AUSWIRKUNGEN DER §§ 327 ff. BGB AUF DATENSCHUTZ UND IT-SICHERHEIT

Mit Wirkung zum 1. Januar 2022 wird das deutsche Schuldrecht im Bürgerlichen Gesetzbuch (BGB) grundlegend reformiert. Es handelt sich um die größte Gesetzesänderung seit der Schuldrechtsmodernisierung 2001. Die Änderungen betreffen unter anderem die verbraucherschützenden Regelungen der §§ 327 ff. BGB. Darüber hinaus erfolgen Neuerungen im Kauf-, im Verbrauchsgüterkauf-, im Schenkungs-, im Miet- und Werkvertragsrecht. Der Beitrag zeigt vorrangig einige Auswirkungen der §§ 327 ff. BGB auf die Bereiche des Datenschutzes und der IT-Sicherheit.


WORUM GEHT ES?

Durch die Richtlinien (EU) 2019/770 vom 20. Mai 2019 (Digitale-Inhalte-Richtlinie, kurz: DIRL) und (EU) 2019/771 (Warenkaufrichtlinie) sowie dem damit verbundenen nationalen Umsetzungsgesetz erfolgt ab dem 1. Januar 2022 eine weitreichende Änderung des Bürgerlichen Gesetzbuches, zum einen hinsichtlich des Verbraucherschutzrechtes bei Verträgen über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und zum anderen bezüglich des Kaufs von Sachen mit digitalen Elementen. Die neuen Regelungen enthalten unter anderem Änderungen des Mangelbegriffs im Zivilrecht, eine Updateverpflichtung für Unternehmen und eine verlängerte Frist für die Beweislastumkehr. Adressat der Regelungen sind alle Unternehmen, die digitale Inhalte, digitale Dienstleistungen oder Waren mit digitalen Elementen bereitstellen. Zentralen Vertragsgegenstand der §§ 327 ff. BGB bilden die sogenannten „digitalen Produkte“, welche nach der Legaldefinition des § 327 Abs. 1 Satz 1 BGB digitale Inhalte und digitale Dienstleistungen erfassen. Vom Anwendungsbereich umfasst werden gemäß Erwägungsgrund 19 DIRL u.a. Computerprogramme, Anwendungen, Video-, Audio- und Musikdateien, digitale Spiele, elektronische Bücher und Publikationen. Beispiele für digitale Dienstleistungen sind Software-as-a-Service, wie die gemeinsame Nutzung von Video- und Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spie-le, in einer Cloud-Computing-Umgebung und in sozialen Medien.


WELCHEN HINTERGRUND HABEN DIE GESETZLICHEN NEUREGELUNGEN?

Durch die stetig voranschreitende Digitalisierung kommt es zu einer immer größeren Durchdringung nahezu sämtlicher Lebensbereiche mit Informations- und Kommunikationstechnik. Die Nutzung digitaler Inhalte und digitaler Dienstleistungen ist deshalb aus dem Verbraucheralltag nicht mehr wegzudenken.  Digitalisierung und Vernetzung bringen jedoch zugleich neue Risiken – beispielsweise durch Sicherheitslücken – mit sich. Trotz dieses Schutzbedürfnisses einerseits und der rasanten technischen Entwicklung anderseits waren Regelungen zu vertraglichen Aspekten über die Bereitstellung digitaler Produkte bisher rar gesät. Vorrangiges Ziel der Gesetzesänderung ist daher die Schaffung von Rechtssicherheit für den Verbrauchersektor.


WELCHE AUSWIRKUNGEN BRINGT DIE GESETZESÄNDERUNG FÜR DEN DATENSCHUTZ?

Besonders offensichtlich tritt der datenschutzrechtliche Bezug in § 327 Abs. 3 BGB hervor. Der Anwendungsbereich der §§ 327 ff. BGB erfasst grundsätzlich zwar nur Verträge, die die Zahlung eines Preises zum Gegenstand haben. Entgeltlichen Verträgen werden jedoch gemäß § 327 Abs. 3 BGB solche Verträge gleichgestellt „[…] bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet […]“. Der Begriff der personenbezogenen Daten ist hierbei ausweislich der Gesetzesbegründung gleich der Begriffsbestimmung in Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) zu verstehen. Damit ist nunmehr ein „Bezahlen mit Daten“ im dem Sinne erfasst, dass Verbraucher:innen dem Unternehmen personenbezogene Daten überlassen, die weder zur Vertragserfüllung noch aufgrund rechtlicher Verpflichtungen verarbeitet werden müssen. Gleichwohl kommt damit nicht zum Ausdruck, dass jede Datenangabe durch die Verbraucher:innen beziehungsweise jede Datenerhebung durch Unternehmen einen vertrag begründet. Angesichts zahlreicher „kostenfreier“ Dienste stellt dies eine besonders wichtige Neuregelung dar.

