Datenschutz im Berufsalltag

Es gibt kaum noch Bereiche, in denen personenbezogene Daten nicht regelmäßig verarbeitet werden. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren. Im Folgenden finden Sie einige Anregungen für einen datenschutzkonformen Umgang, welche an dieser Stelle unter Berücksichtigung der häufigsten Datenschutzverletzungen am Arbeitsplatz zusammengefasst wurden.


Sichern Sie Ihren Arbeitsplatz vor Zugriffen Dritter

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.


Schützen Sie Personenbezogene Daten vor neugierigen Blicken

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.


Geben Sie keine Auskünfte an unbefugte Dritte

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.


Nutzen Sie E-Mail- und Internetdienste bewusst

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.


Trennen Sie berufliches von Privatem

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


Vernichten Sie Dokumente und Hardware mit personenbezogenen Daten Datenschutzgerecht

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


Achten SIe auch im Homeoffice auf einen datenschutzkonformen Umgang

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.


Meldung von Datenschutzverletzungen

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Arbeitsplatz
  • Berufsalltag
  • Datenschutz
  • Datenschutzverletzung
  • DS-GVO
  • Homeoffice
Lesen

Das EuGH-Urteil zum EU-US-Privacy Shield

… und dessen Auswirkungen für die Praxis. Der Europäische Gerichtshof (EuGH) hat sich mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung – zur Übermittlung personenbezogener Daten in Drittländer positioniert. Mittelpunkt der Entscheidung bildet die Unzulässigkeitserklärung des Beschlusses 2916/1250 der Europäischen Kommission in die USA (sog. „EU-US-Privacy-Shield“). Darüber hinaus stellt der EuGH fest, dass die Entscheidung 2010/87/EG der Europäischen Kommission (sog. „Standardvertragsklausel“) grundsätzlich (zunächst) weithin Gültigkeit behalten.


Was Wurde entschieden?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.


Ist eine Datenübermittlung in die USA weiterhin möglich?

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.


Welcher Handlungsbedarf ergibt sich für Verantwortliche in der Praxis?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • EU-US-Privacy Shield
  • EuGH
  • Schrems II
  • Standardvertragsklauseln
  • USA
Lesen

Das Dilemma mit dem Cookiebanner

Im Mai dieses Jahres hat der Europäische Datenschutzausschuss einen Beschluss veröffentlicht, in dem klargestellt wurde, dass Cookies und alle anderen Trackingtools nur mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden dürfen. Fast gleichzeitig hat auch der Bundesgerichtshof (BGH) für Deutschland entschieden, dass es bei der Setzung von Cookies einer Einwilligung jedes Besuchers bedarf, wenn Cookies nicht funktionsnotwendig sind. Das gilt auch für die Nutzung anderer Technologien zu Tracking- und Analysezwecken.

Was sollten Sie jetzt tun?

(1) Machen Sie eine Bestandsaufnahme aller Cookies und sonstigen Scripte. Eine vollständige Auflistung der Datenverarbeitungen auf Ihrer Internetseite kann in der Regel nur in Zusammenarbeit mit dem jeweiligen Ersteller der Internetseite erfolgen. Sie können im ersten Schritt hierzu jedoch auch folgende kostenfreie Internetseiten und Anwendungen nutzen:
Webbkoll
BuiltWith
Überprüfung der Google-Analytics-Konfiguration
– Ghostery & uBlock Origin (Browsererweiterung für verschiedene gängige Browser)
– Überprüfung der eingesetzten Cookies über den Browser, z.B. über „Web-Speicher“ bei Firefox

(2) Überlegen Sie, zu welchem Zweck die eingesetzten Cookies und Scripte, bzw. die sich dahinter verbergenden Tools verwendet werden. Vor allem: Prüfen Sie, ob die Tools überhaupt aktiv genutzt werden und ob es vielleicht datenschutzfreundliche Alternativen gibt.

(3) Überprüfen Sie, ob die Elemente für das technische Funktionieren der Webseite zwingend nötig sind. Für alle anderen Cookies und Scripte wird eine Einwilligung des Nutzers benötigt. Einwilligungsbedürftig sind bspw. Cookies oder Dienste im Zusammenhang mit statistischer Analyse und Reichweitenmessung, verhaltens- oder standortbezogene Werbung, sozialen Netzwerken, Streaming-Inhalte, die bei Dritten gehostet werden, sonstigen Inhalten Dritter.

