Uncategorized Archive - Lexkonnex Datenschutz

Wie weit sind Sie mit der Umsetzung der DSGVO?

Jenny Gocheva — Sat, 25 Jun 2022 12:21:22 +0000

Die deutsche Wirtschaft kämpft immer noch mit der Datenschutz-Grundverordnung (DS-GVO). Laut einer Studie bei der über 1.100 Führungskräfte aus Unternehmen mit Sitz in Ländern wie z.B. Deutschland, Italien, Spanien, Frankreich, aus unterschiedlichen Branchen befragt wurden, haben aktuell nur 67 Prozent angegeben, die DSGVO mindestens zu großen Teilen umgesetzt zu haben. Erst ein Viertel ist überzeugt die Umsetzung der DSGVO vollständig abgeschlossen zu haben. Vor allem kleine und mittelständischen Unternehmen sind weiterhin mit der Aufgabe, die gesetzliche Regelung umzusetzen, überfordert. Rechtsunsicherheit und ein schwer abzuschätzender Umsetzungsaufwand sind für jeweils zwei Drittel der Unternehmen die größten Herausforderungen. Mehr als die Hälfte beklagt fehlende Umsetzungshilfen, gut ein Drittel sieht fehlendes Fachpersonal als größte Herausforderung.

Mit unserem Plan-Do-Check-Akt-Model zur Umsetzung der DSGVO erreichen Sie bereits nach kürzester Zeit ein angemessenes Datenschutzniveau im Unternehmen und könne diese kontinuierlich steigern.

Unser 10-Schritte Plan zur Umsetzung der DSGVO:

Prüfung der Organisationsstruktur
Ermittlung der Anforderungen zur Datenschutzkonformität
Budgetplanung
Erstellung einer Timeline
Festlegung der Zuständigkeiten
Abstimmung der Ziele und des Ablaufs mit der Unternehmensleitung
Umsetzung
Analyse des Datenschutzniveaus
Korrektur
Berichterstattung

Profitieren Sie von unserer Erfahrung und erreichen Sie schnell und unkompliziert Datenschutzkonformität in Ihrem Unternehmen.

www.lexkonnex-datenschutz.de

www.lexkonnex.de

Der Beitrag Wie weit sind Sie mit der Umsetzung der DSGVO? erschien zuerst auf Lexkonnex Datenschutz.

Datenschutz & Bewerberdaten

Jenny Gocheva — Sat, 23 Jan 2021 14:25:55 +0000

Personalabteilungen müssen auf das Thema Datenschutz besonders achten. Aber wie ist mit Bewerbungsmappen und v.a. den darin enthaltenen Lebensläufen, die eine ganze Reihe an personenbezogenen Daten enthalten, richtig umzugehen? Und was sollte auf jeden Fall vermieden werden?

Die DSGVO spielt in Personalabteilungen eine sehr große Rolle.

Unternehmen müssen die Bewerbungsunterlagen der potenziellen Arbeitnehmer/innen bestmöglich schützen – während des gesamten Bewerbungsprozesses. Dabei ist auf Folgendes zu achten

Aufklärung über die Verarbeitung

Alle Bewerber/innen müssen über die Datenverarbeitung aufgeklärt werden sowie über ihre Rechte als Betroffene informieret werden.

Datenweitergabe

Besonders kompliziert ist die sichere Weitergabe der Bewerberunterlagen in der Praxis. Verantwortliche Stellen müssen darauf achten, dass die Bewerbung nur an die zuständigen Stellen weitergeleitet wird.

Eine separate Einwilligung ist auch für die Fälle erforderlich, wenn die Bewerbungsunterlagen für eine andere als die ausgeschriebene Stelle genutzt werden sollen.

Datensparsamkeit

Personalabteilungen dürfen nur so viele Daten über Bewerber/innen erfahren, wie sie für die Entscheidung einer Einstellung auch wirklich benötigen.

Löschfristen

Der Datenschutz gilt während des gesamten Bewerbungsprozesses. Wichtig sind zudem die Löschfisten. Eine Speicherung der Bewerbungsunterlagen ohne explizite Einwilligung ist nach Abschluss des Bewerberverfahrens nicht gestattet. Eine Aufbewahrung ist nur möglich, wenn der/die Bewerber/innen explizit ihre Einwilligung.

Der Beitrag Datenschutz & Bewerberdaten erschien zuerst auf Lexkonnex Datenschutz.

DSGVO-Schadensersatz 1.500 € Weitergabe von Gesundheitsdaten

Jenny Gocheva — Thu, 03 Dec 2020 14:23:38 +0000

Die unerlaubte Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden rechtfertigt einen Schadensersatz nach Art. 82 DSGVO so das ArbG Dresden, Urt. v. 26.08.2020 – Az.: 13 Ca 1046/20.

Der Kläger war im Jahr 2019 viele Tage erkrankt. Der Arbeitgeber übermittelte an die Ausländerbehörde Informationen über die Krankheit des Mitarbeiters. Die Daten wurden auch an die Arbeitsagentur übemittelt.

Als der Kläger von dieser Vorgehensweise erfuhr, schaltete er den Sächsischen Datenschutzbeauftragten ein. Die Behörde stufte das Vorgehen des Arbeitgebers als Datenschutzverstoß ein, da unerlaubt Gesundheitsdaten an Dritte weitergegeben worden seien. Das ArbG Dresden sprach ihm eine Höhe von 1.500,- EUR zu.

Zunächst stellte das Gericht fest, dass die Weitergabe an die Ausländerbehörde rechtswidrig war:

“Bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handele es sich um Gesundheitsdaten, deren Verarbeitung grundsätzlich untersagt ist. Nur in den von Art. 9 Abs. 2 DSGVO genannten Ausnahmen ist die Verarbeitung zulässig.

Ein solcher Ausnahmetatbestand ist, wie bereits der Sächsische Datenschutzbeauftragte richtig festgestellt hat, nicht ersichtlich. Insbesondere stellt § 4 a Aufenthaltsgesetz keine Rechtfertigung für die Weitergabe der Gesundheitsdaten vor. Diese Vorschrift bestimmt in Abs. 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Des Weiteren ist der Ausländerbehörde innerhalb von 4 Wochen ab Kenntnis mitzuteilen, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Keiner dieser Voraussetzungen liegt vor.”

Zur Höhe des Ausgleichsbetrages führt das Gericht aus:

“Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag i.H.v. 1.500,00 EUR für geboten, aber auch ausreichend.

Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen sind, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien betroffenen Personen bezogenen Daten betrachtet werden können (…). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der Datenschutzgrundverordnung zur Wirkung zu verhelfen.

Den vorstehenden Grundsätzen entsprechend muss die Beklagte einen Schadensersatz für den verursachten immateriellen Schaden von 1.500,00 EUR zahlen. Der Beklagte hat nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Es bestand zum einen keine Verpflichtung, noch wurde sie von den Behörden hierzu aufgefordert. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen.

Der Beklagten muss auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren. Dies hat die Beklagte nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen hat.”

Der Beitrag DSGVO-Schadensersatz 1.500 € Weitergabe von Gesundheitsdaten erschien zuerst auf Lexkonnex Datenschutz.

LG Frankfurt aM: Facebook darf die Identität eines Accounts prüfen

Jenny Gocheva — Tue, 10 Nov 2020 14:19:56 +0000

Facebook kann grundsätzlich die Identität eines Accounts überprüfen. Weigert sich der User entsprechende Mitwirkungshandlungen vorzunehmen, kann das Unternehmen den Zugang löschen. (LG Frankfurt Az.: 2-03 O 282/19).

Der Kläger meldete sich mit einer allgemeinen Web.de-Adresse bei Facebook an. Das Online-Unternehmen versetzte das Konto in den so genannten “Fake-Account-Checkpoint” und forderte den Kläger auf, die Echtheit seines Kontos zu bestätigen, z.B. durch Vorlage einer Kopie seines Ausweises oder Bildes oder durch Eingabe eines Bestätigungscodes von einem seiner Geräte.

Das LG Frankfurt a.M. hat die Klage abgewiesen.

Im vorliegenden Fall gehe es gar nicht um die Problematik der Klarnamenpflicht, denn das Unternehmen habe dem Kläger auch die Möglichkeit angeboten, unter Wahrung der Anonymität den Account zu bestätigen:

“Denn die Beklagte hat insoweit hier dem Kläger verschiedene Möglichkeiten angeboten, um seine Identität nachzuweisen bzw. zu belegen, dass der neu angelegte Account kein “Fake-Account” ist. Die Beklagte hat – anders als es der Kläger darstellt – nicht kategorisch die Vorlage eines Personalausweises verlangt, sondern auch die Vorlage eines Bildes oder ähnlichem als ausreichend erachtet. Nach dem unstreitig gebliebenen Vortrag der Beklagten hätte es hierfür sogar ausgereicht, wenn der Kläger einen Bestätigungscode von einem seiner Geräte übermittelt, was nicht zwingend die Offenlegung seiner Identität nach sich gezogen hätte.”

Und weiter:

“Auf die Frage, ob die Beklagte insoweit eine Klarnamenpflicht wirksam mit dem Kläger vereinbart hat oder nicht und ob sie diese durchsetzen konnte, kam es vorliegend nicht an. Denn es ist bereits unklar, ob der Kläger überhaupt einen Klarnamen verwendet hat oder nicht, da er den von ihm gewünschten Nutzernamen auf der Plattform der Beklagten nicht angegeben hat. Die von ihm angegebene E-Mail-Adresse hat jedenfalls mit seinem Namen nichts zu tun.”

“Auch mit dem Argument des Klägervertreters im Termin zur mündlichen Verhandlung, dass § 13 Abs. 6 TMG eine Klarnamenpflicht untersage, dringt der Kläger nicht durch. Insoweit ist bereits fraglich, ob § 13 Abs. 6 TMG nach Geltungserlangung der DSGVO noch Wirkung entfaltet. Vorliegend geht es aber nach dem Vortrag der Parteien nicht um eine Durchsetzung der Klarnamenpflicht. So hat der Kläger schon nicht vorgetragen, sich nicht mit seinem Klarnamen angemeldet zu haben, sondern hat nur eine E-Mail-Adresse angegeben. Darüber hinaus hat die Beklagte dargetan, dass sie zur Überprüfung seiner Identität einerseits die Übermittlung eines Bildes (ohne Namen) oder sogar das Senden eines Bestätigungscodes von einem seiner Geräte akzeptiert hätte, so dass der Kläger im Ergebnis zur Offenlegung seines Namens nicht verpflichtet war.

Auch wenn die Kammer davon ausgeht, dass der Kläger sich unter einem anderen Namen oder (ggf. in Übereinstimmung mit § 13 Abs. 6 TMG) unter einem Pseudonym angemeldet hat, hat die Beklagte nicht verlangt, dass der Kläger sein Profil mit seinem eigenen Namen bezeichnet, sondern nur, dass er diesen der Beklagten gegenüber offenlegt.”

Der Beitrag LG Frankfurt aM: Facebook darf die Identität eines Accounts prüfen erschien zuerst auf Lexkonnex Datenschutz.

Videokonferenzsysteme im Unternehmen datenschutzkonform nutzen

Jenny Gocheva — Mon, 12 Oct 2020 14:12:29 +0000

In Zeiten von Corona sind Videokonferenzen unabdingbar geworden. Doch was passiert dabei mit den personenbezogenen Daten?

Die Konferenz der Datenschutzaufsichtsbehörden (DSK) hat eine Handreichung veröffentlicht, die Verantwortlichen helfen soll Videokonferenzdienste DSGVO-konform zu verwenden.

https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf

Welche Plattform oder Software?

Die DSK empfiehlt die Plattform, die für Videokonferenzen gewählt wird selbst zu betreiben. Nur so habe es eine Institution „selbst in der Hand, welche Software zum Einsatz kommt und zu welchen Datenverarbeitungen dies führt“.

Der Betrieb von Videokonferenzsystemen auf einer selbst betriebenen Infrastruktur habe den Vorteil, „dass nur dem Verantwortlichen eine Analyse und Kontrolle der Inhalts- und Rahmendaten der Systeme ermöglicht wird, da nur er auf die hierfür erforderlichen Daten zugreifen kann.“

Externe Dienstleister

Beim Einsatz von externen Dienstleistern ist darauf zu achten, welche Daten der Anbieter speichert und wie die Daten geschützt werden.

Dafür müssen die Unternehmen einen Vertrag zur Auftragsverarbeitung nach Artikel 28 Abs. 3 der Datenschutzgrundverordnung (DSGVO) abschließen.

US-Plattformen

Die Nutzung von US-Plattformen wie ZOOM, SKYPE, Google Meets ist natürlich auch möglich, „die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen“, so die DSK.

Ein angemessener Schutz der in die USA übermittelten Daten steht nach dem „Privacy Shield“-Urteil des Europäischen Gerichtshofs nicht mehr zur Verfügung.

Noch zu Beachten

Weitere Fragen, insbesondere die Frage der Löschfristen, der Freiwilligkeit sowie der Schutz der Privatsphäre bei Videokonferenzen aus dem Homeoffice müssten unbedingt erläutert und dokumentiert werden.

Der Beitrag Videokonferenzsysteme im Unternehmen datenschutzkonform nutzen erschien zuerst auf Lexkonnex Datenschutz.

Phishing: Darauf müssen Sie achten

Jenny Gocheva — Thu, 17 Sep 2020 13:45:49 +0000

Sicherheitsbehörden warnen regelmäßig vor Phishing-Wellen. Phishing ist eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten.

Damit Ihre Mitarbeiter die Risiken erkennen können, ist die regelmäßige Durchführung von Schulungen und Simulationen empfehlenswert. Hilfreich ist auch eine regelmäßige Warnung von aktuellen Fällen an die Mitarbeiter zu versenden.

Über aktuelle Warnungen informieren

Laut einer Warnung der BKA verschicken Cyberkriminelle Phishing-E-Mails getarnt als Bankinformationen, um an Daten zu gelangen. Die Empfänger der Mails wurden aufgefordert persönliche Informationen sowie eine Bescheinigung über erhaltene Corona-Soforthilfen an eine E-Mail-Adresse zu übermitteln, die die Täter kontrollierten.

Gefahren im Homeoffice!

Insbesondere in Verbindung mit der aktuell gestiegenen Nutzung von Homeoffice kommt es öfter zu Phishing-Attacken.

Was ist mit Phishing-Simulationen

Viele Anbieter werben mit Schulung und Sensibilisierungstools auf Basis von Simulationen.

Wenn Sie eine Phishing -Simulation durchführen möchten, müsste diese gut vorbereitet sein. Eine bewusste Täuschung der Mitarbeiter und Mitarbeiterinnen, um sie vor realen Gefahren zu schützen, kann dazu führen, dass Mitarbeiter verunsichert und negativ auf die Aktion reagieren.

Eine gute Vorbereitung der Simulation sowie Aufklärung der Mitarbeiter ist aus unserer Sicht die beste Lösung. Auch eine regelmäßige Information über aktuelle Fälle erweitert den Wissensgrad der Mitarbeiter und trägt zum vorsichtigen Umgang mit E-mails bei.

Der Beitrag Phishing: Darauf müssen Sie achten erschien zuerst auf Lexkonnex Datenschutz.