des Datenschutzes im öffentlichen Bereich, also vereinfacht gesagt bei bayerischen Behörden. Der Bayerische Landesbeauftragte hat dieses Jahr seinen 26. Tätigkeitsbericht veröffentlicht, der die Jahre 2013/2014 abdeckt. Darin findet sich manches, was auch außerhalb von Behörden Interesse erwecken kann. Body-Cams Die bayerische Polizei pflegt beim Einsatz moderner Technik oft ganz vorn dabei zu sein. Bei Body-Cams gilt das allerdings (noch?) nicht. Mit diesem Begriff sind Videokameras gemeint, die auf der Schulter der Uniformweste von Polizeibeamten angebracht ist. Der Polizeibeamte kann die Kamera nach eigenem Ermessen ein- und ausschalten und sie beispielsweise dazu nutzen, Übergriffe gegen sich zu dokumentieren. 6 Der Landesbeauftragte berichtet, dass es hierzu in Hessen schon einen Pilotversuch gibt, und zwar auf einer Rechtsgrundlage, für die es im bayerischen Landesrecht keine Parallele gibt. Entsprechend kritisch äußert er sich zu dem Thema: Sollten Polizeieinsätze vollständig mittels Body- Cams erfasst werden, würde man nicht nur die Polizeibeamten übermäßig kontrollieren, sondern auch den öffentlichen Raum mit einer unverhältnismäßigen Vorratsdatenspeicherung überziehen. (S. 79 des Berichts). Interessant ist das Thema v.a. deshalb, weil es anders als Dash-Cams in Fahrzeugen in Deutschland sonst bisher nur wenig erörtert wird. Data-Breach-Fälle bei öffentlichen Krankenhäusern Gehen in einem Krankenhaus sensible Patientenunterlagen verloren, ist das in jedem Fall eine heikle Sache, nicht zuletzt für die betroffenen Patienten. Sollte es sich um ein Krankenhaus in privater Trägerschaft handeln, ist dem Träger normalerweise klar, dass er einen solchen Fall der zuständigen Aufsichtsbehörde melden muss ( 42a Bundesdatenschutzgesetz BDSG). Aber wie sieht es bei Krankenhäusern in öffentlicher Trägerschaft aus? Kommt dann 42a BDSG überhaupt zur Anwendung? Hierzu stellt der Landesbeauftragte klar, dass Krankenhäuser in öffentlicher Trägerschaft als Wettbewerbsunternehmen anzusehen sind, die zu Krankenhäusern in privater Trägerschaft in Konkurrenz stehen. Auch hier besteht Meldepflicht nach 42a BDSG Das hat zur Konsequenz, dass über eine Abgrenzungsregelung im Bayerischen Datenschutzgesetz (Art. 3 Abs. 1 Bayerisches Datenschutzgesetz BayDSG) sehr viele Vorschriften des BDSG zur Anwendung kommen, darunter auch 42a BDSG. Dabei äußert der Landesbeauftragte die Befürchtung, dass in der Praxis möglicherweise Unklarheiten darüber bestehen, dass dies die geltende Rechtslage ist und dass deshalb so manche Meldung an ihn unterbleibt, die eigentlich erforderlich wäre (S. 66 des Berichts). Vermutlich liegt er damit richtig. Unverschlüsselte Mails bei Behörden Wenn die Polizei unverschlüsselte Mails verschickt, ist das nicht nur ein internes Polizeiproblem. Schließlich würden die meisten Betroffenen ihre personenbezogenen Daten, die solche Mails enthalten, der Polizei niemals freiwillig zur Verfügung stellen. Daher können sie auch erwarten, dass die internen Spielregeln für die Verschlüsselung eingehalten werden. Verschlüsselung über Behördennetz Sie sehen (nicht nur) in Bayern vor, dass Mails zwischen Behörden nur im Bayerischen Behördennetz verschickt werden dürfen. Es verfügt über eine Leitungsverschlüsselung und weitere technische Sicherheitsmaßnahmen. Der Landesbeauftragte mahnt anhand eines konkreten Verstoßes an, diese Regelungen allgemein zu beachten (S. 91 des Berichts). Ebenfalls mahnend hinzufügen möchte man, dass auch Unternehmen gut daran täten, dem Thema Verschlüsselung noch mehr Aufmerksamkeit zu widmen!

7 Wasserdicht organisieren An der Verschlüsselung hapert es nicht nur in Unternehmen, sondern auch bei Behörden Unverschlüsselte Übermittlung von Fotos bei Verkehrsverstößen Wer einen Verkehrsverstoß begeht und hofft, ohne Strafe davonzukommen, fürchtet das Verfahren: Unter bestimmten Voraussetzungen, die Passgesetz und Personalausweisgesetz näher regeln, können Polizei und Verkehrsbehörden Bilder anfordern, die bei der Pass- und Personalausweisbehörde vorliegen. Das klärt oft schnell, wer tatsächlich gefahren ist. Auch hier rügt der Landesbeauftragte, dass die Übermittlung solcher Bilder vielfach unverschlüsselt erfolgt, und beanstandet das zu Recht (S. 115/116). Ohne Verschlüsselung nach dem Stand der Technik geht es auch hier nichts. Die Praxis hat übrigens auf diese Rüge schon reagiert: Sofern keine verschlüsselte Übermittlung möglich ist, holen die Polizeibeamten jetzt Kopien von Fotos vielfach persönlich ab. Dieser Aufwand ließe sich durch den Einsatz zeitgemäßer Technik vermeiden. Anspruch auf Denunzianten-Nennung? Quelle: maxkabakov/istock/thinkstock Deshalb spricht der Landesbeauftragte auch wesentlich neutraler von Anzeigeerstattern, die einer Behörde problematische Sachverhalte mitteilen, was unter Umständen zur Folge hat, dass die Behörde gegenüber dem Angeschwärzten ihre Maßnahmen ergreift. Vertraulichkeit ist garantiert Hierzu stellt der Landesbeauftragte erneut klar, dass ein Anzeigeerstatter auch dann von einer vertraulichen Behandlung seiner persönlichen Daten, insbesondere seines Namens, ausgehen darf, wenn er nicht ausdrücklich um Vertraulichkeit gebeten hat. Nur dann, wenn die Angaben eines Anzeigeerstatters haltlos, grob unwahr oder verleumderisch sind, muss er es hinnehmen, dass seine Daten an den davon Betroffenen herausgegeben werden. Denn der muss dann die Chance haben, gegen den Anzeigeerstatter rechtlich vorzugehen. (S. 132/133 des Berichts). Schülerfotos und Datenschutz Ein Klassenfoto kann eine wunderbare Erinnerung an die Schulzeit sein. Dennoch: Manche Eltern und auch Schüler wollen einfach nicht, dass ein solches Foto entsteht, auf dem sie selbst zu sehen sind. Um daraus im Schulalltag erst gar keine Konflikte entstehen zu lassen, hat der Landesbeauftragte sehr umfassend die Grundsätze zusammengefasst, die für den Umgang mit Schülerfotos gelten (S des Berichts): für ein Foto im Jahresbericht seiner Schule zur Verfügung zu stellen. Fertigen externe Fotografen die Bilder im Auftrag der Schule an, ist das eine Auftragsdatenverarbeitung. Deshalb ist ein schriftlicher Auftrag an den Fotografen notwendig. Besonders weist der Landesbeauftragte darauf hin, dass Schülerfotos auf der Homepage der Schule nur zulässig sind, wenn eine rechtsgültige Einwilligung vorliegt. Hierzu stellt er eine Mustereinwilligung zur Verfügung, die mit dem bayerischen Kultusministerium abgestimmt ist. Da für das Recht am eigenen Bild bundesweit dieselben Regeln gelten, dürfte sie auch außerhalb Bayerns Interesse finden. Blicke über den Zaun sind empfehlenswert Die wenigen Beispiele zeigen, dass auch der Datenschutzbeauftragte der Privatwirtschaft zumindest ab und zu einen Blick über den Zaun in Richtung Datenschutz bei Behörden riskieren sollte. Vieles, was dort geschieht, betrifft weite Kreise der Bevölkerung und keineswegs unmittelbar nur die Behörden selbst. Der 26. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz Dr. Thomas Petri deckt die Jahre 2013/2014 ab und ist abrufbar unter https://www.datenschutz-bayern.de/, Rubrik Tätigkeitsberichte. Dr. Eugen Ehmann Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden. Außerdem moderiert er auch dieses Jahr wieder die IDACON (www.idacon.de). Zugegeben: Der Begriff Denunziant kann im Einzelfall sehr unfair sein. Kein Schüler ist beispielsweise dazu verpflichtet, sich als Teil der Klasse 7

