Veröffentlicht am

Bußgeld nach Verletzung der 72 Stunden-Frist bei der Meldung einer Datenschutzverletzung nach Art 33 DSGVO

Der Hessische Landesdatenschutz­beauftragte hat laut Tätigkeitsbericht 2019 gegen eine Reha Klinik ein Bußgeld in Höhe von 6.800.- € erlassen, da diese einen Entlassungsbericht mit sensiblen Gesundheitsdaten versehentlich an den falschen Empfänger geschickt hat.

Hierbei handelte es sich um eine „Datenpanne“, die nach Art 33 DSGVO innerhalb von 72 Stunden an die zuständige Behörde zu melden ist. Nachdem das Unternehmen von der Falschversendung durch den Empfänger erfuhr, meldete Sie den Vorgang erst nach 7 Tagen der zuständigen Landesdatenschutz­behörde. Die rechtzeitige Meldung sollte kein Bußgeld nach sich ziehen, die Verspätung nahm die Behörde aber zum Anlass ein erhebliches Bußgeld zu verhängen.

In gegenüber der Aufsichtsbehörde ausdrücklich zu begründenden Fällen kann diese Frist ggf. überschritten werden, z.B. weil eine Datenschutzverletzung unverschuldet erst später bekannt wird oder erst nach einer längeren Recherchephase als solche erkennbar ist. Die Begründung der Reha Klinik, es habe sich um einen erstmaligen Fall gehandelt und die Mitarbeiter hätten nicht gleich gewusst, was mit dem Fall zu tun sei, ließ die Behörde nicht gelten.

Derartige Fälle müssen in einer Anweisung im Unternehmen geregelt sein, damit sie rechtzeitig von den Mitarbeitern erkannt und an entsprechend verantwortliche Personen gemeldet werden. Wissen Ihre Mitarbeiter, dass die fehlerhafte Versendung, insbesondere von sensiblen Daten an Unbefugte eine meldepflichtige Datenschutz­verletzung darstellt und grundsätzlich binnen 72 Stunden bei der zuständigen Landesdatenschutz­behörde angezeigt werden muss? Haben Sie Ihre Mitarbeiter geschult und eine Handlungsanweisung hinterlegt? Wenn nein, sollten Sie sich schleunigst darum kümmern, denn allein die Überschreibung der Meldefrist kann, wie das Beispiel zeigt, teuer werden.

Ein Muster zu Datenschutz­verletzungen findet sich im myGINDAT Erstpacket unter „Meldung Datenschutzverletzung“. Ihr Datenschutz­beauftragter unterstützt Sie bei der Umsetzung.

Veröffentlicht am

„Sigred“: 17 Jahre alte Sicherheitslücke in Windows geschlossen

Sicherheitsexperten haben eine seit 17 Jahren existente Sicherheits­lücke namens „Sigred“ in der Windows Server Software 2003 bis 2019 für das Domain-Name-System (DNS) entdeckt, die Microsoft nunmehr gepatched hat.

„Sigred“ hat es Angreifern ermöglicht, mittels des Einschmuggelns von infizierten Codes Websites zu kapern, E-Mails abzufangen, private Inhalte und Informationen zu stehlen oder Websites ganz offline zu nehmen. Wird die Lücke von einem Angreifer ausgenutzt, hat der eingebrachte Schadcode die Möglichkeit, sich wurmartig auszubreiten und somit auch mehrere Systeme und Netzwerke zu übernehmen.

Die Schwachstelle gilt als kritisch und ist mit dem höchstmöglichen CVSS-V3-Score (Common Vulnerability Scoring System) „10“ versehen worden. Dieses System gilt als Industrie­standard zur Bewertung des Schweregrades von möglichen oder tatsächliche Sicherheitslücken in IT Systemen.

Microsoft hat die Sicherheits­lücke erkannt und sie am Patchday 14.07.2020 geschlossen. Um diese Lücke auf verwendeten Servern in der Praxis zu schließen, muss natürlich der Sicherheitspatch auf den Systemen installiert werden.

Der Patch kann in allen Versionen bis Windows Server 2008 R2 installiert werden. Für ältere Versionen als 2008 R2 ist kein Patch verfügbar.

Veröffentlicht am

Sind Anbieter von virtuellen Telefonanlagen Auftragsverarbeiter?

Virtuelle Telefonanlage

Virtuelle Telefonanlagen (auch Cloud -Telefonanlage genannt) sind softwarebasierte Telefonie-Lösungen, die sich im Rechenzentrum des Anbieters befinden. Die Telekommunikation findet über das Internet durch VoIP statt. VoIP ist der Übertragungsstandard, wodurch Sprache per Internetprotokoll in ein Rechenzentrum übertragen wird.  Virtuelle Telefonanlagen haben den Vorteil, dass Unternehmen keine physischen TK-Anlagen mehr benötigen und so Platz sparen können. Es ist lediglich ein leistungsstarker Internetanschluss erforderlich.

