> externer Datenschutzbeauftragter > Betriebsvereinbarungen Datenschutz / Dienstvereinbarungen

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Arbeitsplatzüberwachung: GPS-Ortung und Datenschutz – „Ich weiß, wo du heute, gestern und letzten Monat warst!“

GPS-Ortung und DatenschutzDas Thema der Arbeitsplatzüberwachung z. B. durch GPS-Ortung in Verbindung mit Datenschutz, insbesondere Beschäftigtendatenschutz gewinnt stetig an Bedeutung. Ortungssysteme sind weder in Dienstfahrzeugen noch in Smartphones keine Seltenheit mehr, schnell kann dies zu einer dauerhaften, anlasslosen Überwachung am Arbeitsplatz führen.  Die Bestimmung eines Standortes ist unter anderem mittels Global Positioning System (GPS), Location-based Services (LBS) sowie radio-frequency identification (RFID) möglich. Bei der Global Positioning System-Ortung (GPS) wird die Position mithilfe von Satelliten bestimmt. GPS wird insbesondere für Navigationssysteme verwendet. Neben GPS ermöglicht Location-based Services, zu deutsch standortbezogene Dienste, die Positionsbestimmung eines mobilen Endgerätes – respektive des Besitzers – über nahegelegene Funkzugangsknoten. Bei RFID können Standortdaten mit Hilfe eines Transponders und eines Schreib-/Lesegerätes mit Antenne berührungslos ausgelesen werden, allerdings muss der Transponder in die Reichweite der Antenne gelangen.

Neben zahlreichen privaten und betriebswirtschaftlichen Vorteilen bergen Ortungssysteme eine Vielzahl an Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter erklärt, warum Systeme zur Ortung und Datenschutz nicht voneinander zu trennen sind und was verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine oder Behörden, berücksichtigen sollten, damit eine unzulässige Arbeitsplatzüberwachung vermieden wird.

GPS-Ortung und Datenschutz – Was Organisationen beachten sollten

Werden die Standorte von Dienstfahrzeugen oder dienstlichen Smartphones ermittelt, so kann daraus geschlossen werden, wo sich eine kleine Gruppe an Arbeitnehmern oder der einzelne Arbeitnehmer aufhält bzw. aufgehalten hat. Ein Personenbezug ist damit spätestens unter Zuhilfenahme der Einsatzpläne der Mitarbeiter gegeben, folglich greift das Datenschutzrecht. Sollen personenbezogene Daten erhoben, verarbeitet und/oder genutzt werden, so sollte stets das Verbot mit Erlaubnisvorbehalt bedacht werden. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten erlaubt, wenn eine Rechtgrundlage oder die informierte und wirksame Einwilligung des Betroffenen dies erlauben.

Laut § 28 Abs. 1 Nr. 2 BDSG (Hinweis: Siehe auch § 32 BDSG für Zwecke des Beschäftigungsverhältnisses) dürfen personenbezogene Daten erhoben werden, wenn sie zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sind und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Um dies festzustellen, ist eine Interessensabwägung zwischen der verantwortlichen Stelle und dem Betroffenen notwendig. Mögliche Gründe für eine Ortung wären

  • der Diebstahl des Fahrzeugs oder Endgeräts,
  • die Aufdeckung von Straftaten bei einem begründeten Verdacht,
  • die Wahrung berechtigter Interessen der Organisation/eines Dritten, z.B. Geldtransporter, Krankenwagen

Der Einsatz von Ortungssystemen zur Überwachung der Mitarbeiter, sogenannte Verhaltens- und Leistungskontrolle ist allerdings untersagt und sollte dringend unterbunden werden. Selbst bei einer erlaubten Datenerhebung und –verarbeitung ist der Grundsatz der Datensparsamkeit zu beachten. Das heißt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die tatsächlich notwendig sind. Zum Beispiel liegt für die Ortung des Standortes ein berechtigtes Interesse einer Speditionsfirma zur Warenverfolgung vor, allerdings ist für diesen Zweck die Erhebung der Dauer von Fahrtunterbrechungen nicht notwendig. Bei erlaubter privater Verwendung von Dienstfahrzeugen/Endgeräten darf ebenfalls keine Ortung durchgeführt werden.

Zwischen einer Erlaubnis und dem Verbot von Ortungssystemen liegt in dem meisten Fällen nur ein schmaler Grat. Umso wichtiger ist es, dass sich Organisationen mit dem Thema „GPS-Ortung und Datenschutz“ auseinandersetzen und nicht auf fachkundige Beratung durch einen Datenschutzbeauftragten oder Datenschutzberater verzichten. Zumal verantwortliche Stellen gemäß § 4d Abs. 5 BDSG bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte der Betroffenen aufweisen, verpflichtet sind, eine Vorabkontrolle durch den Datenschutzbeauftragten durchführen zu lassen.