8 Best Practice Heimarbeit regeln Best Practice Homeoffice Das Arbeiten im Homeoffice gehört heutzutage oft zu einer ausgewogenen Work-Life-Balance dazu. Auch wenn es grundsätzlich der Weisungsbefugnis des Arbeitgebers unterliegt, wo sich der Arbeitsort befindet, fordern immer mehr Arbeitnehmer, dass sie zumindest in einem gewissen Umfang oder bei besonderen Anlässen auch von zu Hause aus arbeiten dürfen. Doch gerade aus datenschutzrechtlicher Sicht ergeben sich hierbei einige Fallstricke, die es zu vermeiden gilt. Es beginnt schon beim Weg ins Homeoffice Bereits der Weg zum Heimarbeitsplatz hat seine Tücken. Wie schnell können Laptops, Akten etc., die vom Büro ins Homeoffice wandern, verloren gehen und schon hat man den schönsten Datenschutzvorfall. Wobei diese Gefahr natürlich grundsätzlich bei allen Arbeitnehmern, die im Außendienst tätig sind, besteht. Die Vorteile von Homeoffice liegen auf der Hand: Flexiblere Einteilung der Arbeitszeiten, Nutzen der persönlichen Vorlieben hinsichtlich der Arbeitszeiten, leichteres Koordinieren von privaten Terminen, Möglichkeit der partiellen Kinderbetreuung oder einfach nur die zeitlich und finanziell gesparte An- und Rückreise zum Büro sind nur einige Gründe, weshalb das Arbeiten im Homeoffice immer beliebter wird. Vorteile auch für Arbeitgeber Auch für Arbeitgeber gibt es durchaus Vorteile: Zufriedene und motivierte Mitarbeiter, effektivere Zeiteinteilung, Kostenersparnis mangels Bereitstellenmüssen von Arbeitsplätzen etc. Doch mag die Liste der Vorteile auch noch so lang sein: Es gibt einige Stolpersteine, die beachtet werden müssen, und zwar sowohl aus Datenschutzsicht als auch unter Aspekten des Arbeitsschutzes und der Arbeitssicherheit. Mit einer umfassenden konzeptionellen Planung der Tätigkeit von Mitarbeitern im Homeoffice lassen sich die meisten Hürden jedoch nehmen. Auch Freiberufler berücksichtigen In diesem Zusammenhang sei darauf hingewiesen, dass in diesem Fall auch Freiberufler hierunter fallen, die für ihren Auftraggeber Arbeiten in Räumlichkeiten erledigen, die nicht zur Sphäre des Auftraggebers zählen. Zudem sind die Datenschutzvorkehrungen, die ein Arbeitnehmer in den eigenen vier Wänden treffen sollte, nicht immer leicht durchzusetzen und zu kontrollieren: Zum einen fehlt dem Arbeitgeber in der Wohnung des Arbeitnehmers mangels Zutrittsrechten die Verfügungsgewalt. Zum anderen können weitere Bewohner, Familienangehörige oder Besucher Schaden anrichten. Hinzu kommen das informationelle Selbstbestimmungsrecht des Arbeitnehmers und der Grundsatz der Unverletzlichkeit der Wohnung (Art. 13 Grundgesetz). Einstufung der Daten Auch wenn ein Mitarbeiter nur in Einzelfällen von daheim aus arbeitet: Homeoffice muss nicht nur in puncto Datenschutz klar geregelt sein. 8 Quelle: mitifo/istock/thinkstock Zunächst empfiehlt es sich, die Daten, die im Homeoffice erhoben, verarbeitet oder genutzt werden, zu klassifizieren, um Abstufungen vorzunehmen und im Anschluss Maßnahmen zur Datensicherheit zu treffen: So ließe sich z.b. danach differenzieren, ob ein Arbeiten ohne oder mit Datenverbindung zum Firmennetz ermöglicht und gewünscht ist und welche Zugriffsrechte auf bestimmte (datenschutz- und sicherheitsrelevante) Daten gegeben sind. Sodann lassen sich Regelungen anhand der jeweiligen Sicherheitsstufe treffen, ob Arbeitsmittel (EDV- Ausstattung) seitens des Arbeitnehmers oder seitens des Arbeitgebers gestellt werden wobei Letzterem aus datenschutzrechtlicher Sicht

9 Best Practice der Vorzug zu geben ist und welche Maßnahmen hinsichtlich der Gewährleistung von Datenschutz und Datensicherheit im Einzelfall getroffen werden müssen. Eine Differenzierung ist auch nötig, um festzustellen, ob der Arbeitnehmer mit Sozialdaten oder anderen besonderen Arten personenbezogener Daten nach 3 Abs. 9 BDSG arbeitet. Je nachdem sollten die technischen und organisatorischen Maßnahmen angepasst werden. Sind Daten im Spiel, die bei Verlust die Informationspflicht auslösen würden? Kommt der Mitarbeiter im Homeoffice mit Daten, die im Verlust- oder Veröffentlichungsfall die Rechtsfolgen des 42a BDSG auslösen, in Berührung? Dann sollte der Mitarbeiter ausdrücklich darauf vorbereitet werden, wie er bei einem Datenverlust im Homeoffice zu reagieren hat. Wichtig ist dabei, dem Mitarbeiter nicht gleich mit Sanktionen zu drohen, da er den Vorfall sonst eher verdeckt als meldet. Die Haftung des Mitarbeiters Auch muss beachtet werden, wie die Haftung für Arbeitnehmer, die im Homeoffice tätig sind, aussieht: Grundsätzlich ist ein Arbeitnehmer schadensersatzpflichtig, wenn er durch falsche und unsachgemäße Bedienung Schäden an Arbeitsmaterialien des Arbeitgebers verursacht. Das gilt auch dann, wenn der Arbeitnehmer z.b. durch unsachgemäße Verwahrung von Daten den Arbeitgeber schädigt. Allerdings sind hier die im Arbeitsrecht anerkannten Regelungen zum Schadensersatz zu berücksichtigen. So gilt in der Regel, dass der Arbeitnehmer bei Vorsatz und grober Fahrlässigkeit grundsätzlich voll haftet. Bei Letzterer kann jedoch eine Deckelung des Schadensersatzanspruchs auf in der Praxis drei Monatsgehälter angenommen werden. Bei mittlerer Fahrlässigkeit kommt es auf die Umstände des Einzelfalls an, sodass eine Schadensminderung für den Arbeitnehmer in Betracht kommen kann. Bei leichtester Fahrlässigkeit hingegen haftet der Arbeitnehmer nicht. Problematisch ist der Fall, wenn sich im Homeoffice Dritte aufhalten (weitere Bewohner, Familienangehörige, Besucher). Hier muss der Arbeitnehmer dafür Sorge tragen, dass sie keinen Zugang zu den Unterlagen und Materialien, insgesamt zu den personenbezogenen Daten des Arbeitgebers haben. Welche Maßnahmen konkret erforderlich sind, bleibt eine Abwägung im Einzelfall. In jedem Fall muss der Arbeitnehmer Unterlagen mit personenbezogenen Daten stets wegschließen. Sensibilisierung der Mitarbeiter speziell zum Homeoffice Die Mitarbeiter, denen gestattet wird, von zu Hause aus zu arbeiten, sollten in regelmäßigen Abständen hinsichtlich des Datenschutzes speziell im Homeoffice sensibilisiert werden. Beziehen Sie also die besonderen Anforderungen, die sich aus der Tätigkeit im Homeoffice ergeben, in Ihre Datenschutz-Schulungen ein. Eine solche Sensibilisierung lässt sich insbesondere dadurch verstetigen, Folgende Fragen sind beim Home office in erster Linie zu klären: Besteht eine gesicherte Verbindung zum Firmennetzwerk (VPN)? Ist der Umgang mit Passwörtern geregelt (Verwendung sicherer Passwörter, regelmäßiges Ändern der Passwörter und etwaiges sicheres Verwahren der Passwörter)? Ist der Virenschutz gewährleistet? Bestehen Regelungen in ADV-Verträgen (auch hinsichtlich Vor-Ort-Kontrollen!)? Wird differenziert nach Art der personenbezogenen Daten? Ist der Umgang mit Videokonferenzen geklärt? Welche technischen und organisatorischen Maßnahmen sind beim Arbeitnehmer nötig? Dazu zählen insbesondere: Regelungen zur Zutrittskontrolle: Allein aufgrund der Tatsache, dass der Arbeitgeber ein Arbeiten im Homeoffi ce genehmigt hat, hat er noch lange kein konkludentes Zutrittsrecht. Vielmehr steht die Privatsphäre des Arbeitnehmers im Vordergrund. Daher sind Regelungen nötig, damit der Arbeitgeber seinen berechtigten Interessen hinsichtlich einer Zutrittskontrolle nachkommen kann. Regelungen zur Zugangskontrolle Zugriffsberechtigungen und Schutz der Daten vor Zugriff von anderen im Haushalt des Arbeitnehmers anwesenden Personen: Sind die Räumlichkeiten z.b. überhaupt zur Teleheimarbeit geeignet? Existiert ein geeigneter Arbeitsplatz? Können Unterlagen mit Personenbezug weggeschlossen werden, sodass unberechtigte Dritte (auch Mitbewohner, Familienangehörige, Besucher u.ä.) keinen Zugriff auf die dort befi ndlichen Daten haben? Sicherstellung von Backups: Hierbei ist besonders zu beachten, dass der Mitarbeiter durch das dezentrale Arbeiten sehr viel leichter versucht sein wird, Daten nicht auf den zentral gesicherten Laufwerken, sondern auf seinem Rechner am Heimarbeitsplatz, der gegebenenfalls nicht in die Datensicherung einbezogen ist, abzuspeichern. 9

