Zum Inhalt springen

Beschäftigtendatenschutz

New work und der Datenschutz

Die Coro­na-Pan­de­mie hat der Arbeits­welt gezeigt, dass es auch anders gehen kann bezie­hungs­wei­se anders gehen muss. Die Lern­kur­ve in Bezug auf mobi­les Arbei­ten, Arbei­ten aus dem Home Office und der dazu­ge­hö­ri­gen Nut­zung digi­ta­ler Tools wie Video­kon­fe­ren­zen war für zahl­rei­che Orga­ni­sa­tio­nen beacht­lich steil. Und als net­ten Neben­ef­fekt haben sich die Her­stel­ler von Head­sets und Web­cam dar­über auch sehr gefreut. Weni­ger erfreut sind die Ver­mie­ter von Büro­flä­chen, was auch nach­voll­zieh­bar ist. In der Fol­ge muss­ten sich auch Füh­rungs­kräf­te zwangs­läu­fig umstel­len. Denn die anver­trau­ten Mit­ar­bei­ter waren nun nicht mehr von “9 to 5” (Grü­ße an Dol­ly Par­ton) im Büro anwe­send und damit qua­si ihrer Auf­sicht ent­zo­gen. Und da gin­gen für die eine oder ande­re Füh­rungs­kraft die Pro­ble­me und Sor­gen los. 🙂

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — zustän­dig für nicht-öffent­li­che Stel­len, also Unter­neh­men in Bay­ern hat dazu einen inter­es­san­ten Arti­kel im 12. Tätig­keits­be­richt 2022 (Sei­te 54) geschrie­ben. Und die behan­del­ten Anfra­gen rund um das The­ma Mit­ar­bei­ter­über­wa­chung im Home Office hal­ten wir für erschre­ckend. Eigent­lich waren wir aber dann doch nicht wirk­lich über­rascht, da uns selbst zu Beginn von Coro­na eine Anfra­ge einer kom­mu­na­len Füh­rungs­kraft erreich­te: “Dür­fen wir unse­re Mit­ar­bei­ter im Home Office dazu ver­pflich­ten, sich zu Dienst­be­ginn in einem Video­ka­nal anzu­mel­den, in dem alle Mit­ar­bei­ter im Home Office auf­ge­schal­tet sind, und die Video­ka­me­ra den gan­zen Tag anzu­las­sen? Nur so kön­nen wir fest­stel­len, ob sich der Mit­ar­bei­ter wäh­rend der vor­ge­schrie­be­nen Arbeits­zeit am Schreib­tisch auf­hält. Die fort­lau­fen­de Sicht­kon­trol­le den Tag über wür­de ich als Füh­rungs­kraft von mei­nem PC aus durch­füh­ren.” Und damit ist eigent­lich auch schon viel zum The­ma Füh­rungs­kraft, aber auch der Akzep­tanz von new work gesagt 🙂

Doch schau­en wir mal in den Arti­kel des BayL­DA. Kern­the­ma der Anfra­gen war die daten­schutz­recht­li­che Zuläs­sig­keit einer Über­wa­chung der Mit­ar­bei­ter im Home Office. Und hier wur­den teil­wei­se wirk­lich schwe­re Geschüt­ze aufgefahren.

New work und GPS-Überwachung

Ein Arbeit­ge­ber woll­te die phy­si­ka­li­sche Anwe­sen­heit des Mit­ar­bei­ter im Home Office mit­tels GPS-Ortung sicher­stel­len. Beim Lesen des Tätig­keits­be­richts hat­ten wir bild­lich einen Mit­ar­bei­ter mit ange­leg­ter elek­tro­ni­scher GPS-Fuß­fes­sel vor Augen. Auf­grund des erheb­li­chen Miß­brauch­po­ten­ti­als die­ser Tech­no­lo­gie emp­fahl das BayL­DA auf mil­de­re Mit­tel wie z.B. einen Kon­troll­an­ruf per Tele­fon aus­zu­wei­chen. Die Nut­zung einer hier­für genutz­ten pri­va­ten Ruf­num­mer des Mit­ar­bei­ters wäre über die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu beschrei­ben und — sofern schon in den Stamm­da­ten vor­han­den — eine nach­träg­li­che Zweck­än­de­rung durch­zu­füh­ren und zu doku­men­tie­ren. Das BayL­DA schreibt im Zusam­men­hang mit die­sen Anru­fen zu Kon­troll­zwe­cken von Stich­pro­ben­an­ru­fen. Eine Stich­pro­be defi­niert sich dadurch, dass nicht alle Mit­ar­bei­ter im Home Office ange­ru­fen wer­den und auch nicht alle 30 Minu­ten das Tele­fon klin­gelt 🙂 Oder wie es das BayL­DA for­mu­liert: “Die Häu­fig­keit der Stich­pro­ben­kon­trol­len muss sich dabei an der Erfor­der­lich­keit und Ver­hält­nis­mä­ßig­keit mes­sen las­sen.” Als Rechts­grund­la­ge kann sich das BayL­DA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kon­trol­le (in) der Wohnung

Wie schreibt es das BayL­DA: “…, kri­tisch zu sehen.” Stich­wort: Unver­letz­lich­keit der Wohnung.

New work und Keylogger

Den Ein­satz von Key­log­gern (also das auto­ma­ti­sier­te und fort­lau­fen­de Auf­zeich­nen der gedrück­ten Tas­ten im Hin­ter­grund) stuft das BayL­DA als nicht zuläs­sig ein. Aus­nah­me: Einen auf kon­kre­te Tat­sa­chen gegrün­de­ten Ver­dacht zumin­dest einer schwer­wie­gen­den Pflicht­ver­let­zung oder Straf­tat. Gute Füh­rungs­kräf­te wis­sen, dass eine Über­wa­chungs­pa­ra­noia auf Ver­dacht damit nicht zu legi­ti­mie­ren ist.

Fazit

New work ist natür­lich mehr als das Arbei­ten im Home Office. Für vie­le Orga­ni­sa­tio­nen war durch Coro­na das Home Office jedoch ein ers­ter Kon­takt mit die­sem wirk­lich span­nen­den und zukunfts­träch­ti­gen The­ma. Das sich die Arbeits­welt und auch die Art, wie Arbeit geleis­tet wird, in einer umfas­sen­den Pha­se der Ver­än­de­rung sind, ist nicht zu bestrei­ten. Die Fra­ge ist, wie geht man als Orga­ni­sa­ti­on und als Füh­rungs­kraft damit um? Das der Daten­schutz einem über­bor­den­den Kon­troll­zwang einen Rie­gel vor­schiebt, mag die eine oder ande­re Füh­rungs­kraft nega­tiv emp­fin­den. Dazu soll­te man sich aber, mit einem Augen­zwin­kern, vor Augen hal­ten, dass die Leib­ei­gen­schaft dann doch schon vor eini­gen Jah­ren abge­schafft wur­de. 🙂 Ob der Auf­wand für die­se zuvor skiz­zier­ten Bei­spie­le inner­li­cher Kon­troll­zwän­ge im Ver­hält­nis zu dem mög­li­cher­wei­se ver­mut­lich fest­ge­stell­ten Arbeits­zeit­ver­lust besteht, darf man ruhig in Zwei­fel ziehen.

New work defi­niert unter dem Begriff new lea­der­ship: “Eine Ver­trau­ens­kul­tur und Empa­thie erset­zen streng hier­ar­chi­sche Füh­rungs­sti­le. Haupt­auf­ga­be der neu­en Füh­rungs­kräf­te ist es, die Mit­ar­bei­ter­zur Eigen­ver­ant­wor­tung zu befä­hi­gen und ihre Stär­ken zu för­dern.” Und dem steht der Daten­schutz mit Sicher­heit nicht im Weg 😉

 

 

 

 

Mal eben kurz das Social Net­work scannen

Der Hes­si­sche Daten­schutz- und Infor­ma­ti­ons­frei­heits­be­auf­trag­te (HBDI) hat in sei­nem 51. Tätig­keits­be­richt für das Jahr 2022 ein inter­es­san­tes und auch bei unse­ren Kun­den wie­der­keh­ren­des The­ma auf­ge­grif­fen. Unter der etwas sper­ri­gen Über­schrift “Acti­ve Sourcing zur Gewin­nung von Bewer­be­rin­nen und Bewer­bern” befasst sich der HBDI auf den Sei­ten 156 bis 161 recht aus­führ­lich mit der Fra­ge­stel­lung, ob und inwie­weit Sozia­le Netz­wer­ke wie Lin­ke­dIn oder XING, aber auch das Inter­net an sich zur akti­ven Gewin­nung neu­er Mit­ar­bei­ter durch die Per­so­nal­ab­tei­lung oder Per­so­nal­dienst­leis­ter genutzt wer­den dürfen.

Der Stein des Anstoßes

Eine Beschwer­de­füh­re­rin wand­te sich an den HBDI, da sie ein Schrei­ben eines Per­so­nal­dienst­leis­ters erhielt, in dem sie gemäß Art. 14 DSGVO über die Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten in eine Recrui­ting-Daten­bank infor­miert wur­de. Der Dienst­leis­ter stieß über eine Such­ma­schi­ne anhand von Qua­li­fi­ka­ti­ons­kri­te­ri­en und Tätig­keits­an­ga­ben auf die im beruf­li­chen Kon­text betrie­be­ne Web­sei­te der Beschwer­de­füh­re­rin und ent­nahm die­ser die Kon­takt­da­ten (per­so­nen­be­zo­ge­ne Daten). Über die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­mier­te der Dienst­leis­ter mit sei­nem Schrei­ben die Betrof­fe­ne u.a. zu Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten zum Zwe­cke der Per­so­nal­ver­mitt­lung in die Daten­bank des Dienst­leis­ters,  die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie des Daten­schutz­be­auf­trag­ten und der Hin­weis auf das mög­li­che Wider­spruchs­recht. Der HBDI prüf­te im Fol­gen­den die Recht­mä­ßig­keit der Ver­ar­bei­tung (Rechts­grund­la­ge) sowie die trans­pa­ren­te und voll­stän­di­ge Ertei­lung der Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO.

Um es kurz zu machen: Alles roger! In die­sem kon­kre­ten Fall

Als Rechts­grund­la­ge sieht der HBDI Art. 6. Abs. 1 Buch­sta­be f DSGVO, das sog. “berech­tig­te Inter­es­se” des Per­so­nal­dienst­leis­ters. Bei Gel­tend­ma­chung des berech­tig­ten Inter­es­ses gilt es, durch den Ver­ant­wort­li­chen zu prü­fen, ob nicht die Inter­es­sen des Betrof­fe­nen an einer Nicht-Ver­ar­bei­tung höher wie­gen als die eige­nen Inter­es­sen (sog. Inter­es­sens­ab­wä­gung, die auch zu doku­men­tie­ren ist). Das wirt­schaft­li­che Inter­es­se des Dienst­leis­ters wird in die­sem kon­kre­ten Fall sei­tens des HBDI als höher­wer­tig ange­se­hen. Dies ist jedoch an die Vor­aus­set­zun­gen geknüpft, dass die per­so­nen­be­zo­ge­nen Daten in berufs­be­zo­ge­nen Netz­wer­ken oder auf im beruf­li­chen Kon­text betrie­be­nen Web­sei­ten all­ge­mein zugäng­lich sind, d.h. es kei­ner­lei Zugriffs­be­schrän­kun­gen gibt. Dabei wäre nach unse­rem Dafür­hal­ten auch zu berück­sich­ti­gen, ob bei den Kon­takt­da­ten kei­ne ent­ge­gen­ste­hen­de Aus­sa­gen getrof­fen wer­den wie “Hier­mit wider­spre­che ich der Auf­nah­me mei­ner Kon­takt­da­ten in Recrui­ting-Daten­ban­ken” (oder sinn­ge­mäß ähnlich).

Als Beson­der­heit führt der HBDI den mög­li­chen Fall der Ein­schrän­kung von Nut­zer­pro­fi­len in Netz­wer­ken an. Hier­bei sind die Kon­takt­da­ten des Nut­zers erst nach einer sog. “Ver­net­zung” bzw. Kon­takt­an­fra­ge für den Anfra­gen­den sicht­bar. Der HBDI stellt klar, dass die rei­ne Akzep­tanz einer sol­chen Ver­net­zungs­an­fra­ge noch kei­ne Ein­wil­li­gung in die Auf­nah­me in eine Daten­bank durch den betrof­fe­nen Nut­zer dar­stellt. Viel­mehr muss der Anfra­gen­de in sei­ner Ver­net­zungs­an­fra­ge kon­kret auf den ange­dach­ten Zweck, näm­lich der Kon­takt­auf­nah­me zwecks Erfas­sung der Daten für die Recrui­ting-Daten­bank hin­wei­sen. Eigent­lich logisch, aber sehr gut, dass die­ser Sach­ver­halt noch­mals betont wird.

Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO nicht vergessen

Sind auf die­sem Wege per­so­nen­be­zo­ge­ne Daten für die eige­ne Recrui­ting-Daten­bank gewon­nen, gilt es nun, die Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO umfäng­lich gegen­über dem Betrof­fe­nen zu ertei­len. Dabei darf das Wider­spruchs­recht nach Art. 14 Abs. 2 Buch­sta­be c DSGVO nicht ver­ges­sen wer­den. Denn nur dann gilt in Ver­bin­dung mit der zuvor genann­ten Vor­ge­hens­wei­se lt. HDBI, “dass Acti­ve Sourcing in Über­ein­stim­mung mit den Bestim­mun­gen des Daten­schut­zes erfol­gen kann.”

Hap­py recruiting!

Regel­mä­ßi­ges Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”

Was liebt der Datenschutz?

Sen­si­bi­li­sier­te Mitarbeiter.

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Unter ande­rem, weil sich damit die Risi­ken für eine Daten­schutz­ver­let­zung mini­mie­ren las­sen. Aber es hat noch vie­le wei­te­re posi­ti­ve Aspek­te (früh­zei­ti­ge Ein­bin­dung des DSB, funk­tio­nie­ren­des Daten­schutz­ma­nage­ment, ver­bes­ser­te und ver­ein­fach­te Erfül­lung der DSGVO Anfor­de­run­gen, Sen­ken von Buß­geld­ri­si­ken, und und und .…)

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

Stimmt. Aber wie wäre es mit unse­rem Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Bes­tens geeig­net für neue Mit­ar­bei­ter in der Orga­ni­sa­ti­on, die eine grund­le­gen­de Ein­füh­rung in das The­ma zu Beginn erhal­ten sollen.

Nur für neue Mitarbeiter?

Né, ger­ne auch für Mit­ar­bei­ter, die schon lan­ge nicht mehr mit dem The­ma ver­traut gemacht wur­den. Etwas Auf­fri­schung scha­det nicht.

Wie lan­ge dau­ert denn die Veranstaltung?

90 Minu­ten

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Nö. Sie brau­chen nur einen mit dem Inter­net ver­bun­de­nen Web­brow­ser und Laut­spre­cher (bes­ser Headset).

Bekom­men Teil­neh­mer eine Bestätigung?

Wir machen im Lau­fe des Web­i­nar ein paar Anwe­sen­heits­checks in Form von Fra­gen /​ Begrif­fen. Die­se Begrif­fe trägt der Teil­neh­mer am Ende in ein For­mu­lar ein und gene­riert sich damit sei­ne Teil­nah­me­be­stä­ti­gung. Die­se wird als PDF-Anhang per Email direkt an den Teil­neh­mer ver­sen­det. Jedes Web­i­nar hat übri­gens ande­re Begriffe 😉

Daten­schutz als The­ma, ist das nicht furztrocken?

Man sagt unse­ren Web­i­na­ren nach, dass die­se hum­vor­voll, inter­es­sant und eben nicht tro­cken sind 🙂

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Aber sicher doch. Wir freu­en uns über jede Fra­ge, die im Chat gestellt wird. Ganz muti­ge Teil­neh­mer schal­ten wir nach Auf­for­de­rung auch ger­ne mit Web­cam und Mikro­fon dazu, wenn gewünscht.

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Chat und Teil­neh­mer­lis­te ste­hen auf anonym. Kei­ner der Teil­neh­mer sieht Namen oder Fra­gen der ande­ren. Fra­gen wer­den von den Mode­ra­to­ren ohne Namen des Fra­ge­stel­lers in einen für alle les­ba­ren Chat kopiert.

Wie oft fin­det das Web­i­nar statt?

Übli­cher­wei­se monat­lich. Die nächs­ten Ter­mi­ne fin­den Sie hier.

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Das lässt sich einrichten 🙂

Was kos­tet die Teilnahme?

Wir hal­ten es ganz ein­fach. Meist nur ein ein­stel­li­ger Euro-Betrag plus MwSt. pro Teil­neh­mer (Aus­nah­me: Orga­ni­sa­ti­ons­in­di­vi­du­el­le Webinare)

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Nö, das Web­i­nar ist für alle Per­so­nen geeig­net, die im Arbeits­all­tag mit per­so­nen­be­zo­ge­nen Daten han­tie­ren. Es gibt nur eine Ein­schrän­kung: Unser Web­i­nar-Ange­bot rich­tet sich nicht an pri­va­te Endverbraucher.

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Um Him­mels wil­len, nein. Unser Web­i­nar-Ange­bot rich­tet sich expli­zit nicht nur an unse­re Bestands­kun­den. Aber viel­leicht wer­den Sie ja spä­ter einer 😉

Sind wei­te­re The­men geplant?

Nicht nur geplant. Wir haben wei­te­re The­men am Start wie “Email-Sicher­heit” und “Ein­füh­rung in die Grund­la­gen der Infor­ma­ti­ons­si­cher­heit”. Wei­te­re The­men sind in Vorbereitung.

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?

Dann schrei­ben Sie uns an.

 

 

 

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 2

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 1

Das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein hat sei­nen Tätig­keits­be­richt 2020 für den Berichts­zeit­raum 2019 veröffentlicht. 

Ins­ge­samt wur­den 758 Bera­tun­gen durch­ge­führt und 959 Ver­fah­ren in der Zustän­dig­keit des ULD ange­legt, davon 680 auf Grund von Beschwer­den gegen Unter­neh­men und 279 gegen Behörden. 

Des Wei­te­ren wur­den 37 War­nun­gen, 26 Ver­war­nun­gen und 2 Anord­nun­gen gegen­über Ein­rich­tun­gen aus­ge­spro­chen. Auf Geld­bu­ßen wur­de in dem Zeit­raum 2019 ver­zich­tet. In 26 Fäl­len führ­te man Prü­fun­gen ohne zu Grun­de lie­gen­de, anlass­be­zo­ge­ne Beschwer­den durch, 13 davon bei nicht­öf­fent­li­chen Einrichtungen. 

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht 

Die ins­ge­samt 349 in Sachen Daten­pan­nen eröff­ne­ten Ver­fah­ren stel­len natur­ge­mäß nur einen Anteil der täg­lich gemel­de­ten oder ander­wei­tig dem ULD zur Kennt­nis gelang­ten Daten­schutz-Ver­let­zun­gen dar. Eben­so natur­ge­mäß, dass das ULD von der Dun­kel­zif­fer an Daten­pan­nen, die nicht gemel­det, son­dern im Nach­hin­ein fest­ge­stellt wer­den, nicht ange­tan ist. 

hier wür­de ich als tipp ergän­zen .. Daher auch in die­sem Kon­text der Tipp, nicht nur für unse­re Kun­den in Schles­wig-Hol­stein J, den Sie von uns auch sicher­lich aus Prä­sen­ta­tio­nen und Vor­ort­ter­mi­nen ken­nen: Daten­pan­nen immer doku­men­tie­ren und — zumin­dest intern an Ihren DSB — mel­den. Ent­war­nen lässt sich immer noch. 

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz 

Eben­falls kri­ti­sche Wor­te fin­det das ULD in Bezug auf das Umset­zungs­ni­veau der Infor­ma­ti­ons­si­cher­heit. Es gebe hier noch viel Nach­hol­be­darf, zumal Ver­let­zun­gen der Infor­ma­ti­ons­si­cher­heit wie u.a. auch Cyber­an­grif­fe man­gels per­so­nen­be­zo­ge­ner Daten häu­fig nicht ein­mal in einer Mel­dung resultieren. 

Für eine „ver­ant­wor­tungs­vol­le Digi­ta­li­sie­rung“ hält der vor­lie­gen­de Bericht dazu an, dass sämt­li­che Ein­rich­tun­gen das Schutz­ni­veau in Sachen Infor­ma­ti­ons­si­cher­heit ein­schließ­lich Daten­schutz auf den Prüf­stand brin­gen mögen. Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sei nicht zu vernachlässigen. 

Das ULD sah ‘über den Tel­ler­rand´ 

Inspi­ra­ti­on für Sen­si­bi­li­sie­run­gen konn­te man im Aus­tausch mit einem unse­rer Nach­bar­län­der erhalten: 

  • Akti­ons­ta­ge „Löschen/​Schreddern“ 
  • „Gami­fi­ca­ti­on“ Ansät­ze von Daten­schutz mit Preis (Obst/​Schokoriegel) 
  • Daten­schutz­quiz und Datenpannensimulation 
  • anony­mi­siert rea­li­sier­te Phishing-Tests 
  • Selbst­da­ten­schutz mit Mehr­wert für die Beschäftigten 
  • im Team pro­du­zier­te Kurz­vi­de­os für Schulungszwecke 

gehör­ten dazu. Eine wei­te­re Klar­stel­lung, dass Daten­schutz per se leben­dig ist und unrich­ti­ger­wei­se manch­mal als tro­cken und läs­ti­ges Bei­werk ange­se­hen wird. 

Auch in Unter­neh­men und kom­mu­na­len Ein­rich­tun­gen las­sen sich sol­che Aktio­nen und Work­shops durch­füh­ren. Für Anfra­gen und Anre­gun­gen neh­men Sie ger­ne Kon­takt zu uns auf. 

Für eine Ver­ein­heit­li­chung von Daten­schutz­stan­dards und Ver­ständ­nis­fra­gen sieht das ULD eine regel­mä­ßi­ge Kom­mu­ni­ka­ti­on über Erfah­run­gen als sehr wich­tig an. Im genann­ten Nach­bar­land Öster­reich ist dies bereits ver­bind­li­che Vorschrift. 

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne 

Das ULD stellt klar, dass auch die inner­staat­li­che Abstim­mung unter Daten­schutz­be­hör­den auf Bun­des- und Lan­des­ebe­ne in Sachen Daten­schutz und Infor­ma­ti­ons­frei­heit in ange­mes­se­nem Maße auf­recht zu erhal­ten ist. Bei der Infor­ma­ti­ons­frei­heit exis­tie­re ledig­lich ein Gre­mi­um für die Zuar­beit der IFK. Noch sei­en nicht alle Bun­des­län­der ver­tre­ten man­gels ent­spre­chen­der Infor­ma­ti­ons­frei­heits- oder Transparenzportalen. 

Daten­ethik und Daten­si­cher­heit 

Die Daten­ethik­kom­mis­si­on der Bun­des­re­gie­rung hat ein Gut­ach­ten erstellt, das sich ins­be­son­de­re mit Algo­rith­men, KI und Big Data befasst. Betont wer­den unter ande­rem Mög­lich­kei­ten der Regu­lie­rung von algo­rith­mi­schen Sys­te­men. Das ULD for­dert — weni­ger banal als es zunächst klin­gen mag — die Bun­des­re­gie­rung als Auf­trag­ge­be­rin des Gut­ach­tens der Daten­ethik­kom­mis­si­on auf, die Inhal­te aus­wer­ten und in die wei­te­re Pla­nung ein­flie­ßen zu las­sen. In die­sem Zusam­men­hang moniert das ULD ein teils inkon­sis­ten­tes Agie­ren von Bund und Län­dern für /​ wider eine grund­wer­te­ori­en­tier­te, zukunfts­fä­hi­ge Digi­ta­li­sie­rung wie etwa Inhal­te in Gesetz­ge­bungs­ent­wür­fen, die „eine Kri­mi­na­li­sie­rung von Anbie­tern bestimm­ter daten­schutz­freund­li­cher Tech­ni­ken“ nahe­leg­ten. (§ 126a StGB). 

Man möch­te eine „Chan­ce auf bes­se­re Sicher­heit“ nicht ver­tan wissen. 

Die per Innen­mi­nis­ter­kon­fe­renz 2019-06 in Pla­nung gege­be­nen „Zugriffs­er­leich­te­run­gen“ auf Mes­sen­ger und Smart Home Anwen­dun­gen hält das ULD in die­ser Form für nicht grundrechtsvereinbar. 

Behör­den 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein for­dert Behör­den und sons­ti­ge öffent­li­che Stel­len des Bun­des­lan­des auf, einen behörd­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen und „mit den erfor­der­li­chen Res­sour­cen“ aus­zu­stat­ten,  sofern bis­lang nicht erfolgt. 

Hand­lungs­be­darf sah die Lan­des­da­ten­schutz­be­hör­de bei der Wei­ter­ent­wick­lung von IT-Ver­fah­ren der Lan­des­po­li­zei. Die­se müss­ten in der Lage sein, Aus­künf­te an Betrof­fe­ne „umfas­send und zeit­nah“ zu ertei­len. Unter dem Titel „Null Daten­pan­nen­mel­dun­gen im Poli­zei­be­reich?!“ pos­tu­liert die Lan­des­be­auf­trag­te für Daten­schutz Schles­wig-Hol­stein, „gesetz­li­che Pflich­ten müs­sen ernst genom­men wer­den.“ Auch für den Jus­tiz­be­reich gel­te, dass Mel­de­pflicht von Daten­pan­nen umfas­send zur Kennt­nis genom­men und umge­setzt wer­den sollte.

Schles­wig-Hol­stein und die Kom­mu­nen sei­en — mit Unter­stüt­zung des ULD — in der Ver­ant­wor­tung einer daten­schutz­kon­for­men Umset­zung des Onlinezugangsgesetzes. 

Fort­set­zung folgt ..

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Die mobile Version verlassen