Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem Änderungen an der DS-GVO lange Zeit als undenkbar galten, kommt nun allmählich Bewegung in die Sache. Die Europäische Kommission plant eine Vereinfachung der Digitalgesetzgebung mittels eines sogenannten „Omnibus“-Gesetzespakets, mit dem die Vorschriften für künstliche Intelligenz, Cybersicherheit und des Daten(schutz)rechts modifiziert werden sollen. Welche Änderungen konkret die DS-GVO betreffen könnten, stellen wir im nachfolgenden Blog-Beitrag kurz dar.

Reichweite personenbezogener Daten

Eine wesentliche Änderung betrifft zunächst die Klarstellung der Begriffsbestimmung von personenbezogenen Daten. Der Kommissionsvorschlag übernimmt hier die aktuelle Rechtsprechung des Europäischen Gerichtshofs und stellt ausdrücklich klar, dass pseudonymisierte Datensätze unter bestimmten Umständen nicht mehr für alle Beteiligten als personenbezogen anzusehen sind. Entscheidend soll künftig allein sein, ob der jeweilige Empfänger über Mittel verfügt, um Personen wieder zu identifizieren. Können Empfänger eine Person hingegen nicht re-identifizieren, sollen die erhaltenen Daten für diese Empfänger außerhalb der datenschutzrechtlichen Regelungen nutzbar sein.

Die Kommission soll zudem per neuem Art. 41a DS-GVO ermächtigt werden, technische Standards festzulegen, welche eine Wiederherstellung des Personenbezugs möglichst ausschließen. Diese Änderungen sollen die Spielräume bei der Datennutzung – etwa für Forschung oder KI-Training – erweitern.

Neue Möglichkeiten für künstliche Intelligenz

Angesichts der rasanten Entwicklung von künstlicher Intelligenz plant die Kommission weiterhin Anpassungen, um Innovation zu erleichtern und Rechtsunsicherheiten auszuräumen. So soll ausdrücklich festgeschrieben werden, dass Verantwortliche personenbezogene Daten zum Training von KI-Modellen auf Basis des berechtigten Interesses verarbeiten dürfen. Hierbei soll es möglich sein, dass große Sprachmodelle auch ohne Einwilligung mit personenbezogenen Daten trainiert werden können – sofern keine anderweitigen Gesetze verletzt werden und alle weiteren datenschutzrechtlichen Anforderungen sowie geeignete Schutzmaßnahmen sichergestellt sind.

Erwähnenswert ist in diesem Kontext auch eine geplante Öffnungsklausel für besondere Kategorien personenbezogener Daten: Im Entwurf wird eine neue Ausnahme (Art. 9 Abs. 2 lit. k) DS-GVO) vorgeschlagen, die es erlauben soll, besondere Kategorien personenbezogener Daten ausnahmsweise im KI-Training zu verarbeiten, wenn deren Vorhandensein unbeabsichtigt ist und der Verantwortliche technisch-organisatorische Maßnahmen ergreift, um solche personenbezogenen Daten möglichst zu vermeiden und zu entfernen. Diese Ausnahme soll auf unvermeidbare, zufällige Einschlüsse derartiger Informationen begrenzt sein und damit den Umgang mit großen Trainingsdatensätzen rechtlich absichern.

Entlastungen bei Informations-, Auskunfts- und Meldepflichten

Auch bei konkreten Pflichten von Verantwortlichen sieht das Omnibus-Paket Erleichterungen vor. Transparenzpflichten gegenüber Betroffenen sollen unter bestimmten Bedingungen entschärft werden: Bereits wenn anzunehmen ist, dass eine Person die erforderlichen Informationen über die Datenverarbeitung bereits hat, soll der Verantwortliche diese Informationen nicht erneut bereitstellen müssen. Ferner soll die Geltendmachung von Betroffenenrechten dahingehend eingeschränkt werden, dass mit diesen ausschließlich datenschutzbezogene Zwecke verfolgt werden dürfen – andernfalls soll es den Verantwortlichen möglich sein, für die Bearbeitung Kosten zu erheben oder dem Antrag nicht nachzugehen.