(4) Werden einwilligungsbedürftige Cookies oder Dienste eingesetzt, setzen Sie die Einwilligung nutzerfreundlich und rechtskonform um. Eine praktikable Lösung ist die Verwendung sogenannter „Cookie-Banner“ oder „Consent Management“-Dienste, die für alle gängigen Content Management Systeme als Plugins angeboten werden. Die Grundanforderungen an ein solches Banner sind, dass es sofort und gut sichtbar bei Besuch der Internetseite ist und die gesetzliche Pflichtinformationen (z.B. Impressum, AGB, Datenschutzerklärung) nicht überdeckt. Einwilligungsbedürftige Datenverarbeitungen dürfen erst nach aktiver Zustimmung des Nutzers vorgenommen werden. In der Regel muss ein Besuch der Internetseite auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt. Ausnahmen können sich im Zusammenhang mit kostenpflichtigen Alternativen ergeben; sie müssen im Einzelfall geprüft werden.

Der Hinweistext soll in klarer und verständlicher Sprache zur Art der Daten, der Verarbeitung, Übermittlung und Speicherdauer informieren. Verwenden Sie idealerweise für die Gestaltung drei gleichartige Auswahl-Schaltflächen, ohne vorausgewählte Optionen:
(a) alle Anbieter akzeptieren, (b) alle Anbieter ablehnen, (c) erweiterte Einstellungen.

Mit der Schaltfläche „erweiterte Einstellungen“ sollten Sie detaillierte Informationen zur Verfügung stellen. Das sind die Beschreibung sämtlicher Verarbeitungszwecke und die Nennung aller Drittanbieter als Datenempfänger mit Unternehmensbezeichnung und Anschrift (die Nennung des Namens oder der Cookie-Domain reicht nicht aus) sowie die Angabe der Speicherdauer der Cookies. Wichtig ist auch, dort Einwilligungen für verschiedene Zwecke oder unterschiedliche Drittanbieter gesondert abgeben zu können. Sie müssen auch die Möglichkeit des jederzeitigen Widerrufs, z.B. mittels eines Buttons „Alle deaktivieren“, anbieten.

(5) In einem letzten Schritt kann es notwendig sein, die Datenschutzinformationen Ihrer Internetseite anzupassen.

Das Dresdner Institut für Datenschutz oder Ihr Datenschutzbeauftragter unterstützt Sie gern, auch in Zusammenarbeit mit Ihrer Internet-Agentur.

Über die Autorin: Tanja Albert ist als externer Datenschutz- und IT-Sicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits- und sozialen Bereich auch Unternehmen im Ausland.

    Tags:
  • BGH
  • Cookie
  • Cookiebanner
  • EuGH
  • Internetseite
  • Planet49
Lesen

Umgang mit Bewerbungsunterlagen

Bewerbungen enthalten eine Fülle personenbezogener Daten. Umso wichtiger ist es, dass das gesamte Bewerbungsverfahren, einschließlich der Verwaltung und anschließenden Löschung der Bewerbungsunterlagen, den datenschutzrechtlichen Regelungen entspricht. Dabei gelten neben den allgemeinen Grundsätzen des Datenschutzes auch einige Besonderheiten. Wie eine praxisnahe Umsetzung erfolgen kann, erfahren Sie im Folgenden.

Die Wahl des Bewerbungsweges

Bewerbungen können dem Unternehmen auf zahlreichen Wegen zugehen. Neben der Zusendung auf dem Postweg oder per E-Mail werden hierfür oftmals auch Bewerberportale genutzt. Bei letzterem muss zwingend darauf geachtet werden, dass dieses über eine ausreichende Verschlüsselung nach aktuellem Stand der Technik verfügt. Weiterhin sollte für die Datenverarbeitung innerhalb des Bewerberportals eine Datenschutzerklärung erstellt oder die vorhandene Datenschutzerklärung des Unternehmens ergänzt werden. Kommt im Zusammenhang mit dem Bewerberportal außerdem ein Dienstleister zum Einsatz, ist mit diesem unter Umständen ein Vertrag zur Auftragsverarbeitung abzuschließen.