GPS-Ortung und Datenschutz – Beteiligung des Datenschutzbeauftragten und ggf. des Betriebsrates

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss, wie bereits erläutert, vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen.

Neben der Beteiligung des Datenschutzbeauftragten sollte – sofern vorhanden – der Betriebsrat vor Beginn der Verarbeitung einbezogen werden, da dieser gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) bei technischen Einrichtungen, die eine Verhaltens- und Leistungskontrolle der Mitarbeiter ermöglichen, ein Mitbestimmungsrecht hat.

Als verantwortliche Stelle ist man zudem gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, um die Anforderungen des BDSG zu erfüllen und den Zugriff durch Unbefugte zu vermeiden.

Fazit

Der Einsatz von Ortungssystemen kann unter gewissen Umständen aus Sicht der verantwortlichen Stelle (z. B. Unternehmen) erforderlich sein, im überwiegenden Interesse des Betreibers liegen und gleichzeitig kein Grund zur Annahme vorliegt, dass die schutzwürdigen Interessen des oder der Betroffenen überwiegen. Es sollten daher unbedingt bei der Planung der Maßnahmen, die Rechte der Betroffenen nicht außer Acht gelassen werden. Für den datenschutzkonformen Einsatz von Ortungssystemen sind viele Kriterien/Grundsätze, insbesondere die Datensparsamkeit, Zweckbindung und Verhältnismäßigkeit, zu beachten. Des Weiteren sollten klaren Regelungen, unter anderem zum Zweck, zur Löschung und zu den Zugriffsberechtigungen, mit Hilfe von Betriebsvereinbarungen/Dienstvereinbarungen/Richtlinien geschaffen werden.

Möchten Sie mehr zu Ortung und Datenschutz erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Wählen sie einen fachkundigen und zuverlässigen Datenschutzbeauftragten als Ansprechpartner für datenschutzrechtliche Belange. Falls Sie noch auf der Suche nach einem geeigneten Dienstleister für diese Aufgabe sind, stehen wir Ihnen gern als externer Datenschutzbeauftragter zur Seite. Haben Sie bereits einen Datenschutzbeauftragten, so nehmen Sie gerne auch unsere anderen Dienstleistungen, wie, Datenschutz-Schulungen oder eine Datenschutzberatung in Anspruch. Holen Sie sich ein unverbindliches Datenschutz-Angebot ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

datenschutz camsVideoüberwachungsanlagen können die Privatsphäre von Betroffenen erheblich einschränken, weshalb das Thema „ Videoüberwachung Datenschutz “ sowohl Privatpersonen als auch Organisationen beschäftigt. Was bzw. wer ist hier mit Organisationen gemeint?

Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes (BDSG). Hierzu zählen:

  • Unternehmen (Firmen, Einzelunternehmen, Gesellschaften eines Konzerns usw.),
  • Behörden,
  • Vereine/Verbände,
  • oder Stiftungen.

Der Einsatz von Videoüberwachungsanlagen kann im Hinblick auf die Sicherheit zu vielen Vorteilen führen. Diese wären z. B.:

  • Abschreckung von Straftätern,
  • die leichtere Suche bei Straftaten nach den „Übeltätern“,
  • Sicherung von Beweisen.

Aus diesem Grund ist es wenig verwunderlich, dass nicht nur Organisationen, sondern auch Privatpersonen zu Videoüberwachungsanlagen zurückgreifen. Hörte man früher eher bei eskalierten Nachbarschaftsstreitigkeiten von einem Einsatz, so werden verstärkt Videoüberwachungsanlagen präventiv von Privatpersonen angebracht. In diesem Zusammenhang sieht man vermehrt den Einsatz von sogenannten „Klingel-Cams“ bzw. „Türspion-Kameras“.

Bei „Klingel-Cams“ handelt es sich üblicherweise um Kameras, die an der Klingel angebracht werden. Wird die Klingel betätigt, so können die Bewohner – bevor sie die Tür öffnen – feststellen, wer geklingelt hat. Daneben existieren auch „Klingel-Cams“ auf die sich die Bewohner jederzeit „aufschalten“ können. Auch gibt es bereits „Türspion-Kameras“, die das Einsehen von Aufnahmen mit dem Smartphone ermöglichen. Hierbei tritt natürlich unweigerlich die Frage nach der Zulässigkeit auf, die sowohl Betroffene als auch Eigentümer betrifft. Ist der Einsatz von „Türspion-Kamers“ erlaubt?

Ihr externer Datenschutzbeauftragter informiert im Folgenden über das Thema „ Videoüberwachung Datenschutz “, wobei nicht nur der Einsatz von „Klingel-Cams“, sondern die Videoüberwachung in Organisationen thematisiert werden.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

Die Thematik rund um „Klingel-Cams“ beschäftigte seit Jahren nicht nur Betroffene, eher unfreiwillig die Eigentümer bzw. Verantwortlichen, Datenschützer und Datenschutzbeauftragte, sondern auch die Instanzen der deutschen Gerichte, sogar den Bundesgerichtshof (BGH).

Um kurz das Thema „Nachbarschaftsstreitigkeiten“ aus der Einleitung aufzugreifen. Ja, die dauerhafte Videoüberwachung aufgrund eines Nachbarschaftsstreits von weiteren Wohnungseigentümern sollte unterlassen werden (Urteil des AG München vom 4.12.2013 – Az. 413 C 26749/13).

Grundsätzlich ist Privatpersonen anzuraten, von „Klingel-Cams“ die Finger wegzulassen, allerdings liegen Ausnahmen vor, die im Einzelfall den Einsatz erlauben könnten. Möchten Wohnungseigentümer bzw. der Vermieter des Hauses eine solche Kamera anbringen, so sollten einige Maßnahmen ergriffen werden.

  • Unter anderen sollte sichergestellt werden, dass die Kamera erst bei Betätigung der Klingel aktiv wird und sich zeitnah wieder automatisiert ausschaltet,
  • wobei die Aufnahmen nur vom Bewohner eingesehen werden dürfen, bei dem geklingelt wurde.
  • Des Weiteren sollten die Aufnahmen nicht gespeichert werden,
  • der Betroffene sollte mit Hilfe eines Hinweisschildes informiert werden
  • und die Kamera sollte so eingestellt werden, dass möglichst nur die Person, die geklingelt hat, gefilmt wird.

Zwischen dem Verbot und der Erlaubnis ist nur ein „schmaler Grat“, weshalb sich Privatpersonen vor Anbringung von Überwachungskameras ausreichend mit dem Thema „ Videoüberwachung Datenschutz “ auseinanderzusetzen sollten. Spätestens beim beruflichen Einsatz von „Klingel-Cams“ bzw. allgemein von Videoüberwachungsanlagen sollte auf fachkundige Beratung keinesfalls verzichtet werden. Dies gilt übrigens auch für Kameraattrappen, da diese die „informationelle Selbstbestimmung“ von Betroffenen ebenfalls einschränken können.

„Videoüberwachungsanlagen Datenschutz“ – Worauf Organisationen achten sollten

Planen „verantwortliche Stellen“, wie z. B. Unternehmen, das Anbringen von Videoüberwachungsanlagen, so sollten sich diese dringend von einem Datenschutzbeauftragten beraten lassen, dabei spielt es keine Rolle, ob es sich um Videoüberwachungsanlagen handelt, die nichts aufnehmen (Kameraattrappen), die ausschließlich aufnehmen (auch bekannt unter „verlängertes Auge“) oder auch das Speichern von Aufnahmen ermöglichen.

Im Datenschutzrecht steht die „informationelle Selbstbestimmung“ im Vordergrund. Das Ziel ist es, dass natürliche Personen selbst über die Erhebung, Verarbeitung und Nutzung ihrer Daten entscheiden können, damit diese sich frei entfalten können. Bei Anbringung einer Kameraattrappe passen sich Betroffene, wie Mitarbeiter und Kunden, automatisch an, weil sie nicht wissen, dass es nur eine Attrappe ist. Eine Kameraattrappe ließe sich zudem, wenn sich ein Betroffener an diese gewöhnt hat, recht unkompliziert durch eine funktionstüchtige Videoüberwachungsanlage ersetzen. Dies verletzt das Grundrecht der Persönlichkeitsentfaltung sowie die informationelle Selbstbestimmung. Daher greift – rein logisch – das Datenschutzrecht auch bei Kameraattrappen.

Organisationen sollten bei der Planung der Videoüberwachungsanlagen Maßnahmen, wie die Vorabkontrolle durch einen Datenschutzbeauftragten, ergreifen sowie klare Regelungen aufstellen. Ist ein Datenschutzbeauftragter extern oder intern bestellt, so kontrolliert er die geplanten Videoüberwachungsmaßnahmen und unterstützt „verantwortliche Stellen“ bei der Erstellung von Betriebsvereinbarungen zu Videoüberwachungsanlagen, Video-Dienstvereinbarungen bzw. Richtlinien und sonstige Regelwerke rund um Videokameras und sonstige Datenschutz-Regelwerke.