Ebenfalls kann das Datenschutzrecht im Rahmen der Mangelhaftigkeit zum Tragen kommen. Dies lässt sich insbesondere anhand von Erwägungsgrund 48 DIRL nachvollziehen: Erfolgt hier eine ausdrückliche Bezugnahme auf wesentliche Grundsätze der DS-GVO wie Datenminimierung, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie die Klarstellung, dass bei Nichteinhaltung dieser Grundsätze je nach Umständen des Einzelfalls, dies als fehelende Übereinstimmung mit den subjektiven oder objektiven Anforderungen an die Vertragsmäßigkeit betrachtet werden kann.

Von datenschutzrechtlicher Relevanz ist zudem die Regelung des § 327q Abs. 1 BGB. Hier wird das Verhältnis zwischen der Ausübung datenschutzrechtlicher Betroffenenrechte beziehungsweise Abgabe datenschutzrechtlicher Erklärungen einerseits und der Bestand des Vertragsverhältnisses andererseits in den Blick genommen: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Konsequenter Weise zur Erreichung einer Stärkung des Verbraucherschutzes zeigt die Ausübung von Betroffenenrechten kaum Auswirkungen auf die vertragliche Position der Verbraucher:innen. Allein nach § 327q Abs. 2 BGB bei der Ausübung eines Widerrufes oder Widerspruchs kann ein Sonderkündigungsrecht im Rahmen von Dauerschuldverhältnissen seitens der Unternehmer ergeben.


WELCHE ROLLE SPIELT IT-SICHERHEIT BEI DIGITALEN PRODUKTEN?

Im Zuge der gesetzlichen Neuregelung erfolgt in § 327e Abs. 3 Nr. 2 BGB die Normierung eines Sicherheitsbegriffs. Gleichwohl ist dieser Begriff wegen eines fehlenden Bezugs zu informationstechnischen Systemen und Prozessen auslegungsbedürftig. Dies führt bei genauer Auseinandersetzung jedoch zu einigen Schwierigkeiten. In der Gesetzgebung sowie der technischen Normung und Standardisierung und der damit verbundenen Anwendungspraxis erfolgt keine einheitliche Begriffsführung von IT-Sicherheit. Insbesondere aber eine unionsrechtskonforme Auslegung gebietet jedoch Sicherheit in § 327e Abs. 3 Nr. 2 BGB als „security“ und damit im deutschen Sprachgebrauch als IT-Sicherheit zu verstehen. Auch in den Erwägungsgründen der Digitale-Inhalte-Richtlinie – hier insbesondere Erwägungsgrund 48 DIRL – finden sich Anknüpfungspunkte für Bezugnahme zur IT-Sicherheit, beispielsweise Anfälligkeit von Produkten für Schad- und Spähsoftware.

Durch die wesentliche Änderung des Mangelbegriffs erfolgt zudem eine weitgehende Gleichstellung zwischen subjektiven und objektiven Beschaffenheitsanforderungen, weshalb digitale Produkte zukünftig einen Mindeststandard an IT-Sicherheit aufweisen müssen. Problematisch gestaltet sich hierbei allerdings mit Blick auf den Wortlaut des § 327e Abs. 3 Nr. 2 BGB („Das digitale Produkt entspricht den objektiven Anforderungen, wenn es eine Beschaffenheit, einschließlich der […] der Sicherheit aufweist, die bei digitalen Produkten derselben Art üblich ist und die der Verbraucher unter Berücksichtigung der Art des digitalen Produkts erwarten kann […]“) die Frage, was mangels einheitlicher europäischer Standards unter üblich und erwartbaren Sicherheitsanforderungen zu verstehen sein wird.

Flankiert werden die oben genannten Anforderungen durch die in § 327f BGB normierte Aktualisierungspflicht, welche ausweislich des eindeutigen Wortlautes auch Sicherheitsaktualisierungen zu den erforderlichen Updates zählt. Auf diese Art und Weise soll dem Verbraucher für einen angemessenen Zeitraum der Erhalt der Vertragsmäßigkeit des digitalen Produktes durch den Unternehmer sichergestellt werden. Dies kann zu einer nachhaltigen Steigerung der IT-Sicherheit digitaler Produkte führen.

Nicht außer Acht gelassen werden darf in diesem Zusammenhang schließlich § 327h BGB, welcher die Möglichkeit eröffnet, durch individuelle Vereinbarung von den objektiven Beschaffenheitsvereinbarungen, so gesehen den Sicherheitsanforderungen und Aktualisierungspflichten, unter bestimmten Voraussetzungen durch individuelle Vereinbarung abzuweichen.


FAZIT

Es bleibt daher festzuhalten, dass durch die gesetzlichen Neuregelungen der §§ 327 ff. BGB auch eine verbraucherschützende Regulierung zur Sicherheit informationstechnischer Systeme erfolgt. Darüber hinaus finden sich Regelungen mit datenschutzrechtlichem Bezug, welche die bereit gängige Praxis entsprechend widerspiegeln. Dennoch dürften mit den neuen Regelungen vom Start weg zahlreiche Rechtsunsicherheiten verbunden sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenschutz
  • Digitale Inhalte
  • Digitale Produkte
  • IT-Sicherheit
  • Schuldrecht
Lesen

EIN FROHES NEUES JAHR!

Zu Beginn des neuen Jahres möchten wir unseren Blog-Lesern zuallererst ein frohes und gesundes neues Jahr wünschen! Wir freuen uns, Ihnen auch in diesem Jahr in unseren wöchentlichen Beiträgen eine Übersicht über aktuelle und wichtige Themen aus den Bereichen des Datenschutzes und der Informationssicherheit bieten zu können. Möchten Sie zu einzelnen Beiträgen Fragen oder Feedback äußern? Haben Sie Vorschläge für interessante Beiträge? Zögern Sie nicht, die jeweiligen Verfassenden zu anzusprechen. Die Kontaktmöglichkeiten erfahren Sie am Ende eines jeden Beitrages.

Diesen ersten Beitrag im Jahr 2022 möchten wir ebenfalls gern nutzen, um in eigener Sache auf das Thema Datenschutz beziehungsweise Informationssicherheit und Qualitätsmanagement aufmerksam zu machen. Einerseits bieten diese Bereiche in ihrer Gesamtheit einzelne Berührungspunkte zueinander, andererseits bedarf auch die Arbeit von Datenschutz- und Informationssicherheitsbeauftragten bestimmten Leistungs- und Qualitätsstandards, um die jeweils gesetzlich definierten Aufgaben vollumfänglich erfüllen zu können.

Auch wenn beispielsweise die Datenschutz-Grundverordnung (DS-GVO) keine näheren Anforderungen an die Qualität der Arbeit des Datenschutzbeauftragten setzt, wird insbesondere in der Darstellung des Art. 37 Abs. 5 DS-GVO deutlich, dass ein Datenschutzbeauftragter sowohl auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis, aber auch auf Grundlage seiner Fähigkeiten zur Erfüllung der in Art. 39 DS-GVO benannten Aufgaben zu benennen ist. Aus dem Aufgabenkatalog des Art. 39 DS-GVO wird deutlich, dass im besten Falle nicht nur die verantwortliche Stelle ein Datenschutzmanagementsystem vorweisen kann, sondern dass auch der Datenschutzbeauftragte strukturiert und koordiniert die einzelnen Aufgabenbereiche zu managen und durchzuführen hat. Dies gilt umso mehr für externe Datenschutzbeauftragte, die oftmals eine Vielzahl von verantwortlichen Stellen beraten.