10 Best Practice Sorgen Sie für Richtlinien zum Homeoffice Als sinnvoll hat es sich erwiesen, dass die Tätigkeit im Homeoffi ce nicht einfach geduldet wird bzw. sich durch eine betriebliche Übung etabliert, sondern dass der Arbeitgeber einen arbeitsrechtlichen Rahmen für diese Tätigkeit schafft. Das kann z.b. durch den Abschluss einer Betriebsvereinbarung mit dem Betriebsrat geschehen. Da die Tätigkeit im Homeoffi ce jedoch regelmäßig arbeitnehmerindividuell ausgestaltet ist, empfi ehlt es sich, die diesbezüglichen Regelungen in einer Ergänzung zum Arbeitsvertrag zu fi xieren. Hier kann der Arbeitgeber bestimmte Vorgaben machen und sich in gewissem Umfang auch Kontrollrechte hinsichtlich der Ausgestaltung des Homeoffi ce-arbeitsplatzes vorbehalten. Weiterhin sollten die wesentlichen Anforderungen, die der Arbeitgeber an das Arbeiten im Homeoffi ce stellt, in das Richtlinienmanagement des Unternehmens eingearbeitet werden. Hierzu kann es sinnvoll sein, eine eigene Heim- bzw. Telearbeitsrichtlinie zu schaffen. Häufi g reicht es jedoch aus, dass die übrigen Richtlinien im Unternehmen das Arbeiten im Homeoffi ce ausdrücklich regeln. Beispielsweise lassen sich die IT-Nutzungsrichtlinien um die Aspekte der IT-Nutzung im Homeoffi ce, aber auch um den Transport der Geräte und insbesondere der darauf befi ndlichen Daten von der Arbeitsstätte ins Homeoffi ce erweitern. Besonders wichtig ist darüber hinaus, dass die Heim- bzw. Telearbeit auch in das IT- Sicherheits- oder Informationsschutzkonzept des Unternehmens eingearbeitet wird. Nur das kann sicherstellen, dass es nicht zu einem Wildwuchs der Homeoffi ce-arbeitsplätze kommt, sondern dass die Mitarbeiter die standardisierten Vorgaben z.b. hinsichtlich der technischen und organisatorischen Maßnahmen einhalten. Auch im Hinblick auf Unfallversicherungen gibt es Handlungsbedarf. Heimarbeitsgesetz bereitet die meisten Probleme Die rechtlichen Vorgaben aus dem Heimarbeitsgesetz dürften dabei in der Praxis am schwierigsten umzusetzen sein. Beim Heimarbeitsgesetz handelt es sich um eine Regelung, die ursprünglich Tätigkeiten aus dem Bereich der Fertigung regeln sollte. Vor allem in den 1950er und 1960er Jahren war es weit verbreitet, dass einfache Produktionsschritte (z.b. Zusammenbau von Kugelschreibern aus Einzelteilen, Lackieren bzw. Bemalen von Dekorationsartikeln etc.) in Heimarbeit stattfanden. Für diese Tätigkeiten hat das Heimarbeitsgesetz einen rechtlichen Rahmen geschaffen. Dieser rechtliche Rahmen gilt aufgrund des weit gefassten Anwendungsbereichs jedoch ebenso für die moderne Homeoffice-Tätigkeit. dass der Arbeitgeber eigene Schulungen zum Arbeiten im Homeoffice, bei denen nicht nur die datenschutzrechtlichen Vorgaben, sondern auch Aspekte der Arbeitsorganisation oder der Arbeitsergonomie erläutert werden, anbietet. Merkblätter u.ä. tun ein Übriges. Ist ein Vertrag zur Auftragsdatenverarbeitung nötig? Es stellt sich nun noch die Frage, ob mit dem Mitarbeiter aufgrund der Tätigkeit im Homeoffice eine eigene Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden müsste. Zwar lässt sich keineswegs feststellen, dass aufgrund des Wortlauts des 11 Bundesdatenschutzgesetz (BDSG) eine solche Verpflichtung bestünde. Allerdings kann eine dem 11 BDSG entsprechende Regelung durchaus sinnvoll sein. Gemeint ist damit allerdings nicht eine umfassende analoge Anwendung dieser Vorschrift. Vielmehr sollte 10 das Unternehmen arbeitsvertragliche Regelungen mit dem Mitarbeiter vereinbaren, die dafür sorgen, dass beim Mitarbeiter ein dem Unternehmen entsprechendes Datenschutzniveau gewährleistet wird. Das kann insbesondere durch die Vereinbarung von technischen und organisatorischen Maßnahmen sowie durch Kontrollrechte des Arbeitgebers geschehen. Wie steht es um Arbeitsschutz und Arbeitssicherheit? Aus Compliance-Gesichtspunkten sei an dieser Stelle darauf hingewiesen, dass beim Homeoffice zahlreiche andere Aspekte zu berücksichtigen sind: Wie steht es um die Belange des Arbeitsschutzes und der Arbeitssicherheit? Wie ist sichergestellt, dass das Arbeitszeitgesetz eingehalten wird, und ist der Umgang mit der Vertrauensarbeitszeit im Homeoffice geregelt? Aushangpflichten Zunächst sieht das Heimarbeitsgesetz bestimmte Aushangpflichten vor. Gemäß 6 Heimarbeitsgesetz muss derjenige, der Heimarbeit ausgibt oder weitergibt, jeden, den er mit Heimarbeit beschäftigt oder dessen er sich zur Weitergabe von Heimarbeit bedient, in Listen ausweisen. Die Listen sind in den Ausgaberäumen an gut sichtbarer Stelle auszuhängen. Weiterhin müssten Entgeltverzeichnisse, aus denen sich das Entgelt für die Heimarbeit ergibt, ausgehängt werden. Heimarbeitsgesetz kollidiert mit dem Datenschutz Bereits hier zeigt sich, dass ein erhebliches Spannungsfeld zum Datenschutz besteht, da jeder diesbezügliche Aushang zu einer Verletzung des Persönlichkeitsrechts der Arbeitnehmer führen würde, v.a. wenn es um die Veröffentlichung der Entgeltinformationen geht.

11 Best Practice Auch Anforderungen aus dem Arbeits- und Gefahrenschutz sind kaum umsetzbar Für die Unternehmen noch schwieriger umzusetzen sind die Anforderungen aus dem Arbeits- und Gefahrenschutz. Insbesondere ist das Unternehmen verpflichtet, die Arbeitsstätten der in Heimarbeit Beschäftigten einschließlich der Maschinen, Werkzeuge und Geräte so zu beschaffen, einzurichten und zu unterhalten, dass keine Gefahren für Leben, Gesundheit und Sittlichkeit der Beschäftigten daraus resultieren. In der Praxis hingegen wird der Arbeitgeber den Mitarbeitern, die im Homeoffice arbeiten, kaum Vorgaben machen, wie der Arbeitsplatz ausgestaltet sein muss. Gerade bei sporadisch im Homeoffice arbeitenden Mitarbeitern ist der Laptop am Küchentisch nicht selten. Unter arbeitsergonomischen Gesichtspunkten wäre diese Gestaltung jedoch als nicht mit dem Heimarbeitsgesetz vereinbar anzusehen. Die Praxis behilft sich mit Ignorieren Nicht zuletzt aus diesen Gründen behilft sich die Praxis damit, dass sie die Vorgaben des Heimarbeitsgesetzes weitestgehend ignoriert. Das liegt wohl auch daran, dass ein Verstoß gegen die genannten Verpflichtungen lediglich mit einer Geldbuße von max Euro ( 32a Abs. 2 Heimarbeitsgesetz) sanktioniert werden kann. Es sei jedoch darauf hingewiesen, dass selbst ein geringer Bußgeldrahmen erhebliche Auswirkungen haben kann, da eine solche Geldbuße je Tat verhängt werden kann. So können bei 100 tätigen Mitarbeitern sehr schnell 100 Taten verwirklicht worden sein, verbunden mit einem entsprechend hohen Bußgeld. Fazit: Neben klaren Regeln ist Eigenverantwortung gefragt Alles in allem lässt sich sagen, dass es trotz der Vorteile sowohl für Arbeitnehmer als auch für Arbeitgeber insbesondere aus datenschutzrechtlicher Sicht einige Hürden zu überwinden gilt. Dabei helfen Regulierungen und Vorschriften. Doch bedarf es v.a. beim Arbeitnehmer selbst eines hohen Maßes an Eigenverantwortung und Selbstdisziplin, um all den Anforderungen, die ein Arbeiten im Homeoffice mit sich bringt, gerecht zu werden. Doris Brandl Dr. Florian Modlinger Doris Brandl ist Rechtsanwältin und zertifi zierte Datenschutzbeauftragte (IHK), Dr. Florian Modlinger ist Rechtsanwalt und zertifi zierter Datenschutzbeauftragter (FFD) bei der BDO AWT GmbH, Wirtschaftsprüfungsgesellschaft in München. 11