Das fehlerhafte Anbringen von Videoüberwachungsanlagen kann für „verantwortliche Stellen“ zu erheblichen Konsequenzen führen. Neben der Demontage von teuren Anlagen drohen sogar Bußgelder und ein erheblicher Imageverlust.

Möchten Sie mehr zum Thema „ Videoüberwachung Datenschutz “ erfahren, dann lesen Sich doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Wenn Sie sich im Datenschutz dauerhaft besser positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten

Zeiterfassung Datenschutz„ Zeiterfassung Datenschutz “ sind häufig diskutierte Themen, die in der Praxis zu vielen Fragen und zu hohen Risiken für „verantwortliche Stellen“ führen können.

Grundsätzlich gilt, dass die Zeiterfassung nicht verteufelt werden sollte, da sie zahlreiche Vorteile sowohl für den Arbeitnehmer als auch für den Arbeitgeber birgt, allerdings sollten sich „verantwortliche Stellen“ vor der Einführung der Zeiterfassung an einen Datenschutzbeauftragten wenden, da vorab einige Kontrollen durchgeführt und Maßnahmen ergriffen werden müssen.

Wieso Sie besser einen Datenschutzbeauftragten kontaktieren sollten und wie Sie die Themen „Zeiterfassung Datenschutz“ unter einen Hut bekommen, berichtet Ihr externer Datenschutzbeauftragter.

Wieso Sie bei der Zeiterfassung Datenschutz nicht außer Acht lassen sollten

Erfasst ein Unternehmen, eine Behörde oder eine andere „verantwortliche Stelle“ die Arbeitszeiten der Mitarbeiter, so greift das Datenschutzrecht. Der Grund ist, dass mittels Zeiterfassungssysteme personenbezogene Daten erhoben, verarbeitet und genutzt werden können.

Bei personenbezogenen Daten handelt es sich, gemäß § 3 Bundesdatenschutzgesetz (BDSG), um Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Ist die Rede von bestimmten personenbezogenen Daten, so meint man Daten, die einer Person direkt zugeordnet werden können, wie der Name. Bei bestimmbaren Daten handelt es sich um personenbezogene Daten, die einer natürlichen Person nicht direkt, allerdings unter Zuhilfenahme einer weiteren Information oder Informationsquelle (z. B. einer Liste) zugeordnet werden können, wie zum Beispiel die Personalnummer.

Bei der Erfassung der Mitarbeiterzeiten sollte deshalb beachtet werden, dass im Datenschutzrecht das „Verbot mit Erlaubnisvorbehalt“ gilt, wodurch jegliche Erhebung, Verarbeitung und Nutzung, außer die basiert auf einer Rechtsgrundlage oder einer „informierten Einwilligung“, verboten ist.

Zulässigkeit der Zeiterfassung

Bevor Zeiterfassungssysteme eingeführt werden, sollte die „verantwortliche Stelle“ prüfen,

  • welche Daten,
  • für welchen Zweck,
  • und wie lange

erfasst werden dürfen und wer auf diese Daten zugreifen darf.

Des Weiteren sollten sie spätestens an diesem Punkt einen fachkundigen und zuverlässigen Datenschutzbeauftragten einschalten. Der Datenschutzbeauftragte, intern oder extern bestellt, sollte die geplante Zeiterfassung vorab prüfen, sogenannte Vorabkontrolle. Die Verpflichtung zur Vorabkontrolle ist in § 4 d BDSG aufgeführt. Gemäß der Vorschrift sollten automatisierte Datenverarbeitungen, wenn sie besondere Risiken für Betroffene aufweisen, durch einen Datenschutzbeauftragten vor Beginn der Datenverarbeitung geprüft werden.  Ganz besondere hohe Risiken könnten sich z. B. bei der (geplanten) Installation einer biometrischen Zeiterfassung ergeben, die üblicherweise mittels Fingerscan- bzw. Fingerprintsystem erfolgt. „Irgendwo“ muss daher systemseitig der Fingerabdruck aller Mitarbeiter hinterlegt sein. Selbst für Außenstehende mit stärkeren Berührungspunkten zum Datenschutz wird hierbei klar, dass ein derartiges Verfahren nicht ohne Weiteres eingeführt werden kann und zumindest Prüfschritte notwendig sind.

Im Rahmen der Vorabkontrolle muss der Datenschutzbeauftragte prüfen, ob die (geplante) Datenerhebung, -verarbeitung und -nutzung datenschutzkonform ist, wobei der Datenschutzbeauftragte ähnliche Beurteilungskriterien, wie bei der Videoüberwachung heranzieht. Möchten Sie mehr zum Thema „Videoüberwachung“ erfahren, dann lesen Sie doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Ebenso, wie bei der Videoüberwachung, ist oft nur ein schmaler Grat zwischen dem Verbot und der Zulässigkeit, weswegen die Systeme genauestens geprüft werden sollten. Zudem ist das Erstellen einer:

  • Richtlinie zur Zeiterfassung (Richtlinie Zeitwirtschaft)
  • Betriebsvereinbarung zur Zeiterfassung (Betriebsvereinbarung Zeitwirtschaft)
  • Dienstvereinbarung zur Zeiterfassung (Dienstvereinbarung Zeitwirtschaft)

dringend anzuraten. Diese Vereinbarungen fördern zum einen die Transparenz, wodurch die betroffenen Mitarbeiter wissen, wer Zugriff auf welche Daten hat. Des Weiteren überblicken Führungskräfte und der Arbeitgeber, auf welche Daten sie für welchen Zweck und für wie lange zugreifen dürfen. Positiver und nicht zu verachtender Nebeneffekt: Verantwortliche Stellen, gleich ob es sich um kleine, mittlere oder große Unternehmen, Behörden oder Konzerne handelt, beschäftigen sich oft erst richtig mit den Anforderungen an eine Zeiterfassung, sobald Ihr betrieblicher oder behördlicher Datenschutzbeauftragter nebst (wenn vorhanden) Betriebsrat (respektive Mitarbeitervertretung / Personalvertretung) gemeinsam mit der Geschäftsleitung oder deren Vertretern an einem Tisch sitzen. Die „Betriebsvereinbarung Zeiterfassung“ sowie die damit verbundenen Zwecke werden thematisiert und im Ergebnis wird sich auf Eckpunkte abgestimmt und niedergeschrieben.

Haben Sie weitere Fragen zur Thematik „Zeiterfassung Datenschutz“ oder benötigen Sie Hilfe bei der Erstellung von Betriebsvereinbarungen, Dienstvereinbarungen oder Richtlinien? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?

Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund um das Thema Zeiterfassung, Videoüberwachung oder generell im Arbeitnehmerdatenschutz / Beschäftigtendatenschutz bzw. Personaldatenschutz.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht

Datenschutz AppsZu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Bildschirmfoto 2016-08-18 um 11.48.56

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Bildschirmfoto 2016-08-18 um 12.13.13Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

pokemon-1574647_640Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.

boot-1015415_640

Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste. Im Hause Ihres Arbeitgebers kann Sie z. B. Ihre IT-Abteilung oder Ihr externer Datenschutzbeauftragter bei einer sinnvollen Passwortzusammensetzung unterstützen.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz. An fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten, sollte keinesfalls gespart werden. In Abhängigkeit zur Art der App und der Daten könnte dies schlimme finanzielle Folgen nach sich ziehen.

Haben Sie weitere Fragen zu „Datenschutz Apps“ bzw. zu konkreten Apps oder benötigen Sie Hilfe bei der Umsetzung von klaren Richtlinien / Betriebsvereinbarungen? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

BYOD, CYOD und COPE – Der Weg über das Mobile-Device-Management zum Datenschutz

Mobile Device Management für den DatenschutzZahlreiche Unternehmen sehen sich heutzutage mit dem Problem der ausufernden Verwendung privater Endgeräte innerhalb des Unternehmens konfrontiert. Es handelt sich dabei allerdings nicht um ein Problem, dem sich ausschließlich große Firmen oder Konzerne stellen müssen. Auch in Behörden und Körperschaften (sogenannte „öffentliche Stellen“) wird immer mehr „externe Technik“ zum Einsatz gebracht. Am ersten Twitter-Posting des Bundesministerium des Inneren (BMI): „Wir sind etwas spät hier. Wir mussten noch unsere Zuständigkeit prüfen“ aus 05/2016 lässt sich erkennen, dass behördliche Organe vielfach „ein wenig mehr Zeit“ benötigen, damit der Fortschritt Einzug erhält. Aber auch diese öffentlichen Stellen sehen sich vor und nach der Entscheidung über Neuerung mit ähnlichen Barrieren konfrontiert, wie die Privatwirtschaft.

Gerade bei Führungskräften oder beim Social Media Marketing (SMM) z. B. mittels:

  • Facebook
  • Flickr
  • Google Plus
  • LinkedIn
  • Pinterest
  • Tumblr
  • Twitter
  • Vimeo
  • YouTube
  • Xing

wird eine ständige Erreichbarkeit immer wichtiger. Dies wird nicht zuletzt durch aufkommende Hassrede über Einzelpersonen, aber auch behördliche Organisationen und Wirtschaftsunternehmen erkennbar. Mit Hashtags wie #NoHateSpeech oder #HateSpeech wird in ganzen Kampagnen zwar gegen die Hassrede gekämpft, dennoch ist auch hier eine schnelle Erreichbarkeit wichtig, um ggf. auftretende Gefahr frühzeitig von den Betroffenen abwenden zu können.

Mitarbeiter möchten meist ungerne mehrere Smartphones mit sich führen. Ein dienstliches Smartphone spart mit einer Alltnet-Flat nicht nur direkt private Kosten des Mitarbeiters, sondern dient regelmäßig auch noch der Mitarbeitermotivation. Denn das „brandneue Teil“ hätten sich viele vielleicht selbst nicht gekauft und lieber ihre „alte Möhre“ weiter genutzt.

Es ist somit mehr als nachvollziehbar Überlegungen anzustellen, wie IT-Geräte gesetzeskonform sowohl für die dienstliche als auch für die private Nutzung ausgegeben und genutzt werden können.

Durch diese zunehmende Verschmelzung der Grenzen zwischen beruflicher und privater IT-Nutzung ist zu klären, welche und ob sich Möglichkeiten bieten, um die Sicherheit für unternehmensinterne Daten (Betriebsgeheimnisse / personenbezogene Daten) zu gewährleisten. Gleichzeitig sollen auch die Interessen der Mitarbeiter gewahrt werden (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz, Personaldatenschutz).

Im Weiteren soll dargestellt werden, was überhaupt hinter Abkürzungen wie BYOD, CYOD und COPE zu verstehen ist.

BYOD – Bring Your Own Device

 

monitor-66618_640Bei dem Konzept Bring Your Own Device, kurz BYOD, erlaubt der Arbeitgeber seinen Mitarbeitern das berufliche Arbeiten mit privaten Endgeräten. Der Einsatz ist, anderes als bei der Schatten-IT, mit der Geschäftsführung oder sonstigen Entscheidungsträgern (z. B. IT-Leitung oder IT-Abteilung) abgesprochen, wodurch die Datenschutz-Risiken im Vergleich zur Schatten-IT geringer sein können. Dennoch lauern bei BYOD Gefahren, die von den „verantwortlichen Stellen“ nicht ignoriert werden sollten.

Dürfen Arbeitnehmer ihre eigenen mobilen Endgeräte verwenden, auch bekannt unter „Consumerization“, zu deutsch „Konsumerisierung“, dann ist eine Trennung zwischen privaten und dienstlichen Daten kaum möglich. Durch die fehlende Unterscheidung haben „verantwortlichen Stellen“ zum einen das Problem, dass sie die technischen und organisatorischen Maßnahmen, gemäß § 9 Satz 1 Bundesdatenschutzgesetz (BDSG), gar nicht bzw. mit einem erheblichen Aufwand erfüllen können. Zudem darf der Arbeitgeber i. d. R. nicht auf die Endgeräte zugreifen, wodurch weder der Umgang mit personenbezogenen Daten noch die Einhaltung anderer rechtlicher oder unternehmensinterner Vorschriften geprüft werden darf.

BYOD kann nicht zu Verletzungen des Datenschutzrechts führen, sondern auch das Risiko vor Urheberrechtsverletzungen erhöhen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen bzw. arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen. Diese und weitere Risiken erfordern deshalb klare Regelungen, um BYOD möglichst rechtkonform zu gestalten.

Ein weiteres Problem ist, dass die privaten Endgeräte nicht ausreichend geschützt sein könnten und das Risiko vor Datenpannen, durch Verlust eines unverschlüsselten Gerätes oder eines Hackerangriffs, steigt. Aus diesem Grund ist der Einsatz einer Mobile-Device-Management-Software dringendst anzuraten.

Vorteile Nachteile
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Höhere Mitarbeiterzufriedenheit
  • Kostenersparnis für den Arbeitgeber
  • Der Arbeitgeber darf nicht auf die Geräte zugreifen
  • Datenschutzrechtliche und andere rechtliche Risiken
  • Höheres Risiko vor Datenverlust
  • Hoher Aufwand und hohe Kosten für Mobile-Device-Management-System (MDM), Richtlinien, Regelungen etc.
  • Viele Geräte von unterschiedlichen Herstellern

CYOD – Choose Your Own Device

selection-443127_640Bei Choose Your Own Device, kurz CYOD, stellt der Arbeitgeber eine Auswahl an Geräten, zwischen denen der Arbeitnehmer wählen darf, zur Verfügung. Anders als bei Bring Your Own Device gehören die Geräte somit dem Arbeitgeber, wodurch dieser, wenn er eine Privatnutzung verbietet, auf die Endgeräte zugreifen darf. Eine dauerhafte Überwachung der mobilen Endgeräte, zum Beispiel mittels Spyware, ist allerdings trotz Verbot untersagt. Eine erlaubte Privatnutzung führt zur Vermischung von privaten und dienstlichen Daten, die einige Risiken, wie bereits im Rahmen von BYOD erläutert, mit sich bringt. Macht eine „verantwortliche Stelle“ von diesem Konzept Gebrauch oder strebt CYOD an, so ist das Aufstellen von klaren Regelungen und das Einführen eines MDM-Systems zu empfehlen.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung

COPE – Corporate-Owned, Personally Enabled

questions-1014060_640Bei dem dritten Konzept Corporate-Owned, Personally Enabled, kurz COPE, stellt ebenfalls die „verantwortliche Stelle“ eine Auswahl an Endgeräten zur Verfügung. Eine Privatnutzung der vorkonfigurierten Geräte ist grundsätzlich gestattet, wobei der Mitarbeiter die Einrichtung und die Wartung des Gerätes zum Teil eigenverantwortlich durchführt.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Höhere Mitarbeiterzufriedenheit, da Privatnutzung erlaubt
  • Kostenersparnis der „verantwortlichen Stelle“ durch eigenverantwortliche Wartung durch den Mitarbeiter
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung
  • Erhöhtes Risiko vor Datenverlust bzw. –pannen, da kein Support und keine Wartung durch die IT-Abteilung erfolgt

Fazit

Eine heimliche Nutzung privater Geräte kann erhebliche Sicherheitsrisiken mit sich bringen und die Sicherheit des Unternehmensnetzwerks gefährden. Möchten Sie mehr über die Auswirkungen einer ungeregelten Nutzung privater Endgeräte erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Ist die Nutzung der Endgeräte gestattet, allerdings nicht ausreichend geregelt, führt dies ebenfalls zu Problemen und Risiken. Der Integrationsaufwand für eine Vielzahl von Gerätetypen, wie bei BYOD üblich, kann schnell unüberschaubar werden – vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE oder auch CYOD im Zweifel die bessere Wahl, da sich von vornherein ein Durcheinander in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Ein Problem, das alle drei Konzepte teilen, ist die zunehmend verschwimmende Grenze zwischen privater und geschäftlicher Verwendung der Endgeräte. Aus diesem Grund sollte das Unternehmen den Umfang der privaten Nutzung vorab genau festlegen, um späteren Problemen aus dem Weg zu gehen.

Bei der Konfiguration der Geräte sollten „verantwortliche Stellen“ die Installation einer MDM-Software in Betracht ziehen. Mit dem MDM-Programm sind zwar zusätzliche Kosten verbunden, allerdings können zahlreiche Risiken, die zu einem späteren Zeitpunkt zu wesentlich höheren Kosten führen können, minimiert werden. Die Software ermöglicht zum Beispiel den Einsatz von White- und Backlists, wodurch die Mitarbeiter keine Software, die verboten ist (Blacklist) oder die nicht explizit erlaubt ist (Whitelist), installieren können, oder die Fernlöschung bei Verlust des Gerätes. Bei einer erlaubten Privatnutzung sollte die IT-Abteilung bei der Konfiguration zudem auf eine Container-Lösung zurückgreifen, damit die Vermischung von privaten und dienstlichen Daten vermieden wird.

Sind auch Sie auf der Suche nach einem neuen Konzept für Ihr Unternehmen, um die Verwendung von mobilen Endgeräten zu verbessern oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten. Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Datenschutz Homeoffice“ – der richtige Umgang mit der sogenannten Telearbeit

Datenschutz im Homeoffice - der richtige Umgang mit der Telearbeit - Brands Consulting - externer Datenschutzbeauftragter

Das in den Niederlanden verabschiedete Gesetz auf Heimarbeit (Home-Office) ist nur ein weiterer Indikator für die nicht nur national steigende Relevanz dieser Thematik. Auch wir Deutschen wünschen uns immer häufiger u. a.:

  • flexiblere Arbeitszeiten
  • eine bessere Work-Life-Balance
  • kreatives, flexibles Arbeiten z. B. für „Kreativköpfe“ mittags im Café oder auch im heimischen Garten
  • die bessere Vereinbarkeit von Beruf und Familie (z. B. zur erleichterten Kinderbetreuung oder zum Pflegen von Angehörigen)

 

Rechtsgrundlage/n

Zwar haben unsere Nachbarn in den Niederlanden ein gesetzliches verankertes „Home-Office-Recht“, bei uns ist dieses bis dato allerdings nicht der Fall. Die Gewerbeordnung sieht in § 106 GewO vielmehr das Weisungsrecht des Arbeitsgebers vor.

So heißt es: „Der Arbeitgeber kann Inhalt, Ort und Zeit der Arbeitsleistung nach billigem Ermessen näher bestimmen, soweit diese Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzliche Vorschriften festgelegt sind. Dies gilt auch hinsichtlich der Ordnung und des Verhaltens der Arbeitnehmer im Betrieb. Bei der Ausübung des Ermessens hat der Arbeitgeber auch auf Behinderungen des Arbeitnehmers Rücksicht zu nehmen.“.

Es bleibt festzuhalten, dass zwar kein Gesetz das Recht auf die Arbeit von Zuhause aus einräumt, sondern der Arbeitgeber dies üblicherweise „nach billigem Ermessen“ näher bestimmen kann (z. B. zur Mitarbeitermotivation). Darüberhinaus können sich Regelungen zur „Arbeit im eigenen Büro“ (Zuhause) insbesondere ergeben aus:

  • Regelungen im Arbeitsvertrag
  • Betriebsvereinbarungen, beispielsweise zum Homeoffice oder zur Zeiterfassung
  • Tarifvertraglichen Regelungen
  • Betrieblicher Übung
  • Dienstvereinbarungen im öffentlichen Dienst

Die Tücken der mobilen Arbeit bzw. Tele(heim)arbeit „Datenschutz Homeoffice“

Die Verantwortlichen Stellen [Behörden, Vereine und Unternehmen (von kleinen Einzelunternehmern, über mittelständische Firmen bis hin zu Konzernen)] investieren sowohl in finanzieller als auch in zeitlicher Sicht (Arbeitszeitressourcen). Der Zweck liegt klar auf der Hand, die Gewährleistung von Datenschutz und Datensicherheit. Der bestellte Datenschutzbeauftragte berät dabei die Vereins-, Behörden- oder Geschäftsleitungen insbesondere rund um die sogenannten technischen und organisatorischen Maßnahmen (kurz TOM).

 

Technische und organisatorische Maßnahmen in der verantwortlichen Stelle

Der § 9 Bundesdatenschutzgesetz (BDSG) regelt hierzu das Folgende: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

 

In der Anlage zu § 9 Satz 1 BDSG sieht das Gesetz eine Konkretisierung vor. Hierin geht es darum, dass geeignete und verhältnismäßige Maßnahmen zu treffen sind zu/r:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Getrennten Verarbeitung

 

Diese technischen und organisatorischen Maßnahmen (TOM) werden unterschieden in:

  • Bauliche Maßnahmen
  • Organisatorische Maßnahmen
  • Technische Maßnahmen

 

Zur Vereinfachung wird nicht näher auf die sogenannten TOM eingegangen. Allerdings zeigt bereits dieser kurze Exkurs, dass zur Gewährleistung der TOM durch die Arbeitgeber bzw. Dienstherren eine ganze Menge Aufwand betrieben wird.

 

Technische und organisatorische Maßnahmen verknüpft mit „Datenschutz im Homeoffice“

Würde der erhebliche Aufwand, den ein Arbeitgeber oder Dienstherr betreibt, durch die Heimarbeit unterlaufen, wäre das Investierte (Zeit / Geld) zwar nicht völlig nutzlos, eine riesige Sicherheitslücke allerdings im Einzugsbereich „Datenschutz Homeoffice“ unausweichlich, Datenschutz-Probleme vorprogrammiert und die Handlung (grob) fahrlässig.

Bevor Home-Office-Regelungen geschaffen werden, sollten somit gewisse Mindeststandards an Datenschutz und Datensicherheit genauso bedacht werden, wie während des Einsatzes dieser zumeist arbeitnehmerfreundlichen bzw. beamtenfreundlichen Regelungen.

Grundsätzlich ist das Folgende zu empfehlen:

  • Für die Tele(heim)arbeit und mobile Arbeit sind -soweit möglich- die gleichen Sicherheitsstandards einzuhalten, wie bei der Organisation des Arbeitsplatzes. Bei Bedenken ist der (externe) (betriebliche) Datenschutzbeauftragte einzubeziehen.
  • IT-Geräte, die außerhalb des Unternehmens, des Vereins oder der Behörde verwendet werden, sind zwingend zu verschlüsseln.

Wie und ob eine konkrete Umsetzung einer Homeoffice-Regelung erfolgen kann oder sollte, hängt ganz konkret von der verantwortlichen Stelle, den individuellen Gegebenheiten und dem damit verbundenen Beratungsprozess ab.

 

 

Nehmen Sie Kontakt auf – fordern Sie ein unverbindliches Angebot an, wir beraten Sie gerne bei der Einführung der Telearbeit / der Implementierung einer HomeOffice-Regelung.

 

Ausrichtung / Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

 

Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleinen und mittelständischen Unternehmen (KMU) und Konzernen]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.