Wird den Bewerbern angeboten ihre Bewerbungsunterlagen per E-Mail einzusenden, ist ebenfalls dafür zu sorgen, dass eine ausreichende Verschlüsselung gewährleistet wird. Doch auch mit dieser birgt die Zusendung per E-Mail einige Risiken, sodass Formulierungen, nach denen die Bewerbungsunterlagen ausschließlich oder bevorzugt per E-Mail zu versenden sind, vermieden werden sollten. Den Bewerbern soll die Wahl des Bewerbungsweges grundsätzlich ohne Befürchtung von Nachteilen frei zustehen.

Verwaltung

Unabhängig des Bewerbungsweges dürfen Bewerbungsunterlagen nur für direkt am Bewerbungsverfahren beteiligte Personen zugänglich sein. Hierzu können beispielsweise die Personalabteilung und der jeweilige Entscheidungsträger gehören. Dementsprechend sollten in der Ausschreibung auch keine allgemeinen E-Mail-Adressen, wie zum Beispiel info@unternehmen.de, sondern stets allein der Personalabteilung zugeordnete E-Mail-Adressen angegeben werden. Bei der Vervielfältigung oder elektronischen Ablage von Bewerbungsunterlagen ist ebenso auf die Einhaltung eines gestuften Berechtigungskonzeptes zu achten. Weiterhin ist dafür Sorge zu tragen, dass Bewerbungsunterlagen niemals frei zugänglich am Arbeitsplatz zurückgelassen werden und stets getrennt von anderen Datensätzen aufbewahrt werden.

Aufbewahrung & Löschung

Auch wenn nach Beendigung des Bewerbungsverfahrens die Daten des Bewerbers nicht mehr benötigt werden, sollten die Bewerbungsunterlagen jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass der Bewerber nach einer erfolglosen Bewerbung Ansprüche des Allgemeinen Gleichbehandlungsgesetzes (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Um einen derartigen Anspruch geltend zu machen, wird dem Bewerber durch das AGG eine Frist von zwei bis sechs Monaten gegeben. Unter Berücksichtigung von etwaigen Verzögerungen bei der Zustellung ist dementsprechend eine Aufbewahrungsfrist von drei Monaten angemessen. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um den Bewerber für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung des Bewerbers.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung des Bewerbers. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist der Bewerber hierauf bereits bei der Absage hinzuweisen.

Fazit

Wie eingangs erwähnt, sind innerhalb des Bewerbungsverfahrens einige datenschutzrechtliche Besonderheiten zu beachten. Die Umsetzung dieser in die Praxis stellt jedoch keinen besonderen Aufwand dar. Wie bei anderen Prozessen auch, empfiehlt es sich unter Abstimmung mit den im Unternehmen am Bewerbungsverfahren beteiligten Personen, ein datenschutzfreundliches Vorgehen zu etablieren. So kann von Beginn an potentiellen Mitarbeitern gezeigt werden, welchen Stellenwert der Datenschutz im Unternehmen hat.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Aufbewahrung
  • Beschäftigtendatenschutz
  • Bewerbung
  • Bewerbungsunterlagen
  • Datenschutz
  • Löschung
Lesen

[R]echt Kompakt! – Blog

Das Dresdner Institut für Datenschutz begrüßt Sie als Leser des [R]echt Kompakt! – Blog. In kurzen und verständlichen Beiträgen wollen wir Ihnen auf diesen Seiten zukünftig aktuelle Themen des Datenschutzes und der Informationssicherheit näher bringen, Rechtsprechungen erläutern und pragmatische Lösungsmöglichkeiten aufzeigen. Über die RSS-Funktion können Sie sich darüber hinaus ganz komfortabel und ohne Registrierung über neue Beiträge informieren lassen.

Wir wünschen Ihnen mit den folgenden Beiträgen viel Freude. Gern können Sie uns über den auf der Startseite veröffentlichten Kontaktdaten Ihr Feedback oder Anregungen zu zukünftigen Themen mitteilen.

Ihr Team des Dresdner Instituts für Datenschutz

    Tags:
  • Beiträge
  • Blog
  • Datenschutz
  • DID
  • Dresdner Institut für Datenschutz
  • Informationssicherheit
Lesen