12 Kontroll-Know-how Vernetzte Fahrzeuge So wird der Datenschutz zum Beifahrer Fahrzeuge mit Bordcomputer und Internetzugang sind keine Seltenheit mehr. Datenschützer warnen vor möglichen Bewegungsprofilen und bezeichnen vernetzte Autos schon als rollende Smartphones. Datenschutzbeauftragte müssen sich auf neue Datenrisiken im betrieblichen Fuhrpark einstellen. Die Ortung von Fahrzeugen und indirekt von Beschäftigten in den Fahrzeugen wird bereits seit längerer Zeit im Datenschutz diskutiert: Um Lieferfahrzeuge oder auch Servicemitarbeiter disponieren zu können, braucht der Arbeitgeber aktuelle Standortdaten, er hat ein berechtigtes Interesse daran. Die Ortung von Beschäftigten erfordert in der Regel keine Einwilligung, aber eine Information der Mitarbeiter. Eine heimliche Ortung von Beschäftigten ist ebenso verboten wie die Ermittlung der Standortdaten außerhalb der Arbeitszeit. Fahrzeugortung durch Disposition ist nicht alles Berücksichtigen Sie dabei, dass die Ortung von Beschäftigten nicht nur über Fahrzeugortung und Dispositionssystem möglich ist. Die meisten Smartphones verfügen über eine Ortungsfunktion mittels GPS-Sensor; die Zahl der mobilen Endgeräte, die sich durch die Nutzung von WLAN orten lassen, ist noch höher. Die sogenannte Funkzellenortung ist sogar bei jedem Endgerät möglich, das mobile Telekommunikationsnetze nutzt. Diese Möglichkeiten zur Ortung werden leider auch missbraucht: Regelmäßig werden mobile Anwendungen (Apps) entdeckt, die heimlich Standortdaten sammeln und Dritten zur Verfügung stellen. Meist steckt ungewollte standortbezogene Werbung dahinter, manchmal auch Schlimmeres. Fahrzeuge und Smartphones verschmelzen zunehmend Waren früher die Bereiche Fahrzeugortung und Ortung mobiler Endgeräte getrennte Bereiche, um die sich der Datenschutz kümmern musste, findet aktuell eine Entwicklung statt, durch die das Auto selbst zum mobilen Endgerät im wahrsten Sinne des Wortes wird: Der Internetanschluss im Fahrzeug wird mehr und mehr zur Selbstverständlichkeit. Die Bordcomputer der Fahrzeuge laufen immer häufiger unter den mobilen Betriebssystemen, die auch auf Smartphones und Tablets zu finden sind Android OS, Apple ios oder Windows. Laut dem Marktforschungsinstitut Gartner werden bis 2020 weltweit 250 Millionen vernetzte Fahrzeuge unterwegs sein. Laut der PwC-Studie Connected Car 2014 beläuft sich das Marktpotenzial für vernetzte Autos im Jahr 2015 auf knapp 32 Milliarden Euro und wird sich mit 115 Milliarden Euro bis 2020 fast vervierfachen. Rollende Smartphones Auf Datenschutz- Konferenzen wird bereits über Autos als rollende Smartphones gesprochen. Dieses eindrückliche Bild sollte man als Datenschützer auf sich wirken lassen. Dann wird schnell klar, dass die Datenrisiken, die bei Smartphones und Tablets noch lange nicht abgewendet sind, nun auch bei Fahrzeugen aller Art und damit im betrieblichen Fuhrpark Einzug halten. Die Konsequenzen der mobilen Datenrisiken können allerdings bei Fahrzeugen noch deutlich weiter reichen als bei Smartphones: So sind Funktionsausfälle bei einem Smartphone oder Tablet die eine Sache, bei einem rollenden Fahrzeug aber eine ganz andere, wenn man z.b. an die Bremsfunktion denkt. Daten- und Verbraucherschützer sind alarmiert Anlässlich des Safer Internet Day 2015 erklärte Bundesverbraucherschutzminister Heiko Maas: Aus Autos werden rollende Computer, die untereinander und mit anderen Einrichtungen vernetzt sind und zum Teil in Echtzeit Daten übertragen. [ ] Es darf keinen gläsernen Autofahrer geben. Wir brauchen technische Neuerungen. Wir brauchen dabei aber ein Angebot mit hohen Datenschutz- und Datensicherheitsstandards. Wie eine BITKOM-Umfrage zum Thema Wohin geht die Fahrt? Datenschutz und Datensicherheit im vernetzten Auto zeigte, können sich 35 Prozent der Autofahrer in Deutschland grundsätzlich vorstellen, Fahrzeugdaten an Dritte zu übermitteln. Die Vernetzung von Fahrzeugen ermöglicht viele interessante Dienste und Vorteile für die Nutzer. Doch die Datenrisiken dürfen nicht übersehen werden. (Bild: BITKOM) 12

13 Kontroll-Know-how Voraussetzung ist für die meisten aber, dass sie dafür einen Gegenwert erhalten, z.b. Rabatte bei ihrer Kfz-Versicherung (25 Prozent) oder nützliche Informationen wie Routenvorschläge oder Stauinfos (21 Prozent). Nur neun Prozent würden Daten ohne Gegenleistung zur Verfügung stellen. Aus Sicht des Beschäftigtendatenschutzes ist wichtig, dass die Daten erst recht nicht ohne Wissen der betroffenen Mitarbeiter übermittelt werden, wenn sie ein vernetztes Firmenfahrzeug nutzen. Aufsichtsbehörden haben Position bezogen Datenverarbeitungsvorgängen im und um das Fahrzeug muss das Prinzip der Datenvermeidung und Datensparsamkeit zugrunde liegen. Die Datenverarbeitungen müssen entweder vertraglich vereinbart sein oder sich auf eine ausdrückliche Einwilligung stützen. Für Fahrer, Halter und Nutzer von Fahrzeugen muss vollständige Transparenz gewährleistet sein. Die Betroffenen müssen in die Lage versetzt werden, weitere Nutzer ebenfalls zu informieren. Auch bei einer vertraglich vereinbarten oder von einer Einwilligung getragenen Datenübermittlung an den Hersteller oder an sonstige Diensteanbieter sind Fahrer, Halter und Nutzer technisch und rechtlich in die Lage zu versetzen, Datenübermittlungen zu erkennen, zu kontrollieren und zu unterbinden. Zudem müssen Wahlfreiheit für datenschutzfreundliche Systemeinstellungen und die umfangreiche Möglichkeit zum Löschen eingeräumt werden. Schließlich müssen geeignete technische und organisatorische Maßnahmen Datensicherheit und Datenintegrität gewährleisten. Das gilt insbesondere für die Datenkommunikation aus Fahrzeugen heraus. Die Bordcomputer in Fahrzeugen ähneln nicht nur optisch den Tablets und Smartphones. Mit ihnen ziehen auch die mobilen Datenrisiken der Smartphones in die Fahrzeugwelt ein (Bild: Kaspersky Lab) Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich bereits in einer Entschließung (http://t1p.de/ds-im-auto) mit den vernetzten Fahrzeugen befasst und klare Forderungen aufgestellt, die nicht nur die Automobilindustrie betreffen, sondern auch die Unternehmen, die einen Fuhrpark betreiben und Beschäftigten Fahrzeuge zur Nutzung übergeben: Datensicherheit im Auto erfordert weitere Anstrengungen Die Sicherheit der Daten bei vernetzten Fahrzeugen ist konkreten Gefahren ausgesetzt. So warnt etwa der Sicherheitsanbieter Kaspersky: Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind. Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Werden die Straßen unsicherer? Neben unsicheren Passwörtern für vernetzte Autos sehen Sicherheitsexperten Risiken bei den Apps für die Bordcomputer, bei fehlenden oder unsicheren Updates für die Fahrzeugsoftware und bei der oftmals unverschlüsselten Datenkommunikation. Laut einer eco-studie sind 31 Prozent der befragten IT-Experten davon überzeugt, dass das vernetzte Auto in Zukunft für weniger Sicherheit auf deutschen Straßen sorgen wird. Nur 14 Prozent gehen von einem Mehr an Sicherheit aus. Datenschutzkontrolle auch für Firmenfahrzeuge Für Sie als Datenschutzbeauftragten bedeutet die aufgezeigte Entwicklung, dass Sie in Zukunft auch erweiterte Datenschutzkontrollen im Fuhrpark vorsehen müssen. Die Forderungen nach Datensparsamkeit, Transparenz und Datenhoheit für die Nutzer, datenschutzrechtlicher Grundlage und Datensicherheit im vernetzten Fahrzeug müssen ihren Niederschlag finden, wenn die Vernetzung der Fahrzeuge keine neuen Risiken, sondern vielmehr Vorteile bringen soll, wie z.b. das automatische Auto-Notrufsystem ecall, das ab 2018 in allen neuen Pkw-Modellen in der EU zur Pflicht wird (siehe dazu auch den Beitrag zu Deutsch? Juristisch Deutsch auf S. 20). Oliver Schonschek Oliver Schonschek, Dipl.-Phys., ist freier IT-Fachjournalist und IT-Analyst, Research Fellow beim Analystenhaus Experton Group sowie Herausgeber und Autor verschiedener WEKA- Werke zu Datenschutz und Datensicherheit. 13

14 News & Tipps Eurobarometer Spezial 431 Umfrage zum Datenschutz Die Bürger der Europäischen Union machen sich erhebliche Sorgen hinsichtlich ihrer personenbezogenen Daten und empfinden zugleich eine gewisse Hilflosigkeit, was den Schutz dieser Daten angeht. Das zeigt eine EU-weite Umfrage, die im Auftrag der Europäischen Kommission im März 2015 durchgeführt wurde. Die Ergebnisse sind zusammenfassend abrufbar unter (bisher nur auf Englisch). 58 % aller Befragten sind der Meinung, dass es wichtige Dienstleistungen gibt, die nicht ohne die Offenbarung personenbezogener Daten zu erhalten sind. 31 % der Befragten meinen zugleich, keinerlei Kontrolle mehr über ihre eigenen Daten zu haben. Nur eine Minderheit von weniger als 20 % vertritt die Auffassung, sie könne die vollständige Kontrolle über ihre personenbezogenen Daten ausüben. Datenschutzerklärungen werden kaum gelesen Datenschutzhinweise lesen lediglich 18 % aller Befragten vollständig. Die mehr als 80 % Nichtleser stören sich vor allen Dingen daran, dass die Hinweise zu lang und zu unklar seien. Als Risiken beim Missbrauch von personenbezogenen Daten nennen 50 % der Befragten betrügerische Aktivitäten und nicht weniger als 18 % sogar eine mögliche Gefährdung der eigenen Person. Abberufung möglich? Langfristerkrankung eines Datenschutzbeauftragten Eine über viele Monate andauernde langfristige Erkrankung eines betrieblichen Datenschutzbeauftragten, bei der es nicht möglich ist, den Zeitpunkt seiner Rückkehr abzusehen, 14 kann seine Abberufung rechtfertigen. Darauf hat das Bayerische Landesamt für Datenschutzaufsicht (LDA) aufgrund mehrerer Anfragen von Unternehmen hingewiesen. Es sieht in einem solchen Fall die zuverlässige Erfüllung der Aufgaben des Datenschutzbeauftragten im Sinn von 4f Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) nicht mehr als gegeben an. Quelle: sudok1/istock/thinkstock Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt eine Stellvertreter-Regelung Zugleich weist das Landesamt darauf hin, dass eine längerfristige krankheitsbedingte Abwesenheit in Unternehmen zunächst mit einer Stellvertreter-Regelung überbrückt werden könne. Das gelte allerdings nur, wenn die Rückkehr des Datenschutzbeauftragten absehbar sei (siehe 6. Tätigkeitsbericht 2013/2014 des LDA, Ziffer 4.3; der Bericht ist abrufbar unter Stellvertreter-Regelung schon in der Bestellung klären Der Versuch des LDA, eine DSBfreundliche Haltung einzunehmen, ändert nichts daran, dass das Bundesdatenschutzgesetz für den betrieblichen Datenschutzbeauftragten keine Stellvertreterregelung vorsieht. Auch im Fall einer Langfristerkrankung ist es deshalb nicht möglich, die Bestellung eines Stellvertreters zu erzwingen. Hinzu kommt, dass das Unternehmen als verantwortliche Stelle selbst einschätzen kann und muss, wie lange es hingenommen werden kann, dass ein betrieblicher Datenschutzbeauftragter real nicht zur Verfügung steht. Eine entsprechende Regelung im Rahmen der Bestellungsurkunde sollte daher erwogen werden. Nutzung von Dienstfahrzeugen Arbeitgeber darf Führerschein kopieren Falls ein Arbeitnehmer im Rahmen seiner beruflichen Tätigkeit Firmenfahrzeuge fährt, ist der Arbeitgeber berechtigt, den Führerschein des Mitarbeiters zu kopieren. Diese Auffassung vertritt das Bayerische Landesamt für Datenschutzaufsicht (LDA) unter Ziffer 15.5 seines 6. Tätigkeitsberichts 2013/2014 (abrufbar unter de/baylda ). Es seien Situationen denkbar, in denen der Arbeitgeber nachweisen muss, dass er sich vom Vorhandensein eines gültigen Führerscheins überzeugt hat. Dabei könne es hilfreich sein, wenn ihm eine Kopie des Führerscheins zur Verfügung stehe. Kopie kann für Beschäftigungsverhältnis erforderlich sein Zum rechtlichen Hintergrund führt das Landesamt aus, dass die Anfertigung einer Kopie für die Durchführung des Beschäftigungsverhältnisses erforderlich sei ( 32 Abs. 1 Satz 1 BDSG), da sich der Arbeitgeber in gewissen Abständen davon überzeugen müsse, dass ein Mitarbeiter über einen gültigen Führerschein verfüge. Dabei sei zu bedenken, dass der Führerschein nur Daten enthalte, die dem Arbeitgeber ohnehin bekannt sind bzw. die wie etwa die Führerscheinklasse als eher banal einzustufen seien. Damit hat das Landesamt Vorstellungen eine Abfuhr erteilt, wonach eine Einsichtnahme des Arbeitgebers in den Führerschein und die Anfertigung einer Notiz genügen soll. Dr. Eugen Ehmann

15 Rechtskompass Auf dem Weg durch die Instanzen Facebook-Seite des Arbeitgebers: Hat der Betriebsrat ein Mitbestimmungsrecht? Dass ein Unternehmen eine Facebook-Seite hat, ist heute in vielen Branchen zwingend notwendig. Das gilt v.a., wenn das Unternehmen junge Menschen anspricht. Für die Mitarbeiter kann eine solche Seite jedoch recht unangenehme Folgen haben, so wenn ihre Tätigkeit dort ein negatives Echo erfährt. Reicht diese Gefahr aus, um ein Mitbestimmungsrecht des Betriebsrats zu bejahen? Das Arbeitsgericht Düsseldorf beantwortet diese Frage mit ja, das Landesarbeitsgericht Düsseldorf kam dagegen zu einem Nein. Wer Blutspenden braucht, um damit Verletzte und Kranke zu versorgen, muss in erster Linie junge Leute als Spender ansprechen. Daher ist es kein Wunder, dass ein Blutspendeunternehmen eine Seite auf Facebook einrichtete. Fünf Transfusionszentren, die direkt in den Zentren selbst oder indirekt bei der Aufbereitung des Bluts im Hintergrund 1300 Mitarbeiter beschäftigen, sind schließlich auf spendenbereite Menschen in großer Zahl angewiesen. Am 15. April 2013 ging die Facebook-Seite online. Kritische Kommentare schon am ersten Tag Die Seite war je nachdem, wie man es betrachtet sofort ein Erfolg. Noch am gleichen Tag nämlich ging es mit kritischen Kommentaren los. Ein Blutspender stellte folgenden Kommentar auf der Pinnwand der Facebook-Seite ein: Ich war am 14. April 2013 in N. mein kostbares abzapfen lassen. Gehe schon spenden seit ich 18 bin. Muss aber sagen die gestern die Nadel gesetzt hat, sollte es noch lernen. Stechen kann die nicht. Am stellte ein anderer Spender ebenfalls einen kritischen Kommentar ein. Darin hieß es, ein bestimmter Arzt hätte bei einer älteren Spenderin die Untersuchung vor der Blutabnahme nicht fachgerecht vorgenommen. Daraufhin sei sie beinahe kollabiert und habe mittels einer Infusion stabilisiert werden müssen. Betriebsrat fordert Stilllegung der Seite Angesichts solcher Entwicklungen auf der Seite kam bei einigen Mitarbeitern Unruhe auf. Sie wandten sich an ihren Betriebsrat. Der gab die Angelegenheit an den Konzernbetriebsrat weiter. Nach einigem Hin und Her forderte der Konzernbetriebsrat vom Unternehmen die Abschaltung der Facebook-Seite. Davon wollte das Unternehmen nichts wissen. Quelle: Martynasfoto/iStock/Thinkstock Der Streit um die Facebook-Seite eines Blutspendeunternehmens geht in die nächste (Gerichts-)Runde Deshalb wandte sich der Betriebsrat mit dieser Forderung an das zuständige Arbeitsgericht. Sein Argument: Das Betreiben der Seite durch das Unternehmen berühre seine Mitbestimmungsrechte. Eine Einschaltung des Konzernbetriebsrats habe jedoch nicht stattgefunden und sei sogar ausdrücklich verweigert worden. Deshalb habe er ein Recht darauf, dass die Seite stillgelegt werde. Klage Berufung (offene) Revision Ein derart schwerwiegender Schritt kommt nur in Betracht, wenn tatsächlich ein Mitbestimmungsrecht verletzt ist. Ob das der Fall ist, darüber sind sich das Arbeitsgericht Düsseldorf als erste Instanz und das Landesarbeitsgericht Düsseldorf als zweite Instanz in bemerkenswerter Weise uneinig. Das Arbeitsgericht bejahte eine Verletzung von Mitbestimmungsrechten, das Landesarbeitsgericht verneinte sie. Der Fall liegt nun beim BAG Ausgestanden ist der Streit damit noch nicht. Wegen der grundsätzlichen Bedeutung hat das Landesarbeitsgericht nämlich die Rechtsbeschwerde zum Bundesarbeitsgericht (BAG) zugelassen, und diese Beschwerde ist inzwischen eingelegt. Somit kann man gespannt sein, wie das Bundesarbeitsgericht voraussichtlich in etwa zwei Jahren entscheiden wird. Es wird sich dabei v.a. mit den folgenden Argumenten auseinanderzusetzen haben. Ein Fall der Verhaltens- und Leistungskontrolle? Der erste Mitbestimmungstatbestand, der möglicherweise in Betracht kommt, ist 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz. Er legt fest, dass der Betriebsrat mitzubestimmen hat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Arbeitsgericht bejaht dies Das Arbeitsgericht sah diese Voraussetzungen als erfüllt an. 15

16 Rechtskompass Dabei argumentiert es wie folgt: Die Facebook-Seite stellt nach Auffassung des Gerichts eine technische Einrichtung dar. Dabei erfolgt so das Gericht eine technisch gestützte Datenerhebung. Durch die Postings würden unmittelbar Aussagen über das Arbeitsund Leistungsverhalten einzelner Mitarbeiter auf der Pinnwand eingestellt. Dies sei als ein Einstellen von personenbezogenen Daten im Sinne des Datenschutzrechts anzusehen. Diese Daten würden zwar von außen durch Facebook-Nutzer eingestellt. Das ändere aber nichts daran, dass sie in diesem System aufgezeichnet und für eine spätere Wahrnehmung zur Verfügung gestellt würden. Das erweitere die Überwachungsmöglichkeiten des Arbeitgebers beträchtlich. Das Gericht dazu wörtlich: Er bedient sich damit der Spender als weitergehender Kontrollinstanz und ermöglicht es diesen, die Arbeitsund Leistungsdaten elektronisch d.h. mittels einer technischen Einrichtung festzuhalten. Diese stehen dem Arbeitgeber nachfolgend ohne zeitliche Begrenzung zur Verfügung. Ohne Bedeutung ist es nach Auffassung des Gerichts, dass sämtliche Einzelschritte bis zur elektronischen Erfassung der Daten in Facebook von Facebook-Nutzern und damit von Menschen ausgeführt werden. Entscheidend sei, dass die Daten letztlich in Facebook elektronisch für die Auswertung zur Verfügung stünden. Facebook sei damit objektiv zur Überwachung der Arbeitnehmer geeignet. Das genügt nach inzwischen jahrzehntelanger Rechtsprechung des Bundesarbeitsgerichts, um davon auszugehen, dass dieses System für eine solche Überwachung bestimmt ist. Denn dabei kommt es nicht auf die subjektive Absicht des Arbeitgebers an, sondern auf die objektive Möglichkeit zur Überwachung. Quelle: Artistan/iStock/Thinkstock Verletzt eine Facebook-Seite, auf der Nutzer Mitarbeiterbewertungen posten können, das Mitbestimmungsrecht? Das Landesarbeitsgericht sieht das völlig anders Das Landesarbeitsgericht sieht die Frage eines Mitbestimmungsrechts wegen einer möglichen Kontrolle von Verhalten und Leistung der Arbeitnehmer völlig anders. Dabei hebt es v.a. Folgendes hervor: Nach Auffassung dieses Gerichts läge eine Überwachung durch eine technische Einrichtung nur dann vor, wenn die Einrichtung selbst Daten über das Verhalten und die Leistung von Arbeitnehmern erhebt. Dagegen reiche es nicht aus, wenn eine Einrichtung lediglich die Möglichkeit bietet, dass Menschen (hier: Nutzer von Facebook) Daten in eine technische Einrichtung eingeben. Die Begründung für diese zunächst recht gewunden wirkende Unterscheidung sieht das Gericht darin, dass das Posten eines Kommentars keinerlei Überwachungsvorgang durch die technische Einrichtung selbst auslöse. Wenn jemand einen Kommentar poste, dann mache er letztlich nichts anderes, als eine Mail oder einen Brief an das Unternehmen zu schreiben. Darin liege keine Überwachung gerade durch eine technische Einrichtung. Für irrelevant hält es das Gericht, dass der Arbeitgeber mit Suchwerkzeugen auf seiner Facebook-Seite nach Postings suchen kann. Selbst wenn der Arbeitgeber dies tun würde, fehle es an einer Kontrolle gerade durch eine technische Einrichtung. Dazu das Gericht: Die Überprüfung der Mitarbeiter wird dann nämlich nicht automatisiert durch Facebook in Gang gesetzt, sondern ausschließlich durch menschliches Handeln. Dass dadurch möglicherweise das Persönlichkeitsrecht von Mitarbeitern betroffen werde, ist nach Auffassung des Gerichts ohne Bedeutung. Das Mitbestimmungsrecht ziele nämlich nach seinem Sinn und Zweck auf den Schutz des Persönlichkeitsrechts vor anonymer Kontrolle durch eine technische Aufzeichnung selbst. Weiter heißt es dann: Hier aber geht es nicht um die Gefahren durch die technische Kontrolle selbst, sondern um menschlich kontrolliertes Handeln, nämlich um ein Handeln der Facebook-Nutzer. Wer hat die besseren Argumente? Versucht man eine kurze Bewertung dieses Streits, dann spricht für die Auffassung des Landesarbeitsgerichts wohl der Wortlaut der gesetzlichen Regelung. Er liest sich so, dass die Kontrolle durch eine technische Einrichtung erfolgen muss (und das wäre der Gegensatz nicht durch menschliches Handeln). Andererseits wirkt diese Auffassung sehr eng, wenn man eher von Sinn und Zweck der Regelung ausgeht. Im Ergebnis stehen durch die Kommentare von Facebook-Nutzern nämlich Daten über Mitarbeiter elektronisch zur Verfügung. Das ist die Basis dafür, dass sie sich auch elektronisch und damit automatisiert auswerten lassen. Das spricht dafür, die Voraussetzungen für eine Mitbestimmung als gegeben anzusehen. Im Ergebnis ist es deshalb ohne Weiteres möglich, dass das Bundesar- 16

