News
Inhalte
Covid-19 & mobiles Arbeiten
Durch die Covid-19 Pandemie hat „Mobiles Arbeiten“ einen völlig neuen Stellenwert erhalten.
Auch das mobile Arbeiten – von zuhause oder von unterwegs – erfordert die Einhaltung der Grundprinzipien des Datenschutzes. So müssen personenbezogene Daten von anderen Beschäftigten oder Kunden vor Zugriffen betriebsfremder Personen geschützt werden.
Benötigen Sie Beratung oder Unterstützung zu diesem Thema?
Datenerhebung im Zusammenhang mit COVID-19
Unsere Empfehlungen für die betriebliche Praxis:
- Erheben sie grundsätzlich keine Daten im Hinblick auf eventuell auftretende Symptome bei ihren Beschäftigten. Ist aus Ihrer Sicht ein zwingender Ausnahmefall geboten, kommen Sie gerne im Hinblick auf eine Prüfung und Einschätzung auf uns zu.
- Bei Verdacht auf Symptome reicht es vielmehr aus, die betroffenen Beschäftigten 14 Tage ins Homeoffice zu schicken und Ihnen solange den Zutritt zum Unternehmen zu untersagen.
- Daten zu Covid-19 Erkrankungen dürfen Sie unseres Erachtens nach erheben, um unverzüglich Vorsorgemaßnahmen für betroffene weitere Beschäftigte zu treffen, die mit der erkrankten Person in Kontakt gekommen sind. Hier sollten alle Betroffenen (Erkrankte und Kontaktpersonen) mindestens 14 Tage den Betrieb nicht betreten und um häusliche Quarantäne gebeten werden.
- Die Diagnose zu einer erkrankten Person sollte gelöscht werden, sobald diese Daten für etwaige finanzielle Entschädigungen (Finanzamt, andere Behörden) die Mitteilung des Namens nicht mehr erforderlich sind.
- Der Name der erkrankten Person sollte unseres Erachtens anderen Beschäftigten nicht offengelegt werden. Geben Sie betroffenen anderen Beschäftigten lediglich Anweisungen zu entsprechenden Quarantäne- und Vorsorgemaßnahmen.
Abschied vom Privacy Shield: Schrems II
Der Europäische Gerichtshof (EuGH) hat Mitte 2020 in seiner vielbeachteten Entscheidung in Sachen Facebook/Schrems II das Abkommen zwischen der EU und den USA zum Datenschutz und im transatlantischen Datentransfer (sog. Privacy Shield) für rechtswidrig erklärt. Eine Datenübermittlung darf auf dieser Grundlage seitdem nicht mehr erfolgen.
Grund hierfür ist die in den USA herrschende Rechtslage und -praxis, nach der die Überwachungsbehörden jederzeit auf personenbezogene Daten zugreifen und sie auch massenhaft auswerten können. Dagegen besteht in den USA kein effektiver Rechtsschutz, was die USA nach Auffassung des EuGHs zu einem Land mit einem inakzeptablem Datenschutzniveau macht.
Wir haben das Thema Schrems II und die Auswirkungen auf die Datenübermittlung in Drittstaaten in einem Hinweispapier näher beleuchtet. Darin zeigen wir Ihnen die größten Risiken für Ihr Unternehmen auf (Stichwort: US- Dienstleister) und wie Sie diese ausschließen oder zumindest reduzieren können.
Google reagiert auf Schrems II: Standarddatenschutzklauseln
Seit dem 12.08.2020 beruft sich Google auf Standard-Datenschutzklauseln. Dies ist ein erster Schritt zur Erhöhung des Schutzniveaus. Google Tools wie Google Analytics sollten dennoch nur nach sorgfältiger Überprüfung genutzt werden. Dies machte auch die Datenschutzkonferenz der Bundesländer in ihrer Pressemitteilung zu Schrems II bereits sehr deutlich:
„Nach dem Urteil des EuGHs reichen bei Datenübermittlungen in die USA Standardvertragsklauseln allein ohne zusätzliche Maßnahmen grundsätzlich nicht aus.“
Pressemitteilung der Datenschutzkonferenz: ⇒ Stellungnahme DSK PM
Microsoft reagiert auf Schrems II: Besondere Garantien
Microsoft hat sein Vertragswerk im Dezember 2020 durch ein neues Addendum (Additional Safeguards Addendum to Standard Contractual Clauses) im Anhang zu den Microsoft Service Online Terms (OSTs) erweitert und damit Vorschläge für Garantien gemacht, die unmittelbar die Nutzerrechte stärken.
Die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen haben dies in ihren Stellungnahmen begrüßt – „der Konzern bewege sich damit in die richtige Richtung“, stellten aber gleichzeitig auch fest, dass damit die Transferproblematik in die USA nicht generell gelöst werde.
Microsoft Addendum
Pressemitteilung des BayLDA
Pressemitteilung des BayLDA, der LfDI BaWü und der LfDI Hessen
Solange noch keine Sicherheit darüber herrscht, in welcher Form die Datenübermittlung zu Microsoft zulässig ist, ist es best practice, die Microsoft Produkte, die bei Ihnen im Einsatz sind, möglichst restriktiv einzustellen, sodass der Datenfluss zu Microsoft zumindest minimiert wird.
Wir beraten Sie gerne bei der datenschutzrechtlichen Optimierung der Office 365- und Windows 10-Konfiguration.
Umgang mit Datentransfer in Drittländer nach Schrems II
- Prüfung des Vertrages zur Auftragsverarbeitung mit dem europäischen Anbieter
- Prüfung der Beschreibung der technischen und organisatorischen Maßnahmen des Anbieters
- Prüfung der Datenschutzverträge (bei Drittstaaten = Standarddatenschutzklauseln) mit den Subunternehmen
- Prüfung der Beschreibung der technischen und organisatorischen Maßnahmen der Subunternehmen
- Prüfung des angemessenen Schutzniveaus im Drittland
- Evtl. Abschluss weiterer vertraglicher Vereinbarungen mit zusätzlichen Garantien (sog. Safeguards) durch den Datenverarbeiter im Drittland.
Norwegen: rechtswidrige Datenverarbeitung in Schulen
Die norwegische Aufsichtsbehörde Datatilsynet hat einen Schulträger in Bergen zu einer Geldstrafe in Höhe von umgerechnet € 170.000 verurteilt. Der Schulträger hatte die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt unzureichend gesichert. Dadurch war es möglich, sich in das Schulsystem einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten (darunter Noten und Bewertungen durch Lehrkräfte auf einer Lernplattform).
Dieser Fall verdient in Zeiten von Home-Schooling und digitalen Lernplattformen besondere Aufmerksamkeit. Zu beachten ist auch, dass Norwegen als Nicht-EU Mitglied sich freiwillig über seine Mitgliedschaft im europäischen Wirtschaftsraum (EWR) zum Datenschutz gemäß DSGVO verpflichtet hat.
Datatilsynet
1&1 Urteil
Das Landgericht Bonn hat im November 2020 ein vielbeachtetes Urteil zu 1&1 gefällt:
Zum Hintergrund: Einem Stalker war es im Jahr 2018 möglich gewesen, bei der 1&1-Hotline unter bloßer Angabe eines Namens und eines Geburtsdatums die neue Telefonnummer seines Stalkingopfers in Erfahrung zu bringen.
Der Bundesbeauftragte für Datenschutz verhängte für diesen Datenschutzverstoß gegen das Unternehmen 1&1 ein Bußgeld in Höhe von € 9.550.000, -.
1&1 legte gegen dieses Bußgeldbescheid Einspruch ein. Das Landgericht Bonn entschied, dass das Bußgeld zwar inhaltlich gerechtfertigt, jedoch unangemessen hoch sei. Die Richter reduzierten das Bußgeld nunmehr auf € 900.000, -.
Link zur Meldung
Der Q2 Newsletter ist hier im Laufe des zweiten Quartals 2021 zu finden.
Der Q3 Newsletter ist hier im Laufe des dritten Quartals 2021 zu finden.
Der Q4 Newsletter ist hier im Laufe des vierten Quartals 2021 zu finden.