Datenschutz bei Bewerberdaten

Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird. Das neue Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Die Neufassung des Bundesdatenschutzgesetzes (BDSG) trägt diesem Umstand auch weiterhin Rechnung. Demnach fallen Bewerber unter dem Beschäftigtenbegriff des § 26 Abs. 1 BDSG.

Welche Daten dürfen von Bewerbern erhoben werden?

Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der Datenschutz-Grundverordnung (DSGVO). Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.

Dürfen von Dritten Informationen über den Bewerber eingeholt werden?

Wie für jede Verarbeitung von personenbezogenen Daten, bedarf es auch im Bewerbungsverfahren einer Rechtgrundlage. Da in aller Regel die Daten direkt beim Bewerber erhoben werden, wird man sich hier auf § 26 Abs. 1 BDSG – der auch für die vorvertraglichen Maßnahmen zur Begründung eines Arbeitsverhältnisses gilt – stützen können.

Allerdings kann es auch vorkommen, dass ein potentieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten wieder die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch den § 26 Abs. 1 BDSG sicherlich nicht mehr gedeckt.

Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Besondere Kategorien personenbezogener Daten

Bewerbungsunterlagen enthalten eine Vielzahl von personenbezogenen Daten. Darunter können auch sog. besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann durch sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.

Die Erlaubnis zur Verarbeitung ergibt sich hierbei auch durch die Spezialregelung des § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potentielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.

Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter  beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Bewerbung per E-Mail oder Onlineformular

Um die Papierflut bei Bewerbungsunterlagen auf Seiten des Unternehmens zu minimieren und andererseits die Kosten für den Bewerber für die Bewerbungsunterlagen klein zu halten, hat sich in den letzten Jahren der Versand von elektronischen Bewerbungsunterlagen per E-Mail etabliert. Online-Bewerbungen per E-Mail stellen allerding das Unternehmen datenschutzrechtlich immer vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine verschlüsselte Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden also regelmäßig unverschlüsselt per Mail über das Internet versendet.

Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollte das Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten. Ob dies nun der Rückfall auf die papierhafte Bewerbungsmappe ist, sei dahingestellt.

Eine zeitgemäßere Variante ist sicherlich, ein Online-Bewerbertool zur Verfügung zu stellen. Hier kann der Bewerber über eine verschlüsselte Webseite seine Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, den Bewerber – bevor er seine Unterlagen hochgeladen hat – über die Verarbeitung seiner personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.

Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl eine sog. Datenweitergabe an Dritte vor.

Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an Sie als Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung an Sie sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich  die  Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.

Dieser aktualisierte Artikel erschien zuerst am 2. Dezember 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzprüfungen von Smartphone-Apps

Der Datenschutz kommt bei Smartphone-Apps bisher entscheidend zu kurz: Darüber sind sich Datenschützer weitgehend einig. Das Landesamt für Datenschutzaufsicht in Bayern (LDA) hat daher automatisierte Verfahren entwickelt, um die Anwendungen mit geringem Aufwand auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen.

Problematischer Datenhunger von App-Anbietern

Die Durchsetzung eines akzeptablen Datenschutz-Niveaus bei Smartphone-Apps war bisher relativ schwierig. Die kleinen Programme schienen sich zu schnell in zu unübersichtlicher Menge zu verbreiten. Schließlich gibt es für jede Kleinigkeit im Lebensalltag – vom Feststellen des Sonnenstands bis hin zum Auspusten von Kerzen – inzwischen eine entsprechende Anwendung für mobile Geräte.

Gleichzeitig sind sie relativ einfach und schnell zu beziehen. Zahlreiche Apps werden kostenlos angeboten und sind ohne großen Aufwand über den App Store auf dem Gerät installiert. So gab Apple an, im Jahr 2016 erstmals mehr als zwei Millionen Apps in seinem App Store anzubieten. Auch Googles Play Store bietet aktuell über zwei Millionen Apps zum Download an. Völlig unverhältnismäßig zur Flut der Programme erscheint im Vergleich dazu den meisten Nutzern der Aufwand, eine seitenlange Datenschutzerklärung für jedes Programm durchzulesen und nachzuvollziehen.

Diesen Umstand haben einige Anbieter ausgenutzt, um Daten ihrer Kunden in einem Umfang zu sammeln, der den meisten Nutzern nicht bewusst war. Zwar müssen sich Apps mittlerweile den Zugriff auf Teile des Smartphones oder Tablets vom Nutzer freigeben lassen, aber dabei lassen sich immer wieder Apps Berechtigungen einräumen, die sie für den eigenen Betrieb gar nicht benötigen. Wer kommt schon auf die Idee, dass eine einfache Spiele-App Adressbuchdaten, Standortinformationen, Anruflisten und gespeicherte Bilder auswertet? Wie viele Anwender sind sich darüber im Klaren, dass einige Programme umfangreiche persönliche Daten nicht nur an den Hersteller der Anwendung, sondern gleich an ein Dutzend weiterer Unternehmen weiterleiten? Eine Studie von Forschern der Universität Oxford ergab beispielsweise, dass 42,55 Prozent der Apps im Google Play Store den Facebook-Tracker enthalten. Wie viele Anwender haben einen Überblick darüber, welche App auf welche teils sehr privaten Informationen wie den Inhalt von Textnachrichten oder Fotos zugreift?

Landesbehörde entwickelt automatisiertes Prüfverfahren

Dass seitens der Datenschützer Handlungsbedarf besteht, ist offensichtlich. Das LDA in Bayern prüfte 2013 stichprobenartig 30 Apps und 2014 noch einmal 60 weitere – und fand zahlreiche Verstöße gegen das Datenschutzrecht. Keine App erfüllte die Anforderungen an den Datenschutz. Das Verhalten der Apple- und Android-Apps wurde dabei mithilfe von Methoden aus der IT-Forensik und Erkenntnissen aus aktuellen Forschungsprojekten im Bereich der Mobile Security analysiert.

Untersucht wurden dabei Informationen wie die übermittelten Netzwerkdaten, die beteiligten Datenempfänger, die eingesetzte Verschlüsselung und die Methoden zur Reichweitenmessung.

Worauf sollten App-Anbieter achten?

Die Datenschutz-Grundverordnung (DSGVO) macht auch vor Apps nicht Halt. Daraus ergeben sich unter anderem folgende Erfordernisse:

  • Der Anwender ist vor der erstmaligen Nutzung der App darüber zu informieren, welche seiner personenbezogenen Daten erhoben, zu welchem konkreten Zweck diese genutzt, in welche Länder und an welche genau bestimmten Unternehmen oder sonstigen Stellen diese übermittelt werden. Jede App sollte über eine entsprechende Datenschutzerklärung verfügen, die für den Nutzer schon vor der Installation und beim erstmaligen Start der App einsehbar sein muss. Der Inhalt der Datenschutzerklärung muss darüber hinaus für den Anwender jederzeit abrufbar vorliegen.
  • Die alleinige Existenz einer Datenschutzerklärung ist jedoch nicht ausreichend. Der Anbieter muss nachprüfbar im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der Anwender den Inhalt verstanden hat. Das beinhaltet auch, dass die Erklärung verständlich formuliert und übersichtlich gestaltet ist.
  • Erhebt der Anbieter Daten, die über die gesetzlich geregelten Zwecke beispielsweise zur Durchführung des Rechtsgeschäftes hinaus gehen, ist eine ausdrückliche und freiwillige Einwilligung des betroffenen Nutzers erforderlich. Eine solche Einwilligung muss konkret nennen, welche Daten zu welchen eindeutig definierten Zwecken genutzt werden. Die Erteilung der Einwilligung ist zu protokollieren.
  • Eine Einwilligung ist nur dann gültig, wenn es dem Betroffenen jederzeit möglich ist, diese für die Zukunft zu widerrufen. Der Anbieter muss entsprechende Möglichkeiten und Wege dazu anbieten und ist dazu verpflichtet, den Nutzer ausdrücklich auf sein Widerrufsrecht hinzuweisen.
  • Richten sich Apps an Kinder und Jugendliche unter 16 Jahren, so ist darauf zu achten, dass die Einwilligung der Eltern vorliegen muss, damit personenbezogene Daten verarbeitet werden können.
  • Wird das Nutzerverhalten von der App getrackt, so muss auch hier die Einwilligung vor dem Tracking eingeholt werden. Auch über das Tracking muss in der Datenschutzerklärung informiert werden.
  • Der Anbieter muss geeignete technische Maßnahmen ergreifen, um die Nutzerdaten vor einem Zugriff Dritter zu schützen. Insbesondere muss eine verschlüsselte Datenübermittlung sichergestellt sein. Das LDA Bayern stellt einen Prüfkatalog zur Verfügung, um die Umsetzung der technischen Maßnahmen zu erfassen. Dieser wurde zwar noch nicht auf die Anforderungen der DSGVO aktualisiert, bietet aber dennoch eine wertvolle Auflistung der notwendigen technischen Maßnahmen.
  • Dem Anwender muss die Möglichkeit angeboten werden, Bezahlvorgänge im Zusammenhang mit dem Erwerb oder der Nutzung der App, soweit möglich und zumutbar, anonym oder unter Pseudonym zu tätigen.
  • Anbieter sollten die Einhaltung der datenschutzrechtlichen Bestimmungen sowohl im Hinblick auf den Datenfluss im Rahmen der eigentlichen Anwendung als auch der Reichweitenanalyse kontrollieren. Das LDA nennt diesen Bereich explizit als einen Gegenstand seiner Prüfungen.
  • Der Anbieter ist dazu verpflichtet, sich gegenüber dem Nutzer eindeutig kenntlich zu machen. Daher sollten Apps nicht nur über ein ordnungsgemäßes Impressum verfügen. Der für die Datenverarbeitung verantwortliche Anbieter muss auch in der Datenschutzerklärung erwähnt werden.

Für App-Entwickler und -anbieter hat der Düsseldorfer Kreis einen Leitfaden herausgegeben, damit der Datenschutz bereits in der Planungsphase berücksichtigt werden kann. Aktuell gibt es zwar keine Fassung, welche konkret auf die DSGVO zugeschnitten wurde, allerdings gibt der Leitfaden wichtige Anhaltspunkte über zu berücksichtigende Aspekte bei der App-Entwicklung.

Dieser aktualisierte Artikel wurde zuerst am 24. April 2013 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonforme Internetwerbung für Kinder und Jugendliche

Kinder und Jugendliche sind eine stark umworbene Zielgruppe für Werbung – insbesondere online. Denn Minderjährige verfügen nicht nur selbst über eine gewisse Kaufkraft, sondern beeinflussen in beachtlichem Maße auch Kaufentscheidungen der Erwachsenen in ihrem Umfeld. Der Gesetzgeber stellt Kinder und Jugendliche jedoch unter einen besonderen Schutz, weshalb bei allen Erhebungen und Verarbeitungen personenbezogener Daten von Minderjährigen besondere Datenschutzregeln gelten.

Warum gelten für Minderjährige zusätzliche Datenschutzvorgaben?

Marketing bzw. Werbung soll zum einen die Kaufentscheidungen von Kindern und Jugendlichen bzw. der zugehörigen Erwachsenen beeinflussen. Zum anderen wird versucht, junge Menschen so früh wie möglich an Marken zu binden, um in ihnen im Erwachsenenalter treue Kunden zu haben. Darum entwickeln Unternehmen spezielle Strategien, um insbesondere Kinder und Jugendliche so tief wie möglich beeinflussen zu können. Sehr begeisterungsfähig und selten kritisch, bilden diese schließlich eine denkbar attraktive Zielgruppe.

Werbung will Wünsche wecken und die Konsumenten dazu in eine Fantasiewelt entführen, wo ihnen teilweise wahre Wunder versprochen werden. Erwachsene können zwischen diesen Fantasien und der Realität unterscheiden. Kinder besitzen die nötige kritische Unterscheidungsfähigkeit dagegen zunächst überhaupt nicht, sondern bilden diese erst nach und nach aus.

Insbesondere im Internet fällt es Kindern schwer, Werbung als solche zu identifizieren. Hier tarnt sie sich in kostenlosen Online-Games, Gewinnspielen, Kinderklubs und vermeintlichen „Empfehlungen“ von Freunden in sozialen Netzwerken.

Es ist auch unklar, ab wann Minderjährige vollumfänglich verstehen, was es bedeutet, wenn sie eine Einwilligungserklärung abgeben, um Zugang zum gewünschten Ziel zu erhalten. Denn selbst für Volljährige sind die Datenschutzbestimmungen in Einwilligungserklärung nicht selten zu kompliziert.

Außerdem setzen Unternehmen im Internet auf stark personalisierte Werbung. Um an die Wünsche und Vorlieben eines konkreten Nutzers angepasste Werbung platzieren zu können, müssen Anbieter ihre Anwender so genau wie möglich kennen. Das artet in einer wahren Datensammelwut aus, die auch vor Kindern und Jugendlichen nicht Halt macht.

Deshalb sieht der Gesetzgeber für Werbetreibende im Umgang mit Minderjährigen besondere Regeln vor. Die Grundlagen dafür finden sich im Gesetz gegen den unlauteren Wettbewerb (UWG), im Telemediengesetz (TMG), im Jugend-Medienschutz-Staatsvertrag (JMStV) sowie in der EU-Datenschutz-Grundverordnung (DSGVO).

Datenschutzvorgaben für Onlineangebote für Minderjährige

Wie können Onlineinhalte und insbesondere Werbung, die sich an Kinder und Jugendlich richten, also so gestaltet werden, dass sie datenschutzrechtliche Kriterien erfüllen? Auf folgende Punkte sollten Sie besonders achten:

Datenvermeidung und Datensparsamkeit

Art. 5 Abs. 1 lit c) DSGVO nennt die Prinzipien der Datenvermeidung und Datensparsamkeit mit der zentralen Fragestellung: Welche Daten brauche ich, um den angebotenen Dienst erbringen zu können? Nicht wenige Anbieter beantworten diese Frage mit „so viel wie möglich“. Je mehr man weiß, umso besser kann man seine Leistung schließlich an einen Nutzer anpassen. Aber auch schon bei erwachsenen Anwendern hat das Gesetz eine strenge Definition der Erforderlichkeit einer Datenerhebung.

Das bedeutet: erforderlich sind nur diejenigen Daten, ohne deren Kenntnis die Bereitstellung der Dienstleistung nicht möglich wäre. Erst recht bei Angeboten für Kinder dürfen darüber hinaus keine Daten erhoben werden.

Das TMG konkretisiert in § 13 Abs. 6, dass die Nutzung von Onlineangeboten und deren Bezahlung soweit möglich und zumutbar anonym oder unter Nutzung eines Pseudonyms ermöglicht werden muss. Für die meisten Dienste reicht die Angabe einer E-Mail-Adresse völlig aus. Davon, zur Angabe von personenbezogenen Daten von Freunden aufzufordern, sollte völlig abgesehen werden.

Einwilligung

Experten sind sich nicht einig, ab wann Kinder einschätzen können, was es bedeutet, in die Nutzung von persönlichen Daten einzuwilligen. Viele sind der Ansicht, dass dieser Reifeprozess sehr individuell sein kann. Damit eine Einwilligung gültig ist, muss sie informiert und freiwillig erfolgen. Der Betroffene muss umfänglich verstehen, welche Daten genau von ihm erhoben werden und was damit geschieht. Die Information darüber darf also nicht zu übersehen und klar verständlich sein.

Durch Art. 8 Abs. 1 DSGVO wurde nun erstmals ein Mindestalter für Einwilligungen festgelegt. Ein besonderer Schutz soll erst dann nicht mehr notwendig sein, wenn die einwilligende Person das 16. Lebensjahr vollendet hat.

Richtet sich demnach das Angebot direkt an Kinder bzw. Jugendliche, so können diese selbst nur dann eine informierte und freiwillige Einwilligung abgeben, soweit sie das sechzehnte Lebensjahr vollendet haben. Ist dies nicht der Fall, bedarf es der Zustimmung durch die Eltern bzw. deren Beisein.

Hiervon abweichend können die Mitgliedstaaten Regelungen treffen, die das Mindestalter senken. Jedoch darf das Mindestalter nie unter dem vollendeten dreizehnten Lebensjahr liegen. Deutschland hat bisher nicht von dieser Öffnungsklausel der DSGVO Gebrauch gemacht. Anders zum Beispiel Österreich, das in § 4 Abs. 4 DSG (Datenschutzgesetz) ein Mindesteinwilligungsalter von 14 Jahren vorsieht.

Art. 8 DSGVO modifiziert die Anforderungen an eine wirksame Einwilligung nach Art. 7 DSGVO. Alle Voraussetzungen müssen kumulativ vorliegen. Eingegrenzt wird der Anwendungsbereich des Art. 8 DSGVO durch das Erfordernis eines Angebots von Diensten der Informationsgesellschaft. Bezüglich der Begrifflichkeit wird hierzu in Art. 4 Nr. 25 DSGVO auf Art. 1 Nr. 1 lit b) der Richtlinie 2015/1535 verwiesen. Dienst meint dabei jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Insbesondere fallen darunter E-Commerce, Streaming-Dienste, der Download von Onlineinhalten, aber auch der Beitritt zu sozialen Netzwerken.

In der Praxis ist vor allem interessant, welche Anforderungen an die Nachweispflicht des Einwilligungsempfängers gestellt werden. Hierzu wird in Art. 8 Abs. 2 DSGVO eine Aussage getroffen. Demnach werden von dem für die Datenverarbeitung Verantwortlichen angemessene Anstrengungen unter Berücksichtigung der verfügbaren Technik abverlangt, um herauszufinden, ob die Einwilligung durch die Eltern oder in deren Beisein erteilt wurde. Hieraus lässt sich der Schluss ziehen, dass ein bloßer Hinweis auf das notwendige Mindestalter vor elektronischer Einholung einer Einwilligung nicht ausreicht. Es empfiehlt sich, stets das Alter abzufragen. Sollte dann die Einwilligung der Eltern eingeholt werden müssen, kann dies z. B. durch Zusendung eines Dokuments oder dem Double-opt-in-Verfahren mit der E-Mail-Adresse der Eltern realisiert werden. Ein wirklich praxistaugliches Legitimationsverfahren besteht jedoch nicht.

Schwierig wird künftig auch zu beurteilen sein, ob sich ein Angebot direkt an ein Kind richtet oder nicht. Dem Wortlaut „direkt“ muss hierbei Rechnung getragen werden. Nicht umfasst werden folglich Angebote, die zwar einen Bezug zu Minderjährigen haben, diese aber nicht direkt ansprechen (z. B. Dienstleistungen und Waren für Kinder, die sich eigentlich auf unbeschränkt geschäftsfähige Personen beziehen). Es ist stets danach zu fragen, ob sich das Angebot typischerweise auch an Kinder richtet bzw. ob dieses regelmäßig von Kindern in Anspruch genommen wird.

Verbot unlauterer und aggressiver geschäftlicher Handlungen

Das UWG spricht in § 3 Abs. 4 und 4a Abs. 2 S. 2 vom Verbot unlauterer und aggressiver geschäftlicher Handlungen. Beide lauterkeitsrechtlichen Vorschriften stellen auch auf das Alter des Adressaten ab. Hierbei darf die geschäftliche Unerfahrenheit aufgrund des Alters nicht durch unlautere oder aggressive Handlungen beeinflusst werden.

Fazit: Die kindgerechte Gestaltung von Onlineinhalten ist möglich

Internetangebote sollten immer so gestaltet sein, dass der Nutzer Herr der Situation und seiner Daten bleibt. Das bedeutet, dass er jederzeit bewusst entscheiden kann, bestimmte Angebote zu nutzen oder nicht – und dafür eindeutig darüber informiert ist, was ihn bei der Nutzung erwartet.

Erst recht bei Kindern ist eine besondere Sorgfalt notwendig, um diese nicht in unfreiwillig entstandene Situationen zu führen. Damit ist nicht nur gemeint, dass Websites und andere Onlineinhalte für Kinder und Jugendliche nicht irreführend gestaltet sein dürfen. Dies beinhaltet unter anderem auch, dass Werbung deutlich erkennbar vom redaktionellen Inhalt getrennt sein muss und Links eindeutig erkennen lassen, zu welchem Ziel sie führen.

Es ist auch notwendig, dass die Informationen, die ein Betreiber zu seinem Angebot bereitstellt – wie etwa die Datenschutzbestimmungen und die Allgemeinen Geschäftsbedingungen – für Kinder verständlich formuliert sind.

Dieser aktualisierte Artikel wurde zuerst am 27. September 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Private E-Mail- und Internetnutzung im Unternehmen

Die Versuchung zur privaten Nutzung des betrieblichen E-Mail-Accounts oder des Internetzugangs in der Arbeitszeit ist für Beschäftigte groß. Gerade weil es die Kommunikation bequemer macht und das private Datenvolumen des Smartphones schont, nutzen viele Angestellte die Betriebsmittel zu eigenen Zwecken. Ob damit eine vertragswidrige Zweckentfremdung einhergeht, sollten Arbeitgeber durch Regelungen zur IT-Nutzung klarstellen. Dies bringt zahlreiche weitere Vorteile mit sich, wie unser Praxistipp zeigt.

Private Nutzung des geschäftlichen E-Mail-Accounts

Es sollte eine Selbstverständlichkeit sein, dass Arbeitnehmer ihre Arbeitszeit dafür verwenden, ihren vertraglichen Pflichten nachzukommen. Andernfalls drohen Konsequenzen. Für Arbeitgeber ist es deshalb unter gewissen Umständen zulässig, E-Mails von Mitarbeitern auszuwerten, um eine Pflichtverletzung nachzuweisen und darauf gestützt sogar eine Kündigung auszusprechen.

Selbst die fristlose Kündigung eines langjährig beschäftigten Arbeitnehmers kann gerechtfertigt sein, wenn dieser einen bedeutenden Teil seiner Arbeitszeit für den Austausch privater E-Mails nutzt. So entschied es das Landesarbeitsgericht Niedersachsen in seinem Urteil vom 31. Mai 2010 (AZ: 12 SA 875/09).

Der Arbeitgeber konnte nachweisen, dass der Kläger in einem Zeitraum von sieben Wochen mehrere Stunden pro Arbeitstag mit dem Schreiben privater E-Mails verbrachte. Die dem Kläger im betreffenden Zeitraum zugegangenen E-Mails umfassten im konkreten Fall fast 800 DIN A4-Seiten.

Die private Nutzung der Dienst-IT war zwar nicht ausdrücklich geregelt, eine Dienstanweisung aus dem Jahr 1997 gab aber vor, dass das Unterbrechen der Arbeitszeit zur Erledigung privater Angelegenheiten nicht erlaubt sei.

Problematisch war auch, dass der Arbeitgeber es in der Vergangenheit geduldet hatte, dass sein E-Mailsystem zumindest in den Pausen für private Zwecke genutzt wurde. Mit einer eindeutigen Regelung zur E-Mail-Nutzung wäre es vielleicht gar nicht erst zum Prozess gekommen, da dem Arbeitnehmer seine unmittelbare Pflicht zur Unterlassung bewusst gewesen wäre.

Private Nutzung des geschäftlichen Internetzugangs

In einer Zeit, in der viele Angestellte mit eigenen Smartphones surfen und mit Whatsapp kommunizieren, ist die Anziehung des geschäftlichen E-Mail-Accounts hinter die der Internetnutzung über den arbeitgebereigenen Zugang gefallen. Die private Nutzung des geschäftlichen Internetzugangs ist jedoch ein großer Produktivitätskiller, Grund vieler Abmahnungen und begründet deutliche Einbußen für den Arbeitgeber bei Missbrauch.

Zum Vorteil der Arbeitgeberseite hat das Bundesarbeitsgericht schon 2005 entschieden, dass die private Nutzung des Internets während der Arbeitszeit eine Verletzung der arbeitsvertraglichen Pflichten darstellen kann (BAG, Urteil vom 7. Juli 2005, AZ: 2 AZR 581/04). Genauer gesagt befand das Gericht, dass die private Nutzung des Internets die Erbringung der arbeitsvertraglich geschuldeten Arbeitsleistung nicht erheblich beeinträchtigen darf. Die Pflichtverletzung wiegt dabei umso schwerer, je mehr der Arbeitnehmer bei der privaten Nutzung des Internets seine Arbeitspflichten in zeitlicher und inhaltlicher Hinsicht vernachlässigt. Letztlich wurde durch das Gericht sogar festgestellt, dass im Falle einer exzessiven Privatnutzung des Internets während der Arbeitszeit es keiner Abmahnung vor der Kündigung bedarf.

Doch was ist genau mit einer „erheblichen“ Beeinträchtigung oder „exzessiven“ Privatnutzung gemeint? Rechtliche Unsicherheit bleibt bestehen, da diese Begriffe großen Interpretationsspielraum zulassen. Erschwerend kommt hinzu, dass dem Arbeitgeber grundsätzlich kein Kontroll- und Einsichtsrecht bei Internetaktivitäten von Mitarbeitern zusteht, weil er als Dienstanbieter gemäß TKG gilt. Um für beide Seiten Sicherheit zu schaffen und dem Arbeitgeber Kontrollmöglichkeiten einzuräumen, ist deshalb eine Richtlinie zur IT-Nutzung hilfreich.

Richtlinie zur IT-Nutzung bringt Klarheit

Rechtliche Sicherheit für Arbeitgeber und Gewissheit für Arbeitnehmer lässt sich durch eine Richtlinie zur IT-Nutzung schaffen. Indem klar vorgegeben wird, was dem Arbeitnehmer erlaubt ist und was nicht, können Streitfälle vermieden werden. Zudem sind Übertritte durch Arbeitnehmer leichter zu ahnden, weil die Grenzen deutlich abgesteckt wurden.

Die Richtlinie zur IT-Nutzung sollte den privaten Gebrauch der geschäftlichen E-Mail ausschließen. Dies maximiert zum einen die Arbeitszeit, zum anderen birgt das Verbot praktische Vorteile: Wenn etwa ein Mitarbeiter kurzfristig erkrankt, kann der Arbeitgeber dem Vertreter erlauben, das E-Mail-Postfach einzusehen, da sich dank des Verbots keine privaten Daten darin befinden.

Ein anderer Fall ist ein Mitarbeiter, der das Unternehmen im Schlechten verlässt. Sollte die private Nutzung nicht ausgeschlossen sein, könnte der Ex-Mitarbeiter den Arbeitgeber durch die Abwesenheit einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) vom Zugriff auf die E-Mails hindern.