17 Rechtskompass beitsgericht als nächste Instanz eine Mitbestimmung unter dem Aspekt der Verhaltens- und Leistungskontrolle bejahen wird. Mitbestimmung unter dem Aspekt Verhalten der Arbeitnehmer im Betrieb? Zweiter Ansatzpunkt für eine mögliche Mitbestimmung ist 87 Abs. 1 Nr. 1 Betriebsverfassungsgesetz. Demnach besteht ein Mitbestimmungsrecht in Bezug auf Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb. Auch die Voraussetzungen dieser Vorschrift sieht das Arbeitsgericht als erfüllt an. Warum es das so sieht, führt das Arbeitsgericht leider nicht näher aus. Ablehnende Haltung des Landesarbeitsgerichts Das Landesarbeitsgericht folgt dieser Auffassung nicht. Dabei argumentiert es wie folgt: Denkbar sei allenfalls, dass ein solches Mitbestimmungsrecht ausgelöst würde, weil der Arbeitgeber den Mitarbeitern einen Leitfaden zum Umgang mit Social Media zur Verfügung gestellt hat. Dort ist zunächst Facebook erklärt. Ferner gibt der Leitfaden Hinweise zur Nutzung des Mediums im privaten Bereich, sofern sich Arbeitnehmer bei der Nutzung von Facebook als Mitarbeiter des Unternehmens zu erkennen geben. Bei näherer Betrachtung habe dieser Social-Media-Leitfaden jedoch nichts mit dem Betrieb der Facebook-Seite zu tun. Vielmehr befasse er sich allgemein mit der Nutzung von Facebook. Damit bestehe kein Bezug zum Betrieb und zur Nutzung gerade der Facebook-Seite des Unternehmens. Aber selbst wenn man dies anders sehen würde so das Gericht, würde die Verletzung eines solchen Mitbestimmungsrechts keinesfalls dazu führen, dass der Betriebsrat das Abschalten der Facebook-Seite verlangen könnte. Er könnte allenfalls verlangen, dass das Unternehmen als Arbeitgeber diesen Leitfaden nicht mehr verwenden und an die Mitarbeiter aushändigen dürfte. Wer hat hier die besseren Argumente? Versucht man auch hier eine erste Bewertung, so wird man dem Landesarbeitsgericht Recht geben müssen. Solange den Arbeitnehmern kein Leitfaden an die Hand gegeben wird, der zumindest im Wesentlichen Regeln aufstellt, die unmittelbar das Verhalten der Arbeitnehmer bei ihrer Arbeit im Unternehmen betreffen, besteht auch kein Mitbestimmungsrecht wegen einer Regelung der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb. Der Leitfaden hat dann nämlich dazu höchstens einen lockeren, indirekten Bezug. Das reicht aber nicht aus. Kontrolle des Verhaltens der Seiten-Administratoren? Relativ nahe beieinander liegt die Sichtweise der beiden Gerichte bei der speziellen Frage, ob ein Fall der Verhaltens- und Leistungskontrolle vorliegt, wenn die mit der Pflege der Facebook-Seite beauftragten Mitarbeiter des Unternehmens (etwa zehn Personen) Beiträge auf die Facebook-Seite einstellen oder dort im Rahmen ihrer dienstlichen Tätigkeit Kommentare hinterlassen. Dabei unterscheiden die Gerichte wie folgt: Hier finden Sie die Urteile: Der Beschluss des Arbeitsgerichts Düsseldorf vom BV 104/13 ist abrufbar unter Eine Darstellung und Kommentierung des Falls ist zu fi nden unter facebook-br1. Der Beschluss des Landesarbeitsgerichts Düsseldorf vom TaBV 51/14 ist online abrufbar unter facebook-lag. Sofern jeder Arbeitnehmer bei diesen Tätigkeiten eine eigene individuelle Kennung verwendet, über die sich später feststellen lässt, wer bestimmte Aktionen auf der Seite durchgeführt hat, ist Facebook zur Überwachung von Verhalten und Leistung dieser Arbeitnehmer geeignet, und es besteht ein Mitbestimmungsrecht. Inzwischen (nach der Entscheidung des Arbeitsgerichts) hat das Unternehmen jedoch festgelegt, dass alle Mitarbeiter, die solche Tätigkeiten ausführen, dabei eine allgemeine Kennung verwenden, die diesen Mitarbeitern als Gruppe zugeordnet ist. Damit ist eine individuelle Zuordnung der Handlungen zu einzelnen Arbeitnehmern nicht mehr möglich. In Bezug auf Gruppenverhalten besteht jedoch nach ständiger Rechtsprechung des Bundesarbeitsgerichts keine Mitbestimmung. Der Grund: Es fehlt dann an einem Druck auf die konkreten einzelnen Mitarbeiter, durch den ihr Persönlichkeitsrecht beeinträchtigt werden könnte. Entscheidung des Bundesarbeitsgerichts wohl erst 2017 Wagt man eine Prognose, so wird sich die Diskussion beim Bundesarbeitsgericht wohl auf die Frage konzentrieren, ob die Regelung über die Mitbestimmung bei Verhaltens- und Leistungskontrollen eher eng oder eher weit auszulegen ist. Wie schon dargestellt gibt es für beide Sichtweisen respektable Argumente. Deshalb lässt sich nicht seriös voraussagen, auf welche Seite sich das Bundesarbeitsgericht stellen wird. Etwa Mitte 2017, wenn voraussichtlich eine Entscheidung ergangen ist, wird man es erfahren. Dr. Eugen Ehmann 17