Auch die Meldepflichten bei Datenschutzverletzungen sollen gezielt angepasst werden. Künftig müssten Datenschutzverletzungen voraussichtlich nur noch dann gegenüber der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, wenn für die Betroffenen ein hohes Risiko besteht. Zudem hätten Verantwortliche für die Vornahme der Meldung etwas mehr Zeit: Geplant ist eine Verlängerung der Frist von 72 auf 96 Stunden. Zudem soll ein zentraler Meldemechanismus eingeführt werden: Über einen einzigen „Single-Entry-Point“ soll ein Verantwortlicher alle nötigen Meldungen gleichzeitig erfüllen können. Aktuell müssen Sicherheits- und Datenschutzvorfälle oft parallel an verschiedene Behörden nach DS-GVO, NIS-2-Richtlinie, DORA, … gemeldet werden – hier soll eine einheitliche Plattform Mehrfachmeldungen ablösen.

ÜberARBEITETE cOOKIE- UND eINWILLIGUNGSREGELN

Besonderes Augenmerk legt der digitale Omnibus auf die Verbesserung der Cookie-Regeln. Das Ziel: Die allgegenwärtigen Cookie-Banner sollen drastisch reduziert werden. Geplant sind nutzerfreundlichere Lösungen: Internetseiten müssen künftig eine einfache Möglichkeit bieten, alle nicht notwendigen Cookies mit einem Klick abzulehnen oder zu akzeptieren. Ein entsprechender Button wird zur Pflicht und getroffene Entscheidungen der Nutzenden sind dann mindestens sechs Monate lang zu respektieren. Außerdem sollen zentrale Datenschutzeinstellungen im Browser oder Betriebssystem greifen: Nutzende können dort generelle Präferenzen festlegen, die Internetseiten automatisiert auslesen und befolgen müssen.

Parallel dazu will die Kommission die Rechtsgrundlagen für Cookies neu ordnen. Geplant ist hierfür ein neuer Art. 88a DS-GVO. Inhaltlich soll neben Einwilligungen auch das berechtigte Interesse als Grundlage für bestimmte Cookies oder vergleichbare Technologien dienen. Die Kommission plant zudem eine Whitelist von unbedenklichen Verwendungszwecken, bei denen Verantwortliche keine Zustimmung einholen müssen, z. B. für rein statistische Reichweitenmessungen oder grundlegende Funktions-Cookies.

Ausblick

Die vorgeschlagenen DS-GVO-Änderungen sollen Teil eines ersten Schritts zur Vereinfachung sein. Sie müssen nun im ordentlichen Gesetzgebungsverfahren vom Europäischen Parlament und den EU-Mitgliedstaaten beraten und beschlossen werden. Für Verantwortliche heißt es jetzt, die weiteren Entwicklungen aufmerksam zu verfolgen. Klar ist jedenfalls: Nach Jahren der Stabilität der DS-GVO zeichnen sich erstmals konkrete Änderungen am europäischen Datenschutzrahmen ab. Mit wesentlichen Änderungen an den durch die Europäische Kommission eingebrachten Vorschlägen wird jedoch zu rechnen sein. Insofern heißt es nun: Warten bis der Bus kommt.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem über einige Jahre hinweg Änderungen an der Datenschutz-Grundverordnung zwar regelmäßig gefordert wurden, in der Umsetzung aber kaum denkbar schienen, kommt nun etwas Bewegung in die Sache. Aber auch auf nationaler Ebene gibt die kommende Regierung einen Ausblick auf Erleichterungen im Bereich des Datenschutzes. Wie könnten mögliche Änderungen aussehen und wie realistisch sind solche Anpassungen überhaupt? Ein Überblick.

Könnte die DS-GVO schon bald reformiert werden?

Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission im Abstand von vier Jahren „einen Bericht über die Bewertung und Überprüfung“ der DS-GVO vorzulegen. In den Berichten aus den Jahren 2020 und 2024 hielt sie sich mit grundlegenden Verbesserungsmöglichkeiten zurück. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte – wie beispielsweise auch aus dem Draghi-Report aus dem vergangenen Jahr hervorgeht.

Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher. Unklar ist hingegen derzeit, wie eine solche Anpassung konkret aussehen könnte. Ein aktuell viel diskutierter Vorschlag stammt vom Europaabgeordneten Axel Voss, welcher bereits im Rahmen der Entstehung der DS-GVO als Schattenberichterstatter für die EVP-Fraktion tätig war. Demnach bestünde eine zentrale Änderung zunächst in der Abkehr vom Prinzip „one size fits all“, wonach sämtliche Regelungen der DS-GVO für alle Akteure gleichermaßen gelten – unabhängig von Umsatz, Größe oder Ausrichtung der Tätigkeiten. Voss führt hierbei drei verschiedene Regelungsstufen an:

• Eine „Mini-DS-GVO“ für Organisationen, die personenbezogene Daten von weniger als 100.000 Personen und ebenfalls keine sogenannten besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) verarbeiten. Für diese Organisationen soll die Pflicht zur Benennung eines Datenschutzbeauftragten entfallen und Höchststrafen für Verstöße auf 500.000 Euro begrenzt sein. Nach Schätzungen von Axel Voss wären hierin etwa 90 Prozent aller Unternehmen einzuordnen.

• Eine bis auf wenige Regelungen unveränderte DS-GVO soll hingegen für Organisationen gelten, die eine besonders hohe Zahl oder besonders sensible personenbezogene Daten verarbeiten.

• Die „DS-GVO-Plus“ zielt zuletzt auf Organisationen ab, deren Geschäftsmodell hauptsächlich auf der Verarbeitung von personenbezogenen Daten beruht, also beispielsweise große soziale Netzwerke und Datenbroker. Für diese Unternehmen sollen schärfere Regelungen gelten, beispielsweise durch eine verpflichtende Überprüfung durch Dritte oder eine Pflicht zur Veröffentlichung von Informationen zur Datenverarbeitung.

Unbestritten dürfte sein, dass die derzeitigen Regelungen das Verhältnis zwischen den Risiken einer Datenverarbeitung und den umzusetzenden Verpflichtungen in einer Spanne von Kleingartenverein bis Magnificent 7 eher schlecht als recht darstellen. Bis es jedoch tatsächlich zu konkreten Änderungen kommt, wird noch eine geraume Zeit vergehen. Zunächst kann damit gerechnet werden, dass bis zum Ende dieses Jahres die Europäische Kommission erste Maßnahmen für ein „vereinfachtes, klares und kohärentes gesetzliches Rahmenwerk für Unternehmen und Verwaltungen [vorstellt], um Daten nahtlos und in großem Umfang zu teilen und dabei hohe Standards für Datenschutz und Sicherheit zu respektieren.“ Möglicherweise wissen wir dann auch in Bezug auf die DS-GVO mehr…

Entbürokratisierung auf nationaler Ebene?

Bereits vor den Koalitionsgesprächen führten CDU, CSU und SPD aus, auch in Bezug auf den Datenschutz einen Bürokratieabbau vorzunehmen zu wollen. Allen voran wurde dargestellt, „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen (wir berichteten). Im nun vorliegenden Koalitionsvertrag  heißt es weiterhin: „Im Rahmen eines nationalen „Sofortprogramms für den Bürokratierückbau“ werden wir bis Ende des Jahres 2025, insbesondere mit Blick auf kleine und mittlere Unternehmen, Verpflichtungen zur Bestellung von Betriebsbeauftragten abschaffen und den Schulungs-, Weiterbildungs- und Dokumentationsaufwand signifikant reduzieren.“ Der Datenschutzbeauftragte wird in diesem Kontext nicht explizit genannt, aber auch nicht ausgeschlossen.

Unter der Überschrift „Datenschutz entbürokratisieren“ wird ferner angeführt: „Wir reformieren die Datenschutzaufsicht und bündeln sie beim Bundesdatenschutzbeauftragten.“ In Bezug auf staatliche Serviceleistungen soll zudem eine Abkehr von Einwilligungslösungen hin zu Widerspruchslösungen vorgenommen werden. Weiterhin soll die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) verankert werden, um beim Datenschutz „für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt sorgen.“ Dieses Vorhaben ist nicht gänzlich neu und wurde bereits durch die vorherige Regierung beabsichtigt.

Auf europäischer Ebene soll erreicht werden, dass nicht-kommerzielle Tätigkeiten – beispielsweise in Vereinen – sowie kleine und mittelständische Unternehmen mit risikoarmen Datenverarbeitungen – zum Beispiel Kundenlisten von Handwerkern – vom Anwendungsbereich der DS-GVO ausgenommen werden. Abschließend wird das Ziel angeführt, im Interesse der Wirtschaft „eine Bündelung der Zuständigkeiten und Kompetenzen Bundesdatenschutzbeauftragten“ vorzunehmen. Diese „soll dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit sein.“

Auch wenn die aufgeführten Maßnahmen an der einen oder anderen Stelle sicherlich Verbesserungen mit sich bringen können, handelt es sich hierbei keinesfalls um tatsächliche Maßnahmen der Entbürokratisierung. Die datenschutzrechtlichen Dokumentationspflichten ergeben sich aus der DS-GVO – einer europäischen Verordnung. Die neue Bundesregierung müsste also vor allem einen Änderungsdruck auf europäischer Ebene erzeugen. Unter Berücksichtigung der möglichen Reform der DS-GVO sicherlich keine unlösbare Aufgabe. Unklar ist jedoch, inwieweit sich die Koalitionsparteien hiermit durchsetzen werden können.

Fazit

Man kann mit ziemlicher Sicherheit sagen, dass sich an den bestehenden datenschutzrechtlichen Regelungen in Zukunft etwas ändern wird. Welche konkreten Änderungen zu erwarten sind und wann diese eine Umsetzung finden werden, ist jedoch nahezu komplett offen. Zunächst wird sich wohl noch in diesem Jahr entscheiden, ob und wie die nationale Regelung zur verpflichtenden Benennung des Datenschutzbeauftragten eine Änderung erfahren wird. Bezüglich aller weiteren Punkte wird man abwarten müssen…

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?

Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.

Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.

Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.

WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?

Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.

Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.  

WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?

Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.  

ZWEI JAHRE DS-GVO: WO STEHEN WIR?

Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt. 

IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?

Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.

Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht. 

DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?

Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.

Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.

Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.

Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.

SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?

Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.

WAS ERWARTET UNS 2021?

Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.

In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.  

Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten. 

Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WELCHE RECHTLICHEN GRUNDLAGEN GIBT ES?

Art. 83 Abs. 1 DS-GVO erlaubt den Datenschutz-Aufsichtsbehörden die Verhängung von wirksamen, verhältnismäßigen und abschreckenden Bußgeldern. Sanktioniert werden können hierbei die in Art. 83 Abs. 4 bis 6 DS-GVO normierten Tatbestände. Daneben bringt Art. 83 Abs. 8 DS-GVO i.V.m. § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) für das Sanktionsverfahren zur Anwendung.  

WAS IST DAS BUßGELDMODELL DER DATENSCHUTZ-AUFSICHTSBEHÖRDEN? 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat 2019 ein mittlerweile viel diskutiertes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Dieses Konzept soll den Aufsichtsbehörden bei der Zumessung der Höhe des Bußgeldes im Einzelfall die Fahrtrichtung vorgeben. Gebildet wird ein sogenannter „Tagessatz“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor. Wohl zurecht wird dieses Konzept – allen voran aufgrund der Bemessungskriterien und -faktoren – von vielen Seiten scharf kritisiert. 

HAFTEN UNTERNEHMEN FÜR IHRE BESCHÄFTIGTEN?

Viel diskutiert wird zudem die Frage wer Adressat von Bußgeldern sein kann. Zur Beantwortung dieser Frage ist entscheidend, ob im Bußgeldverfahren die nationalen Regelungen der §§ 30, 130 OWiG zur Anwendung kommen. Die Datenschutz-Aufsichtsbehörden richten den Fokus eindeutig auf die Verantwortlichen und Auftragsverarbeiter. Sie sehen die Regelung des § 30 OWiG durch den Anwendungsvorrang der DS-GVO verdrängt. Dies hat die DSK in ihrer Entschließung klargestellt.  Die Haftung für Verschulden der Beschäftigten resultiert durch Erwägungsgrund 150 DS-GVO aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts gemäß Art. 101, 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). Hiernach haften Unternehmen für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind. So geschehen durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der ein Bußgeld gegen einen Polizeibeamten verhängte.  

BESTEHEN MÖGLICHKEITEN ZUR VERMEIDUNG HOHER BUßGELDER?

In Sachen AOK Baden-Württemberg war in der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu lesen, dass eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Der LfDI Baden-Württemberg schildert weiterhin, dass die umfassende interne Überprüfung und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation sich zu Gunsten der AOK ausgewirkt haben. 

Auch im Fall von H&M wurde unternehmensseitig mit der der Aufarbeitung des Vorfalls sowie der Anregung verschiedener künftig zu treffender Maßnahmen eine Verringerung der Höhe des Bußgeldes erwirkt. Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept. Zur Aufarbeitung der Geschehnisse hat sich die Unternehmensleitung zudem nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Der Bußgeldbescheid ist mittlerweile auch bestandkräftig.  

Doch wie ist eine solche Kooperation mit der Datenschutz-Aufsichtsbehörde i.R.e. Bußgeldverfahrens einzuordnen? Nicht außer Acht gelassen werden darf hierbei, welche Rolle die Veröffentlichung beziehungsweise das Bekanntwerden eines Datenschutzverstoßes spielt. Folgeprobleme können ferner beispielsweise Schadenersatzklagen durch die Betroffenen sein.  

WELCHE MÖGLICHKEITEN BESTEHEN, UM GEGEN EINEN BUßGELDBESCHEID VORZUGEHEN?

Allen voran besteht die Möglichkeit gegen einen Bußgeldbescheid einer Datenschutz-Aufsichtsbehörde einen Einspruch gemäß § 67 OWiG innerhalb von zwei Wochen nach Zustellung des Bescheides einzulegen. Der Bescheid kann sowohl formelle (Zuständigkeit, Verfahren und Form) als auch materielle Mängel (Verhältnismäßigkeit des Bußgeldes) aufweisen. 

Auf den ersten Blick muss die Entscheidung des LG Bonn nach dem oben Gesagten wie ein „Sieg“ des Unternehmens wirken, wurde doch das Bußgeld von knapp 9 Mio. Euro auf 900.000 Euro gekappt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht sich durch die Entscheidung ebenfalls bestätigt. In Hinsicht darauf, dass das Bußgeld dem Grunde nach Bestand hat, muss das das Urteil aus Sicht des BfDI sicherlich als Erfolg gewertet werden. Beachtung verdient aber definitiv, dass das Gericht von einem Anwendungsvorrang der DS-GVO gegenüber dem nationalen Bußgeldrecht ausgeht und so eben jenen funktionalen Unternehmensbegriffs bestätigt.  

Lesenswert in diesem Zusammenhang in jedem Fall auch die Aufhebung des Bußgeldes i.H.v. 18 Mio. Euro gegen die Österreichische Post durch das österreichische Bundesverwaltungsgericht (BVerwG, Erkenntnis v. 26.11.2020 – Az.: W258 2227269-1). 

FAZIT

Die Vielzahl der Verfahren zeigt uns einmal mehr, dass Organisationen gut beraten sind, den Datenschutz, die Datensicherheit sowie die IT-Sicherheit ernst zu nehmen. Insbesondere im Fall von H&M wird offensichtlich, welche Konsequenzen durch eine schwere Missachtung des (Beschäftigten-) Datenschutzes herbeigeführt werden. Mit Sicherheit sind erlassene Bußgeldbescheide nicht in Stein gemeißelt und können vor allem Dinge hinsichtlich der Höhe einer gerichtlichen Überprüfung unterzogen werden. Das 1&1-Verfahren aber zeigt uns, dass die Sanktionierung dem Grunde nach vor den Gerichten Bestand haben kann. 

Kein Unternehmen kann es sich mehr erlauben, den Datenschutz zu vernachlässigen. Verstöße gegen das geltende Datenschutzrecht bleiben nicht ohne Folgen. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

DAS VERHÄLTNIS VON LÖSCHPFLICHTEN ZU AUFBEWAHRUNGSFRISTEN

Personenbezogene Daten müssen entsprechend des Art. 17 DS-GVO insbesondere dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dementsprechend entscheidet der konkrete Zweck einer Datenverarbeitung maßgeblich über die maximal zulässige Speicherdauer personenbezogener Daten. Unter Zugrundelegung des Zwecks ist nach dem Grundsatz der Speicherbegrenzung des Art. 5 Abs.1 lit. e DS-GVO eine Löschung zum frühestmöglichen Zeitpunkt vorzunehmen. Dabei darf keine Möglichkeit mehr existieren, auf die Daten ohne unverhältnismäßigen Aufwand zuzugreifen oder diese wiederherzustellen. Als Orientierung dient hierbei beispielsweise DIN 66399.

Ausnahmen bestehen dann, wenn der Löschpflicht gesetzliche Aufbewahrungsfristen entgegenstehen. So ergeben sich beispielsweise aus § 147 AO oder § 257 HGB Aufbewahrungsfristen für Geschäftsunterlagen von sechs bzw. zehn Jahren. Weitere spezialgesetzliche Ausnahmen lassen sich unter anderem im Banken- und Versicherungsgesetz, Aktiengesetz, Produkthaftungsgesetz oder auch im Bürgerlichen Gesetzbuch finden. Grundsätzlich gilt hierbei: Spezialgesetzliche Aufbewahrungsfristen gehen stets den datenschutzrechtlichen Löschpflichten vor. Dementsprechend dürfen personenbezogene Daten nicht gelöscht werden, sofern derartige Aufbewahrungsfristen bestehen. Bei der Aufbewahrung sind die datenschutzrechtlichen Grundsätze, insbesondere durch die Festlegung von Zutritts- und Zugriffsberechtigungen, einzuhalten.

Von einer Löschung kann ebenfalls – zumindest vorübergehend – abgesehen werden, wenn eine Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Weitere Ausnahmen bestehen, sofern die Löschung personenbezogener Daten die Verwirklichung im öffentlichen Interesse liegender Archivzwecke, wissenschaftlicher oder historischer Forschungszwecke sowie statistischer Zwecke ernsthaft beein-trächtigen oder unmöglich machen würde. Bei öffentlichen Stellen ist zudem eine Anbietungspflicht an die Landesarchive zu prüfen. Beinhalten Unterlagen keinerlei personenbezogene Daten, können diese ohne datenschutzrechtliche Vorgaben allein nach unternehmerischen Kriterien (Nutzen / Aufwand) aufbewahrt bzw. archiviert werden.

DIE ARCHIVIERUNG AUFBEWAHRUNGSPFLICHTIGER UNTERLAGEN

Unterlagen, welche für den laufenden Geschäftsbetrieb nicht mehr benötigt werden, sind getrennt von den Unterlagen des laufenden Geschäftsbetriebes aufzubewahren. Dabei ist eine Aufbewahrung im Original nicht immer zwingend erforderlich. Die Aufbewahrungspflicht im Original besteht lediglich für Eröffnungsbilanzen, Jahresabschlüsse sowie Konzernabschlüsse. Alle anderen Unterlagen können auch als Wiedergabe auf einem Bild- oder Datenträger aufbewahrt werden, solange dies den Grundsätzen ordnungsgemäßer Buchführung entspricht. Dabei muss jedoch eine jederzeitige Verfügbarkeit, unverzügliche Lesbarkeit sowie eine maschinelle Auswertbarkeit gewährleistet werden. Werden diese Anforderungen erfüllt, können die Originalunterlagen vernichtet werden, wenn dem keine Sondervorschriften entgegenstehen.