In manchen Berufen kann der Browserverlauf eines Mitarbeiters eine Information sein, mit der die Krankheitsvertretung arbeiten muss. Wurde die private Nutzung nicht ausgeschlossen oder nicht wenigstens auf Pausenzeiten begrenzt, kann das Fernmeldegeheimnis bzw. das Bundesdatenschutzgesetz (BDSG) den Arbeitgeber hindern, den Verlauf einzusehen.

Einige praktische Hinweise bei Einführung einer Richtlinie zur IT-Nutzung:

  • Auch wenn Sie private Internet- und E-Mailnutzung schriftlich verboten/eingeschränkt haben, kann eine faktische Duldung Ihre Richtlinie arbeitsrechtlich unwirksam machen.
  • Das Recht des Arbeitnehmers auf Privatsphäre kann die berechtigten Interessen des Arbeitgebers zur Überwachung überwiegen. Deshalb ist trotz Ausschluss der privaten Internet- und E-Mail-Nutzung darauf hinzuweisen, dass stichprobenhafte Kontrollen durch den Arbeitgeber durchgeführt werden. Dies ist mit dem jüngsten Urteil des EGMR vom 5. September 2017 im Einklang und berücksichtigt die neusten Tendenzen in der europäischen Rechtslandschaft.
  • Sofern Sie die Internetnutzung in Pausenzeiten erlauben, holen Sie eine DSGVO-konforme Einwilligung ein, damit Sie die Einhaltung kontrollieren können.
  • Sie sollten sich die Kenntnisnahme der IT-Nutzungsrichtlinie von allen Mitarbeitern unterschreiben lassen.
  • Legen Sie Arbeitnehmern die Richtlinie jährlich zur Erinnerung vor.
  • Klären Sie Arbeitnehmer darüber auf, welche Sanktionen bei Zuwiderhandlungen drohen.
  • Treffen Sie Regelungen zu „Bring-your-own-device“ (BYOD), weil arbeitnehmereigene Geräte die interne Informationssicherheit in der Regel unterwandern.

Dieser aktualisierte Artikel wurde zuerst am 18. April 2011 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenpanne oder Datenklau: Was Sie nach DSGVO sofort tun müssen (Anleitung)

Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen insbesondere verschärfte Meldepflichten gegenüber Aufsichtsbehörden bzw. Informationspflichten gegenüber Auftraggebern. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unsere Anleitung für Datenpannen und Datenklau hilft Ihnen dabei.

1. Schritt: Datenschutzpannen umgehend bemerken

Wie schnell würde in Ihrem Unternehmen ein Datenklau oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Ihre IT sollte daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.

  • Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
  • Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
  • Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
  • Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
  • Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?

2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements

Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?

Erstellen Sie für dieses Vorgehen mindestens eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann. Noch besser ist eine Richtlinie zur Erkennung von und zum Umgang mit Datenschutznotfällen. Unsere kostenlose Vorlage hilft Ihnen dabei.

3. Schritt: Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO beachten

Gemäß Art. 33 DSGVO muss der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden. Die Aufsichtsbehörden haben hierfür online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Sofern Daten im Auftrag verarbeitet werden, muss der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne informieren und den Verantwortlichen bei der Meldung der Datenpanne unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Im Zweifel ist eine Meldung immer der sicherere Weg.

Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen zu benachrichtigen.

Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.

Dieser aktualisierte Artikel wurde zuerst am 31. Dezember 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Die Sicherung des WLAN-Anschlusses

Derzeit werden die Forderungen, nach einer Lockerung der Haftung für WLAN-Anschlüsse immer lauter. Nichts desto trotz haftet nach aktueller Rechtslage noch der Anschlussinhaber grundsätzlich für alle rechtswidrigen Handlungen, die über dessen Internetanschluss begangen werden. Dies gilt selbstverständlich auch für Internetanschlüsse eines Unternehmens.

Primär haftet zwar derjenige, der die rechtswidrige Handlung tatsächlich begangen hat. Diese Person herauszufinden ist jedoch meistens sehr schwierig, da die die Rückverfolgung der IP-Adresse durch den Provider nur bis zum „Unternehmenstor“ möglich ist. Deshalb wird im Regelfall die Suche des Schuldigen auf den Anschlussinhaber beschränkt, da dieser ja auch in Anspruch genommen werden kann.

Um der Haftung zu entgehen, sollte ein Unternehmen seinen WLAN-Anschluss zwingend verschlüsseln. Dabei ist die zur Zeit der Einrichtung des WLANs sicherste Verschlüsselungsmethode zu wählen, derzeit ist dies WPA2. Notwendig ist es zudem, die Verschlüsselungsmethode ständig aktuell zu halten und stets dem technischen Fortschritt anzupassen. Von ungesicherten WLAN-Netzwerken ist dringend abzuraten.

Individuelle Kennungen der WLAN-Zugänge

Daneben sollten auch stets individuelle Kennungen vergeben werden. Diese haben zumindest einen psychologischen Effekt, denn ein Nutzer mit individuellem Zugang dürfte wohl gehemmter sein, rechtswidrige Taten zu begehen, als ein Nutzer mit einer Gruppenkennung. Eine Aufzeichnung der Zuordnung der Accounts zu den Nutzern ist aus datenschutzrechtlicher Sicht problematisch, weshalb vor Speicherung der Daten eine Einwilligung eingeholt werden sollte.

Das Mitloggen der Aktivitäten der einzelnen Nutzeraccounts ist technisch zwar grundsätzlich möglich, jedoch kommt den Log-Files in der Praxis kein hoher Beweiswert zu, weshalb dies nicht zwingend nötig erscheint. Auch können hier datenschutzrechtliche Probleme entstehen, wenn die Nutzeraccounts einzelnen Personen zugeordnet werden können.

Ebenso besteht für die Unternehmen die Möglichkeit, bestimmte Ports zu sperren, beispielsweise die typischerweise für Filesharing verwendeten Ports. Auch eine Beschränkung der Bandbreite ist möglich.
Die Nutzer sollten hierüber jedoch vorab informiert werden.

Wesentlich wichtiger ist jedoch, die Nutzer ausdrücklich darauf hinzuweisen, dass bei der Nutzung des Accounts keinerlei rechtswidrige Handlungen begangen werden dürfen. Aus Gründen der Nachweisbarkeit sollte der Hinweis nicht nur öffentlich ausgehängt werden, sondern von den Nutzern vor der WLAN-Nutzung durch Anklicken bestätigt werden müssen.

Eine 100%ige Sicherheit, nicht haften zu müssen, können jedoch auch diese Maßnahmen nicht gewährleisten, da es derzeit kein Patenzrezept für ein rechtskonformes öffentliches WLAN gibt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Verfahrensverzeichnis und Vorabkontrolle: unterschätzte Pflichten

Verantwortlichen in Unternehmen ist die rechtliche Bedeutung von vollständigen Verfahrensverzeichnissen und nachweisbar durchgeführten Vorabkontrollen häufig nicht bewusst: Alle Verfahren innerhalb eines Unternehmens, mit denen personenbezogene Daten verarbeitet werden, müssen in einem sogenannten Verfahrensverzeichnis abgebildet sein. Damit möchte der Gesetzgeber sicherstellen, dass das Unternehmen sich ausreichend mit dem notwendigen Schutz dieser Daten auseinandergesetzt hat. Selbst wenn für die Art der in Frage stehenden Datenverarbeitung eine gültige Rechtsgrundlage vorhanden ist, wird sie dennoch rechtswidrig, wenn kein oder ein nur unvollständiges Verfahrensverzeichnis vorliegt oder wenn keine Vorabkontrolle dokumentiert durchgeführt wurde.

Mittlerweile hat es sich in den meisten Unternehmen herumgesprochen: Das Bundesdatenschutzgesetz verlangt die Erstellung von Verfahrensverzeichnissen und die Durchführung der Vorabkontrolle. Nachdem hiermit aber regelmäßig Aufwand verbunden ist, wird die Erfüllung dieser Pflichten oft hintenan gestellt, verschoben oder aber eher halbherzig erledigt. Schließlich entfällt bei Bestellung eines Datenschutzbeauftragten die Meldepflicht gegenüber der Aufsichtsbehörde und jedermann vorzuhalten ist nur das öffentliche Verfahrensverzeichnis. Was soll also noch groß passieren? Diese Einschätzung kann ungeahnte Konsequenzen haben.

Als ganz zentrale Pflicht für Unternehmen und andere Organisationen sieht das Datenschutzrecht die Beschäftigung mit den eigenen datenschutzrelevanten Prozessen vor. Das Bundesdatenschutzgesetz sieht vor, dass dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über alle relevanten Informationen über die Verfahren, mit denen Daten verarbeitet werden sowie über zugriffsberechtigte Personen zur Verfügung zu stellen ist (§ 4g Abs. 2 Satz 1 BDSG). Diese „Verarbeitungsübersicht“ stellt das interne Verfahrensverzeichnis der Organisation dar. Bereits an dieser Stelle wird sehr oft übersehen, dass die Pflicht zur Erstellung dieser Verzeichnisse ganz klar auch dann besteht, wenn es keinen Datenschutzbeauftragten im Unternehmen gibt. Auch in diesem Fall hat die Unternehmensleitung die Erfüllung dieser Pflicht sicher zu stellen (§ 4g Abs. 2a BDSG). Dies ist nur konsequent, immerhin besteht ohne Datenschutzbeauftragten die Pflicht, Verfahren automatisierter Datenverarbeitung vor ihrer Inbetriebnahme der Aufsichtsbehörde mit den im Verfahrensverzeichnis enthaltenen Informationen zu melden (§ 4d Abs. 1 und § 4e BDSG). Diese müssen also vorab zusammengetragen werden.

Ist aber ein Datenschutzbeauftragter vorhanden, muss man sich also nicht selbsttätig an die Aufsichtsbehörde wenden, warum dann noch die Verzeichnisse mit Priorität behandeln? Macht man sich deutlich, dass das Vorhandensein korrekter und vollständiger Verfahrensbeschreibungen eine zusätzliche formale Voraussetzung für die Rechtmäßigkeit eines Verfahrens ist, wird der Grund schnell erkennbar. Liegt kein oder nur ein unvollständiges Verzeichnis vor, ist die in Frage stehende Art der Datenverarbeitung rechtswidrig und zwar ungeachtet einer grundsätzlich vielleicht vorhandenen Rechtsgrundlage (siehe hierzu etwa: Urteil des Verwaltungsgerichts Wiesbaden vom 28.04.2010 – 26 K 1273/09). Betroffene können sich allein wegen des Fehlens der Übersicht auf die Unzulässigkeit der Datenverarbeitung berufen und die vollständige Löschung ihrer Daten verlangen und ggf. auch Schadensersatz geltend machen.

So gesehen ist es keine große Überraschung, dass entsprechende Konsequenzen auch bei Mängeln der Vorabkontrolle drohen. Der Beauftragte für den Datenschutz hat, nach Erhalt der Verfahrensverzeichnisse und auf deren Basis, aber eben noch vor Beginn einer Verarbeitung, die Vorabkontrolle durchzuführen (§ 4d Abs. 5 und 6 BDSG). Dass der Gesetzgeber, gerade diese Pflicht besonders ernst nimmt, sieht man zusätzlich an einem weiteren Punkt, der in der Praxis häufig übersehen wird: Hat der Datenschutzbeauftragte Zweifel, kann er sich nicht nur an die Aufsichtsbehörde wenden – er muss dies tun (§ 4d Abs. 6 Satz 2 BDSG).
Auch die Vorabkontrolle ist damit eine zusätzliche Rechtmäßigkeitsvoraussetzung für betroffene Datenverarbeitungsprozesse. Mängel führen wiederum zur Rechtswidrigkeit der betroffenen Prozesse. Betroffene können sich wie oben beschrieben zur Wehr setzen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sicherer Umgang mit mobilen Endgeräten im Unternehmen

Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.

Datenschutzprobleme resultieren sehr oft aus der Nutzung von Dienstprogrammen (Apps), die automatisiert und vom Nutzer unentdeckt auf die Datenbanken des Geräts zugreifen. Darüber hinaus besteht die Gefahr, dass sensible Daten ungewollt das Unternehmen verlassen, wenn mobile Endgeräte abhanden kommen. Damit sind auch Haftungsrisiken der Unternehmensleitung verbunden. Um diese zu vermeidenl, ist es unerlässlich, Regelungen im technischen und organisatorischen Bereich zu treffen.

Der konkrete Regelungsbedarf orientiert sich daran, um welche Art von mobilen Endgeräten es sich handelt, die das Unternehmen dem Mitarbeiter überlässt. Bei den sogenannten „nicht intelligenten mobilen Endgeräten“, zu denen externe Datenträger und Speichermedien zählen, sind die Sicherheitsrisiken für gewöhnlich mittels technischer Vorkehrungen gut kontrollierbar. Durch die Sperrung von USB-Ports oder den Einsatz von Virenschutzprogrammen lassen sich die Risiken wesentlich minimieren.

Ein sicherer und datenschutzkonformer Umgang mit sogenannten „intelligenten Mobilgeräten“ wie Notebooks, Tablets und Smartphones erfordert dagegen vor der Ausgabe und Inbetriebnahme der Geräte die Festlegung einer Nutzungsrichtlinie. Wegen der unterschiedlichen Nutzungsmöglichkeiten ist eine Rahmenregelung nicht sinnvoll. Mobile Endgeräte lassen sich in die Untergruppen der „Notebooks und Laptops“ sowie „Tablets und Smartphones“ einteilen. Es empfiehlt sich, für jede Untergruppe jeweils eine eigene Richtlinie zu erstellen.

Klare Regeln für die dienstliche Nutzung von mobilen Geräten

Allein durch technische Maßnahmen ein ausreichendes Sicherheitsniveau herstellen zu wollen, würde zu kurz greifen. Außerdem würde das Bemühen, jedes mögliche Risiko durch entsprechende technische Schranken zu beheben, die Mitarbeiter unangemessen in ihrer praxisgerechten Nutzung der mobilen Geräte einschränken. Sinnvoller ist es, die Mitarbeiter über den sicheren Umgang mit mobilen Geräten aufzuklären und verbindliche Regeln für die Bereiche aufzustellen, die durch rein technische Mittel nicht praktikabel abzusichern sind. Die Aufgabe des betrieblichen Datenschutzbeauftragten ist es, die Unternehmensleitung dabei zu unterstützen, ein solches Regelwerk zu entwickeln, das dem Risiko angemessen und zugleich für die Mitarbeiter nachvollziehbar und praktikabel ist.

Eine solche Richtlinie zum sicheren Umgang mit mobilen Geräten sollte insbesondere folgende Aspekte berücksichtigen:

Zentrale Verwaltung

Es ist empfehlenswert, die unternehmenseigene IT-Abteilung als die verantwortliche Stelle für die Verwaltung vorzusehen und sie mit der Unterstützung der technischen Umsetzung zu betrauen, wie der Durchführung der Vorkonfiguration der Geräte, der Aktivierung der Sicherheitsfunktionen, der Installation von geprüften Apps und der Ausgabe der Geräte.

Dokumentation

Um nicht Gefahr zu laufen, die Übersicht über die ausgegebenen Geräte zu verlieren, ist die Ausgabe an den Mitarbeiter in einer Inventarliste zu dokumentieren und vom Mitarbeiter per Unterschrift zu bestätigen. Ferner sollten in dem Formular weitere Informationen über das ausgegebene Gerät (Gerätehersteller und -typ), die zugeordnete Rufnummer und die Spezifikationen des Geräts (Version des Betriebssystems, Patch-Level, verwendete und zugelassene Apps) festgehalten werden.

Zentrale Rücknahme und datenschutzkonforme Vernichtung

Dadurch soll sichergestellt werden, dass sich bei einer etwaigen Weitergabe der Geräte nach deren Rückgabe keine personenbezogenen Daten mehr auf dem Gerät befinden und eine Wiederherstellung ausgeschlossen ist.

Maßnahmen bei Verlust

Um einen unbefugten Zugriff durch Dritte zu vermeiden, sind technische und organisatorische Maßnahmen für den Fall eines Verlustes zu treffen. Auf der technischen Seite besteht die Möglichkeit, eine zentrale Sperrung (Remote-Lock-Funktion) oder eine zentrale Löschung (Remote-Wipe-Funktion) einzurichten. Empfehlenswert ist es, zusätzlich eine ständige Verschlüsselung beim Abspeichern sämtlicher Daten vorzusehen. Auf der organisatorischen Seite ist die Einrichtung einer Hotline sinnvoll, an die ein Verlust des Gerätes gemeldet werden kann. Auf jeden Fall ist der Mitarbeiter angehalten, den betrieblichen Datenschutzbeauftragten über den Verlust in Kenntnis zu setzen, damit dieser die Art und Weise einer Datenschutzverletzung beurteilen kann und ggfs. erforderliche Maßnahmen nach § 42 a BDSG einleiten kann, falls die Daten für Unberechtigte zugänglich wurden.

Wir beraten Sie gerne bei der Ausgestaltung der erforderlichen Maßnahmen, um einen sicheren Umgang mit mobilen Endgeräten zu gewährleisten. Die Herausforderungen, die sich bei einer beruflichen Nutzung privater Geräte ergeben (Stichwort: Bring Your Own Device) sind in einem gesonderten Blog-Eintrag dargestellt: Bring Your Own Device: So begegnen Sie den Herausforderungen

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Was sagt das Patientenrechtegesetz zum Datenschutz?

Das seit Februar 2013 gültige Patientenrechtegesetz regelt die rechtliche Beziehung zwischen Patienten und behandelndem Arzt oder Therapeuten. Einige Punkte darin betreffen auch den Datenschutz.

Datenschutz Rechte von Patienten

Bisher war es schwierig, sich einen Überblick über Rechte von Patienten gegenüber Ärzten, Krankenhäusern und Krankenkasse zu verschaffen. Waren sie doch in verschiedenen Gesetzestexten aus unterschiedlichen Rechtsbereichen verstreut und leiteten sich häufig als sogenanntes „Richterrecht“ aus vergangenen Urteilen ab. Das 2013 in Kraft getretene „Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten“ (Patientenrechtegesetz) bündelt und konkretisiert die unterschiedlichen Regelungen und erzeugt damit für die Patienten Transparenz und schafft für die Behandelnden Rechtssicherheit.

Das Patientenrechtegesetz regelt sehr unterschiedliche Bereiche der rechtlichen Beziehung zwischen Patienten und Behandelnden, wie die Ärztehaftung und die Ansprüchen des Patienten bei Behandlungsfehlern. Außerdem legt es in mehreren Bereichen die Pflichten von Leistungsträgern, wie den Krankenkassen fest.

Relevante datenschutzrechtliche Regelungen

Im Folgenden werden die für den Bereich Datenschutz relevanten Regelungen im Patientenrechtegesetz vorgestellt. Über die Bestimmungen des Patientenrechtegesetzes hinaus gelten für Patienten selbstverständlich auch die Regelungen des Bundesdatenschutzgesetzes (BDSG), die allgemein die Rechte von Betroffenen gegenüber privaten und öffentlichen Stellen festlegen.

Informationspflichten (§ 630c Abs. 2 bis 4 BGB)

Ärzte und Therapeuten müssen ihre Patienten zu Beginn der Behandlung und, soweit erforderlich, auch im weiteren Verlauf umfassend über sämtliche Umstände aufklären, die für die Behandlung von Bedeutung sind. Dazu gehören die Diagnose, die Therapie und die voraussichtliche Entwicklung des Gesundheitszustands. Nur in Ausnahmefällen unter besonderen Umständen ist die Informationspflicht entbehrlich.

Auf Nachfrage oder zur Abwendung gesundheitlicher Risiken hat der Behandelnde den Patienten auf einen möglichen Behandlungsfehler hinzuweisen.
Sobald erkennbar ist, dass die Behandlungskosten nicht vollständig von der Krankenversicherung übernommen werden, ist der Patient in Textform über die voraussichtlichen Kosten zu informieren.

Der Therapeut ist nur in Ausnahmefällen von der Informationspflicht befreit – etwa dann, wenn die Behandlung unaufschiebbar ist oder der Patient ausdrücklich auf eine Aufklärung verzichtet.

Einwilligung (§ 630d BGB)

Ein Arzt oder Therapeut ist verpflichtet, vor der Durchführung einer medizinischen Maßnahme, die Einwilligung seines Patienten einzuholen. Ist dieser beispielsweise aufgrund seines Gesundheitszustandes nicht in der Lage, die Folgen einer solchen Entscheidung abzuschätzen, ist die Einwilligung eines Berechtigten einzuholen, sofern keine Patientenverfügung vorliegt, in der der Patient seinen Willen bezüglich der betreffenden Maßnahme zuvor festgehalten hat.

Der Patient kann eine Einwilligung jederzeit formlos widerrufen. Es ist keine Angabe von Gründen dafür erforderlich.

Aufklärung

Eine Einwilligung kann nur dann den Willen des Unterzeichners wiedergeben, wenn davon auszugehen ist, dass dieser tatsächlich darüber informiert war, wozu er sein Einverständnis erklärt. Daher ist eine Einwilligung nur dann gültig, wenn der Patient vorher umfassend und verständlich aufgeklärt worden ist. Die Aufklärung ist mündlich vorzunehmen mit schriftlicher Bestätigung.

Patientenakte (§ 630f BGB)

Informationen, die für die derzeitige oder künftige Behandlung relevant sind, müssen in einer Patientenakte dokumentiert werden. Dazu zählen die Anamnese, Diagnosen, vorgenommene Untersuchungen und deren Ergebnisse, Befunde, durchgeführte Therapien oder Eingriffe und deren Wirkungen. Außerdem gehen Einwilligungen, Unterlagen über die Aufklärung und Information des Patienten und Ärztebriefe in die Patientenakte ein.

Die Patientenakte kann elektronisch oder in Papierform geführt werden und ist für zehn Jahre nach Abschluss der Behandlung aufzubewahren. Dabei ist der Behandelnde verpflichtet, für eine lückenlose nachvollziehbare Dokumentation Sorge zu tragen: Bei Änderungen von Eintragungen muss der ursprüngliche Inhalt erkennbar bleiben und der Zeitpunkt sowie der Bearbeiter protokolliert werden. Wird die Patientenakte elektronisch geführt, muss eine manipulationssichere Software verwendet werden.

Recht auf Einsicht (§ 630g BGB)

Patienten haben ein Recht darauf, alle Informationen einzusehen, die für Ihre Gesundheit von Bedeutung sind. Daher dürfen sie jederzeit ihre Patientenakte einsehen. Auf Anfrage des Patienten hat ein Therapeut oder Arzt die Akteneinsicht ohne schuldhafte Verzögerung zu gewähren.

Die Einsicht kann nur in besonderen Ausnahmefällen verweigert werden – beispielsweise wenn dadurch Rechte Dritter verletzt würden oder wenn die begründete Befürchtung besteht, dass der Patient durch die Informationen schwerwiegenden gesundheitlichen Schaden nehmen könnte. Aufzeichnungen über subjektive Eindrücke des Arztes darf dieser aber grundsätzlich nicht geheim halten. Lehnt ein Arzt eine Einsichtnahme ab, muss er dies plausibel begründen.

Der Patient ist am Aufbewahrungsort der Patientenakte Einsicht zu gewähren, nur bei Vorliegen eines wichtigen Grundes kann die Einsicht an einem anderen Ort erfolgen. Daneben kann der Patient eine Abschrift der Akte anfordern.

Im Falle des Todes eines Patienten können Dritte ein Recht auf Einsicht in die Patientenakte haben. Sofern vermögensrechtliche Interessen bestehen, dürfen Erben die Daten einsehen. Angehörige können auch “immaterielle Interessen” geltend machen. Jedoch gilt das Einsichtsrecht für Angehörige und Erben nur dann, wenn nicht anzunehmen ist, dass dies dem Willen des Patienten widerspricht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzaufsicht prüft Unternehmen ohne Anlass

Bayernweit werden aktuell (03/2014) 110 Unternehmen auf die Umsetzung datenschutzrechtlicher Anforderungen vom Landesamt für Datenschutzaufsicht geprüft. Anders als im vergangenen Jahr wird das Landesamt bei einigen der zuvor schriftlich geprüften Unternehmen stichprobenartig eine Vor-Ort-Kontrolle durchführen.

Die Kontrolldichte im Datenschutz nimmt weiter zu. Wie bereits früher vermutet, nehmen anlasslose und stichprobenartige Kontrollen durch Datenschutzbehörden zu und sind auch in den nächsten Jahren vermehrt zu erwarten. Über die erste anlasslose Kontrolle im Januar 2013 hatten wir letztes Jahr berichtet: http://www.activemind.de/landesamt-datenschutz-aufsicht-anlasslose-kontrolle/. Wie viele der im Jahr 2013 geprüften Unternehmen letztendlich ein Bußgeld bezahlen mussten und in welcher Höhe dies gegebenenfalls ausfiel, ist nicht bekannt. Fest steht, dass die Kontrollen strenger werden.

Eine Verschärfung der Kontrolle erfolgt in Bayern dieses Jahr in Form von Vor-Ort-Audits durch das Landesamt. Dabei werden einige der vorab schriftlich geprüften Unternehmen im Nachgang einem Audit durch die Aufsichtsbehörde unterzogen. Welche Fragen bei dem Audit gestellt und in welcher Detailtiefe die Unternehmen geprüft werden, ist derzeit noch unklar. Zu erwarten ist eine detaillierte und gründliche Prüfung.

Spätestens hierbei wird sich auch herausstellen, wie die Behörde mit der Verhängung von Bußgeldern von bis zu € 50.000.- umgeht, die nach § 43 Abs. 1 Nr. 10 BDSG möglich sind, wenn eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht geduldet wird.

Welche Prüfpunkte enthält der schriftliche Fragebogen?

Die diesjährigen schriftlichen Prüfpunkte entsprechen denen aus dem letzten Jahr. Der Fragebogen umfasst folgende Themenblöcke:

  • Datenerhebung/ Datennutzung
  • Datenschutzbeauftragter
  • Verfahrensverzeichnis
  • Verpflichtung auf das Datengeheimnis
  • Auftragsdatenverarbeitung
  • Videoüberwachung
  • Private Nutzung dienstlicher Kommunikationsmittel
  • Dienstliche Verwendung privater Kommunikationsmittel (BYOD)
  • Sperrung bzw. Löschung von Daten
  • Technische und organisatorische Maßnahmen

Den Originalfragebogen finden Sie hier | PDF. Das Anschreiben hier | PDF.

Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Anforderungen?
Wir helfen: www.activemind.de

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.