Arbeitnehmerdatenschutz

Geburtstagslisten von Mitarbeitern und die DSGVO

von Sascha Kuhrau
12. November 2019
2 Kommentare

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

“Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.”

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS — keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt “KUCHEN”

Seminar “Rechtliche Aspekte der IT-Nutzung”

von Sascha Kuhrau
24. September 2015
1 Kommentar

Am 21.10.2015 findet das BVS Seminar “Rechtliche Aspekte der IT-Nutzung” in Nürnberg mit Sascha Kuhrau als Referenten statt. Das Seminar richtet sich an IT-Führungskräfte, Administratoren, Datenschutzbeauftragte, Personalreferenten und Betriebsräte, aber auch an Geschäftsführung / Organisationsleitung.

Inhalte sind unter anderem:

Juristische Konsequenzen von Schäden und Fehlverhalten

Schadenersatz und Haftung
Straf- und Bußgeldvorschriften

IT-Arbeitsrecht/Mitarbeiterdatenschutz

Privatnutzung von E‑Mail und Internet
IT-Protokollierung und Auswertung
Videoüberwachung
Heimarbeit
Bring your own device (BYOD)
Mitarbeiterfotos auf der Webseite
Einsichtnahme in persönliche E‑Mail-Konten und Ablagen
Legale Kontrollen und interne Ermittlungen

Internet-Recht

Rechtliche Risiken sozialer Medien
Impressum und Datenschutzerklärung
Auftragsdatenverarbeitung (IT-Outsourcing und Cloud Computing)

Die Veranstaltung findet im BVS Bildungszentrum Nürnberg statt. Beginn ist um 9.00 Uhr, Ende voraussichtlich um 16.30 Uhr. Referent ist Herr Sascha Kuhrau von a.s.k. Datenschutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmeldung (Lehrgangsgebühr 170 Euro wird von der BVS erhoben)

Knackpunkt Geburtstagsliste

von Sascha Kuhrau
11. Dezember 2014
4 Kommentare

Wer kennt das nicht? Im Unternehmen hängt direkt über der Kaffeemaschine eine Geburtstagliste mit den Daten aller Mitarbeiter. Oder in Outlook ist der Kalender “Geburtstage der Mitarbeiter” öffentlich für alle verfügbar. Beide Einrichtungen selbstverständlich top aktuell und zentral gepflegt durch die Personalabteilung. Eingestellt, eingetragen, ausgehangen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thüringische Landesdatenschutzbeauftragte hält diese Vorgehensweise ohne gültige Einwilligung für nicht rechtskonform. Dies äußert er in seinem Jahresbericht (Zeitraum 12/11–12/13) für den nicht-öffentlichen Bereich (also Unternehmen und Vereine) auf Seite 81.

Geburtstagsdaten von Mitarbeitern sind Arbeitnehmerdaten. Daher ist seiner Meinung nach § 32 BDSG Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses anzuwenden. Die darin genannten Nutzungszwecke Begründung, Durchführung und Beendigung des Arbeitsverhältnisses geben eine Legitimation der Datennutzung für eine öffentliche Geburtstagsliste nicht her. Von daher ist nach seinem Dafürhalten die ausdrückliche Einwilligung jedes einzelnen Mitarbeiters erforderlich. Dabei ist es unerheblich, ob die Angabe mit oder ohne Geburtsjahr erfolgt.

Für die korrekte Formulierung einer Einwilligung fragen Sie doch einfach Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

von Sascha Kuhrau
5. August 2014
1 Kommentar

Schon jedem Mal passiert

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email verteilt werden. Mailprogramm geöffnet, Text geschrieben, aus dem Adreßbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Mißgeschick aufmerksam und läßt es darauf beruhen.

Ihr ist das auch passiert

Eine Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Der ewiger Mahner

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email-Adresse sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall.

Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Wer zahlt?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähnlichen Fall in Kürze zu einem Bußgeld gegen ein anderes Unternehmen kommen wird. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hat nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen.

Was ist zu beachten?

Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adreßieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den gleichen rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Hier finden Sie den ganzen Beitrag des BayLDA vom 28.06.2013.

Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

von Sascha Kuhrau
29. August 2013

Vergebliche Mühe

Seit Jahren bemüht sich die Deutsche Telekom um Verbesserungen im Umgang mit personenbezogenen Daten, nicht nur aufgrund zahlreicher Skandale. Wie zahlreiche Medien wie n‑tv nun berichten, hat es beim Beschäftigendatenschutz nicht ganz gereicht.

120.000 Mitarbeiter betroffen

Eine interne Datenbank mit Angaben zu fast allen Mitarbeitern des Unternehmens samt Name, Anschrift und Gehalt stand einem größeren Mitarbeiterkreis zur Einsicht zur Verfügung, als eigentlich zulässig gewesen wäre. Die ursprünglich vorgesehene Anonymisierung war nicht erfolgt.

Seit 2002 soll die Datenbank in dieser Form verfügbar gewesen sein. Mittlerweile wurde sie vom Netz genommen. Ein externer Wirtschaftsprüfer soll die Ursachen und Folgen nun ermitteln. Der Betriebsrat läßt die Untersuchung durch einen eigenen Anwalt begleiten.

Nach Unternehmensangaben hat man von einem Mißbrauch der Daten bisher keine Kenntnis.

Privates Outsourcing durch Mitarbeiter

von Sascha Kuhrau
18. Januar 2013

Bereits in einer Kundeninformation aus 2012 haben wir auf das Thema inoffzielles Outsourcing durch Mitarbeiter aufmerksam gemacht. Nicht vorhandene Funktionen in der IT-Struktur werden durch gewiefte Mitarbeiter und externe Tools — oftmals dann ohne Kenntnis der IT-Verantwortlichen — eingeführt und genutzt. Sicherheitslücke, drohende Bußgelder und mögliche Datenpannen gleich inklusive.

2009 hat das amerikanische Satire Magazin The Onion einen Videoclip produziert, aufgemacht wie einen offiziellen Nachrichtenbeitrag im US Fernsehen. Darin wird berichtet, das nun nicht mehr nur Unternehmen Outsourcing betreiben, sondern auch Mitarbeiter selbst. Um Arbeitszeit zu sparen und mehr Zeitressourcen z.B. zum Kaffee trinken, Ebay-Auktionen verfolgen oder einfach nur relaxen, heuern amerikanische Mitarbeiter (im Video noch Fakes) preiswerte externe Hilfskräfte an. Diese erledigen dann die Aufgaben des Angestellten, der seine freie Zeit nun deutlich sinnvoller nutzen kann. Was 2009 als Satire begann, wurde mit einer Meldung am gestrigen Tage Realität:

Eine Firma wandte sich an das Sicherheitsunternehmen Verizon mit der Bitte, auffällige Logfiles zu überprüfen. Diese würden einen kontinuierlichen VPN Tunnel nach China belegen. Die Verbindung wurde mit dem eToken (vorbildlich) eines Softwareentwicklers aufgebaut, der während der Logzeiten jedoch nicht zu Hause, sondern an seinem Schreibtisch im Büro saß. Weiter ergab die Analyse, das die Verbindung in den letzten 6 Monaten fast kontinuierlich aufgebaut war. Die Untersuchung des Arbeitsplatzes brachte es dann ans Tageslicht: der Entwickler hatte sich für ein Fünftel seines eigenen Jahresgehalts einen Dienstleister aus dem fernen China geleistet, der seine Programmieraufgaben pflichtbewußt übernahm. Das notwendige eToken schickte der findige Mitarbeiter auf dem Postweg ins Land der aufgehenden Sonne. Mittlerweile arbeitet der Programmierer nicht mehr für das Unternehmen. Kurios jedoch: der vermeintlich von ihm gelieferte Programm-Code war stets so gut, so daß er mehrfach beste Bewertungen dafür erhielt.

Wie findig sind Ihre Mitarbeiter?

Angeblich heimliche Mitarbeiterüberwachung bei ALDI Süd

von Sascha Kuhrau
7. Januar 2013

Laut Spiegel, Welt und N24 soll es zu einer heimlichen Mitarbeiterüberwachung bei ALDI Süd gekommen sein. Gleichlautend wird von einem Detektiv berichtet, der unter Androhung des Verlusts weiterer Aufträge gezwungen wurde, Miniaturkameras z.B. über den Mitarbeiterschränken anzubringen. Weiterhin sollte er der ALDI Führungskraft alle “Auffälligkeiten” melden wie z.B. langsames Arbeitstempo, Beziehungen unter den Mitarbeitern oder auch private Details wie finanzielle Verhältnisse.

Das Unternehmen weist derweil alle Vorwürfe zurück.

Wie hier auf dem Blog mehrfach berichtet, ist Videoüberwachung unter Datenschutzgesichtspunkten kein “Teufelswerk”. Es gilt, bestimmte Richtlinien und Verfahrensweisen einzuhalten. Mehr erfahren Sie in unserem Beitrag Videoüberwachung — umsichtig einsetzen, Konflikte vermeiden

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

von Sascha Kuhrau
3. August 2012
4 Kommentare

“Wir haben keine personenbezogenen Daten im Unternehmen, daher betrifft uns das Bundesdatenschutzgesetz gar nicht” — diese Aussage trifft man immer wieder z.B. im Rahmen von Informationsveranstaltungen oder Kundengesprächen. Im ersten Moment ist man gerade bei reinen B2B-Unternehmen geneigt, zuzustimmen. Doch schnell regen sich Zweifel, denn nur wenige Unternehmen kommen ohne Mitarbeiter aus.

§ 3 BDSG definiert den Begriff der personenbezogenen Daten:

“(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”

Damit wäre bereits festgestellt, das personenbezogene Daten im Unternehmen alleine schon durch die Beschäftigung von Mitarbeitern vorliegen. Zieht man jetzt noch die Daten zu Kunden, Lieferanten, Dienstleistern und Interessenten hinzu, wird schnell klar: Es gibt eigentlich immer personenbezogene Daten im Unternehmen.

Bleiben wir jedoch bei den Mitarbeiterdaten unseres Beispiels und in § 3 BDSG:

“(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”

Mitarbeiterdaten sind demnach nicht nur reine personenbezogene Daten, sondern nach dieser Definition sogar eine besondere Art personenbezogener Daten (enthalten sie doch einige der og. Merkmale).

§ 3 BDSG definiert im weiteren Verlauf den Begriff “Beschäftigte” detailliert:

“(11) Beschäftigte sind:

Arbeitnehmerinnen und Arbeitnehmer,
zu ihrer Berufsbildung Beschäftigte,
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Das Bundesdatenschutzgesetz spendiert in seiner aktuellen Fassung den Beschäftigten sogar einen eigenen Paragraphen:

§ 32 Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses

“(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Womit feststeht:

Beschäftigt ein Unternehmen Mitarbeiter, liegen personenbezogene Daten vor.
Aufgrund der vorliegenden Daten eines Mitarbeiters handelt es sich dabei sogar um besondere Arten personenbezogener Daten, die einen erhöhten Schutzstatus besitzen.
Das Bundesdatenschutzgesetz legitimiert das Erheben, Verarbeiten und Nutzen der Mitarbeiterdaten zum Zwecke des Beschäftigungsverhältnisses.
Das Bundesdatenschutzgesetz findet auf Unternehmen mit Mitarbeitern Anwendung.
Es bleibt zu prüfen, ob die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten zusätzlich vorliegt.

Unsicher in Bezug auf die weitere Vorgehensweise? Dann sprechen Sie uns einfach an. Wir helfen schnell, unbürokratisch und unkompliziert.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Auch eine Art von “Zielgruppe” — Kunden im Visier heimlicher Videoüberwachung bei ALDI Süd

von Sascha Kuhrau
2. Mai 2012

Das Nachrichtenmagazin DER SPIEGEL brachte den Stein ins Rollen, weitere Berichterstattungen in TV, Radio, Print und Web folgten. Nach Informationen, die dem Magazin vorliegen, gerieten bevorzugt Frauen in kurzen Röcken oder mit tief Einblick gewährenden Tops ins Visier heimlicher Videoüberwachungsmaßnahmen durch einige Filialleiter in Frankfurt / Main, Dieburg und weiteren hessischen Standorten. Doch damit nicht genug. In “lohnenswerten” Fällen wurden die ahnungslosen Kundinnen und Kunden herangezoomt, Videosequenzen auf CD gebrannt und untereinander getauscht.

