Header graphic for print

Datenschutz

News & Trends

Rubrik: Datenübermittlungen, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung – Teil 3: Auftragsverarbeitungsvertrag

Checkliste 3: Vertrag zur Auftragsverarbeitung Die nachstehende Checkliste fasst die nach Art. 28 DSGVO zwingend vorgeschriebenen wesentlichen Vertragsinhalte eines Auftragsverarbeitungsvertrags zusammen. Dies sind natürlich nur Mindestinhalte, die um weitere Regelungen ergänzt werden sollten, etwa zu wirtschaftlichen Punkten. Zudem kann es sich nach wie vor empfehlen, spezifisch datenschutzrechtliche Vorgaben in einer gesonderten Anlage zu einem Hauptvertrag zu regeln.

  • Vertragsgegenstand: Gegenstand der Auftragsverarbeitung
  • Zweckbestimmung: Zwecke der Auftragsverarbeitung
  • Festlegung der Daten: Art der personenbezogenen Daten, die verarbeitet werden
  • Zeitbestimmung: Dauer der Auftragsverarbeitung
  • Betroffene Personen: Kategorien von betroffenen Personen, deren Daten Gegenstand der Auftragsverarbeitung sind
  • Weisungsgebundenheit: Der Auftragsverarbeiter darf nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
  • Informationspflicht: Auftragsverarbeiter muss Verantwortlichen bei Ausnahmen von der Weisungspflicht aufgrund von Rechtsvorschriften unterrichten (wenn nicht die einschlägige Rechtsvorschrift eine solche Mitteilung verbietet)
  • Vertraulichkeit: Gewährleistung des Auftragsverarbeiters, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Datensicherheit: Der Auftragsverarbeiter muss alle nach Art. 32 DSGVO vorgeschriebenen Maßnahmen ergreifen
  • Unterauftragsverarbeiter: Auftragsverarbeiter darf keine weiteren Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine Zustimmung des Verantwortlichen einsetzen; bei allgemeiner Zustimmung Informationspflicht des Auftragsverarbeiters über vorgesehene Änderung im Einzelfall und Einspruchsrecht des Verantwortlichen
  • Unterstützung bei Transparenzpflichten: Regelungen dazu, wie der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung seiner Pflichten in Bezug auf Betroffenenrechte nach Art. 12 bis Art. 22 DSGVO unterstützt
  • Rückgabe oder Löschung: Auftragsverarbeiter muss alle personenbezogenen Daten nach Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen löschen oder zurückgeben, sofern keine Rechtspflichten entgegenstehen
  • Nachweispflichten: Der Auftragsverarbeiter unterstützt den Verantwortlichen beim Nachweis der Einhaltung der Vorschriften zur Auftragsverarbeitung und stellt dem Verantwortlichen hierfür erforderliche Informationen zur Verfügung
  • Kontrollen: Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen und Inspektionen bezüglich der Einhaltung der Vorgaben der DSGVO oder sonstiger Datenschutzbestimmungen der EU oder ihrer MitgliedsstaatenUnterrichtung bei Verstößen: Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder sonstige Datenschutzbestimmungen der EU oder ihrer Mitgliedsstaaten verstößt

Die DSGVO gilt ab dem 25. Mai 2018. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben des neuen Datenschutzrechts EU-weit ummgesetzt haben. Die Schaffung eines datenschutzkonformen Vertragsmmanagement ist dabei eines der Teilprojekte der Implementierung  der DSGVO. Da Auftragsverarbeitungsverträge nicht  einseitig  geändert werden können, sollten  Unternehmen zeitnah ihre Dienstleister wegen erforderlichen Vetragsänderungen kontaktieren. Weitere Checklisten und Arbeitshilfen  zur Umsetzung der DSGVO können Sie hier abrufen.

Rubrik: EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung, Teil 2: Datenschutz-Folgenabschätzung

Praxis-Checklisten zur Datenschutz-Folgenabschätzung

Unternehmen und andere für Datenverarbeitungen Verantwortliche müssen künftig eine Datenschutz-Folgenabschätzung durchführen, bevor sie Verarbeitungen vornehmen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Bei einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet werden. Das Unternehmen muss auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten. Dabei soll es auch Maßnahmen, Garantien und Verfahren prüfen, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können.

Führen Verantwortliche Verfahren ein, die wahrscheinlich ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen mit sich bringen, müssen sie zuvor eine Datenschutz-Folgenabschätzung durchführen und gegebenenfalls die zuständige Aufsichtsbehörde konsultieren. Unterlässt ein Verantwortlicher eine vorgeschriebene Datenschutz-Folgenabschätzung oder führt diese nicht korrekt durch, kann dies mit Bußgeldern von bis zu 2 Prozent des Umsatzes geahndet werden.

Lesen Sie mehr »

Rubrik: Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

Checklisten zur EU-Datenschutz-Grundverordnung – Teil 1: Die wichtigsten Änderungen

Checkliste Gap-Analyse DSGVO / BDSG

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018. Nach der zweijährigen Umsetzungsfrist gilt in allen Mitgliedsstaaten der EU ein einheitliches Datenschutzrecht.

Der vorliegende Hogan Lovells Blog ist der erste aus einer Serie von Checklisten zur Umsetzung der DSGVO in der Unternehmenspraxis. Die folgende Checkliste fasst die für die Praxis wichtigsten Änderungen als Checkliste in knapper übersichtlicher Form zusammen.  Anschließend werden die in der Checkliste zusammengefassten praxisrelevanten Änderungen in einem Überblick beschrieben. 

Checkliste der wichtigsten Änderungen durch die DSGVO

  • Drastisch erhöhte Bußgelder: bis zu vier Prozent des globalen Umsatzes
  • Deutlich erweiterte zivilrechtliche Haftung: Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
  • Stellung des Datenschutzbeauftragten: Zusätzliche Verantwortung und Haftung für DSBs
  • Stark erweiterte Dokumentations- und Nachweispflichten
  • Datenschutz-Folgenabschätzung statt Vorabkontrolle: Weitergehende Prüf- und Abstimmungspflichten
  • Risikobasierter Datenschutz
  • Globale bzw. extraterritoriale Anwendung der DSGVO möglich
  • Anwendungsvorrang der DSGVO: Vorrang statt Auffangregelung
  • Massiv erweiterte Transparenzanforderungen
  • Datensicherheit
  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
  • Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
  • Striktere Löschpflichten und Recht auf Vergessenwerden
  • Neue Vorgaben für Zweckänderungen
  • Erleichterter Datenaustausch im Konzern
  • Koppelungsverbot bei Einwilligungen

Lesen Sie mehr »

Rubrik: Beschäftigtendatenschutz, Datenschutz Allgemein, EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung heute veröffentlicht – finaler Text und Arbeitshilfen

Heute hat die Europäische Union die Endfassung der seit 2012 verhandelten EU-Datenschutz-Grundverordnung – DSGVO veröffentlicht. Sie tritt in 20 Tagen in Kraft und gilt dann nach einer zweijährigen Übergangsfrist ab dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar und direkt. Für Unternehmen hat die Verordnung gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Beteiligte Manager, Datenschützer und sonstige Entscheidungsträger müssen bei Verstößen mit Geldbußen bis 20 Mio. Euro rechnen. Zudem sind die inhaltlichen Anforderungen beim neuen Datenschutz sehr hoch: Sie betreffen viele Unternehmensbereiche, vor allem IT, Personal, Compliance, interne Revision und Vertrieb.Data-mining-blog-header-300x254

Unternehmen sollen ihren Datenschutz umgehend auf die neue Anforderungen umstellen. Das erfordert eine Gefährdungsanalyse, einen Soll-Ist-Vergleich und die Einführung effektiver Datenschutz-Strukturen und –prozesse. Im Ergebnis brauchen Firmen ein wirksames Datenschutz Management System, das die Risiken aus der Datenverarbeitung abdeckt. Zwei Jahre sind keine lange Zeit, um die vielen geforderten Änderungen umzusetzen. Ein gutes Beispiel hierfür ist der Datenschutz am Arbeitsplatz: Für das Neuverhandeln von Betriebsvereinbarungen zu Leistungs- und Verhaltenskontrollen, Compliance-Maßnahmen, IT-Nutzung und vielem mehr sind 24 Monate knapp bemessen.

Einen umfassenden Überblick über die Folgen der Verordnung finden Sie hier, eine Aufstellung der für das Arbeitsverhältnis wesentlichsten Folgen können Sie hier abrufen. Den finalen deutschen Text der DSGVO können Sie hier abrufen, Fassungen in anderen EU-Sprachen finden Sie hier.

Einen Überblick in englischer Sprache finden Sie hier. Einen umfassenden Leitfaden mit Schaubildern, Checklisten, Praxistipps und Beispielen stellen wir unseren Mandanten gerne auf Anfrage zur Verfügung. Wir halten auch umfassendes Material vor, um Sie schnell und unkomplizert bei der Umsetzung der Vorgaben der DSGVO zu unterstützen.

Rubrik: EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung am Donnerstag verabschiedet – vom EU-Rat beschlossener Text hier abrufbar!

Am 14. April 2016 verabschiedet das EU-Parlament voraussichtlich die EU-Datenschutz-Grundverordnung (DS-GVO) . Die DS-GVO bringt umfangreiche neue Anforderungen für Unternehmen. Sie tritt 2018 in Kraft. Die deutsche Fassung der vom EU-Rat am 8. April bereits gebilligten EU-Verordnung finden Sie hier. Damit geht das größte Reformvorhaben des EU-Datenschutzes der letzten 20 Jahre diese Woche auf die Zielgerade. Wenngleich die Entscheidung des EU-Parlaments nicht mit Bestimmtheit vorhergesagt werden kann, gehen Experten davon aus, dass die Abgeordneten der 2015 ausgehandelten Fassung der Verordnung ohne Wesentliche Änderungen zustimmen werden. In diesem Falle wir die Neuregelung noch diese Woche verabschiedet und tritt zwei Jahre und 20 Tage danach in Kraft.

VerdachtskündigungDas Wichtigste zur DS-GVO finden Sie hier als Überblick: Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance

Wichtiges Urteil zum Datenschutz am Arbeitsplatz: Arbeitgeber darf Nutzung betrieblicher IT-Systeme auch kontrollieren, wenn er die Privatnutzung erlaubt

Email Review in GermanyLAG Berlin–Brandenburg: Arbeitgeber darf betriebliche IT-Systeme auch dann kontrollieren, wenn er deren private Nutzung erlaubt!

Für Unternehmen ist es oftmals von entscheidender Bedeutung, auf geschäftliche E-Mails oder andere auf Firmenservern gespeicherte Daten zuzugreifen. Dies gilt etwa für Gerichtsverfahren, hier werden immer mehr E-Mails als Beweismittel vorgelegt, etwa für Geschäftsabschlüsse, Vertragskonditionen oder andere rechtlich erhebliche Tatsachen. Aber auch bei Compliance-Kontrollen oder der Aufklärung fraglicher Sachverhalte im Unternehmen spielen betriebliche E-Mails oft eine zentrale Rolle.

Allerdings vertreten die Aufsichtsbehörden für den Datenschutz bereits seit Jahren den Standpunkt, dass Unternehmen nicht oder nur eingeschränkt auf die im Betrieb geführte elektronische Kommunikation zugreifen können sollen, sofern sie ihren Mitarbeitern auch die private Nutzung der IT-Systeme erlauben oder dulden. Eine entsprechende Orientierungshilfe der Datenschutzbehörden können Sie hier abrufen. Die Gerichte erteilten dieser Auffassung der Datenschutzbehörden und eines Teils der Fachliteratur schon bislang eine Absage. Einen Überblick dazu finden Sie hier. Das LAG Berlin-Brandenburg geht nun einen Schritt weiter und zeigt in einer aktuellen Entscheidung auf, welche Vorgaben Arbeitgeber bei der Kontrolle betrieblicher IT-Systeme am Arbeitsplatz beachten müssen.

Unser Überblick fasst die praxisrelevanten Vorgaben der Rechtsprechung zusammen. Er zeigt Unternehmen, wie sie die IT-Nutzung im Betrieb effektiv regeln können und beim Zugriff auf Arbeitnehmerdaten Bußgelder und andere Nachteile vermeiden können.

Für Unternehmen ist es zwar rechtlich vorteilhaft, die private Nutzung betrieblicher E-Mail- und Internetzugänge vollständig zu untersagen. Doch besonders arbeitnehmerfreundlich ist das nicht. Viele Unternehmen bieten ihren Arbeitnehmern daher die Möglichkeit, betriebliche IT-Systeme neben der beruflichen Tätigkeit auch privat zu nutzen. Dies kann jedoch zu Konflikten mit berechtigten Interessen des Arbeitgebers, z.B. an einer effektiven Arbeitsleistung führen. Liegen Anhaltspunkte für Fehlverhalten oder Gesetzesverstöße vor, zum Beispiel den übermäßigen Privatgebrauch von Betriebsmitteln oder der Verdacht auf Compliance-Verstöße, kann der Arbeitgeber sogar dazu verpflichtet sein, den Sachverhalt vollständig und umfassend aufzuklären. Hierbei kommt es regelmäßig zu einem Konflikt zwischen dem Interesse des Arbeitgebers an Aufklärung und dem Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung.

In einer aktuellen Entscheidung vom 14. Januar 2016 hat das LAG Berlin-Brandenburg über die Wirksamkeit der Kontrolle eines Browserverlaufs durch den Arbeitgeber ohne die Einwilligung des betroffenen Arbeitnehmers entschieden (LAG Berlin-Brandenburg, Urt. V. 14. Januar 2016 – 5 Sa 657/15). Dabei hielten die Landesarbeitsrichter die Auswertung der Internet-Browserdaten für zulässig und verwertbar. Diese Entscheidung hat auch umfassende Auswirkungen auf die Kontrolle von E-Mails und anderen IT-Systemen am Arbeitsplatz. Denn die Landesarbeitsrichter stellten sich klar gegen die Auffassung der deutschen Datenschutzaufsichtsbehörden, dass Arbeitgeber bei erlaubter Internet-Privatnutzung Telekommunikationsdiensteanbieter i.S.v. § 88 Abs. 3 TKG sei und das Fernmeldegeheimnis beachten müsse.

 

Rechtlicher Hintergrund

Ohne eine ausdrückliche betriebliche Regelung ist die private Nutzung von E-Mail und Internet am Arbeitsplatz grundsätzlich verboten. Arbeitnehmer haben in der Regel keinen Anspruch darauf, Betriebsmittel privat zu nutzen. Der Arbeitgeber als Gläubiger der Arbeitsleistung kann deshalb den Datenverkehr des Arbeitnehmers auch nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) kontrollieren. Dies gilt insbesondere für E-Mails und den Verlauf besuchter Internetseiten.

Kontrollen sind allerdings nur zulässig, wenn der Arbeitgeber sich hierbei auf einen Erlaubnistatbestand stützen kann. Eine solche Erlaubnis kann beispielsweise in eine Betriebsvereinbarung zur IT-Nutzung liegen. Denn Betriebsvereinbarungen stellen nach gefestigter Rechtsprechung eine Erlaubnisnorm im Sinne von § 4 Abs. 1 BDSG dar. Ohne wirksame Einwilligungserklärung (§ 4a BDSG) sind solche Kontrollen dann nur zulässig, wenn diese der Durchführung des Arbeitsverhältnisses (§ 32 Abs. 1 BDSG) oder der Wahrung berechtigter Interessen des Arbeitgebers dienen (§ 28 Abs. 1 BDSG). Diese Bewertung von Betriebsvereinbarungen als datenschutzrechtliche Erlaubnisnorm wird sich auch mit der kommenden EU-Datenschutz-Grundverordnung (DS-GVO) nicht ändern. Im Gegenteil: Art. 82 DS-GVO schreibt ausdrücklich vor, dass Betriebsvereinbarungen Regelungen zur Datenverarbeitung am Arbeitsplatz vorsehen dürfen. Einen Überblick zum Beschäftigtendatenschutz nach der GS-GVO finden Sie hier.

Stellt der Arbeitgeber infolge zulässiger und verhältnismäßiger Maßnahmen eine exzessive private Nutzung des Internets fest, kann dies im Einzelfall arbeitsrechtliche Konsequenzen bis hin zu einer außerordentlichen Kündigung rechtfertigen. Denn durch übermäßige private Nutzung des Internets während der Arbeitszeit verletzt der Arbeitnehmer seine Hauptpflicht, zu arbeiten. Ob eine Kündigung wegen unerlaubter oder ausufernder Privatnutzung wirksam ist, hängt dabei immer von den Umständen des Einzelfalls ab.

Die Entscheidung

In dem vom LAG Berlin-Brandenburg entschiedenen Fall hatte der Arbeitgeber dem Arbeitnehmer einen Dienstrechner zur Verfügung gestellt. Der Arbeitgeber hatte die private Nutzung des Internets im Betrieb nur in Ausnahmefällen und nur während der Pausen gestattet. Nach konkreten Hinweisen auf eine Privatnutzung in größerem Maße wertete der Arbeitgeber ohne Zustimmung des Arbeitnehmers dessen Browserverlauf aus. Hierbei stellte sich heraus, dass der Arbeitnehmer innerhalb von 30 Arbeitstagen mindestens 40 Stunden damit verbracht hatte, privat im Internet zu surfen. Selbst nach Abzug der Pausenzeiten hatte der Arbeitnehmer nach den späteren Feststellungen des LAG mindestens 10% seiner Arbeitszeit mit privater Internetnutzung verbracht. Der Arbeitgeber kündigte daraufhin das Arbeitsverhältnis mit dem Arbeitnehmer außerordentlich.

Die Richter bewerteten die außerordentliche Kündigung als rechtmäßig. Hierbei hielten sie sowohl die Speicherung der Browserdaten als auch deren Auswertung für rechtmäßig. Zwar handele es sich bei dem Browserverlauf um personenbezogene Daten. In deren Kontrolle habe der Arbeitnehmer nicht eingewilligt. Allerdings sei eine derartige Datenverwertung nach § 32 Abs. 1 BDSG erlaubt gewesen. Hierbei bewerteten die Landesarbeitsrichter die Datenspeicherung und die anschließende Auswertung als geeignetes, erforderliches und verhältnismäßiges Mittel, um den vorliegenden Verdacht auf Missbrauch des betrieblichen Internet-Zugangs zu überprüfen.

Insbesondere erkannte das LAG Berlin-Brandenburg an, dass der Arbeitgeber im konkreten Fall keine andere Möglichkeit hatte, mit anderen, gleich geeigneten und weniger einschneidenden Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen. Denn der Arbeitnehmer konnte den Umfang der Internetnutzung aus der eigenen Erinnerung nicht mehr präzise rekonstruieren. Pauschale, auf Schätzungen beruhende Angaben genügen dabei nicht.

Auch hoben die Landesarbeitsrichter hervor, dass in Abwesenheit des Arbeitnehmers oder sogar heimlich durchgeführte Kontrollen besonders schwerwiegend in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers eingreifen können. Allerdings sei eine in Anwesenheit des Arbeitnehmers durchgeführte Auswertung des Browserverlaufs auch kein grundsätzlich milderes Mittel gegenüber einer in dessen Abwesenheit durchgeführten Kontrolle. Denn der Arbeitnehmer hat in beiden Fällen keine beachtliche Möglichkeit, den Verlauf oder das Ergebnis der Auswertung zu beeinflussen.

Ein Beweisverwertungsverbot wegen einer denkbaren Übertretung datenschutzrechtlicher Vorschriften oder des TKG lehnte das LAG Berlin-Brandenburg ab. Zwar könnten datenschutzrechtswidrig ermittelte Informationen unter bestimmten Voraussetzungen als Beweismittel ausgeschlossen sein. In dem hier entschiedenen Fall sahen die Richter die Ermittlungsmaßnahmen des Arbeitgebers allerdings als datenschutzrechtskonform an.

Auch einem Beweisverwertungsverbot wegen eines möglichen Verstoßes gegen das TKG erteilten die Richter eine klare Absage. Denn nach Auffassung des LAG Berlin-Brandenburg wird selbst ein Arbeitgeber, der den Arbeitnehmer die private Internet- und E-Mail-Nutzung gestattet, nicht zu einem Telekommunikationsdiensteanbieter im Sinne von § 88 TKG. Denn es fehle in dieser Fallkonstellation an einem geschäftsmäßigen Erbringen von Telekommunikationsdiensten.

Praxistipps

Das Urteil des LAG Berlin-Brandenburg ist eine ausgewogene Entscheidung. Sie zeigt Unternehmen Grenzen und Wege auf, rechtssicher auf betriebliche Internet- und Kommunikationssysteme zuzugreifen. Die Entscheidung zeigt aber auch, dass Unternehmen weiterhin gut beraten sind, klare Vorgaben und Verhaltensregeln für die private Nutzung betrieblicher IT-Systeme aufzustellen, um Unklarheiten von Beginn an zu beseitigen. So weiß der Arbeitnehmer genau, welche Nutzungen, in welchem Umfang, er vornehmen darf. Dadurch entsteht durch ein hohes Maß an Transparenz auch ein gewisser Abschreckungseffekt in Bezug auf missbräuchliche Nutzung der betrieblichen IT-Systeme.

Liegen einem Arbeitgeber Anhaltspunkte für einen Verstoß gegen ein Verbot der Privatnutzung oder gegen verbindliche Verhaltensregeln zur erlaubten Privatnutzung vor, sollte der Arbeitgeber diesen Anhaltspunkten auch nachgehen. Hierzu sind Unternehmen häufig schon aufgrund ihrer gesetzlichen Aufsichtspflichten angehalten. Zudem erfordert jedes wirksame Compliance-Konzept auch wirksame Kontrollen.

Bevor ein Arbeitgeber mit Kontrollmaßnahmen beginnt, sollte er genau prüfen, ob und welche Aufklärungsmaßnahmen datenschutzrechtlich zulässig sind. Hierbei müssen die Ermittler auch beurteilen, ob es für den Arbeitnehmer weniger belastend und für die Ermittlungen gleich erfolgsversprechend ist, den Arbeitnehmer vor oder bei den Ermittlungen einzubinden. Unüberlegtes “Drauf-los-Ermitteln” kann zu erheblichen Strafbarkeitsrisiken oder dazu führen, dass der Arbeitgeber einen klaren Pflichtenverstoß des Arbeitnehmers in einem anschließenden Kündigungsschutzverfahren nicht nachweisen kann.

Das Urteil ist auch deswegen für Unternehmen erfreulich, weil die Richter hervorgehoben haben, dass ein Arbeitgeber nicht zum Telekommunikationsdiensteanbieter wird, wenn er den Arbeitnehmer die private Nutzung der betrieblichen E-Mail- und Internetzugänge erlaubt. Andernfalls könnten Arbeitgeber selbst auf dienstliche E-Mails ihrer Arbeitnehmer kaum noch rechtssicher zugreifen. Unternehmer wären erheblichen strafrechtlichen Risiken ausgesetzt.

Bis zu einer höchstrichterlichen Entscheidung hierzu sind Unternehmen weiterhin gut beraten, die private Internetnutzung entweder vollständig zu verbieten oder rechtliche Risiken durch geeignete Regelungen zu reduzieren oder auszuschließen. Hierzu bieten es sich insbesondere an, eine Betriebsvereinbarung zur E-Mail- und Internetnutzung abzuschließen oder eine entsprechende Richtlinie zu erlassen.

Hier finden Sie einen Überblick sowie eine Checkliste dazu, welche Punkte Sie dabei in der Praxis regeln sollten und können. Gerne können Sie uns bei Fragen auch direkt ansprechen.

Die Entscheidung des LAG Berlin-Brandenburg können Sie hier im Volltext abrufen.

Lesen Sie mehr »

Rubrik: Compliance, Datenübermittlungen, Datenschutz Allgemein, Datenschutz im Internet

Website Compliance: Wettbewerbsrechtliche Haftung für Social-Plugins

Internet (iStock_000005558176Small_quadrat)

Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook „Like“-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen. Lesen Sie mehr »

Rubrik: Beschäftigtendatenschutz, Compliance, Datenübermittlungen, Datenschutz Allgemein, Datenschutz International

EU-Kommission veröffentlicht EU-US-Datenschutzschild – erste Bewertung & Workshop

Die EU-Kommission hat heute den Entwurf für eine Entscheidung zur Übermittlung personenbezogener Daten in die USA auf der Basis des EU-US Privacy Shield veröffentlicht. Zu den veröffentlichten Texten gehören der Angemessenheitsbeschluss der Kommission, entsprechende schriftlichen Zusicherungen der USA, die im US-Bundesregister veröffentlicht werden, sowie eine Mitteilung der Kommission zu den neuen Garantien für transatlantische Datenübermittlungen.

HL Data Protection

Eckdaten des EU-US Privacy Shield

  • Transparenz: Die USA sichern schriftlich zu, dass der Zugriff auf personenbezogene Daten klaren Beschränkungen, Sicherungen und einer Aufsicht unterliegt.
  • Überwachung von Privatpersonen: US-Behörden versichern, dass es keine unangemessene (indiscriminate) Massenüberwachung gibt.
  • Angaben zu Zugriffen von US-Behörden: US-Unternehmen dürfen neuerdings ungefähre Anzahl von Nachfragen der US-Behörden wegen Zugriffen bekanntgeben.
  • Rechtsschutz: Unternehmen müssen Beschwerden wegen möglichen Verstößen gegen das Abkommen innerhalb von 45 Tagen beantworten.
  • Schiedsverfahren: EU-Bürger sollen bei möglichen Verstößen gegen das Abkommen kostenlos Schiedsgerichte anrufen können.
  • Zusammenarbeit: Deutsche Datenschutzbehörden arbeiten mit US Department of Commerce und der Federal Trade Commission zusammen.

Erste Einschätzung

  • Folgen: Der Privacy Shield ist keine Allzwecklösung. Aber er kann der Beginn einer besseren Abstimmung zwischen der EU und den USA beim Datenschutz sein.
  • Einschätzung: Die USA haben sich erkennbar bewegt. Sowohl bei der Frage des Zugriffs von US-Behörden auf EU-Daten in den USA als auch beim Rechtsschutz. Das ist auf jeden Fall ein gutes Zeichen.
  • Zeitrahmen: Der Privacy Shield ist sicherlich keine schnelle Lösung. In der EU werden die Entwürfe nun mit den Mitgliedsstaaten und der Art. 29 Datenschutz-Gruppe beraten, bevor eine endgültige Entscheidung getroffen wird. Währenddessen treffen die USA die erforderliche Schritte, um die vereinbarten Maßnahmen umzusetzen. Auch das Rahmenabkommen zwischen der EU und den USA muss erst noch abgeschlossen warden.
  • Anforderungen: Selbst wenn in Brüssel und Washington dann einmal alles beschlossen ist, müssen die Unternehmen ja auch noch Strukturen zur Einhaltung des Abkommens einführen und dessen Vorgaben umsetzen, bevor sie sich als Teilnehmer des Privacy Shield registrieren lassen können.
  • Bewertung: Das Abkommen ist ein Schritt in die richtige Richtung. Allerdings werden deutsche und europäische Aufsichtsbehörden nach den Erfahrungen mit Safe Harbor teilweise skeptisch bleiben. Es wird auch spannend werden, wie europäische Gerichte das neue Datenabkommen zum Privacy Shield bewerten werden.

Wie geht es nun weiter?

Zunächst wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) über den Entwurf der Kommissionsentscheidung beraten. Dieser Ausschuss wird dann zu dem geplanten Datenschutzschild Stellung nehmen. Erst dann wird das Kollegium der Kommissarinnen und Kommissare abschließend über den Privacy Shield entscheiden. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen sowie der neuen geplanten Ombudsstelle.

Weitere Einzelheiten

Mehr Informationen finden Sie in dieser Pressemitteilung der Kommission oder diesem Memo mit weiteren Einzelheiten. Das ebenfalls veröffentlichte Factsheet enthält ein Schaubild mit einem Überblick der wesentlichsten Eckdaten. Den Entwurf des Angemessenheitsbeschlusses der Kommission finden Sie hier, die entsprechende Pressemitteilung hier . Derzeit sind die Dokumente ausschließlich in Englisch abrufbar.

Workshop Data Privacy Shield und internationaler Datentransfer

In unserer Veranstaltungsreihe wollen wir Sie zu diesen beiden Themen auf den neusten Stand bringen:

  • Safe Harbor 2.0/ EU-US Privacy Shield –Aktueller Stand und Verhalten der Aufsichtsbehörden?
  • Internationaler Datentransfer– Binding Corporate Rules und Standardvertragsklauseln nach der Reform

Nutzen Sie die Gelegenheit, unsere Workshops in Berlin, Düsseldorf, Frankfurt, Hamburg oder München zu besuchen:

  • Düsseldorf, 8. März 2016, 09:00 – 10:00 Uhr
  • München, 9. März 2016, 18:00 – 19:30 Uhr
  • Berlin, 10. März 2016, 18:00 – 19:30 Uhr
  • Hamburg, 12. April 2016, 09:00 – 10:30 Uhr
  • Frankfurt, 19. April 2016, 18:00 – 19:30 Uhr

Seien Sie dabei und registrieren Sie sich per E-Mail hier. Leiten Sie die Einladung gerne auch an interessierte Kollegen weiter.

Herzliche Grüße

Ihr Hogan Lovells Datenschutz-Team

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance, Datenschutz Allgemein

IT-Nutzung am Arbeitsplatz – Empfehlungen der Aufsichtsbehörden

Email- und Internet-Nutzung im Betrieb: Orientierungshilfe der Datenschutzbehörden – mit Musterbetriebsvereinbarung

Der Zugriff auf Informationen aus betrieblichen E-Mails ist oft sehr wichtig für Unternehmen. Beispiele hierfür sind etwa die Aufklärung von Regelverstößen oder für Gerichtsverfahren. Doch beim Auswerten und Sichten von E-Mails gelten hohe rechtliche Anforderungen. Die Datenschutzbehörden des Bundes und der Länder haben nun eine entsprechende Orientierungshilfe für die Wirtschaft zur Nutzung von E-Mail und Internet am Arbeitsplatz herausgegeben. Die Orientierungshilfe ist zwar rechtlich nicht verbindlich. Aber sie fasst die Sicht der obersten Datenschützer des Landes zum datenschutzrechtlichen Rahmen und den zulässigen Regelungsmöglichkeiten bei der betrieblichen E-Mail- und Internetnutzung am Arbeitsplatz zusammen. Zudem hat die Datenschutzkonferenz ein Muster für Betriebsvereinbarungen/ Richtlinien/Anweisungen und Einwilligungserklärungen erstellt. Die Orientierungshilfe können Sie hier herunterladen.

Weitere Vorgaben zur Umsetzung der rechtlichen Vorgaben in der Praxis finden Sie in einem entsprechenden Beitrag aus der NJW, den Sie hier mit freundlicher Genehmigung des Verlag C. H. Beck herunterladen können. Der Überblick beschreibt, welche Risiken bei deren Nichtbeachtung drohen. Dabei steht vor allem die neuere Rechtsprechung im Vordergrund. Der Beitrag zeigt zudem, wie Arbeitgeber rechtliche Risiken bei E-Mail-Kontrollen wirksam verringern oder vermeiden können. Einer der Schwerpunkte des Überblicks liegt auf Handlungsempfehlungen für die Praxis und einer Checkliste zur Vorbereitung und Durchführung von Zugriffen auf betriebliche E-Mail-Zugänge.

Die von den Datenschutzbehörden erstellte Musterbetriebsvereinbarung enthält viele gute Ansätze. Allerdings wären aus Arbeitgebersicht noch weitere Anpassungen zweckmäßig. Dies betrifft insbesondere die Regelungen zu Mitarbeiterkontrollen oder Stichproben. Unternehmen sollten zudem bei neu zu verhandelnden Betriebsvereinbarungen auch die Vorgaben der kommenden EU-Datenschutzgrundverordnung bereits berücksichtigen. Gerne helfen wir Ihnen bei Fragen zu für die Praxis im Unternehmen geeigneten Betriebsvereinbarungen oder zu einzelnen Regelungen zur IT-Nutzung im Betrieb.

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet

Website Compliance: Fehlende Datenschutzerklärung ist wettbewerbswidrig

Internet (iStock_000005558176Small_quadrat)Das Landgericht Köln hat in einem jüngst bekannt gewordenen Beschluss über eine einstweilige Verfügung entschieden, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet. Damit reiht es sich in die Rechtsprechung zahlreicher anderer Gerichte ein, wonach die Verletzung von datenschutzrechtlichen Informationspflichten über das Wettbewerbsrecht angegriffen werden können. Lesen Sie mehr »