BfDI: FAQ Beschäftigtendatenschutz

Im Zentrum des Beschäftigtendatenschutzes steht der Schutz der Privatsphäre der Beschäftigten. Dieser Schutz muss jedoch stets mit dem Informationsinteresse des Arbeitgebers abgewogen werden. Bei BfDI finden Sie Informationen und Antworten auf häufig gestellte Fragen zu Ihren Rechten im Beschäftigungsverhältnis oder Bewerbungsverfahren.

Link: https://www.bfdi.bund.de/DE/Buerger/Inhalte/Arbeit-Besch%C3%A4ftigung/Besch%C3%A4ftigtendatenschutz/FAQ_Besch%C3%A4ftigtendatenschutz.html

BAG: Datenschutzverstoß hindert nicht an Nutzung der Videoüberwachung

Nach einem aktuellen Urteil des Bundesarbeitsgerichts besteht grundsätzlich kein Verwertungsverbot für Aufzeichnungen aus einer Videoüberwachung, wenn sie offen gestaltet ist und ein vorsätzlich vertragswidriges Verhalten des Arbeitnehmers in Raum steht. Dies gilt selbst dann, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts steht.

BAG Urteil

BVD: Wie geht Datenschutz im Kleinunternehmen?

Wie geht Datenschutz im Kleinunternehmen? Nach DSGVO eigentlich genauso wie bei Großkonzernen. Ein kompetenter Datenschutzbeauftragter kann helfen.

Und die Stiftung Datenschutz.

Leicht verständliche Arbeitshilfen und zahlreiche Praxistipps für den Umgang mit Daten in Friseursalons, Bäckereien oder im Handwerksbetrieb liefert Frederick Richter und sein Team im neuen Angebot „Datenschutz für Kleinunternehmen“. Prädikat: Absolut sinnvoll!

https://ds-kleinunternehmen.de/startseite

Active Sourcing – rechtliche Grundlagen

Active Sourcing ist eine Personalbeschaffungsstrategie, bei der Unterneh-
men proaktiv nach qualifizierten Kandidaten suchen, anstatt passiv auf Be-
werbungen zu warten. Bei dieser Methode geht es darum, potenzielle Kan-
didaten direkt anzusprechen und zu rekrutieren, anstatt sich ausschließlich
auf traditionelle Stellenanzeigen und Bewerbungen zu verlassen.

Beim Active Sourcing nutzen Unternehmen verschiedene Techniken und Ka-
näle, um geeignete Kandidaten zu identifizieren und mit ihnen in Kontakt zu
treten. Dazu gehören beispielsweise die Nutzung von Online-Jobportalen, so-
zialen Netzwerken wie LinkedIn oder XING, das Durchsuchen von beruflichen
Netzwerken, das Sammeln von Informationen aus Fachveröffentlichungen
und die Kontaktaufnahme per E-Mail oder über direkte Nachrichten.
Aus der Perspektive des Datenschutzes stellt sich bereits die Frage nach
einer belastbaren Rechtsgrundlage, wenn ein Unternehmen Active Sour-
cing betreiben möchte.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
geht in seinem 51. Tätigkeitsbericht zum Datenschutz auf die datenschutz-
rechtlichen Feinheiten dieser Personalbeschaffungsstrategie ein (Ziffer 11.3).

BSI aktualisiert Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen in der neuen Version 2.0 veröffentlicht. Dieser enthält organisatorische und technische Anforderungen zur Erfassung von Protokoll- und Protokollierungsdaten, um Cyber-Angriffe auf die Bundesverwaltung frühzeitig zu erkennen. Der Mindeststandard wurde umfassend überarbeitet und ebenso wie die Referenztabelle an das aktuelle IT-Grundschutz-Kompendium (Edition 2023) angepasst.

Der Mindeststandard wurde neu strukturiert. Eine wesentliche Neuerung im aktuellen Entwurf ist die weitgehende Integration der „Protokollierungsrichtlinie Bund“ (PR-B), die bislang als Anlage zum Mindeststandard vorlag. Somit wurden die Sicherheitsanforderungen sowohl zur Protokollierung als auch zur Detektion erweitert. Aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“, DaaS) des BSI wird das „Rahmendatenschutzkonzept“ (RDSK) zudem nicht länger als Anlage zum Mindeststandard mitgeführt.

Die Version 2.0 des Mindeststandards, die Änderungsübersicht sowie die Referenztabelle stehen auf der BSI-Webseite zur Verfügung.

LBDI BW: Neue Angemessenheitsentscheidung für die USA

Am 10. Juli 2023 hat die Europäische Kommission mit dem EU-U.S. Data Privacy Framework eine Nachfolgeregelung für den 2020 vom Europäischen Gerichtshof aufgehobenen Privacy Shield angenommen und in Kraft gesetzt.

Auf der Grundlage dieser neuen Angemessenheitsentscheidung im Sinne von Artikel 45 DS-GVO ist künftig ein Transfer personenbezogener Daten an alle Stellen in den USA möglich, die den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen haben. Diese Selbstzertifizierung geschieht auf einer vom US-Handelsministerium betriebenen Internetseite für das Data Privacy Framework, auf der eine Liste der zertifizierten Unternehmen geführt wird – allerdings ist zu beachten, dass diese Webseite erst noch seitens des US-Handelsministeriums eingerichtet werden muss. Der Großteil der öffentlichen Stellen in den USA sowie Banken, Luftverkehrs- und Versicherungsunternehmen sind von einer Zertifizierung ausgenommen. Dass die benannten Organisationen von einer Zertifizierung ausgenommen sind, bedeutet, dass diese nicht unter das Framework fallen, da dieses nur für zertifizierte Organisationen gilt.

Anders als bei einer – weiterhin möglichen – Übermittlung personenbezogener Daten in die USA auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission oder verbindlicher Unternehmensrichtlinien ist für Übermittlungen auf Basis der Angemessenheitsentscheidung weder eine Analyse der Rechtslage im Empfängerland (sog. transfer impact assessment) erforderlich, noch müssen die Daten durch ergänzende Maßnahmen, wie z.B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden.

Die Regelungen verpflichten importierende Stellen in den USA zur Einhaltung von an die DS-GVO angelehnten Datenschutzgrundsätzen (z. B. dem Erforderlichkeitsgrundsatz und dem Transparenzgrundsatz) einschließlich der Erfüllung von Betroffenenrechten wie Auskunfts- und Löschungsansprüchen. Wenn EU-Bürger der Auffassung sind, dass diese Vorgaben keine Beachtung finden, können Sie sich an die für sie zuständige europäische Datenschutzaufsichtsbehörde wenden. Die nationale Datenschutzbehörde leitet die Beschwerde an den Europäischen Datenschutzausschuss weiter, der sie an die für die Bearbeitung der Beschwerde zuständigen US-Behörden übermittelt. Außerdem stehen Betroffenen Rechtsbehelfe vor unabhängigen Schiedsstellen in den USA offen.

Durch ein flankierendes Dekret der US-Regierung wurden die Nachrichtendienste der USA auf die Beachtung bestimmter datenschutzrechtlicher Grundsätze und Vorgaben (z.B. Verbot grundloser Massenüberwachungen, Erforderlichkeit und Verhältnismäßigkeit, Ausschluss bestimmter Ziele wie z. B. Industriespionage) eingeschworen, deren Beachtung Betroffene von neu eingerichteten unabhängigen Stellen in den USA im Einzelfall überprüfen lassen können.

Für die bereits unter der Vorgängerregelung – dem Privacy Shield Framework – zertifizierten Datenimporteure in den USA sind Übergangsregelungen zur Umstellung auf die neuen Vorgaben vorgesehen. Der Neuregelung gehen mehrjährige Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung voraus; zuletzt hatte sich der Europäische Datenschutzausschuss, das Kooperationsgremium der Datenschutzaufsichtsbehörden der europäischen Mitgliedsstaaten, wohlwollend kritisch und das Europäische Parlament ablehnend gegenüber der Neuregelung geäußert.

Detailliertere Anmerkungen zur neuen Angemessenheitsentscheidung sowie eine Überarbeitung der Orientierungshilfe Internationaler Datentransfer folgen in Kürze.

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de

BayLDA stellt Tätigkeitsbericht für das Jahr 2022 vor

2022 ist auch im Datenschutz ein Jahr der Zeitenwende – Weichenstellungen für eine zukunftsfähige Datenschutzaufsicht erforderlich

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am Freitag, den 7. Juli 2023 seinen 12. Tätigkeitsbericht in der Hochschule Ansbach vorgestellt. Die Vorstellung des Tätigkeitsberichts im Rahmen einer hybriden Pressekonferenz war zugleich Anlass und Gelegenheit, mit Dozent:innen und Studierenden der Hochschule sowie Vertreter:innen der Fachöffentlichkeit zentrale Befunde des zurückliegenden Datenschutzjahrs zu diskutieren.

„Auch im Datenschutz ist 2022 ein Jahr der Zeitenwende. Fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung blicken wir zumindest mehrheitlich auf mittlerweile funktionierende datenschutzrechtliche Grundstrukturen bei Verantwortlichen. Der mit ChatGPT und Co. bereits 2022 eingeläutete Einzug Künstlicher Intelligenz in unser aller Alltag ist eine Bewährungsprobe für den Datenschutz.“, so der Präsident des Landesamts, Michael Will.

„Für die Datenschutzaufsicht bedeutet die zunehmende Verbreitung Künstlicher Intelligenz und die fast universellen Einsatzmöglichkeiten vom Geschäftsbrief bis zur Personalauswahl neue Herausforderungen bei Prüfung und Beratung. Sie gibt uns über alle Versprechungen und Potentiale hinweg zunächst Grund zur Sorge: Schon heute ist einzuräumen, dass das Landesamt auf Grund der Vernachlässigung eines bedarfsgerechten Behördenaufbaus in den zurückliegenden Haushaltsjahren die von der DS-GVO vorgegebene Grundziele aufsichtlicher Aufgabenerfüllung in zu vielen Fällen verfehlt. Das gilt beispielsweise für die Dreimonatsfrist bei Beschwerden Betroffener oder auch für wichtige Präventionsleistungen datenschutzrechtlicher Beratung.“, bilanzierte Will die statistischen Übersichten des Tätigkeitsberichts und unterstrich den haushaltrechtlichen Handlungsbedarf:

„Für Vertrauen und Rechtssicherheit bei der Nutzung Künstlicher Intelligenz und anderer datengetriebener Technologien im Digitalland Bayern sind das denkbar schlechte Ausgangsbedingungen. 20 Jahre nach der Etablierung einer selbstständigen bayerischen Datenschutzaufsicht in Mittelfranken ist dringend ein neuer Schub für einen raschen und zukunftsfähigen Ausbau der Behörde erforderlich. Wir haben die gestrige Vorab-Präsentation unseres Tätigkeitsberichts im Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags dafür genutzt, um fraktionsübergreifend für Unterstützung dieser Handlungserfordernisse zu werben“, so Will.

Angesichts der personellen Ausstattung der Behörde mit nur 33 Mitarbeiter:innen können aktuell nur zwei von drei Beschwerden Betroffener innerhalb der gesetzlich geforderten Frist bearbeiten werden.

Die präventive Beratung von Verantwortlichen kann, wenn überhaupt, nur noch in engen Grenzen konkreter Beratungsanliegen betrieblicher Datenschutzbeauftragter geleistet werden. Das Landesamt verzeichnete im Jahr 2022 insgesamt 5032 Beschwerden und Kontrollanregungen, zudem wurden 2991 Datenschutzverletzungen gemeldet. Trotz des Rückgangs um 16% bzw. 24% lasten beide Fallgruppen die Ressourcen des Landesamts immer noch bei Weitem aus.

Einen erheblichen Mehrwert, wenngleich nicht ohne Aufwand, bringt die durch die DS-GVO gestärkte und mit zahlreichen Verfahrensregelungen verstetigte Zusammenarbeit mit den anderen europäischen Aufsichtsbehörden mit sich. Der Tätigkeitsbericht zeigt an Hand der unter dem Dach des Europäischen Datenschutzausschusses erarbeiteten Leitlinien etwa zu Datenübermittlungen in Drittstaaten oder zur Bußgeldzumessung bei Datenschutzverstößen wichtige Ergebnisse dieser Zusammenarbeit auf.

Zusammen mit ausgewählten Fragestellungen der verschiedenen Fachbereiche des Landesamts vom Auskunftsrecht bis zur Videoüberwachung vermittelt der insgesamt 80-seitige Bericht auf diese Weise wichtige Hilfestellungen und Impulse für die datenschutzrechtliche Praxis in Unternehmen und Vereinen.

Der Tätigkeitsbericht für das Jahr 2022 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html.

Ein Videomitschnitt der virtuellen Pressekonferenz wird dort in den kommenden Tagen ebenfalls verfügbar sein.

Bayerisches Landesamt für Datenschutzaufsicht

  • Pressestelle –
    Promenade 18, 91522 Ansbach
    Email: presse@lda.bayern.de
    Pressemitteilungen: https://www.lda.bayern.de/de/pressemitteilungen.html

BSI: Unternehmensleitung darf Management von Cyberrisiken nicht wegdelegieren

Unternehmen werden heute regelmäßig Opfer von Cyberangriffen und die Bedrohungslage hat ein nie da gewesenes Ausmaß erreicht. Das Bundesamt für Sicherheit in der Informationstechnik plädiert dafür, dass sich die Unternehmensleitung dieser Tatsache bewusst sein muss, um Cybersicherheit als wichtigen Bestandteil des Risikomanagements etablieren zu können.

Das Handbuch „Management von Cyber-Risiken“ , das in Zusammenarbeit mit der Internet Security Alliance (ISA) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, erhält nun ein umfassendes Update. Es beschäftigt sich mit einer umfassenden Unternehmenskultur, die Cybersicherheit ständig im Blick hat und somit die Widerstandsfähigkeit von Unternehmen erhöht. Die aktualisierte Version des Handbuchs wurde am 22.03.2023 veröffentlicht.

Die Forderungen lassen sich auf die Einhaltung von sechs Prinzipien verdichten:

  1. Cybersicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen:
    Die Unternehmensleitung muss die Cybersicherheit nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und angehen.
  2. Rechtliche Auswirkungen von Cyberrisiken verstehen:
    Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyberrisiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen.
  3. Zugang zu Cybersicherheits-Expertise sowie regelmäßigen Austausch sicherstellen:
    Die Unternehmensleitung sollte einen angemessenen Zugang zu Cybersicherheits-Expertise fordern. Diskussionen über Cyberrisikomanagement sollten regelmäßig und in angemessenem Umfang auf die Tagesordnung gesetzt werden.

Das Hinweisgeberschutzgesetz (HinSchG) kommt!

Nachdem Bundestag und Bundesrat den Empfehlungen des Vermittlungsausschusses zugestimmt haben, tritt das Gesetz bereits Mitte Juni 2023 in Kraft! Ab diesem Zeitpunkt werden Unternehmen ab 250 Beschäftigte dazu verpflichtet sein, Whistleblowing in einem geschützten Rahmen zu ermöglichen. Für Unternehmen ab 50 Beschäftigte gilt dies ab dem 17. Dezember 2023. Betroffene Unternehmen müssen jetzt handeln und die erforderliche interne Meldestelle einrichten.

Wir helfen bei der Umsetzung!

BayLDA: Prüfung zu Stellung und Aufgaben von DSBs

Knapp fünf Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung startet heute die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat. Michael Will, Präsident des BayLDA erläutert das Ziel der gemeinsamen europaweiten Prüfung: “Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. Sie leisten Tag für Tag einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung. Mit der Datenschutz-Grundverordnung wurde ihre Stellung im Unternehmen als vorgelagerte Beratungs- und auch Kontrollinstanz nochmals gestärkt. Die gemeinsame Prüfaktion bildet den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis und den Austausch der Datenschutzbehörden über mögliche Verbesserungen oder auch Abhilfemaßnahmen. Wir werden versuchen, die Ergebnisse unserer Untersuchungen so rasch wie möglich auszuwerten und unsere Schlussfolgerungen damit für alle der mehr als 36.000 bei uns gemeldeten Datenschutzbeauftragten nutzbar zu machen.“


Zum Hintergrund:

Der Europäische Datenschutzausschuss hatte bereits in seiner konstituierenden Sitzung am 25. Mai 2018 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) verabschiedet, die gemeinsam mit mehreren aktuellen Entscheidungen des Europäischen Gerichtshofs, u.a. vom 22. Juni 2022 und 27. Oktober 2022, grundlegende Maßstäbe für die gemeinsame Prüfaktion der europäischen Datenschutzaufsichtsbehörden vermitteln. Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen bzw. Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sog. dotted line über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“

https://www.lda.bayern.de/media/pm/pm2023_03.pdf