Grundsatz

Ein Auftrags­verarbeitungs­vertrag ist grundsätzlich immer dann erforderlich, wenn der  Auftraggeber weiterhin über Zweck und Mittel der Datenverarbeitung entscheidet und der Auftrags­verarbeiter personenbezogene Daten lediglich weisungsgebunden für den Auftraggeber verarbeitet.

Daneben gibt es noch die Konstellation, in der es sich bei der Datenweitergabe an ein Unternehmen um eine Übermittlung an einen Verantwortlichen handelt, bei dem jedes Unternehmen selbst über die Zwecke und Mittel der Verarbeitung entscheidet. In einem solchen Fall liegt weder eine Auftrags­verarbeitungs­situation noch eine gemeinsame Verantwortlichkeit vor.

Ausdrückliche oder implizierte Zuständigkeit

Ein Auftrags­verarbeitungs­vertrag ist jedoch dann nicht notwendig, wenn eine Verantwortung aufgrund einer ausdrücklichen oder implizierten Zuständigkeit vorliegt.

Dieser Fall ist immer dann gegeben, wenn die Fähigkeit zu entscheiden nicht ausdrücklich gesetzlich geregelt und auch keine direkte Folge konkreter gesetzlicher Bestimmungen ist, aber trotzdem aus allgemeinen gesetzlichen Bestimmungen oder geltender Rechtspraxis auf bestimmten Rechtsgebieten abzuleiten ist. Bei Tele­kommunikations­dienstleistungen ist eine Verantwortung aufgrund einer implizierten Zuständigkeit anerkannt (vgl. Art 29 Gruppe, WP 169, S. 12 -14). Das liegt daran, dass das Fernmeldegeheimnis nach Ar. 10 I GG verfassungs­rechtlich geschützt ist. Zur Wahrung des Fernmelde­geheimnisses unterliegen Anbieter von Tele­kommunikations­dienstleistungen besonders strengen Anforderungen im Hinblick auf Schutzmaßnahmen.

Anwendung des TKG

Fraglich ist, ob eine Cloud -Telefonanlage einen Tele­kommunikations­dienst nach § 3 Nr. 24  Tele­kommunikations­gesetz (TGK) darstellt, was zur Folge hat, dass ein Auftragsverarbeitungsvertrag nicht erforderlich ist.

„Tele­kommunikations­dienste“ sind in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Tele­kommunikations­netze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“ (§ 3 Nr. 24 TKG).

Problematisch ist hier insbesondere das Merkmal Signalübertragung. Mit der Signalübertragung ist die Transportleistung gemeint in Abgrenzung zur Inhaltsleistung (das Bereithalten von Inhalten in der Cloud). Der Dienst muss die Signale über ein Tele­kommunikations­netz an einen anderen Ort übertragen.

Entscheidend ist aber nicht eine rein technische Betrachtungsweise. Der Begriff des Tele­kommunikations­dienstes im TKG ist vielmehr einer funktional-wertenden Betrachtungsweise zugänglich (Bundesnetzagentur, SkypeOut-Entscheidung (C 142/18).

Bei der auch von der Bundesnetzagentur der Regulierungs­praxis zugrunde gelegten funktionalen Betrachtungsweise kommt es darauf an, ob die angebotenen Anwendungen oder Dienste eine eigene Funktionalität hinsichtlich der Signal­übertragung beinhalten, die Anbieter zugerechnet werden kann. Die Zurechnung erfolgt dabei über die Frage, ob der Dienst Elemente beinhaltet, die eine Kontrolle von Übertragungs­funktionen erfordern. Für die Kontrolle wiederum reicht dann eine logische Kontrolle von Transport­funktionen aus, auch wenn diese auf bestehenden Transportleistungen Dritter basiert.

Das bedeutet, dass zwischen der Speicherung der erforderlichen Daten in der Cloud und dem Transport der Daten unterschieden werden muss. Der VoIP – Dienst fällt unter das Merkmal Signalübertragung. Zwar setzt der Dienst einen Internetanschluss voraus, jedoch kontrolliert der Anbieter die Herstellung der VoIP – Anrufverbindung zu dem angerufenen Teilnehmer. Die dabei verarbeiteten Daten, wie Anrufer, Angerufener, Beginn und Ende des Gesprächs sind Verkehrsdaten im Sinne des § 3 Nr. 30 TKG.

Sonstige Daten, wie Adress- und Telefonbücher, Faxe oder auf der Mailbox gespeicherte Nachrichten stellen eine Inhaltsleistung dar und unterfallen mangels Signalübertragung nicht dem TKG.

Diese Signalübertragung muss nach § 3 Nr. 24 TKG ganz oder überwiegend Teil der Leistung sein. In der Regel wird nicht nur VoIP angeboten, sondern noch weitere Sprach­speicherdienste. Auch, wenn eine einheitliche Leistung angeboten wird, müssen die Leistungen rechtlich getrennt bewertet werden, um keine Wettbewerbs­verzerrung zu provozieren.

Rechtsprechung des EuGH

Mit der Frage, ob eine Signalübertragung vorliegt hat sich auch der EuGH beschäftigt (Urteil vom 13.06.2019, Az.: C-193/18). In dem Urteil hat das Gericht entschieden, dass Googles internetbasierter E-Mail-Dienst Gmail nach europäischem Recht nicht als elektronischer Kommunikationsdienst zu qualifizieren ist. Zwar nehme Google beim Versenden einer E-Mail auch eine Signalübertragung vor, es fehle jedoch an dem Merkmal „überwiegend“. Das liegt daran, dass Internetzugangs­anbieter und Netzbetreiber im Wesentlichen die Signalübertragung sicherstellen, Gmail dagegen nur die Inhaltsleistung anbietet.

Zukünftige Gesetzgebung

Aktuell wird in den zuständigen Ministerien an der Umsetzung des „Europäischen Kodex für elektronische Kommunikation“ (eine Richtlinie der EU) gearbeitet. In der Richtlinie wird die Definition des Telekommunikations­dienstes geändert, sodass in Zukunft Dienste wie Gmail, WhatsApp oder Telegram davon erfasst werden.

Folgen den Abschluss eines Auftrags­verarbeitungs­vertrags

Zusammengefasst ist für die Übertragung der Kommunikations­daten mittel VoIP eine Auftragsverarbeitung nicht erforderlich, denn es liegt ein Tele­kommunikations­dienst vor und somit eine Verantwortung aufgrund einer impliziten Zuständigkeit. Davon abzugrenzen ist jedoch die Speicherung der Daten in der Cloud (die nicht Verkehrsdaten sind). Da in der Regel verschiedene Leistungen angeboten werden, müssen alle auch einzeln bewertet werden im Hinblick auf die Erforderlichkeit eines Auftrags­verarbeitungs­vertrags.

Sollten Sie nicht sicher sein, ob Sie mit ihrem Telefonanbieter einen Auftrags­verarbeitungs­vertrag abschließen müssen, dann sprechen Sie uns an. Wir helfen Ihnen gerne.

Veröffentlicht am

Schwere Sicherheitslücke in Mail-App von iPhone und iPad

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, wurde ein schwerwiegendes Problem in der „Mail“-App für Apple iPhones und iPads entdeckt.

Durch eine Schwachstelle in der „Mail“-App sei es Fremden möglich, E-Mails zu lesen, zu verändern und zu löschen. Dazu muss der Angreifer lediglich eine entsprechend präparierte E-Mail an die E-Mail-Adresse des Nutzers senden.

Der Angriff kann vom Nutzer unbemerkt geschehen. Je nach iOS-Version muss der Nutzer nicht einmal die eingehende E-Mail des Angreifers öffnen.

Durch die Lücke kann der Mail-Verkehr manipuliert werden. Das könnte auch bedeute, dass sich der Angreifer neue Passwörter von Online-Diensten des Nutzers zusenden lässt, um verschiedene Accounts zu übernehmen.
Ob durch die Lücke weitere schädliche Aktivitäten auf dem Gerät möglich sind, wird aktuell geprüft.

Bislang gibt es von Apple noch keinen Patch. Das BSI rät daher allen Nutzern, die „Mail“-App vorerst zu deinstallieren oder alternativ alle Accounts zu deaktivieren, die mit dieser App verknüpft sind.

Die Deaktivierung kann in den Einstellungen des iOS-Geräts erfolgen:

  1. App „Einstellungen“ öffnen.
  2. Bereich „Passwörter und Accounts“ öffnen.
  3. Die dort eingerichteten Mail-Accounts auswählen. Wahlweise den Account selbst oder aber den Schalter bei „Mail“ deaktivieren.

Bis die Sicherheitslücke von Apple behoben wurde, sollten Sie andere Apps oder die Webmail-Funktion des E-Mail-Anbieters verwenden (im Browser anmelden).

Veröffentlicht am

Datenverarbeitung in Unternehmen zur aktuellen Pandemie-Eindämmung gegenüber Besuchern

Neue Situationen benötigen neue Lösungen. Ohne Erfahrungswerte bedarf es einiger Kreativität, um Möglichkeiten zu finden, die neue Situation zu klären. Die Pandemie ist sicherlich eine solche neue Situation, die neue Lösungen fordert. Das Gebot der Stunde lautet Eindämmung der Pandemie. Die meisten Unternehmen werden Ihre Türen aus diesem Anlass für Besucher ohnehin gänzlich geschlossen haben. Manche Termine lassen sich allerdings nicht verschieben oder telefonisch erledigen. Beispielsweise Klempner haben noch keinen Weg gefunden, einen Wasserrohr­bruch im Gebäude virtuell zu beheben.

Im Einzelfall kann es also nötig sein, Besuchern den Zutritt zum Unternehmen zu ermöglichen. Im Rahmen der Fürsorgepflicht des Arbeitgebers muss der Besuch dabei so gefährdungslos wie möglich für Mitarbeiter und Besucher gestaltet werden. Hierfür bietet das Robert-Koch-Institut weitere Informationen. Sollte es dennoch zu einer Infektion gekommen sein, möchte man möglichst effektiv an einer Aufklärung und damit auch im Nachhinein an einer Eindämmung der Weiter­verbreitung mitwirken. Einige Unternehmen sind deshalb dazu übergegangen Fragebögen von Besuchern zu erfassen, die auch Gesundheitsdaten enthalten, wie z.B. „Wurde bei Ihnen das Coronavirus positiv getestet?“ oder „Leiden Sie unter grippeähnlichen Symptomen?“.

Trotz Krisenzeiten muss allerdings die Rechtsstaatlichkeit gewahrt bleiben. Dazu gehört die Einhaltung demokratisch legitimierter Wege. Sofern eine Anordnung des Gesundheitsamts ergeht, Auflagen zu erfüllen, liegt hierin zugleich auch die datenschutz­rechtliche Legitimation für diese Verarbeitung. Sollte zu diesen Auflagen gehören, dass Besucherdaten zu erheben sind, ist die Datenerhebung in dem geforderten Maße rechtmäßig.

Liegt eine solche Anordnung nicht vor, bedarf es einer anderen Rechtsgrundlage. Der Schutz Ihrer Mitarbeiter und die Wahrnehmung Ihres Hausrechts stellt grundsätzlich Ihr legitimes Interesse an einer Erfassung von Besucherdaten dar, was die meisten Unternehmen ohnehin auch ohne pandemische Lage tun. Diese Daten können, sofern es notwendig werden sollte, auch auf Anordnung der Gesundheits­behörde herausgegeben werden. Die Erfassung von Gesundheitsdaten bedarf allerdings einer eigenen Rechtfertigung.

In Betracht käme eine Rechtfertigung über Art. 9 Abs. 2 lit i DSGVO i.V.m. § 22 Abs. 1 lit. c BDSG, sofern „die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich ist“. Zu messen ist die Rechtmäßigkeit der Erhebung von Gesundheitsdaten somit am Maßstab der Erforderlichkeit. Erforderlichkeit ist gegeben, wenn das mildeste unter gleich geeigneten Mitteln gewählt wurde. Stehen also andere gleich geeignete Mittel zur Verfügung, die einen geringeren Grundrechtseingriff darstellen, ist die Erhebung von Gesundheitsdaten nicht erforderlich.

Statt die Daten zu erheben, könnte über ein deutlich sichtbares Hinweisschild eine Selbst­verpflichtung am Eingang angebracht werden. Hierin sollte darauf hingewiesen werden, das Betreten zu unterlassen, wenn man selbst positiv auf das Virus getestet wurde oder Kontakt zu einer infizierten Person hatte, oder bei sich selbst grippeähnliche Symptome feststellt. Da es sich sowohl bei dem Hinweisschild als auch bei einem Fragebogen um eine Selbsteinschätzung handelt, dürfte die Effektivität dieser Maßnahmen gleichermaßen hoch oder niedrig sein. Bei dem Hinweisschild findet weder eine Datenerhebung, noch eine Speicherung statt, und stellt damit ggf. ein milderes Mittel dar, zu dem wir grundsätzlich raten möchten.

Gleichwohl räumen wir ein, dass bei einer schriftlichen Erhebung zusätzlich sichergestellt wird, dass die Hinweise nicht übersehen werden können. Insofern ist der Schluss legitim, dass ein Hinweisschild nicht gleich geeignet wie die schriftliche Erfassung mittels eines Fragebogens ist.

Die unabhängige Konferenz der Datenschutz­behörden hat jedenfalls in Anbetracht der pandemischen Lage die Fürsorgepflicht des Arbeitgebers für das Wohl der Gesamtheit der Beschäftigten als überragendes berechtigtes Interesse an der Erhebung von Besucherdaten inklusive der Gesundheitsdaten anerkannt. Dies kann jedoch nur solange gelten, wie das Verfahren der Datenerhebung datenschutz­konform gestaltet ist.

Dementsprechend sollte der Fragebogen möglichst datensparsam gestaltet werden. Eine einfache Bestätigung des Besuchers über das Nicht­vorhandensein einer nachgewiesenen Infektion mit dem Virus, kein bekannter Umgang mit einem nachweislich Infiziertem, kein Aufenthalt in einem der Risikogebiete nach Angaben des Robert-Koch-Instituts und das Fehlen von Symptomen dürfte regelmäßig ausreichen. Nicht erforderlich ist es, jeden einzelnen Punkt separat abzufragen.

Zugleich muss eine adäquate Datenschutz-Information nach den Vorgaben des Art. 13 DSGVO erfolgen. Eine intransparente Verarbeitung kann niemals das Schutzinteresse des Betroffenen überwiegen.

Da es sich auch bei einer Negativauskunft um Gesundheitsdaten handelt, sind die Daten entsprechend Ihres erhöhten Schutzbedarfs verschlossen, gegen unbefugten Zugriff geschützt aufzubewahren, und nur einem begrenzten Personenkreis zugänglich zu machen. Nach Wegfall des Zwecks müssen die Fragebögen datenschutz­konform entsorgt werden.

Ein Muster eines solchen Fragebogens inklusive der Datenschutz-Information finden unsere Kunden im Online-Portal myGINDAT.

Veröffentlicht am

Datenschutz in Zeiten der Corona-Pandemie

In Zeiten von Corona muss sich jedes Unternehmen überlegen, welche Maßnahmen es zum Schutz seiner Mitarbeiter, Besucher und letztlich auch in Bezug auf die Erhaltung der Funktions­fähigkeit seines Betriebes ergreifen kann.

In diesen Zeiten kommen insbesondere auch die Erhebung und Verarbeitung von Daten einschließlich sensibler Gesundheits­daten von Mitarbeitern und Besuchern in Betracht.

Aber was ist mit dem Datenschutz?

Die DSGVO (Art 9 Abs. 2 b, h, i)sowie das Bundes­datenschutz­gesetz (§ 22 Abs.1 b u. c) enthalten hierzu Berechtigungen, die insbesondere auch in Ausnahme­situationen greifen können, wie Schutz vor schweren grenz­überschreitenden Gesundheits­gefahren, öffentliches Interesse im Bereich der öffentlichen Gesundheit, Pflichten aus dem Arbeitsrecht (z.B. Fürsorgepflicht).

Die Konferenz der unabhängigen Datenschutz­beauftragten des Bundes und der Länder hat hierzu ganz aktuell allgemeine Hinweise herausgegeben, nach der die Erhebung und Verarbeitung in bestimmten Fällen auch von sensiblen Gesundheitsdaten ohne Einwilligung erlaubt sein soll.

Bei Beschäftigten zählen insbesondere die Erhebung und Verarbeitung von Informationen (einschließlich Gesundheitsdaten) in den Fällen:

  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
  • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Bei Besuchern die Erhebung und Verarbeitung personen­bezogener Daten (einschließlich Gesundheitsdaten), insbesondere um festzustellen, ob diese

  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Datenerhebung muss aber immer verhältnis­mäßig sein und es dürfen nicht mehr Daten aufgenommen werden, als dies erforderlich ist um eine möglicherweise bestehende Gesundheits­gefährdung feststellen zu können.

  • So soll die Offenlegung personen­bezogener Daten von nachweislich infizierten oder unter Infektions­verdacht stehenden Personen zur Information von Kontaktpersonen nach Auffassung der Datenschützer nur dann rechtmäßig sein, wenn die Kenntnis der Identität für die Vorsorge­maßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Zusätzlich zu den bestehenden Rechts­grundlagen für die Daten­verarbeitung auf Seiten des Arbeitgebers ergeben sich auch für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungs­pflichten gegenüber ihrem Arbeitgeber und Dritten.

  • Vorliegend stellt nach Auffassung der Datenschutz­aufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine

Offenlegungs­befugnis nach der DSGVO bezüglich personen­bezogener Daten der Kontaktpersonen folgt.

Quelle: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Veröffentlicht am

Kündigung eines SAP Beraters wegen Missbrauchs von Daten

Das Amtsgericht Siegburg hatte einen Fall zu verhandeln, der die fristlose Kündigung eines SAP-Beraters betraf.

Dieser hatte vom Rechner eines Spielcasinos aus Kopfschmerz­tabletten für zwei Vorstands­mitglieder einer Kundin seines Arbeitgebers bestellt. Dabei griff er zwecks Zahlung per Lastschrift auf die zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Daten, wie Namen, Anschriften und Bankverbindungs­daten zu. Der Mitarbeiter tat dies um die Kundin seines Arbeitgebers auf Sicherheits­lücken aufmerksam zu machen und ließ den Vorstands­mitgliedern der Kundin eine Info zukommen, die dahingehend lautete, „dass sie aufgrund der Bestellung sehen könnten, wie einfach Datenmissbrauch sei, was bei ihnen zu Kopfschmerzen führen müsste, wobei die bestellten Kopfschmerz­tabletten durchaus helfen könnten“.

Der Arbeitgeber fand dies ganz und gar nicht gut und sprach eine fristlose Kündigung des Arbeits­verhältnisses aus, gegen die der Mitarbeiter klagte.
Das Arbeitsgericht Siegburg wies die Klage ab und befand, dass die fristlose Kündigung berechtigt sei, da der Mitarbeiter gegen die Interessen seines Arbeitgebers eklatant verstoßen habe. Dieser müsse als im IT-Bereich tätiges Unternehmen den Datenschutz seiner Kunden gewährleisten. Dem steht es entgegen, wenn in der EDV des Kunden gespeicherte hochsensible persönliche Daten, wie vorliegend Name Anschrift und Bankverbindung durch einen Mitarbeiter missbraucht werden und auf diese Daten wider­rechtlich Zugriff genommen wird.

Dabei spielte es keine Rolle, dass der Mitarbeiter für sein Vorgehen eine möglicherweise bestehende Sicherheits­lücke ausgenutzt hatte.
Das hierbei von ihm gewählte Mittel stand nach Auffassung des Gerichts offen­sichtlich außer Verhältnis zu dem von ihm verfolgten Ziel, weil er nicht nur mit Worten auf die Sicherheitslücke aufmerksam gemacht, sondern sie nach eigener Darstellung gerade ausgenutzt hatte. Von Seiten des Arbeitgebers und deren Mitarbeiter habe die Kundin allenfalls den Schutz vor, keinesfalls aber den Missbrauch von etwaigen Sicherheits­lücken zu erwarten.
Das Gericht hat den Sachverhalt daher als so schwerwiegend erachtet, dass es eine fristlose Kündigung als berechtigt erachtet hat.

ArbG Siegburg, Urteil vom 15.01.2020 – 3 Ca 1793/19

Anmerkung GINDAT

Das Urteil zeigt, dass ein Verstoß gegen den Datenschutz erhebliche Konsequenzen haben kann.

Leider ist dem Urteil nicht zu entnehmen, dass sich das Gericht mit den Vorschriften der Datenschutz­grundverordnung (DSGVO) und des Bundes­datenschutz­gesetzes (BDSG) großartig beschäftigt hat, da es offensichtlich ohne hierauf näher einzugehen, dass Verhalten des Mitarbeiters als derart eindeutigen Verstoß gegen den Datenschutz angesehen hat, dass eine nähere Prüfung unterblieben ist.

Von daher sei von dieser Stelle darauf hingewiesen, dass nach Art 6 Abs. 1 DSGVO jede Erhebung, Nutzung und sonstige Verarbeitung von personen­bezogenen Daten nach der Datenschutz­grundverordnung immer einer Rechtsgrundlage bedarf, andernfalls ist diese verboten.

Neben einer Einwilligung des Kunden, die hier nicht vorlag, kommt als Rechtsgrundlage insbesondere in Betracht, wenn die konkrete Daten­verarbeitung zur Erfüllung eines Vertrags­verhältnisses zwischen dem Kunden und dem Arbeitgeber des gekündigten Mitarbeiters erforderlich gewesen wäre.

Im Bereich der Durchführung eines IT-Berater Vertrages wäre es sicherlich angezeigt den Kunden auch auf bestehende Sicherheitslücken aufmerksam zu machen, sofern Sie denn im Rahmen der vertragsgemäßen Tätigkeit aufgefallen sind.

Die bloße IT-Beratung schließt aber offensichtlich nicht mit ein, eigenmächtig und ohne Einwilligung des Kunden auf dessen Daten zuzugreifen, diese bei sich auf einem USB-Stick zu speichern und damit Bestellungen durchzuführen.

Von daher wird jeder Mitarbeiter, der sich im Rahmen seines Auftrags bzw. seiner Tätigkeit, die er für einen Kunden ausführen soll, hält, durch das Gesetz geschützt. Umgekehrt können eigen­mächtige Handlungen, die weder mit dem Arbeitgeber noch mit dem Kunden abgesprochen wurden, aber zu erheblich Problemen führen.

Jörg Conrad
Rechtsanwalt und Fachanwalt für Arbeitsrecht

Veröffentlicht am

Auswirkungen des Brexit auf den Datenschutz

Das Vereinigte Königreich ist bis zum Austrittsdatum als EU-Mitgliedstaat nach den üblichen Regeln des allgemeinen Datenschutzes zu behandeln. Es ist die DSGVO, sowie das BDSG anzuwenden.

Bis zum 31.12.2020 ist das Vereinigte Königreich weiter wie ein EU-Mitgliedstaat zu behandeln.

Bisher ist ein sogenannter Angemessenheits­beschluss in der Diskussion, ein solcher Beschluss stellt das Vereinigte Königreich mit der EU gleich und stellt sicher, dass ein angemessenes Datenschutz­niveau herrscht.

Ob dieser Beschluss bis zum 31.12.2020 vorliegt, bleibt abzuwarten. Sollte ein solcher Beschluss nicht bis zum 31.12.2020 vorliegen, ist das Vereinigte Königreich als unsicheres Drittland aus Datenschutz­sicht zu betrachten.

Diese Punkte sind zu beachten:

  1. Im Informationsblatt zur Daten­verarbeitung und in der Datenschutz­erklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
  2. Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Daten­übermittlung in Drittländer zu beauskunften.
  3. Im Verzeichnis von Verarbeitungs­tätigkeiten sind Daten­übermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
  4. Ggf. sind Datenschutz-Folgen­abschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung nach Großbritannien als Drittland geht (Art. 35 DS-GVO).
  5. Es sind geeignete Garantien zum Schutz personen­bezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahme­tatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.

Liegt z.B. der Angemessenheits­beschluss nicht bis zum Austrittstermin vor, liegt in jeder Datenübermittlung nach Großbritannien ein Verstoß gegen Art. 5 Abs. 1 lit. a in Verbindung mit Art. 44 DSGVO vor, der durch die zuständige Datenschutz­aufsichts­behörde mit der Ausübung von Befugnissen bis hin zur Verhängung von Geldbußen geahndet werden kann.

Wenn Sie vorab schon etwas tun möchten, dann können Sie mit Ihren Dienstleistern – welche mit dem Vereinigten Königreich im Datenaustausch stehen – die sogenannten Standard­vertragsklauseln vereinbaren.

Bevor es aus Vertriebssicht wieder in das Jahresend­geschäft geht, wäre es empfehlenswert, sich über die o.g. 5 Punkte schon einmal Gedanken zu machen und ggf. die ergänzten Unterlagen auf „Halde zu legen“.

So kann eine mögliche Änderung schnell umgesetzt werden.

Veröffentlicht am

2000 Euro Schadensersatz auf Grund unzulässiger Videoüberwachung

Durch die Video­überwachung des Arbeitsplatzes fühlte sich ein Tankstellen-Mitarbeiter massiv in seinen Persönlichkeits­rechten verletzt und klagte dagegen. Dabei bezog sich der Kläger nicht auf die sichtbaren Kameras zur Über­wachung des Verkaufsraums oder der Zapfanlage, sondern auf die Kameras im Kassen- und Lager­bereich der Tankstelle. Diese seien nach Einschätzung des Mitarbeiters ausschließlich auf ihn und die Kollegen als Arbeitnehmer der Tankstelle ausgerichtet.

Dazu erklärte das Gericht, dass eine anlasslose Überwachung der Belegschaft zum Schutz vor Vermögens­schädigungen des Arbeitgebers verboten ist. Das war bereits nach dem alten § 32 BDSG so und gilt auch unter dem neuen § 26 BDSG (in Kraft seit 25.5.2018). Im vorliegenden Fall kam daher nur eine „anlassbezogene“ Überwachung nach § 26 BDSG in Betracht. Dafür müsste der Arbeitgeber aber konkrete Anhaltspunkte für ein berechtigtes Misstrauen gegenüber den Angestellten haben, dass diese beispiels­weise einen Diebstahl oder sonst ein Delikt begehen könnten. Für diese Anhaltspunkte sah das Gericht keinerlei Anlass.
Weiterhin sei eine Einwilligung als Rechtsgrundlage für die Video­überwachung nicht gegeben. Es ist für die Wirksamkeit einer Einwilligung nach § 4a Absatz 1 Satz 2 BDSG erforderlich, dass der Arbeitnehmer vor Abgabe der Einwilligungs­erklärung über die beabsichtigte Daten­verwendung informiert wird. Denn nur eine „informierte Einwilligung“ ist wirksam. Hier sah das Gericht nicht, dass der Arbeitgeber den Beschäftigten entsprechend informiert und dieser seine Einwilligung zur Video­überwachung abgegeben habe.

Das Landes­arbeits­gericht Mecklenburg-Vorpommern erhöhte das erste Urteil des Arbeits­gerichts Rostock, das zunächst 1.500,00 € zugesprochen hatte, auf 2.000,00 €.

Eine Video­überwachung am Arbeits­platz ist immer ein Eingriff in die Persönlichkeits­rechte der Beschäftigten. Eine Erlaubnis dazu kann sich nur aus dem BDSG ergeben. Eine anlasslose Überwachung ist nicht erlaubt.

Quelle: LAG Mecklenburg-Vorpommern (24.05.2019) Aktenzeichen 2 Sa 214/18

https://www.adresshandel-und-recht.de/urteile/Schadensersatz-bei-nicht-erlaubter-Videoueberwachung-in-TankstelleLandesarbeitsgericht-Rostock-20190524/

 

Veröffentlicht am

Telefonische Auskunftserteilung

Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bußgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.

Zum Hintergrund:

Der Telefonanbieter bot für seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die Möglichkeit, umfassende Informationen zu Ihren Verträgen zu erhalten. In den Fokus der Datenschutzbehörden geriet das Verfahren laut Stellungnahme des Unternehmens anlässlich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.

Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit für die Auskunftserteilung zu legitimieren.

Dieses Verfahren beurteilte die Datenschutzbehörde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtmäßigen Kenntnisnahme und sah hierin einen Verstoß gegen die Pflicht zur Ergreifung adäquater technischer und organisatorischer Maßnahmen zum Datenschutz aus Art. 32 DSGVO.

Konsequenzen:

Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Auskünften ist vom Kunden oftmals nicht gewünscht. Wenn dadurch allerdings tatsächlich Daten in unrechtmäßige Hände gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit glücklich.

Vorgehensweise:

Wie sollten Sie vorgehen, wenn Sie telefonische Auskünfte für Ihre Kunden bieten wollen?

Wenn Sie Informationen über das Telefon austauschen, sollten Maßnahmen ergriffen werden, die eine unrechtmäßige Verfügung durch einen Unbefugten verhindern sollen, seien es Verfügungen mit Rechtswirkung, seien es Auskunftsweitergaben.
Eine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin möglichst einfach für alle Seiten gestaltet sein.
Es sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte für die Kunden zu minimieren.

Schutzbedarf feststellen:

Zunächst sollten Sie klassifizieren, welche Informationen überhaupt am Telefon ausgetauscht werden dürfen. Je nach Organisationsgrad und Komplexität Ihres Unternehmens könnte es sinnvoll sein, zunächst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:

Fragen zum Vertrag:

  • Vertragsinhalte
  • Laufzeiten
  • Vertragsende

Fragen zur Buchhaltung:

  • offene Posten
  • Kontoverbindung
  • getätigte Zahlungen

Vertragsabsprachen, rechtsgestaltende Absprachen:

  • Adressänderungen
  • Änderungen von Lieferadressen
  • Neuaufträge, Ergänzungsaufträge

… und weitere Fallgestaltungen.

Für alle diese Stationen müssen Sie dann eine Risikoabwägung vornehmen:

Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?
→ Schwere des Risikos

Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?
→ Eintrittswahrscheinlichkeit

Je schwerer das Risiko für den Betroffenen wiegt, umso schärfere Maßnahmen müssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, sämtliche Daten in Schutzstufen zu unterteilen und für die jeweilige Schutzstufe entsprechende Maßnahmen festzulegen.

Mögliche Maßnahmen:

Dass die Abfrage des Namens und des Geburtsdatums keinen zuverlässigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse dürfte kein ausreichendes Ausschlusskriterium für Unbefugte darstellen.

Die Abfrage vertragsspezifischer Details dürfte dahingehend bereits einen deutlich höheren Schutz bieten, da solche Daten üblicherweise nicht öffentlich kundgetan werden. Darunter leidet natürlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.

Die Abfrage von Kontodaten kann zwar auch nicht zuverlässig Unberechtigte ausschließen, da Kontodaten an viele verschiedene Geschäftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis möglicher Personen deutlich. Gegebenenfalls lässt sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein höheres Schutzniveau zu erreichen.

Letztlich bieten technische Maßnahmen, wie ein Passwort- oder Tokenverfahren, je nach gewählten Vorgaben einen sehr zuverlässigen Schutz.

Alternativ dazu können auch Sicherheitsfragen vereinbart werden, deren Kenntnis üblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.

Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, können auch verschiedene Methoden miteinander kombiniert werden.

Sicherheitsrichtlinie erstellen und vermitteln:

Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben für jede Schutzstufe festgelegt haben, müssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig überprüft werden.

So lassen sich Datenpannen vermeiden und die Datenschutzbehörden sollten ebenfalls zufriedengestellt sein.

Über die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH