iCloud im Unternehmen

Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern bzw. zu sichern. Dieser Dienst ist für Kunden sicherlich praktisch, aus Compliance- und datenschutzrechtlicher Sicht für Unternehmen allerdings problematisch.

Die Nutzungsbedingungen für iCloud

Wenn ein Unternehmen Daten in die Cloud verlagern möchte, bietet die iCloud von Apple einen vermeintlich günstigen und praktischen Dienst an. Allerdings lauert bereits in den Nutzungsbedingungen das erste Problem für Unternehmen. Inmitten des Dokuments findet sich folgende Aussage:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist […].

Bereits an dieser Stelle hat sich die Thematik für die meisten Unternehmen erledigt. Offiziell darf iCloud aus Apples Sicht nicht in betrieblichem Kontext eingesetzt werden. Daraus ergibt sich auch, dass Apple in diesem Bereich kein Auftragsverarbeiter sein möchte. Im privaten Bereich findet die Datenschutz-Grundverordnung (DSGVO) gem. Art. 2 Abs. 2 lit. c DSGVO keine Anwendung, weswegen auch ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gem. Art. 28 DSGVO nicht notwendig wird. Da bei der Nutzung im Unternehmen an Apple jedoch personenbezogene Daten übermittelt und dort verarbeitet werden, müsste ein solcher Vertrag abgeschlossen werden.

Apple und der Datenschutz

Das führt uns zum zweiten Problemfeld, dem Datenschutz. Da es sich offiziell lediglich um private und nicht unternehmerische Daten handelt, nimmt sich Apple gewisse Freiheiten. Und die kann kein Unternehmen akzeptieren, ohne sich nicht datenschutzrechtlich angreifbar zu machen.

Während für Unternehmen sicherlich auch Geschäftsgeheimnisse eine gewisse Relevanz aufweisen, sind aus Sicht des Datenschutzes nur personenbezogene Daten interessant. Daher stellt Apple zunächst klar, was unter personenbezogenen Daten verstanden wird. Apple hat hier bereits ein anderes Verständnis als die DSGVO: Während Art. 4 Nr. 1 DSGVO die Identifizierbarkeit einer Person genügen lässt, fallen für Apple nur Daten darunter, die eine Identifikation auch tatsächlich zulassen. Des Weiteren enthalten die Apple-Dokumente des Öfteren die Formulierung „Du willigst ein“ oder „Du stimmst zu“. Darauf wiederum stützt Apple einen Teil der Datenverarbeitung. Derartige Formulierung genügen jedoch nicht den Anforderungen der DSGVO an eine Einwilligung. Art. 7 DSGVO setzt voraus, dass eine Einwilligung informiert abgegeben wird. Das ist gerade nicht der Fall, wenn sie inmitten eines Fließtextes erfolgt. Zudem ist zumindest fraglich, ob nicht auch das Kopplungsverbot greift. Jedenfalls werden laut Datenschutzrichtlinie Daten von Apple für eigene Zwecke verarbeitet und auch an Dritte weitergegeben. Da die Einwilligung jedoch nicht wirksam ist, erfolgt (aus Sicht der DSGVO) eine widerrechtliche Datenverarbeitung. Für Unternehmen kommt erschwerend hinzu, dass sie nicht die Einwilligung für ihre Kunden, Mitarbeiter, etc. abgeben können.

Auch zu bedenken ist, dass Apple nicht alle übertragenen Daten verschlüsselt. Während Dienste wie iMessage und der Schlüsselbund Ende-zu-Ende-verschlüsselt sind, gilt dies nicht für den Kalender oder die Kontakte. Es ist also anzunehmen, dass Apple auch hier personenbezogene Daten zu eigenen Zwecken verarbeitet. Damit kommen bei der Nutzung von iCloud die gleichen Bedenken wie bei der Verwendung von WhatsApp im Unternehmen.

Fazit: Nutzen Sie Alternativen zu iCloud

Nach aktuellem Stand bietet Apple keinen Cloudservice an, der den Anforderungen eines Unternehmens entspricht. Zum einen ist eine Nutzung im Unternehmen von Apple ausdrücklich nicht gewünscht, zum anderen sind die datenschutzrechtlichen Probleme nicht wegzudiskutieren. Vielleicht ist Letzteres der Grund, weswegen Apple seinen Service nicht für Unternehmen anbieten möchte.

Nutzt ein Unternehmen dennoch iCloud, droht aufgrund diverser Datenschutzverstöße die Gefahr einer Beanstandung durch die Aufsichtsbehörde. Schließlich verarbeiten Unternehmen auch die Daten ihrer Mitarbeiter und Kunden, die gerade nicht ohne Weiteres bei einem Dritten gespeichert werden dürfen (Stichwort AV-Vertrag). Glücklicherweise gibt es ausreichend Alternativen, die sowohl aus Compliance- als auch aus Datenschutzsicht die notwendigen Voraussetzungen mitbringen.

Dieser aktualisierte Artikel erschien zuerst am 22. August 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz beim Whistleblowing im Unternehmen

Für Unternehmen können interne Missstände, insbesondere Kriminalität innerhalb der Organisation bedrohliche Folgen haben. Um diesem Risiko entgegenzuwirken, ermöglichen manche Unternehmen ihren Mitarbeitern, das Fehlverhalten von Kollegen über einen bestimmten Kanal (anonym) zu melden. Die Einrichtung eines solchen Whistleblowing-Systems wirft jedoch verschiedene datenschutzrechtliche Fragen auf. Unter welchen Umständen Arbeitgeber ein Hinweisgebersystem etablieren und betreiben können, erläutern wir Ihnen in diesem Ratgeber.

Datenschutz und Whistleblowing im Unternehmen

Whistleblowing-Systeme sollen die regulären Informations- und Meldekanäle innerhalb eines Unternehmens ergänzen – wie beispielsweise den Betriebsrat, Qualitätskontrolle oder interne Auditoren, die eigens dafür bestimmt sind, auftretende Missstände zu erkennen und zu melden.

Aus Sicht des Datenschutzrechts und insbesondere der Datenschutz-Grundverordnung (DSGVO) hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) eine Orientierungshilfe zu Whistleblowing-Hotlines veröffentlicht (PDF, Stand: 14. November 2018). Daraus ergeben sich einige grundsätzliche Hinweise zur Einrichtung eines solchen Hinweisgebersystems.

Wichtig ist es zunächst, die Planung und Einführung eines Whistleblowing-Systems am datenschutzrechtlichen Grundsatz der Erforderlichkeit auszurichten. Versuchen Sie realistisch einzuschätzen, inwieweit Ihr Unternehmen durch interne Missstände oder ggf. sogar durch kriminelle Aktivitäten bestimmten Gefahren ausgesetzt ist. Treten im Unternehmen immer wieder entsprechende Fälle durch Innentäter auf, kann ein Hinweisgebersystem ggf. zusätzliche nützliche Hinweise liefern.

Ausgerichtet an den konkreten Bedürfnissen im Unternehmen sollten die Fälle festgelegt werden, für die das Whistleblowing System verwendet werden soll. So kann das System zur Meldung folgender Verstöße eingesetzt werden:

  • Straftaten
  • Verstöße gegen Menschenrechte
  • Verstöße gegen unternehmensinterne Ethikregeln

Darüber hinaus sollte – orientiert am Erforderlichkeitsgrundsatz – festgelegt werden, welche Personengruppen

  • das Verfahren nutzen dürfen und
  • über das Verfahren gegenüber der Geschäftsleitung überhaupt angezeigt werden können.

Nicht relevante Personenkreise sollen ausdrücklich von dem Verfahren ausgeschlossen werden.

Schließlich stellt sich auch die Frage, ob die Hinweise anonym erfolgen oder ob die Identität des Hinweisgebers offenbart werden sollte. Die Datenschutzkonferenz empfiehlt die Einrichtung eines anonymen Hinweisgebersystems. Zwar berge dies die Gefahr des Missbrauchs, insbesondere der Denunziation unschuldiger Mitarbeiter, weil der Hinweisgeber hier letztlich unbekannt bleibt. Andererseits würden so aber ggf. auch Personen zur Abgabe von Hinweisen animiert, die ansonsten von einer Meldung Abstand genommen hätten. Zudem fehlt es nach Ansicht der Datenschutzkonferenz an einer wirksamen Rechtsgrundlage für die Verarbeitung der Daten des Hinweisgebers.

Lediglich dann, wenn der Hinweisgeber

  • seine Identität bewusst offenlegen möchte,
  • darauf hingewiesen wird, dass seine Identität während des gesamten Verfahrens vertraulich behandelt werden wird, außerdem aber auch
  • darüber in Kenntnis gesetzt ist, dass der Beschuldigte grundsätzlich innerhalb eines Monats nach Erhalt der Meldung informiert werden muss,

ist die Verarbeitung seiner Personendaten – auf Basis einer informierten Einwilligung – denkbar.

Grundsätzlich gilt, dass die Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Erlaubnis bedarf – also auch dann, wenn im Rahmen des Whistleblowing-Verfahrens Daten mit Personenbezug verarbeitet werden.

Da eine Einwilligung im Beschäftigtenverhältnis aufgrund der fehlenden Freiwilligkeit oftmals mit Problemen verbunden ist, empfiehlt sich (abgesehen von der oben beschriebenen Ausnahme in Bezug auf den Hinweisgeber) als Rechtsgrundlage das berechtigte Interesse des Unternehmens an der Aufklärung und Vermeidung bestimmter Missstände im Unternehmen. Werden bei der Einrichtung und beim Betrieb des Hinweisgebersystems die hier näher dargestellten Grundsätze beachtet, wird man bei der Abwägung der Interessen des beschuldigten Mitarbeiters und der des Unternehmens in der Regel von einem überwiegenden Unternehmensinteresse ausgehen können.

Beachtet werden sollte jedoch, dass die beschriebene Rechtsgrundlage aus Sicht der Datenschutzkonferenz nicht bei Verstößen gegen interne Verhaltensrichtlinien Verwendung finden kann! Alternativ kommt der Abschluss einer Betriebsvereinbarung als Rechtsgrundlage in Frage.

Zu den – neben einer ausreichenden Rechtsgrundlage – zu beachtenden Datenschutzgrundsätzen zählen in diesem Zusammenhang insbesondere auch das Prinzip der Datensparsamkeit und der Datenminimierung:

  • (Zusätzliche) Informationen, die für den beschriebenen Zweck des Hinweisgebersystems nicht erheblich sind, dürfen auch nicht gespeichert werden.
  • Für die im Zusammenhang mit dem Verfahren erhobenen Personendaten sind zudem Speicherfristen festzulegen und sicherzustellen, dass diese genau eingehalten werden.
  • Personenbezogene Daten sind zu löschen, sobald ihr vorgesehener Zweck erfüllt ist.

Aufklärung aller Beteiligten von Anfang an

Die Akzeptanz und Kooperation der Mitarbeiter ist die essenzielle Grundvoraussetzung, damit ein Whistleblowing-Verfahren überhaupt funktionieren kann. Durch eine frühzeitige und umfassende Aufklärung über das Verfahren und die wichtigen Gründe dazu, kann vermieden werden, dass sich die Unternehmensangehörigen unter einen Generalverdacht gestellt fühlen.