Nach dem Ablauf der gesetzlichen Aufbewahrungsfristen sind auch die archivierten Unterlagen datenschutzgerecht zu vernichten. Etwas anderes kann sich im Einzelfall ergeben, wenn die verantwortliche Stelle eine darüber hinausgehende Aufbewahrungsbedürftigkeit hinreichend darlegen kann. Diese ist jedoch entsprechend zu dokumentieren.

Der Kreis der Zugriffsberechtigten ist für die archivierten Unterlagen auf einige wenige Beschäftigte einzuschränken. Die Festlegung der zugriffsberechtigten Mitarbeiter kann zum Beispiel mittels eines Archivierungskonzeptes erfolgen.

DAS ARCHIVIERUNGSKONZEPT

Damit unternehmensübergreifend eine geeignete Archivierung gewährleistet werden kann, empfiehlt sich die Erstellung und Etablierung eines internen Archivierungskonzeptes. Darin werden unter anderem unternehmensrelevante Aufbewahrungsfristen, die technische und organisatorische Umsetzung des Archivsystems sowie diesbezügliche Schulungen der Beschäftigten festgelegt. Bei der Umsetzung eines Archivierungskonzeptes innerhalb Ihrer Organisation steht Ihnen Ihr Datenschutzbeauftragter oder das Dresdner Institut für Datenschutz gern beratend zur Seite.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken. Bei einer längeren Abwesenheitszeit sind zudem die Büroräume zu verschließen. Dabei sollten die verwendeten Schlüssel keine näheren Bezeichnungen enthalten, die im Falle eines Verlustes Rückschlüsse auf die Zugehörigkeit zulassen. Geben Sie zudem unter keinen Umständen personengebundene Schlüssel oder Passwörter weiter.

SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher oder andere unbefugte Dritte keine Einsicht auf Ihren Bildschirm nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln. Besucher der Geschäftsräume sollten stets nur unter Aufsicht Zugang erhalten.

GEBEN SIE KEINE AUSKÜNFTE AN UNBEFUGTE DRITTE

Generell gilt bei der Erteilung von Auskünften, dass sowohl das berechtigte Interesse des Auskunftssuchenden als auch das schutzwürdige Interesse der betroffenen Person zu beachten und gegeneinander abzuwägen sind. Sofern eine Auskunft telefonisch verlangt wird, besteht die größte Schwierigkeit darin, den Anrufer eindeutig zu identifizieren. Vereinbaren Sie hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise bereits bekannten Nummern. Ansonsten gilt: Prüfen Sie die Befugnis des Anfragenden, eine derartige Auskunft zu erhalten. Dieser muss sein Auskunftsrecht nachweisen, auch wenn es sich um Polizei oder Staatsanwaltschaft handelt. Beschränken Sie die Auskunft auf den absolut notwendigen Umfang und erteilen Sie die Auskünfte in Textform.

NUTZEN SIE E-MAIL- UND INTERNETDIENSTE BEWUSST

Achten Sie bei der Verwendung von Internet und E-Mail auf verdächtige oder ungewöhnliche Inhalte. Öffnen Sie Anhänge oder Links in E-Mails nur dann, wenn Sie den Absender kennen und einen Phishing-Versuch sicher ausschließen können.

TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.

VERNICHTEN SIE DOKUMENTE UND HARDWARE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.

ACHTEN SIE AUCH IM HOMEOFFICE AUF EINEN DATENSCHUTZKONFORMEN UMGANG

Auch bei der Arbeit im Homeoffice muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Stellen Sie aus diesem Grund sicher, dass Sie sämtliche der hier aufgeführten Anregungen stets auch bei der Arbeit zu Hause umsetzen.

MELDUNG VON DATENSCHUTZVERLETZUNGEN

Sollte Ihnen dennoch eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.