Aus diesem Grund haben wir als Dresdner Institut für Datenschutz das vergangene Jahr genutzt, um unsere Beratungs- und Lehrtätigkeit in den Bereichen des Datenschutzes und der Informationssicherheit einmal näher zu betrachten, essenzielle Prozesse zu identifizieren sowie Verbesserungspotenzial zu erkennen und auszuschöpfen. Ein wichtiger Baustein war in diesem Zusammenhang beispielsweise die Befragung unserer Vertragsparteien im Sommer 2021 hinsichtlich der Zufriedenheit mit unseren Dienstleistungen. Unter anderem diese Ergebnisse flossen in ein umfassendes Qualitätsmanagementsystem ein, welches wir im letzten Quartal des vergangenen Jahres einer externen Auditierung unterzogen. Das Ergebnis kann sich sehen lassen: Unser Qualitätsmanagement für die Beratung und Lehrtätigkeit in den Bereichen Datenschutz und Informationssicherheit ist nun zunächst bis 2024 nach ISO 9001:2015 zertifiziert.

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Den ersten Termin  unserer Online-Sprechstunde erfahren Sie bereits in den nächsten Tagen auf unserer Internetseite www.dids.de. Dort erhalten Sie dann auch die Möglichkeit zur Anmeldung sowie weiterführende Hinweise.

Auch darüber hinaus haben wir für Sie einige weitere Überraschungen vorbereitet, welche wir Ihnen nach und nach im Laufe des Jahres vorstellen wollen oder welche Ihnen hier in unserem Blog begegnen werden. Seien Sie gespannt! In diesem Sinne: Starten Sie gut in das neue Jahr und bleiben Sie stets neugierig – insbesondere natürlich in Bezug auf die Themen Datenschutz und Informationssicherheit!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Blog
  • Datenschutz
  • Datenschutzsprechstunde
  • Informationssicherheit
  • Qualitätsmanagement
Lesen

LÖSCHPLFICHT VS. AUFBEWAHRUNGSFRIST

Im Rahmen der datenschutzrechtlichen Beratung stellt die rechtskonforme Aufbewahrung und Vernichtung personenbezogener Unterlagen einen zentralen Themenkomplex dar. Grundsätzlich darf eine Verarbeitung (dementsprechend auch die Aufbewahrung) nur so lange erfolgen, wie es für die Zwecke der Datenverarbeitung zwingend erforderlich ist. Dies gilt jedoch nicht ausnahmslos. Der folgende Beitrag soll kurz das Verhältnis der Löschpflicht zu gesetzlichen Aufbewahrungsfristen darstellen und Umsetzungstipps an die Hand geben.


DAS VERHÄLTNIS VON LÖSCHPFLICHTEN ZU AUFBEWAHRUNGSFRISTEN

Personenbezogene Daten müssen entsprechend des Art. 17 DS-GVO insbesondere dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs.1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beein-trächtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen. Beinhalten Unterlagen keinerlei personenbezogene Daten, können diese ohne datenschutzrechtliche Vorgaben allein nach unternehmerischen Kriterien (Nutzen / Aufwand) aufbewahrt bzw. archiviert werden.


DIE ARCHIVIERUNG AUFBEWAHRUNGSPFLICHTIGER UNTERLAGEN

Unterlagen, welche für den laufenden Geschäftsbetrieb nicht mehr benötigt werden, sind getrennt von den Unterlagen des laufenden Geschäftsbetriebes aufzubewahren. Dabei ist eine Aufbewahrung im Original nicht immer zwingend erforderlich. Die Aufbewahrungspflicht im Original besteht lediglich für Eröffnungsbilanzen, Jahresabschlüsse sowie Konzernabschlüsse. Alle anderen Unterlagen können auch als Wiedergabe auf einem Bild- oder Datenträger aufbewahrt werden, solange dies den Grundsätzen ordnungsgemäßer Buchführung entspricht. Dabei muss jedoch eine jederzeitige Verfügbarkeit, unverzügliche Lesbarkeit sowie eine maschinelle Auswertbarkeit gewährleistet werden. Werden diese Anforderungen erfüllt, können die Originalunterlagen vernichtet werden, wenn dem keine Sondervorschriften entgegenstehen.

Nach dem Ablauf der gesetzlichen Aufbewahrungsfristen sind auch die archivierten Unterlagen datenschutzgerecht zu vernichten. Etwas anderes kann sich im Einzelfall ergeben, wenn die verantwortliche Stelle eine darüber hinausgehende Aufbewahrungsbedürftigkeit hinreichend darlegen kann. Diese ist jedoch entsprechend zu dokumentieren.

Der Kreis der Zugriffsberechtigten ist für die archivierten Unterlagen auf einige wenige Beschäftigte einzuschränken. Die Festlegung der zugriffsberechtigten Mitarbeiter kann zum Beispiel mittels eines Archivierungskonzeptes erfolgen.


DAS ARCHIVIERUNGSKONZEPT

Damit unternehmensübergreifend eine geeignete Archivierung gewährleistet werden kann, empfiehlt sich die Erstellung und Etablierung eines internen Archivierungskonzeptes. Darin werden unter anderem unternehmensrelevante Aufbewahrungsfristen, die technische und organisatorische Umsetzung des Archivsystems sowie diesbezügliche Schulungen der Beschäftigten festgelegt. Bei der Umsetzung eines Archivierungskonzeptes innerhalb Ihrer Organisation steht Ihnen Ihr Datenschutzbeauftragter oder das Dresdner Institut für Datenschutz gern beratend zur Seite.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Archivierung
  • Aufbewahrungsfrist
  • Datenschutz
  • DS-GVO
  • Konzept
  • Löschpflicht
Lesen

DATENSCHUTZ IM BERUFSALLTAG

Es gibt kaum noch Bereiche, in denen personenbezogene Daten nicht regelmäßig verarbeitet werden. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren. Im Folgenden finden Sie einige Anregungen für einen datenschutzkonformen Umgang, welche an dieser Stelle unter Berücksichtigung der häufigsten Datenschutzverletzungen am Arbeitsplatz zusammengefasst wurden.


SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.


SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.


GEBEN SIE KEINE AUSKÜNFTE AN UNBEFUGTE DRITTE

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.


NUTZEN SIE E-MAIL- UND INTERNETDIENSTE BEWUSST

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.


TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


VERNICHTEN SIE DOKUMENTE UND HARDWARE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


ACHTEN SIE AUCH IM HOMEOFFICE AUF EINEN DATENSCHUTZKONFORMEN UMGANG

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.


MELDUNG VON DATENSCHUTZVERLETZUNGEN

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Arbeitsplatz
  • Berufsalltag
  • Datenschutz
  • Datenschutzverletzung
  • DS-GVO
  • Homeoffice
Lesen

UMGANG MIT BEWERBUNGSUNTERLAGEN

Bewerbungen enthalten eine Fülle personenbezogener Daten. Umso wichtiger ist es, dass das gesamte Bewerbungsverfahren, einschließlich der Verwaltung und anschließenden Löschung der Bewerbungsunterlagen, den datenschutzrechtlichen Regelungen entspricht. Dabei gelten neben den allgemeinen Grundsätzen des Datenschutzes auch einige Besonderheiten. Wie eine praxisnahe Umsetzung erfolgen kann, erfahren Sie im Folgenden.


DIE WAHL DES BEWERBUNGSWEGES

Bewerbungen können dem Unternehmen auf zahlreichen Wegen zugehen. Neben der Zusendung auf dem Postweg oder per E-Mail werden hierfür oftmals auch Bewerberportale genutzt. Bei letzterem muss zwingend darauf geachtet werden, dass dieses über eine ausreichende Verschlüsselung nach aktuellem Stand der Technik verfügt. Weiterhin sollte für die Datenverarbeitung innerhalb des Bewerberportals eine Datenschutzerklärung erstellt oder die vorhandene Datenschutzerklärung des Unternehmens ergänzt werden. Kommt im Zusammenhang mit dem Bewerberportal außerdem ein Dienstleister zum Einsatz, ist mit diesem unter Umständen ein Vertrag zur Auftragsverarbeitung abzuschließen.

Wird den Bewerbern angeboten ihre Bewerbungsunterlagen per E-Mail einzusenden, ist ebenfalls dafür zu sorgen, dass eine ausreichende Verschlüsselung gewährleistet wird. Doch auch mit dieser birgt die Zusendung per E-Mail einige Risiken, sodass Formulierungen, nach denen die Bewerbungsunterlagen ausschließlich oder bevorzugt per E-Mail zu versenden sind, vermieden werden sollten. Den Bewerbern soll die Wahl des Bewerbungsweges grundsätzlich ohne Befürchtung von Nachteilen frei zustehen.