Allgemeine Information der Mitarbeiter über das Verfahren

Die Mitarbeiter sollten (z. B. in einer entsprechenden Richtlinie) über folgende Punkte aufgeklärt werden:

  • Die Notwendigkeit des Verfahrens: Welche Fälle von kriminellen Handlungen sind in der Vergangenheit vorgekommen, was bedeutet das für das Unternehmen (d. h. welche Risiken bzw. Schäden sind ggf. aufgetreten)?
  • Der Anwendungsbereich: Welche Fälle sollen über das Verfahren erfasst werden und welche nicht? Erläutern Sie die verschiedenen Gruppen von Strafbeständen, die eingedämmt werden sollen, möglichst genau: Welchen Einfluss hat Industriespionage auf das Unternehmen? Welche Formen von Betrug oder Finanzkriminalität stellen ein Risiko für das Unternehmen dar?
  • Das Verfahren selbst: Wie genau funktioniert das Verfahren? Was passiert mit den dabei erhobenen Daten? Wie werden die Daten angemessen geschützt? Wie kann ein Missbrauch des Verfahrens vermieden werden? Welche Möglichkeit hat ein Betroffener, zu Vorwürfen Stellung zu nehmen? Welche Konsequenzen hat eine Meldung? Wer ist am Verfahren zu beteiligen?

Konkrete Information der an einem bestimmten Verfahren beteiligten Personen

Darüber hinaus stellt das Datenschutzrecht in Art. 13 und 14 DSGVO bestimmte Anforderungen in Bezug auf die Information zum Umgang mit personenbezogenen Daten auf. Diese sind im Rahmen der Aufklärung der Betroffenen über das Whisteblowing-System ebenfalls angemessen zu berücksichtigen. Soweit ein anonymes Hinweisgeber-System eingeführt wird, entfällt die Informationspflicht nach Art. 13 DSGVO gegenüber dem Hinweisgeber, da keine personenbezogenen Daten von ihm verarbeitet werden. Ansonsten ist er umfassend über die in Art. 13 DSGVO enthaltenen Punkte (z.B. Verantwortlicher, Zweck der Verarbeitung und mögliche Empfänger der Daten) zu informieren.

Der Beschuldigte ist nach Art. 14 DSGVO grundsätzlich zu informieren – die Verarbeitung seiner personenbezogenen Daten ist ja gerade der Kern des Verfahrens. Die Information des Beschuldigten hat spätestens einen Monat nach Erhalt der Daten zu erfolgen – dies gilt allerdings nicht, wenn durch die Information die Aufklärung der gemeldeten Tat gefährdet werden könnte. In diesem Fall kann die Information bis zum Abschluss der Ermittlungen aufgeschoben werden.

Achtung: Die Information muss in „klarer, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden.

Datensicherheit beim Whistleblowing im Unternehmen

Bei der Einrichtung eines Whistleblowing-Systems muss sichergesellt sein, dass das Verfahren den Anforderungen der DSGVO in Sachen Datensicherheit entspricht. Die entsprechenden technischen und organisatorischen Maßnahmen sollten dokumentiert werden und es ist sicherzustellen, dass die Mitarbeiter diese Maßnahmen kennen und auch beachten.

Technische Maßnahmen beinhalten beispielsweise die Sicherstellung eines zuverlässigen Schutzes der gespeicherten Daten vor unbefugtem Zugriff durch eine Pseudonymisierung oder Verschlüsselung der Daten. In organisatorischer Hinsicht empfehlen sich Regelungen zur Rechtevergabe sowie zur fristgerechten vollständigen Löschung der Daten, die wiederum technisch überwacht und/oder durchgesetzt werden sollten.

Was Sie beim unternehmensinternen Whistleblowing noch beachten sollten

  • Bei der Einführung von Whistleblowing-Systemen sind die Mitbestimmungsrechte des Betriebsrats zu beachten.
  • Der Datenschutzbeauftragte sollte frühzeitig in die Planung und Implementierung des Systems einbezogen werden.
  • Der Datenschutzbeauftragte sollte auch prüfen, ob für die Einführung des Systems eine Datenschutzfolgenabschätzung nötig ist und diese ggf. dokumentiert durchführen.
  • Verhinderung von Missbrauch: Zwar kann ein Whistleblowing-System zur Aufklärung und Eindämmung krimineller Handlungen im Unternehmen einen essenziellen Beitrag leisten. Andererseits birgt ein solches System aber auch bestimmte Risiken. So können Kollegen sich dazu animieren fühlen, sich gegenseitig zu überwachen. Gleichzeitig besteht die Gefahr falscher Meldungen.
  • Das Unternehmen muss daher klarstellen, dass nicht jede noch so geringfügige oder lediglich vermutete Unregelmäßigkeit gemeldet werden soll und kein Interesse an unkonkreten oder gar falschen Beschuldigungen besteht.
  • Wird das Verfahren im Rahmen einer Auftragsverarbeitung über einen externen Dienstleister durchgeführt, ist ein Vertrag zur Verarbeitung im Auftrag Wenn Sie schützenswerte Daten durch einen externen Dienstleister verarbeiten lassen, bleiben Sie selbst für den Schutz dieser Daten verantwortlich. Sie sind dann auch dazu verpflichtet, zu kontrollieren, dass der Auftragnehmer die gesetzlichen Anforderungen an den Datenschutz erfüllt. Etwas anderes gilt dann, wenn der Dienstleister selbst einer gesetzlichen Vertraulichkeitsverpflichtung unterliegt (wie z.B. ein Rechsanwalt).

Dieser aktualisierte Artikel erschien zuerst am 27. September 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz bei Bewerberdaten

Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird. Das neue Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Die Neufassung des Bundesdatenschutzgesetzes (BDSG) trägt diesem Umstand auch weiterhin Rechnung. Demnach fallen Bewerber unter dem Beschäftigtenbegriff des § 26 Abs. 1 BDSG.

Welche Daten dürfen von Bewerbern erhoben werden?

Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der Datenschutz-Grundverordnung (DSGVO). Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.

Dürfen von Dritten Informationen über den Bewerber eingeholt werden?

Wie für jede Verarbeitung von personenbezogenen Daten, bedarf es auch im Bewerbungsverfahren einer Rechtgrundlage. Da in aller Regel die Daten direkt beim Bewerber erhoben werden, wird man sich hier auf § 26 Abs. 1 BDSG – der auch für die vorvertraglichen Maßnahmen zur Begründung eines Arbeitsverhältnisses gilt – stützen können.

Allerdings kann es auch vorkommen, dass ein potentieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten wieder die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch den § 26 Abs. 1 BDSG sicherlich nicht mehr gedeckt.

Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Besondere Kategorien personenbezogener Daten

Bewerbungsunterlagen enthalten eine Vielzahl von personenbezogenen Daten. Darunter können auch sog. besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann durch sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.

Die Erlaubnis zur Verarbeitung ergibt sich hierbei auch durch die Spezialregelung des § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potentielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.

Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter  beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Bewerbung per E-Mail oder Onlineformular

Um die Papierflut bei Bewerbungsunterlagen auf Seiten des Unternehmens zu minimieren und andererseits die Kosten für den Bewerber für die Bewerbungsunterlagen klein zu halten, hat sich in den letzten Jahren der Versand von elektronischen Bewerbungsunterlagen per E-Mail etabliert. Online-Bewerbungen per E-Mail stellen allerding das Unternehmen datenschutzrechtlich immer vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine verschlüsselte Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden also regelmäßig unverschlüsselt per Mail über das Internet versendet.

Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollte das Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten. Ob dies nun der Rückfall auf die papierhafte Bewerbungsmappe ist, sei dahingestellt.

Eine zeitgemäßere Variante ist sicherlich, ein Online-Bewerbertool zur Verfügung zu stellen. Hier kann der Bewerber über eine verschlüsselte Webseite seine Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, den Bewerber – bevor er seine Unterlagen hochgeladen hat – über die Verarbeitung seiner personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.

Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl eine sog. Datenweitergabe an Dritte vor.

Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an Sie als Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung an Sie sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich  die  Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.

Dieser aktualisierte Artikel erschien zuerst am 2. Dezember 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzprüfungen von Smartphone-Apps

Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) hat daher automatisierte Verfahren entwickelt, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen.

Problematischer Datenhunger von App-Anbietern

Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte.

Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand über den App Store auf dem Gerät installiert. So gab Apple an, im Jahr 2016 erstmals mehr als zwei Millionen Apps in seinem App Store anzubieten. Auch Googles Play Store bietet aktuell über zwei Millionen Apps zum Download an. Völlig unverhältnismäßig zur Flut der Programme erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.

Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Zwar müssen sich Apps mittlerweile den Zugriff auf Teile des Smartphones oder Tablets vom Nutzer freigeben lassen, aber dabei lassen sich immer wieder Apps Berechtigungen einräumen, die sie für den eigenen Betrieb gar nicht benötigen. Wer kommt schon auf die Idee, dass eine einfache Spiele-App Adressbuchdaten, Standortinformationen, Anruflisten und gespeicherte Bilder auswertet? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Eine Studie von Forschern der Universität Oxford ergab beispielsweise, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten. Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr privaten Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?

Landesbehörde entwickelt automatisiertes Prüfverfahren

Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern prüfte 2013 stichprobenartig 30 Apps und 2014 noch einmal 60 weitere – und fand zahlreiche Verstöße gegen das Datenschutzrecht. Keine App erfüllte die Anforderungen an den Datenschutz. Das Verhalten der Apple- und Android-Apps wurde dabei mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert.

Untersucht wurden dabei Informationen wie die übermittelten Netzwerkdaten, die beteiligten Datenempfänger, die eingesetzte Verschlüsselung und die Methoden zur Reichweitenmessung.

Worauf sollten App-Anbieter achten?

Die Datenschutz-Grundverordnung (DSGVO) macht auch vor Apps nicht Halt. Daraus ergeben sich unter anderem folgende Erfordernisse:

  • Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben, zu welchem konkreten Zweck diese genutzt, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die für den Nutzer schon vor der Installation und beim erstmaligen Start der App einsehbar sein muss. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
  • Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
  • Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
  • Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
  • Richten sich Apps an Kinder und Jugendliche unter 16 Jahren, so ist darauf zu achten, dass die Einwilligung der Eltern vorliegen muss, damit personenbezogene Daten verarbeitet werden können.
  • Wird das Nutzerverhalten von der App getrackt, so muss auch hier die Einwilligung vor dem Tracking eingeholt werden. Auch über das Tracking muss in der Datenschutzerklärung informiert werden.
  • Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein. Das LDA Bayern stellt einen Prüfkatalog zur Verfügung, um die Umsetzung der technischen Maßnahmen zu erfassen. Dieser wurde zwar noch nicht auf die Anforderungen der DSGVO aktualisiert, bietet aber dennoch eine wertvolle Auflistung der notwendigen technischen Maßnahmen.
  • Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
  • Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
  • Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps nicht nur über ein ordnungsgemäßes Impressum verfügen. Der für die Datenverarbeitung verantwortliche Anbieter muss auch in der Datenschutzerklärung erwähnt werden.

Für App-Entwickler und -anbieter hat der Düsseldorfer Kreis einen Leitfaden herausgegeben, damit der Datenschutz bereits in der Planungsphase berücksichtigt werden kann. Aktuell gibt es zwar keine Fassung, welche konkret auf die DSGVO zugeschnitten wurde, allerdings gibt der Leitfaden wichtige Anhaltspunkte über zu berücksichtigende Aspekte bei der App-Entwicklung.

Dieser aktualisierte Artikel wurde zuerst am 24. April 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonforme Internetwerbung für Kinder und Jugendliche

Kinder und Jugendliche sind eine stark umworbene Zielgruppe für Werbung – insbesondere online. Denn Minderjährige verfügen nicht nur selbst über eine gewisse Kaufkraft, sondern beeinflussen in beachtlichem Maße auch Kaufentscheidungen der Erwachsenen in ihrem Umfeld. Der Gesetzgeber stellt Kinder und Jugendliche jedoch unter einen besonderen Schutz, weshalb bei allen Erhebungen und Verarbeitungen personenbezogener Daten von Minderjährigen besondere Datenschutzregeln gelten.

Warum gelten für Minderjährige zusätzliche Datenschutzvorgaben?

Marketing bzw. Werbung soll zum einen die Kaufentscheidungen von Kindern und Jugendlichen bzw. der zugehörigen Erwachsenen beeinflussen. Zum anderen wird versucht, junge Menschen so früh wie möglich an Marken zu binden, um in ihnen im Erwachsenenalter treue Kunden zu haben. Darum entwickeln Unternehmen spezielle Strategien, um insbesondere Kinder und Jugendliche so tief wie möglich beeinflussen zu können. Sehr begeisterungsfähig und selten kritisch, bilden diese schließlich eine denkbar attraktive Zielgruppe.

Werbung will Wünsche wecken und die Konsumenten dazu in eine Fantasiewelt entführen, wo ihnen teilweise wahre Wunder versprochen werden. Erwachsene können zwischen diesen Fantasien und der Realität unterscheiden. Kinder besitzen die nötige kritische Unterscheidungsfähigkeit dagegen zunächst überhaupt nicht, sondern bilden diese erst nach und nach aus.

Insbesondere im Internet fällt es Kindern schwer, Werbung als solche zu identifizieren. Hier tarnt sie sich in kostenlosen Online-Games, Gewinnspielen, Kinderklubs und vermeintlichen „Empfehlungen“ von Freunden in sozialen Netzwerken.

Es ist auch unklar, ab wann Minderjährige vollumfänglich verstehen, was es bedeutet, wenn sie eine Einwilligungserklärung abgeben, um Zugang zum gewünschten Ziel zu erhalten. Denn selbst für Volljährige sind die Datenschutzbestimmungen in Einwilligungserklärung nicht selten zu kompliziert.

Außerdem setzen Unternehmen im Internet auf stark personalisierte Werbung. Um an die Wünsche und Vorlieben eines konkreten Nutzers angepasste Werbung platzieren zu können, müssen Anbieter ihre Anwender so genau wie möglich kennen. Das artet in einer wahren Datensammelwut aus, die auch vor Kindern und Jugendlichen nicht Halt macht.

Deshalb sieht der Gesetzgeber für Werbetreibende im Umgang mit Minderjährigen besondere Regeln vor. Die Grundlagen dafür finden sich im Gesetz gegen den unlauteren Wettbewerb (UWG), im Telemediengesetz (TMG), im Jugend-Medienschutz-Staatsvertrag (JMStV) sowie in der EU-Datenschutz-Grundverordnung (DSGVO).

Datenschutzvorgaben für Onlineangebote für Minderjährige

Wie können Onlineinhalte und insbesondere Werbung, die sich an Kinder und Jugendlich richten, also so gestaltet werden, dass sie datenschutzrechtliche Kriterien erfüllen? Auf folgende Punkte sollten Sie besonders achten:

Datenvermeidung und Datensparsamkeit

Art. 5 Abs. 1 lit c) DSGVO nennt die Prinzipien der Datenvermeidung und Datensparsamkeit mit der zentralen Fragestellung: Welche Daten brauche ich, um den angebotenen Dienst erbringen zu können? Nicht wenige Anbieter beantworten diese Frage mit „so viel wie möglich“. Je mehr man weiß, umso besser kann man seine Leistung schließlich an einen Nutzer anpassen. Aber auch schon bei erwachsenen Anwendern hat das Gesetz eine strenge Definition der Erforderlichkeit einer Datenerhebung.

Das bedeutet: erforderlich sind nur diejenigen Daten, ohne deren Kenntnis die Bereitstellung der Dienstleistung nicht möglich wäre. Erst recht bei Angeboten für Kinder dürfen darüber hinaus keine Daten erhoben werden.

Das TMG konkretisiert in § 13 Abs. 6, dass die Nutzung von Onlineangeboten und deren Bezahlung soweit möglich und zumutbar anonym oder unter Nutzung eines Pseudonyms ermöglicht werden muss. Für die meisten Dienste reicht die Angabe einer E-Mail-Adresse völlig aus. Davon, zur Angabe von personenbezogenen Daten von Freunden aufzufordern, sollte völlig abgesehen werden.

Einwilligung

Experten sind sich nicht einig, ab wann Kinder einschätzen können, was es bedeutet, in die Nutzung von persönlichen Daten einzuwilligen. Viele sind der Ansicht, dass dieser Reifeprozess sehr individuell sein kann. Damit eine Einwilligung gültig ist, muss sie informiert und freiwillig erfolgen. Der Betroffene muss umfänglich verstehen, welche Daten genau von ihm erhoben werden und was damit geschieht. Die Information darüber darf also nicht zu übersehen und klar verständlich sein.

Durch Art. 8 Abs. 1 DSGVO wurde nun erstmals ein Mindestalter für Einwilligungen festgelegt. Ein besonderer Schutz soll erst dann nicht mehr notwendig sein, wenn die einwilligende Person das 16. Lebensjahr vollendet hat.

Richtet sich demnach das Angebot direkt an Kinder bzw. Jugendliche, so können diese selbst nur dann eine informierte und freiwillige Einwilligung abgeben, soweit sie das sechzehnte Lebensjahr vollendet haben. Ist dies nicht der Fall, bedarf es der Zustimmung durch die Eltern bzw. deren Beisein.

Hiervon abweichend können die Mitgliedstaaten Regelungen treffen, die das Mindestalter senken. Jedoch darf das Mindestalter nie unter dem vollendeten dreizehnten Lebensjahr liegen. Deutschland hat bisher nicht von dieser Öffnungsklausel der DSGVO Gebrauch gemacht. Anders zum Beispiel Österreich, das in § 4 Abs. 4 DSG (Datenschutzgesetz) ein Mindesteinwilligungsalter von 14 Jahren vorsieht.

Art. 8 DSGVO modifiziert die Anforderungen an eine wirksame Einwilligung nach Art. 7 DSGVO. Alle Voraussetzungen müssen kumulativ vorliegen. Eingegrenzt wird der Anwendungsbereich des Art. 8 DSGVO durch das Erfordernis eines Angebots von Diensten der Informationsgesellschaft. Bezüglich der Begrifflichkeit wird hierzu in Art. 4 Nr. 25 DSGVO auf Art. 1 Nr. 1 lit b) der Richtlinie 2015/1535 verwiesen. Dienst meint dabei jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Insbesondere fallen darunter E-Commerce, Streaming-Dienste, der Download von Onlineinhalten, aber auch der Beitritt zu sozialen Netzwerken.

In der Praxis ist vor allem interessant, welche Anforderungen an die Nachweispflicht des Einwilligungsempfängers gestellt werden. Hierzu wird in Art. 8 Abs. 2 DSGVO eine Aussage getroffen. Demnach werden von dem für die Datenverarbeitung Verantwortlichen angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik abverlangt, um herauszufinden, ob die Einwilligung durch die Eltern oder in deren Beisein erteilt wurde. Hieraus lässt sich der Schluss ziehen, dass ein bloßer Hinweis auf das notwendige Mindestalter vor elektronischer Einholung einer Einwilligung nicht ausreicht. Es empfiehlt sich, stets das Alter abzufragen. Sollte dann die Einwilligung der Eltern eingeholt werden müssen, kann dies z. B. durch Zusendung eines Dokuments oder dem Double-opt-in-Verfahren mit der E-Mail-Adresse der Eltern realisiert werden. Ein wirklich praxistaugliches Legitimationsverfahren besteht jedoch nicht.

Schwierig wird künftig auch zu beurteilen sein, ob sich ein Angebot direkt an ein Kind richtet oder nicht. Dem Wortlaut „direkt“ muss hierbei Rechnung getragen werden. Nicht umfasst werden folglich Angebote, die zwar einen Bezug zu Minderjährigen haben, diese aber nicht direkt ansprechen (z. B. Dienstleistungen und Waren für Kinder, die sich eigentlich auf unbeschränkt geschäftsfähige Personen beziehen). Es ist stets danach zu fragen, ob sich das Angebot typischerweise auch an Kinder richtet bzw. ob dieses regelmäßig von Kindern in Anspruch genommen wird.

Verbot unlauterer und aggressiver geschäftlicher Handlungen

Das UWG spricht in § 3 Abs. 4 und 4a Abs. 2 S. 2 vom Verbot unlauterer und aggressiver geschäftlicher Handlungen. Beide lauterkeitsrechtlichen Vorschriften stellen auch auf das Alter des Adressaten ab. Hierbei darf die geschäftliche Unerfahrenheit aufgrund des Alters nicht durch unlautere oder aggressive Handlungen beeinflusst werden.

Fazit: Die kindgerechte Gestaltung von Onlineinhalten ist möglich

Internetangebote sollten immer so gestaltet sein, dass der Nutzer Herr der Situation und seiner Daten bleibt. Das bedeutet, dass er jederzeit bewusst entscheiden kann, bestimmte Angebote zu nutzen oder nicht – und dafür eindeutig darüber informiert ist, was ihn bei der Nutzung erwartet.

Erst recht bei Kindern ist eine besondere Sorgfalt notwendig, um diese nicht in unfreiwillig entstandene Situationen zu führen. Damit ist nicht nur gemeint, dass Websites und andere Onlineinhalte für Kinder und Jugendliche nicht irreführend gestaltet sein dürfen. Dies beinhaltet unter anderem auch, dass Werbung deutlich erkennbar vom redaktionellen Inhalt getrennt sein muss und Links eindeutig erkennen lassen, zu welchem Ziel sie führen.

Es ist auch notwendig, dass die Informationen, die ein Betreiber zu seinem Angebot bereitstellt – wie etwa die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen – für Kinder verständlich formuliert sind.

Dieser aktualisierte Artikel wurde zuerst am 27. September 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz beim Einsatz von RFID-Chips

Unternehmen und Behörden dürfen RFID-Chips nur nach einer Datenschutz-Folgenabschätzung (DSFA) einsetzen. Bereits seit 2011 gilt eine Selbstverpflichtung, wodurch für Unternehmen Rechtssicherheit bei Investitionen in die RFID-Technik geschaffen wurde. Seit 2018 ist die Pflicht zur Datenschutz-Folgenabschätzung sogar gesetzlich in der Datenschutz-Grundverordnung (DSGVO) verankert.

Datenschutzbedenken bei der RFID-Technik

RFID-Chips sind vor allem aus der modernen Logistik nicht mehr wegzudenken. Aber sie werden nicht nur beim Warentransport eingesetzt, sondern auch in Ausweisdokumenten, bei elektronischen Bezahlverfahren sowie zur Kennzeichnung von Fahrzeugen oder Nutztieren. Weil mit der RFID-Technik Daten berührungslos, unauffällig und zuverlässig übertragen werden können, wachsen die Anwendungsgebiete beständig.

Es verwundert allerdings nicht, dass die RFID-Technik nicht nur Begeisterung hervorruft, sondern auch Besorgnis erregt. Wer die Vorteile der kleinen Chips nutzen möchte, kann nicht darauf verzichten, die Datenschutzbedenken von Kunden, Mitarbeitern und Behörden zu berücksichtigen.

Um für Rechtssicherheit zu sorgen, hat sich die Wirtschaft daher bereits 2011 gegenüber der EU-Kommission dazu verpflichtet, für jede RFID-Anwendung vor deren Inbetriebnahme eine so genannte Datenschutz-Folgenabschätzung durchzuführen. Dabei werden mögliche Datenschutz-Risiken in Zusammenhang mit dem RFID-Projekt sowie die jeweilige Eintrittswahrscheinlichkeit für die Risiken ermittelt. Erst wenn geeignete Vorkehrungen zur Abwendung aller bestehenden Risiken definiert und eingeleitet worden sind, darf die Anwendung in Betrieb genommen werden.

Die Vorgehensweise für die Folgenabschätzung ist im „Privacy Impact Assessment Framework“ (PIA) festgeschrieben.

Beim Einsatz von RFID folgt die Pflicht zur DSFA schnell aus der DSGVO

Seit Anwendbarkeit der DSGVO regelt Art. 35 DSGVO regelt die Datenschutz-Folgenabschätzung. Er sieht eine DSFA in den Fällen vor, in denen eine Verarbeitung ein hohes Risiko für Betroffene darstellen kann. Zur konkreten Anwendung dieser offen formulierten Pflicht sind die Aufsichtsbehörden gehalten, Listen mit Verfahren herauszugeben, die zwingend der DSFA unterliegen (siehe die Blacklist der DSK für DSFA).

Sieht man sich diese Liste an, landet man beim Einsatz von RFID je nach Einsatzszenario schnell Treffer:

  • Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten zu bestimmten Zwecken
  • Erfassung personenbezogener Daten in öffentlichen Bereichen durch mehrere Erfassungssysteme, die zentral zusammengeführt werden
  • Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlicher Aspekte von Menschen
  • Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten
  • Erstellung von Profilen über Interessen und persönliche Beziehungen sowie Persönlichkeit von Menschen
  • Erhebung personenbezogener Daten über Schnittstellen elektronischer Geräte ohne Kenntnis des Betroffenen
  • Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen

Die DSGVO erzeugt damit im Zweifel ohnehin die Pflicht, eine DSFA vor dem Einsatz von RFID-Chips durchzuführen. Die Selbstverpflichtung war vorausschauend, ist nun aber gar nicht mehr notwendig, da die Pflicht nun direkt aus dem Datenschutzrecht folgt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Die Sicherung des WLAN-Anschlusses

Derzeit werden die Forderungen, nach einer Lockerung der Haftung für WLAN-Anschlüsse immer lauter. Nichts desto trotz haftet nach aktueller Rechtslage noch der Anschlussinhaber grundsätzlich für alle rechtswidrigen Handlungen, die über dessen Internetanschluss begangen werden. Dies gilt selbstverständlich auch für Internetanschlüsse eines Unternehmens.

Primär haftet zwar derjenige, der die rechtswidrige Handlung tatsächlich begangen hat. Diese Person herauszufinden ist jedoch meistens sehr schwierig, da die die Rückverfolgung der IP-Adresse durch den Provider nur bis zum „Unternehmenstor“ möglich ist. Deshalb wird im Regelfall die Suche des Schuldigen auf den Anschlussinhaber beschränkt, da dieser ja auch in Anspruch genommen werden kann.

Um der Haftung zu entgehen, sollte ein Unternehmen seinen WLAN-Anschluss zwingend verschlüsseln. Dabei ist die zur Zeit der Einrichtung des WLANs sicherste Verschlüsselungsmethode zu wählen, derzeit ist dies WPA2. Notwendig ist es zudem, die Verschlüsselungsmethode ständig aktuell zu halten und stets dem technischen Fortschritt anzupassen. Von ungesicherten WLAN-Netzwerken ist dringend abzuraten.

Individuelle Kennungen der WLAN-Zugänge

Daneben sollten auch stets individuelle Kennungen vergeben werden. Diese haben zumindest einen psychologischen Effekt, denn ein Nutzer mit individuellem Zugang dürfte wohl gehemmter sein, rechtswidrige Taten zu begehen, als ein Nutzer mit einer Gruppenkennung. Eine Aufzeichnung der Zuordnung der Accounts zu den Nutzern ist aus datenschutzrechtlicher Sicht problematisch, weshalb vor Speicherung der Daten eine Einwilligung eingeholt werden sollte.

Das Mitloggen der Aktivitäten der einzelnen Nutzeraccounts ist technisch zwar grundsätzlich möglich, jedoch kommt den Log-Files in der Praxis kein hoher Beweiswert zu, weshalb dies nicht zwingend nötig erscheint. Auch können hier datenschutzrechtliche Probleme entstehen, wenn die Nutzeraccounts einzelnen Personen zugeordnet werden können.

Ebenso besteht für die Unternehmen die Möglichkeit, bestimmte Ports zu sperren, beispielsweise die typischerweise für Filesharing verwendeten Ports. Auch eine Beschränkung der Bandbreite ist möglich.
Die Nutzer sollten hierüber jedoch vorab informiert werden.

Wesentlich wichtiger ist jedoch, die Nutzer ausdrücklich darauf hinzuweisen, dass bei der Nutzung des Accounts keinerlei rechtswidrige Handlungen begangen werden dürfen. Aus Gründen der Nachweisbarkeit sollte der Hinweis nicht nur öffentlich ausgehängt werden, sondern von den Nutzern vor der WLAN-Nutzung durch Anklicken bestätigt werden müssen.

Eine 100%ige Sicherheit, nicht haften zu müssen, können jedoch auch diese Maßnahmen nicht gewährleisten, da es derzeit kein Patenzrezept für ein rechtskonformes öffentliches WLAN gibt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sicherer Umgang mit mobilen Endgeräten im Unternehmen

Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.

Datenschutzprobleme resultieren sehr oft aus der Nutzung von Dienstprogrammen (Apps), die automatisiert und vom Nutzer unentdeckt auf die Datenbanken des Geräts zugreifen. Darüber hinaus besteht die Gefahr, dass sensible Daten ungewollt das Unternehmen verlassen, wenn mobile Endgeräte abhanden kommen. Damit sind auch Haftungsrisiken der Unternehmensleitung verbunden. Um diese zu vermeidenl, ist es unerlässlich, Regelungen im technischen und organisatorischen Bereich zu treffen.

Der konkrete Regelungsbedarf orientiert sich daran, um welche Art von mobilen Endgeräten es sich handelt, die das Unternehmen dem Mitarbeiter überlässt. Bei den sogenannten „nicht intelligenten mobilen Endgeräten“, zu denen externe Datenträger und Speichermedien zählen, sind die Sicherheitsrisiken für gewöhnlich mittels technischer Vorkehrungen gut kontrollierbar. Durch die Sperrung von USB-Ports oder den Einsatz von Virenschutzprogrammen lassen sich die Risiken wesentlich minimieren.

Ein sicherer und datenschutzkonformer Umgang mit sogenannten „intelligenten Mobilgeräten“ wie Notebooks, Tablets und Smartphones erfordert dagegen vor der Ausgabe und Inbetriebnahme der Geräte die Festlegung einer Nutzungsrichtlinie. Wegen der unterschiedlichen Nutzungsmöglichkeiten ist eine Rahmenregelung nicht sinnvoll. Mobile Endgeräte lassen sich in die Untergruppen der „Notebooks und Laptops“ sowie „Tablets und Smartphones“ einteilen. Es empfiehlt sich, für jede Untergruppe jeweils eine eigene Richtlinie zu erstellen.

Klare Regeln für die dienstliche Nutzung von mobilen Geräten

Allein durch technische Maßnahmen ein ausreichendes Sicherheitsniveau herstellen zu wollen, würde zu kurz greifen. Außerdem würde das Bemühen, jedes mögliche Risiko durch entsprechende technische Schranken zu beheben, die Mitarbeiter unangemessen in ihrer praxisgerechten Nutzung der mobilen Geräte einschränken. Sinnvoller ist es, die Mitarbeiter über den sicheren Umgang mit mobilen Geräten aufzuklären und verbindliche Regeln für die Bereiche aufzustellen, die durch rein technische Mittel nicht praktikabel abzusichern sind. Die Aufgabe des betrieblichen Datenschutzbeauftragten ist es, die Unternehmensleitung dabei zu unterstützen, ein solches Regelwerk zu entwickeln, das dem Risiko angemessen und zugleich für die Mitarbeiter nachvollziehbar und praktikabel ist.

Eine solche Richtlinie zum sicheren Umgang mit mobilen Geräten sollte insbesondere folgende Aspekte berücksichtigen:

Zentrale Verwaltung

Es ist empfehlenswert, die unternehmenseigene IT-Abteilung als die verantwortliche Stelle für die Verwaltung vorzusehen und sie mit der Unterstützung der technischen Umsetzung zu betrauen, wie der Durchführung der Vorkonfiguration der Geräte, der Aktivierung der Sicherheitsfunktionen, der Installation von geprüften Apps und der Ausgabe der Geräte.

Dokumentation

Um nicht Gefahr zu laufen, die Übersicht über die ausgegebenen Geräte zu verlieren, ist die Ausgabe an den Mitarbeiter in einer Inventarliste zu dokumentieren und vom Mitarbeiter per Unterschrift zu bestätigen. Ferner sollten in dem Formular weitere Informationen über das ausgegebene Gerät (Gerätehersteller und -typ), die zugeordnete Rufnummer und die Spezifikationen des Geräts (Version des Betriebssystems, Patch-Level, verwendete und zugelassene Apps) festgehalten werden.

Zentrale Rücknahme und datenschutzkonforme Vernichtung

Dadurch soll sichergestellt werden, dass sich bei einer etwaigen Weitergabe der Geräte nach deren Rückgabe keine personenbezogenen Daten mehr auf dem Gerät befinden und eine Wiederherstellung ausgeschlossen ist.

Maßnahmen bei Verlust

Um einen unbefugten Zugriff durch Dritte zu vermeiden, sind technische und organisatorische Maßnahmen für den Fall eines Verlustes zu treffen. Auf der technischen Seite besteht die Möglichkeit, eine zentrale Sperrung (Remote-Lock-Funktion) oder eine zentrale Löschung (Remote-Wipe-Funktion) einzurichten. Empfehlenswert ist es, zusätzlich eine ständige Verschlüsselung beim Abspeichern sämtlicher Daten vorzusehen. Auf der organisatorischen Seite ist die Einrichtung einer Hotline sinnvoll, an die ein Verlust des Gerätes gemeldet werden kann. Auf jeden Fall ist der Mitarbeiter angehalten, den betrieblichen Datenschutzbeauftragten über den Verlust in Kenntnis zu setzen, damit dieser die Art und Weise einer Datenschutzverletzung beurteilen kann und ggfs. erforderliche Maßnahmen nach § 42 a BDSG einleiten kann, falls die Daten für Unberechtigte zugänglich wurden.

Wir beraten Sie gerne bei der Ausgestaltung der erforderlichen Maßnahmen, um einen sicheren Umgang mit mobilen Endgeräten zu gewährleisten. Die Herausforderungen, die sich bei einer beruflichen Nutzung privater Geräte ergeben (Stichwort: Bring Your Own Device) sind in einem gesonderten Blog-Eintrag dargestellt: Bring Your Own Device: So begegnen Sie den Herausforderungen

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.