18 Rechtskompass Datenschutz im Gesundheitssektor Das E-Health-Gesetz Gesundheit wird in unserer Gesellschaft mit Leistungsfähigkeit gleichgesetzt. Gesundheits-Apps und Tracking-Armbänder versprechen anzuzeigen, wie es gesundheitlich um einen steht. Dass bei dieser Digitalisierung der Datenschutz oft zu kurz kommt, dürfte hinlänglich bekannt sein. Dabei bedarf es gerade bei den sensiblen Gesundheitsdaten spezieller Regelungen. Die bisher bestehenden Lücken soll das E-Health-Gesetz schließen. Der Beitrag gibt einen Überblick über das Gesetzesvorhaben und die datenschutzrechtliche Beurteilung. Das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health- Gesetz) wird voraussichtlich nächstes Jahr in Kraft treten. Zielsetzung des E-Health-Gesetzes Vorrangiges Ziel des E-Health-Gesetzes ist es, auf dem Gebiet der Gesundheitsversorgung eine Infrastruktur zu schaffen, die eine Vernetzung und damit eine rasche zentrale Kommunikation zwischen den Beteiligten sicherstellt. Der Entwurf sieht die Notwendigkeit dieses Gesetzes auch darin begründet, dass eine solche Infrastruktur gerade angesichts des demografischen Wandels sowie der Versorgungssituation in der ländlichen Region nötig ist. Datenschutzrechtliche Bedenken Hinweise wie z.b. die Blutgruppe gespeichert werden. Das soll sicherstellen, dass im Notfall Zugriff auf die wichtigsten Daten genommen werden kann, um die Versorgung sicherzustellen. Doch es bleibt fraglich, ob die Speicherung solcher Daten im Hinblick auf das informationelle Selbstbestimmungsrecht des Betroffenen überhaupt zulässig ist. Um die Einführung dieses Notfalldatensatzes zu beschleunigen, ist für Ärzte, die einen Notfalldatensatz erstellen und aktualisieren, eine Vergütung vorgesehen. Zwar sollen Versicherte die Möglichkeit haben, selbst darüber zu entscheiden, ob ihre notfallrelevanten medizinischen Daten auf der elektronischen Gesundheitskarte gespeichert werden. Allerdings fehlt es im Entwurf des E-Health-Gesetzes grundsätzlich an spezifischen Regelungen zum Thema Datenschutz. Vielmehr stellt der Gesetzentwurf vielfach darauf ab, dass die Vorschriften zum Datenschutz eingehalten werden müssen, die Gewährleistung des Datenschutzes nicht beeinträchtigt werden darf oder die erforderlichen technischen und organisatorischen Maßnahmen getroffen werden müssen, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten. Neue Befugnisse zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten sind, soweit ersichtlich, nicht vorhanden. 2. Interoperabilität Der Entwurf des E-Health-Gesetzes zielt u.a. darauf ab, die Interoperabilität, also die Zusammenarbeit der informationstechnischen Systeme, zu verbessern ( 291e Sozialgesetzbuch (SGB) V des Gesetzentwurfs). Ein Interoperabilitätsverzeichnis, das technische und semantische Standards sowie Profile und Leitfäden für informationstechnische Systeme im Gesundheitswesen regelt, soll über das Internet öffentlich verfügbar sein. Die Gesellschaft für Telematik soll den Aufbau, die Pflege und den Betrieb des Datenschützer blicken dabei kritisch auf den Entwurf des E-Health-Gesetzes. Und das nicht nur, weil bei den besonderen Arten personenbezogener Daten ohnehin strengere Regeln gelten müssen. 1. Notfalldaten So plant der Gesetzentwurf, dass sich über die elektronische Gesundheitskarte Notfalldaten abrufen lassen. Als Notfalldaten sollen neben den Stammdaten des Patienten auch Hinweise zu (Vor-)Erkrankungen, Einnahme von Medikamenten oder allgemeine Auch im medizinischen Bereich werden immer mehr Daten digital übertragen. Das E-Health-Gesetz soll dafür einen sicheren Rahmen schaffen. Quelle: everythingpossible/istock/thinkstock 18

19 Rechtskompass Verzeichnisses übernehmen. Darüber hinaus soll sie mit Zustimmung des Bundesministeriums für Gesundheit Experten aus dem Bereich der Gesundheitsversorgung sowie der Informationstechnik und der Standardisierung im Gesundheitswesen benennen. Schon das Unabhängige Landeszentrum für Datenschutz (ULD) hatte kritisiert, dass Experten aus dem Bereich Datenschutz hierbei nicht erwähnt werden. (Die Stellungnahme des ULD ist im Internet abrufbar unter t1p.de/uld-ehealth.) 3. Medikationsplan Der Entwurf des E-Health-Gesetzes sieht vor, dass Patienten ab dem 1. Oktober 2016 einen Anspruch auf die Erstellung und Aushändigung eines sog. Medikationsplans haben, wenn sie mindestens drei verordnete Medikamente gleichzeitig anwenden ( 31a SGB V des Gesetzentwurfs). Der Anspruch bezieht sich dabei ausdrücklich auf einen Medikationsplan in Papierform. Das ist überraschend, da es sich um einen Gesetzentwurf für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen handelt. 4. Arzt- und Entlassbriefe 291f SGB V des Gesetzentwurfs regelt den Entlassbrief; in 291h SGB V des Gesetzentwurfs finden sich Regelungen zum elektronischen Brief für die Kommunikation zwischen Vertragsärzten. Dabei sollen Ärzte, die elektronische Briefe in der vertragsärztlichen Versorgung übermitteln, in den Jahren 2016 und 2017 eine Pauschale von 55 Cent pro Übertragung erhalten, wenn sie durch sichere elektronische Verfahren erfolgt und dadurch der Versand per Post-, Botenoder Kurierdienste entfällt. Hinsichtlich der vorausgesetzten elektronischen Verfahren verlangt der Entwurf, dass der elektronische Brief durch geeignete technische Maßnahmen entsprechend dem aktuellen Stand der Technik gegen unberechtigte Zugriffe geschützt wird. Dass diese offene Formulierung schwer greifbar ist und deswegen unter Datenschützern diskutiert wird, liegt auf der Hand. Hinsichtlich des Entlassbriefs durch Krankenhäuser gilt Ähnliches, mit dem Hinweis, dass das Krankenhaus den elektronischen Entlassbrief zum Zweck der Weiterverarbeitung und Nutzung der darin enthaltenen Daten nur mit der Einwilligung des Patienten (inkl. vorheriger Information und Hinweis auf Widerrufsmöglichkeit) einem vom Patienten benannten Vertragsarzt oder einer an der vertragsärztlichen Versorgung teilnehmenden Einrichtung zur Verfügung stellen darf. Die Information, die Einwilligung selbst sowie der Widerruf bedürfen der Schriftform. Fazit: Erheblicher Nachbesserungs bedarf Auch wenn das geplante E-Health- Gesetz Möglichkeiten bietet, vereinfacht und auf schnellerem Wege eine ärztliche Versorgung sicherzustellen, so besteht aus datenschutzrechtlicher Sicht weiterer und umfangreicher Regelungsbedarf. Denn bei Gesundheitsdaten ist es wünschenswert, dass der Patient selbst und seine Bedürfnisse hinsichtlich eines einwandfreien Umgangs mit seinen personenbezogenen Daten im Mittelpunkt stehen. Doris Brandl Doris Brandl ist Rechtsanwältin und zertifi zierte Datenschutzbeauftragte (IHK) bei der BDO AWT GmbH in München. Seminartipp: Datenschutz in medizinischen Einrichtungen Sichern Sie das Vertrauen von Patienten durch sicheren Umgang mit Patientendaten, den datenschutzkonformen Aufbau Ihrer täglichen Arbeitsabläufe und das korrekte Verhalten der Mitarbeiter. Weitere Informationen fi nden Sie unter IMPRESSUM Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, Kissing Telefon: Fax: Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementärin: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Chefredakteur: RA Dominikus Zwink, M.B.A. (V.i.S.d.P.) Redaktion: Adelheid Drotleff, Ricarda Veidt, M.A. Anzeigen: Anton Sigllechner Telefon: Fax: Erscheinungsweise: Zwölfmal pro Jahr Aboverwaltung: Telefon: Fax: Abonnementpreis: 12 Ausgaben 168,00 (zzgl. MwSt. und Versandkosten) Einzelheft 15 (zzgl. MwSt. und Versandkosten) Druck: Geiselmann Printkommunikation GmbH Leonhardstraße 23, Laupheim Layout & Satz: metamedien Spitzstraße 31, Burgau Bestell-Nr.: ISSN-Nr.: Bestellung unter: Telefon: Fax: Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neues ten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Datenschutz PRAXIS und alle in ihr enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zuge lassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. 19

20 Neu im September EU-Datenschutz-Grundverordnung Keine EU-weite Pflicht zur Bestellung von betrieblichen DSB Die Einigung des Ministerrats zur Datenschutz-Grundverordnung droht die Stellung des betrieblichen Datenschutzbeauftragten auf europäischer Ebene wesentlich zu schwächen. Von einer verbindlichen Verankerung seiner Funktion im europäischen Datenschutzrecht ist keine Rede mehr. Dass die weiteren Verhandlungen daran noch etwas ändern, erscheint wenig wahrscheinlich. Voraussichtlich wird es bei einer rein nationalen Regelung in einem künftigen BDSG bleiben. Überlegungen für den Praktiker Praxistipps zum Verfahrensverzeichnis Dass ein Verfahrensverzeichnis erstellt werden muss, ist gesetzlich vorgeschrieben. Was sich nach bürokratischem Aufwand anhört, ist tatsächlich aber ein wichtiges Hilfsmittel für den Datenschutzbeauftragten. Wenn man es richtig anstellt, bringt das Erstellen mehr Nutzen als anfangs vermutet. Bewertung des Entwurfs Das Unterlassungsklagengesetz Meilenstein für den Datenschutz? Die Bundesregierung hat ihren Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von schützenden Vorschriften des Datenschutzrechts vorgestellt. Was ist genau geplant, und wie sind die damit verbundenen Änderungen des Unterlassungsklagengesetzes (UKlaG) zu bewerten? 20 Deutsch? Juristisch Deutsch! Autos im Verfahrensverzeichnis? Diese kleinen Glossen beleuchten oft das Schicksal von in die Jahre gekommenen Rechtsbegriffen und schildern, wie sich ihre Bedeutung wandelt. Diesmal sind wir sozusagen live dabei: Betrachten wir den allen Datenschützern gut bekannten Begriff des Verfahrensverzeichnisses. Was gehört in das Verzeichnis? Recht einfach: die Personaldatenverwaltung, das Customer-Relationship- Management-Programm, die Zeiterfassung und der Dienstwagen der Dienstwagen? Autos als automatisierte Verfahren Mittlerweile speichern und übermitteln moderne Fahrzeuge diverse Daten, teilweise technischer Natur, aber teilweise auch direkt verhaltensbezogen. So lehnte der Hersteller eines Cabrios die Garantieleistung für einen defekten Verschluss des Daches ab, weil er nachweisen konnte, dass der Besitzer das Dach bei zu hoher Geschwindigkeit geöffnet hatte. Vorabkontrolle fürs Auto? Da bei Dienstwagen leicht festzustellen ist, wer ihn wann fährt, entstehen personenbezogene bzw. personenbeziehbare Daten. Nun ja, der Arbeitgeber kann noch nicht immer auf die Daten zugreifen, aber das ist wohl nur eine Frage der Zeit. So steht er also da, der Dienstwagen im Verfahrensverzeichnis. Wenn wir die Sache etwas weiter spinnen, wird der Dienstwagen zu einem Fall der Mitbestimmung nach 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz. Vielleicht muss in absehbarer Zeit für Dienstwagen eine Vorabkontrolle gemacht werden, was natürlich nicht die Probefahrt meint. Die wäre ja wiederum ganz nett, wenn es um die Fahrzeuge der Chefetage ginge (siehe auch den Beitrag ab S. 13). Jochen Brandt Diplom-Wirtschafts- und Arbeitsjurist (HWP) Jochen Brandt ist als selbstständiger Trainer und Berater im Bereich Datenschutz tätig (www.brandtschutz.de).

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Konzepte der Selbstkontrolle der Industrie

Konzepte der Selbstkontrolle der Industrie Aus Sicht des Bayerischen Landesamtes für Datenschutzaufsicht: Konzepte der Selbstkontrolle der Industrie 3. Münchner Datenschutztag München, 16. Oktober 2014 Thomas Kranig Bayerisches Landesamt für Datenschutzaufsicht

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb 2.1 Bestellung des betrieblichen Datenschutzbeauftragten 31 2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb Auch wenn nicht alle Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten

Mehr

KurzInfo. Das Bundesdatenschutzgesetz (BDSG) im Seminar. Was sollten Trainer, Berater, Dozenten und Coachs beachten? - Stand Oktober 2010 -

KurzInfo. Das Bundesdatenschutzgesetz (BDSG) im Seminar. Was sollten Trainer, Berater, Dozenten und Coachs beachten? - Stand Oktober 2010 - KurzInfo Das Bundesdatenschutzgesetz (BDSG) im Seminar Was sollten Trainer, Berater, Dozenten und Coachs beachten? - Stand Oktober 2010 - Harald Helbig Hochschulzertifizierter Datenschutzbeauftragter(ifdas)

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

ZVEI I MERKBLATT. Best Practice Datenschutzaspekte im Beratungsgespräch ansprechen 82016:2014-05

ZVEI I MERKBLATT. Best Practice Datenschutzaspekte im Beratungsgespräch ansprechen 82016:2014-05 ZVEI I MERKBLATT Best Practice Datenschutzaspekte im Beratungsgespräch ansprechen Allgemeine Hinweise für Planungsund Installationsunternehmen (Leitung + Mitarbeiter in Beratung und Vertrieb) 82016:2014-05

Mehr

Datenschutz: Quo Vadis?

Datenschutz: Quo Vadis? Datenschutz: Quo Vadis? workshop.agrarhandel Northeim, 13.März 2014 GenoTec GmbH Dienstleister für bundesweit über 500 Genossenschaftsbanken Datenschutz & IT-Sicherheit: 180 Mandanten aus Handel, Finanzen

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Bericht und Antrag des Datenschutzausschusses

Bericht und Antrag des Datenschutzausschusses B R E M I S C H E B Ü R G E R S C H A F T Landtag 15. Wahlperiode Drucksache 15 /1304 (zu Drs. 15/11208) 25. 11. 02 Bericht und Antrag des Datenschutzausschusses Gesetz zur Änderung des Bremischen Datenschutzgesetzes

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

MITARBEITERÜBERWACHUNG DURCH ORTUNG? 26. SAP/NT-KONFERENZ DER BETRIEBS- UND PERSONALRÄTE

MITARBEITERÜBERWACHUNG DURCH ORTUNG? 26. SAP/NT-KONFERENZ DER BETRIEBS- UND PERSONALRÄTE Jochen Brandt Datenschutz Beratung Training MITARBEITERÜBERWACHUNG DURCH ORTUNG? 26. SAP/NT-KONFERENZ DER BETRIEBS- UND PERSONALRÄTE Vorstellung Jochen Brandt Diplom-Wirtschafts- und Arbeitsjurist (HWP)

Mehr

Bring Your Own Device (BYOD) - Rechtliche Aspekte

Bring Your Own Device (BYOD) - Rechtliche Aspekte Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Datenschutz für Vereine

Datenschutz für Vereine Datenschutz für Vereine Leitfaden für die Vereinspraxis Von Achim Behn und Dr. Frank Weller ERICH SCHMIDT VER L AG 1. Vorwort Wieso brauchen wir denn jetzt auch noch Datenschutz bei uns im Verein? Interessiert

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Herzliche Einladung zum Seminar Datenschutz Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Datenschutz sollte längst in allen Verbänden, Vereinen, Unternehmen, und

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Informationen zum Datenschutz im Maler- und Lackiererhandwerk Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Selbstdatenschutz. Smartphones & Tablets. Smartphones und Apps - die Spitzel in der Hosentasche. Inhalt. 1. Ungewollte Datenzugriffe 1. 2. 3. 4. 5. 6.

Selbstdatenschutz. Smartphones & Tablets. Smartphones und Apps - die Spitzel in der Hosentasche. Inhalt. 1. Ungewollte Datenzugriffe 1. 2. 3. 4. 5. 6. Selbstdatenschutz Smartphones & Tablets Smartphones und Apps - die Spitzel in der Hosentasche Inhalt 1. 2. 3. 4. 5. 6. Ungewollte Datenzugriffe Warum passiert das? Ungewollte Datenzugriffe erkennen Wie

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg Datenschutzrecht in Österreich und Deutschland Ein Vergleich RA Marcel Keienborg Zur Geschichte des Datenschutzes Die Wiege des Datenschutzes: In den USA (1960er/70 Jahre) Privacy Act of 1974 Debatten

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN?

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN? MERKBLATT Fairplay DER BETRIEBLICHE DATENSCHUTZBEAUFTRAGTE Braucht mein Unternehmen einen Datenschutzbeauftragten? Wie bestelle ich einen Datenschutzbeauftragten? Welche Rechte und Pflichten hat der Datenschutzbeauftragte?

Mehr

Bring your own Device

Bring your own Device Bring your own Device Name, Vorname: Rogler, Dominic Geburtstag: 18.04.1988 Studiengang: Angewandte Informatik 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 15.01.2015 Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen

Mehr

(Sinnvolle) Einsatzmöglichkeiten von Cloud Computing in der öffentlichen Verwaltung

(Sinnvolle) Einsatzmöglichkeiten von Cloud Computing in der öffentlichen Verwaltung Kommunales Rechenzentrum Niederrhein (KRZN) Friedrich-Heinrich-Allee 130 47475 Kamp-Lintfort Internet: www.krzn.de Vortrag: Herr Jonas Fischer (Sinnvolle) Einsatzmöglichkeiten von Cloud Computing in der

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter Einleitung Handel mit Millionen Melderegisterdaten aufgedeckt Der Skandal um den illegalen Adresshandel ist offenbar um ein dunkles Kapitel reicher. Laut einem Zeitungsbericht haben mindestens acht Unternehmen

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden

Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden (Stand: Dezember 2010) Die jüngste Diskussion um den geplanten Ankauf von statistischen Daten durch die

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes Bundesrat Drucksache 599/05 22.07.05 Gesetzesantrag der Länder Niedersachsen, Hessen In - Fz - Wi Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes A. Problem und Ziel Das Bundesdatenschutzgesetz

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 54/14 Luxemburg, den 8. April 2014 Presse und Information Urteil in den verbundenen Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und

Mehr

Datenschutzrecht. Vorlesung im Sommersemester 2015

Datenschutzrecht. Vorlesung im Sommersemester 2015 Priv.-Doz. Dr. Claudio Franzius claudio.franzius@rz.hu-berlin.de Datenschutzrecht Vorlesung im Sommersemester 2015 Literatur Marion Albers, Datenschutzrecht, in: Ehlers/Fehling/Pünder (Hrsg.), Besonderes

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Zehn Fragen an. Zehn Fragen an den Bundesverband der Datenschutzbeauftragten Deutschlands BvD e.v.

Zehn Fragen an. Zehn Fragen an den Bundesverband der Datenschutzbeauftragten Deutschlands BvD e.v. Zehn Fragen an Der Bundesverband Deutscher Rechenzentren interviewt in seiner Reihe Zehn Fragen an regelmäßig Persönlichkeiten mit tiefgehendem Branchenwissen in Sachen Cloud. Das aktuelle Interview führte

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

Datenschutzrecht. Haftung Wettbewerb Arbeitsrecht Drei Gründe und noch einige mehr -, weshalb ein Unternehmen nicht auf Datenschutz verzichten sollte

Datenschutzrecht. Haftung Wettbewerb Arbeitsrecht Drei Gründe und noch einige mehr -, weshalb ein Unternehmen nicht auf Datenschutz verzichten sollte Datenschutzrecht Haftung Wettbewerb Arbeitsrecht Drei Gründe und noch einige mehr -, weshalb ein Unternehmen nicht auf Datenschutz verzichten sollte Rechtsanwalt Andreas Kleefisch Lehrbeauftragter FH Münster

Mehr

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung INGENIEURBÜRO für Systemanalyse und -planung Dr. Martin H. Ludwig Ihr externer, betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, Sie benötigen einen betrieblichen Datenschutzbeauftragten

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

ITKwebcollege.DATENSCHUTZ Advanced Training

ITKwebcollege.DATENSCHUTZ Advanced Training ITKwebcollege.DATENSCHUTZ Advanced Training Inhaltsverzeichnis Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die Aufsichtsbehörden 2 Betriebsrat

Mehr

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG)

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG) Datenschutzrechtliche Anforderungen an Kommunen Die Bestimmungen des ThürDSG gelten für die Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 1 NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 2 I. BESCHÄFTIGTENDATENSCHUTZ (HEUTE) 1. Grundgesetz (GG) Allgemeines Persönlichkeitsrecht des Arbeitnehmers

Mehr