VERWALTUNG

Unabhängig des Bewerbungsweges dürfen Bewerbungsunterlagen nur für direkt am Bewerbungsverfahren beteiligte Personen zugänglich sein. Hierzu können beispielsweise die Personalabteilung und der jeweilige Entscheidungsträger gehören. Dementsprechend sollten in der Ausschreibung auch keine allgemeinen E-Mail-Adressen, wie zum Beispiel info@unternehmen.de, sondern stets allein der Personalabteilung zugeordnete E-Mail-Adressen angegeben werden. Bei der Vervielfältigung oder elektronischen Ablage von Bewerbungsunterlagen ist ebenso auf die Einhaltung eines gestuften Berechtigungskonzeptes zu achten. Weiterhin ist dafür Sorge zu tragen, dass Bewerbungsunterlagen niemals frei zugänglich am Arbeitsplatz zurückgelassen werden und stets getrennt von anderen Datensätzen aufbewahrt werden.


AUFBEWAHRUNG & LÖSCHUNG

Auch wenn nach Beendigung des Bewerbungsverfahrens die Daten des Bewerbers nicht mehr benötigt werden, sollten die Bewerbungsunterlagen jedoch keinesfalls sofort vernichtet oder zurückgeschickt werden. Grund hierfür ist, dass der Bewerber nach einer erfolglosen Bewerbung Ansprüche des Allgemeinen Gleichbehandlungsgesetzes (AGG) geltend machen kann, wobei die Bewerbungsunterlagen unter Umständen als Beweismittel dienen können. Um einen derartigen Anspruch geltend zu machen, wird dem Bewerber durch das AGG eine Frist von zwei bis sechs Monaten gegeben. Unter Berücksichtigung von etwaigen Verzögerungen bei der Zustellung ist dementsprechend eine Aufbewahrungsfrist von drei Monaten angemessen. Eine hierüber hinausgehende Aufbewahrung, beispielsweise um den Bewerber für eine andere Stellenausschreibung kontaktieren zu können, bedarf einer Einwilligung des Bewerbers.

Die Pflicht zur Löschung von Bewerbungsunterlagen bezieht sich neben dem Anschreiben, dem Lebenslauf sowie den Zeugnissen auch auf etwa angefertigte Notizen zur Person und Eignung des Bewerbers. Werden postalisch zugesandte Bewerbungsunterlagen nicht zurückgeschickt, sondern im Unternehmen datenschutzgerecht vernichtet, ist der Bewerber hierauf bereits bei der Absage hinzuweisen.


FAZIT

Wie eingangs erwähnt, sind innerhalb des Bewerbungsverfahrens einige datenschutzrechtliche Besonderheiten zu beachten. Die Umsetzung dieser in die Praxis stellt jedoch keinen besonderen Aufwand dar. Wie bei anderen Prozessen auch, empfiehlt es sich unter Abstimmung mit den im Unternehmen am Bewerbungsverfahren beteiligten Personen, ein datenschutzfreundliches Vorgehen zu etablieren. So kann von Beginn an potentiellen Mitarbeitern gezeigt werden, welchen Stellenwert der Datenschutz im Unternehmen hat.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Aufbewahrung
  • Beschäftigtendatenschutz
  • Bewerbung
  • Bewerbungsunterlagen
  • Datenschutz
  • Löschung
Lesen

[R]ECHT KOMPAKT! – BLOG

Das Dresdner Institut für Datenschutz begrüßt Sie als Leser des [R]echt Kompakt! – Blog. In kurzen und verständlichen Beiträgen wollen wir Ihnen auf diesen Seiten zukünftig aktuelle Themen des Datenschutzes und der Informationssicherheit näher bringen, Rechtsprechungen erläutern und pragmatische Lösungsmöglichkeiten aufzeigen. Über die RSS-Funktion können Sie sich darüber hinaus ganz komfortabel und ohne Registrierung über neue Beiträge informieren lassen.

Wir wünschen Ihnen mit den folgenden Beiträgen viel Freude. Gern können Sie uns über den auf der Startseite veröffentlichten Kontaktdaten Ihr Feedback oder Anregungen zu zukünftigen Themen mitteilen.

Ihr Team des Dresdner Instituts für Datenschutz

    Tags:
  • Beiträge
  • Blog
  • Datenschutz
  • DID
  • Dresdner Institut für Datenschutz
  • Informationssicherheit
Lesen