ALDI Süd schreibt lt. Spiegel in einer Stellungnahme, dass

“das Fehlverhalten eines einzelnen Mitarbeiters nicht ausgeschlossen werden könne. Sollte ein missbräuchlicher Umgang den Vorgesetzten bekannt werden, wird ein solches Vorgehen umgehend untersucht, unterbunden und zieht entsprechende disziplinarische Konsequenzen nach sich.”

Trotz des Videoüberwachungsskandals eines Wettbewerbers im Jahr 2008 sollen weiterhin erneut Kassenbereiche inkl. der Eingabefelder der EC-Terminals auf Aufnahmen zu sehen sein. Mobile Minikamera-Anlagen auch in Bereichen ohne Kundenzutritt sowie fehlende Hinweisschilder runden den sorglosen Umgang des Discounters mit dieser zu Recht per Gesetz restriktiv zu handhabenden Maßnahme ab.

Was sagt denn das Bundesdatenschutzgesetz (BDSG) dazu?

Das Bundesdatenschutzgesetz stellt hohe Anforderungen an die Durchführung von Videoüberwachungsmaßnahmen. Diese sind zwar nicht verboten, jedoch ist es mit Berufung auf das eigene Hausrecht nicht getan. Für weiterführende Informationen empfehlen wir diese Beiträge

Eigener Blogbeitrag: Videoüberwachung — umsichtig einsetzen, Konflikte vermeiden
Externer Blogbeitrag: Überwachung am Arbeitsplatz: Videoüberwachung vs. Datenschutz

Planen Sie die Einführung von Videoüberwachung in Ihrem Unternehmen? Fragen Sie rechtzeitig Ihren Datenschutzbeauftragten. Sie haben keinen? Dann sprechen Sie uns an.

BYOD (Bring Your Own Device) — zusätzliche Datenschutz-Risiken für Unternehmen

von Sascha Kuhrau
5. April 2012
1 Kommentar

“BYOD” ist in aller Munde, zu Recht. Hinter dem Kürzel verbergen sich zahlreiche Risiken und Unannehmlichkeiten für Administratoren und Unternehmer. Doch “Bring Your Own Device” ist Alltag! Immer mehr Arbeitnehmer nutzen ihre eigentlich privaten Mobiltelefone, Smartphones und Notebooks beruflich für ihren Arbeitgeber.

IT-Administratoren kämpfen dadurch mit Wildwuchs in der IT-Landschaft und fürchten die hierdurch entstehenden Sicherheitslücken — zu Recht! Geschäftsführer und Unternehmer verschliessen vor der alltäglichen Situation oftmals die Augen und riskieren dabei so einiges.

Bei stillschweigender Duldung verliert das Unternehmen notwendige Einfluss- und Kontrollmöglichkeiten. Mögliche Folgen: Datenschutzverstösse, Sicherheitslecks und die daraus resultierenden Image-Schäden durch negative Presseberichte.

Was viele nicht wissen, die rechtlichen Aspekte dieser Thematik sind umfangreich: Urheberrechtsverletzungen, Lizenzprobleme, Haftungsfragen, Verstöße gegen handels- und steuerrechtliche Vorschriften, IT-Sicherheit und Datenschutz. Wollen Sie als Unternehmer dafür gerade stehen, wenn Ihr Mitarbeiter personenbezogene Daten Ihres Unternehmens auf seinem privaten Mobilgerät speichert und diese dann mit einem der zahlreichen Cloud-Dienste synchronisiert? Mit großer Wahrscheinlichkeit liegt hierfür keine vorgeschriebene Regelung zur Auftragsdatenverarbeitung vor -> Bußgeldrisiko.

Unser Tipp:

Sorgen Sie für klare Vereinbarungen und Richtlinien in Ihrem Unternehmen und investieren Sie in die notwendige IT-Infrastruktur.
Oder fragen Sie Ihren Datenschutzbeauftragten! Sie haben keinen, dann sprechen Sie uns an!

Arbeitnehmerdatenschutz

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

KISS — keep it short and simple: Der Geburtstagsliste-Self-Service

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber