Richtig Löschen

Artikel 17 der DSGVO legt Gründe zur Löschung fest. Dazu zählen u.a. der Fall, dass der Verarbeitungszweck erfüllt ist und die Daten nicht mehr benötigt werden oder die betroffene Person ihre Einwilligung widerruft. Stehen keine anderen Gründe wie beispielsweise die gesetzliche Aufbewahrungspflicht entgegen, hat der Verantwortliche die Daten zu löschen. Auf die Löschung kann nur dann verzichtet werden, wenn die Daten vollständig anonymisiert werden und kein Rückbezug auf die Person (wieder-) hergestellt werden kann.

Erstellung eine Löschkonzepts

Neben der Aufforderung zur Löschung zählt Artikel 17 auch Fälle auf, in denen der Verantwortliche von sich aus tätig werden muss. Um diese Fälle abzudecken, sollten Sie ein geeignetes Löschkonzept verfolgen und nach diesem dann entweder manuell oder automatisiert löschen. Dieses Löschkonzept kann entweder im Spezifischen Teil des Verarbeitungsverzeichnisses oder ein separates Dokument sein. Weitere Hinweise finden Sie hier.

Backups

Auch bei Backups kommen einige Fragen auf: Müssen in diesem Zuge einzelne Datensätze ebenfalls gelöscht werden? Und funktioniert das technisch überhaupt? Erfüllt das Backup danach noch seinen Sinn?

Da wir hierzu in der DSGVO direkt keine Antwort finden und auch noch keine Gerichtsurteile vorhanden sind, bleibt die Betrachtung der rechtlichen Verpflichtungen und Interessensabwägung:
Egal in welchen Zeitabschnitten – ein Backup gewährleistet die Verfügbarkeit und ist damit ein Teil der technisch-organisatorischen Maßnahmen (nach Art. 32 DSGVO). Dem entgegen steht das Interesse der betroffenen Person zur vollständigen Löschung.

Daher unser Rat:
Weisen Sie betroffene Personen im Zuge einer Löschung darauf hin, dass in Backups noch Daten vorhanden sein können, die aber zu einem späteren Zeitpunkt durch die Erstellung neuerer Backups auch gelöscht werden.

Die Dokumentation

Nach Art. 5 Abs. 2 DSGVO unterliegen Verantwortliche der Rechenschaftspflicht. Es muss also auch ein Nachweis über die Löschung gepflegt werden. Wie? Darüber finden wir keine Hinweise in der DSGVO, wodurch es jedem Verantwortlichen selbst überlassen bleibt.

Wir empfehlen:

  • ein Löschprotokoll zu pflegen – entweder durch eine automatische Protokollierung im IT-System oder durch eine Pflege im Verzeichnis der Verarbeitungstätigkeiten. Doch aufgepasst: keinesfalls sollten die personenbezogenen Daten konkret genannt sein!
    Folgende Mindestangaben sollten enthalten sein:
    • Name d. Verantwortlichen (sowie ggf. Name der/s Beschäftigten, der/die für die Löschung verantwortlich ist)
    • Datum des Protokolls sowie Datum der Löschung
    • Grund der Löschung
    • Art der gelöschten Daten
    • Beschreibung der gelöschten Datenträger (z.B. Festplatte)
    • technische Durchführung der Löschung (z.B. Aktenvernichtung)
  • Das Löschprotokoll sollte getrennt von anderen Geschäftsvorgängen aufbewahrt sein.
  • Als Faustformel gilt es, Löschprotokolle für drei Jahre aufzubewahren. Vor der Vernichtung muss der Verantwortliche jedoch prüfen, ob eine Verjährungsunterbrechung erfolgt ist bzw. Umstände zur weiteren Aufbewahrung vorhanden sind.

Weitere nützliche Hinweise zur Löschung finden Sie auch hier.

Sollten Sie sich unsicher sein, melden Sie sich bei uns. Wir helfen Ihnen gerne weiter!

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe April 2022

Datenschutzrechtlich sicher im Umgang mit Social Media

Die Nutzung von Social Media ist heute weiter verbreitet als jemals zuvor und auch viele Unternehmen und öffentliche Stellen möchten trotz datenschutzrechtlicher Unsicherheiten nicht auf diese verzichten. Und das auch mit gutem Recht: Social Media bringt viele Vorteile mit sich; allerdings auch einige Risiken.
Wir schaffen Klarheit!

Die Vorteile:
  • Reichweite und Bekanntheit erhöhen
    Durch verschiedene interessante Informationen, Gewinnspiele, Kampagnen etc. kann mehr Reichweite generiert werden; die Produkte und Dienstleistungen können einer breiteren Masse angeboten und zur Verfügung gestellt werden. Die Bekanntheit kann wachsen.
     
  • Kontakte knüpfen / Kundennähe / Bürgernähe
    Beispielsweise durch die Kommentarfunktion auf Facebook oder Instagram können die Kunden und Bürger um direktes Feedback gebeten werden. Ebenso kann die Organisation auf Fragen des Kunden direkt eingehen.
     
  • Produktverbesserung
    Durch den direkten Kontakt, das Feedback und direkte Kritik kann eine Produktverbesserung nach den Vorstellungen des Kunden bzw. die Leistung für den Komfort des Bürgers schneller erfolgen. Gleichzeitig kann man das Angebot der Konkurrenz einfacher beobachten.
     
  • Mitarbeiter gewinnen
    Neben der klassischen Schalte von Stellenanzeigen erhöhen Portale wie LinkedIn und Facebook die Sichtbarkeit der Organisation und stellen ihre Attraktivität dar.
Die Risiken dabei:
  • PR-Katastrophe
    Schon durch kleine Fehler, die bei Menschen schnell mal passieren können, kann man leicht in einen Shitstorm geraten (= heftige geballte Kritik gegen Einzelpersonen oder Organisationen).
     
  • gemeinsame Verantwortlichkeiten
    Auf Basis der Entscheidung des Europäischen Gerichtshofs (EuGH) zu den Facebook-Fanseiten (Urteil vom 05.06.2018) muss sich jeder Verantwortlicher einer Fanpage im Klaren darüber sein, ob er die Besucher darüber aufklären kann, was mit ihren persönlichen Daten geschieht, da der EuGH eine gemeinsame Verantwortlichkeit von Fanpage-Betreiber und Facebook selbst festgestellt hat.
    Für den Besucher muss also klar erkennbar sein, welche seiner Daten wofür verarbeitet werden. Falls die Plattform Besucher einer Fanpage trackt, z.B. durch den Einsatz von Cookies, bräuchte man sogar seine Einwilligung.
    Die Herausforderung: Welche Organisation hat Einfluss darauf welche Tracking-Tools die Social-Media-Netzwerke einbinden?
    Möchte man die Fanpage dennoch weiterhin betreiben, muss ein leicht auffindbarer und möglichst ausführlicher Datenschutzhinweis platziert werden. Sollte nur ein Kurzhinweis möglich sein, muss mindestens in der Datenschutzerklärung des Onlineauftritts umfassend darüber informiert werden.
    Außerdem besteht eine Impressumspflicht.
     
  • Urheberrechte
    Mit der Veröffentlichung von Bildern, Fotos, Videos, Musik etc. sollte der Organisation bewusst sein, dass sie möglicherweise sämtliche Nutzungsrechte an das Netzwerk abtritt. Sollte die Organisation nicht Urheber / Rechteinhaber sein, kann es daher zu rechtlichen Konsequenzen kommen.
     
  • Plug-Ins
    Social-Media-Plug-ins erleichtern das Teilen, Liken usw. von Inhalten und lassen sich auf Websites einbinden. Dadurch besteht jedoch die Gefahr, dass beim Aufrufen einer Website zeitgleich auch die Inhalte einer externen Website geladen werden, ohne dass der Besucher dies selbst initiiert hat bzw. nicht einmal bemerkt. Ohne Einwilligung des Besuchers kann es also passieren, dass die externe Website personenbezogene Daten erhält.
    Um dies zu verhindern, gibt es zwei Lösungsansätze:
    1. Die Zwei-Klick-Variante = die Social-Media-Buttons sind standardmäßig inaktiv und müssen vom Besucher bewusst aktiviert werden, um sie zu nutzen. Der Klick auf den Button gilt als Zustimmung. Erst dann wird eine Verbindung zwischen Browser des Nutzers und den Servern des Social-Media-Dienstleisters aufgebaut.
    2. Shariff-Button = die Verbindung zwischen dem sozialen Netzwerk und dem Nutzer wird erst hergestellt, wenn dieser aktiv auf den Share-Button klickt.
     
  • Social Engineering
    Durch Social Engineering (z.B. Identitätsdiebstahl, Malware) werden nicht allgemein zugängliche Informationen durch das Spionieren derer, die diese Information tatsächlich besitzen, erlangt. Dies geschieht meist über Mitarbeiter und kann neben dem direktem Ansprechen, Telefon oder E-Mails beispielsweise auch über die Social-Media-Plattformen erfolgen.
     
Fazit

Es ist grundsätzlich wichtig, sich immer wieder vor Augen zu halten, dass die geposteten Informationen und Inhalte weltweit abrufbar und kaum mehr zu löschen sind. Die Verantwortlichen sollten unbedingt Regeln und Richtlinien aufstellen, die den Mitarbeitern das Veröffentlichen von personenbezogenen Daten sowie anderen vertraulichen Informationen (die Organisation, den Kunden, Geschäftspartner oder Lieferanten betreffend) untersagen und diese auch in (z.B. Datenschutz-)Schulungen kommunizieren.

Wenn Sie Unterstützung bei der Erstellung einer Social-Media-Richtlinie benötigen, melden Sie sich bei uns – wir unterstützen Sie gerne: info@sicher-hoch-drei.com.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Februar 2022

Fotos, Videos und die Sache mit dem Datenschutz

Was wir schon lange nicht mehr erlebt haben, wird bald hoffentlich wieder möglich sein: Firmenevents, Sommerfeste, Weihnachtsfeiern und andere Präsenzveranstaltungen.
Und spätestens dann werden wieder ganz andere Fragen zum Thema Datenschutz aufkommen.

Grundlage zur Beantwortung einiger dieser Fragen ist das Recht am eigenen Bild (§§ 22 und 23 Kunsturhebergesetz (KUG)). Im Wesentlichen geht es darum, dass jeder Mensch selbst bestimmen darf, ob er fotografiert oder gefilmt werden möchte und ob dieses Material gespeichert und veröffentlicht darf. Denn das Recht am eigenen Bild ist ein besonderes Persönlichkeitsrecht nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Folglich handelt es sich beim Anfertigen und Veröffentlichen von Bildmaterial um personenbezogene Daten des Betroffenen im Sinne der DSGVO und darf nur mit einer Rechtsgrundlage erfolgen.

Abgesehen von Modelverträgen (nach Art. 6 Abs. 1 b) DSGVO), was hier nicht ganz praxisnah ist, spielt bei Events und anderen Veranstaltungen neben dem überwiegenden berechtigten Interesse des Verantwortlichen ((Art. 6 Abs. 1 f) DSGVO) – im Öffentlichen Dienst ist hier anstelle oft von der öffentlichen Aufgabe nach lit. e) die Rede – vor allem die Einwilligung (Art. 6 Abs. 1 a) DSGVO) eine Rolle.

Die folgende Tabelle gibt einen Überblick über die verschiedenen Fallkonstellationen (öffentlich / intern):

Es ist empfehlenswert, Vorlagen zu erstellen, um den Anforderungen des Datenschutzes rechtssicher gerecht zu werden. Sofern also eine Einwilligung nötig ist, sollte diese folgende Punkte enthalten:

  • Persönliche Daten der einwilligenden Person (mindestens den vollständigen Namen)
  • Ausdrückliche Einwilligung z.B. durch Häkchensetzen (Vorsicht: ausdrückliche Einwilligung für jeden Verwendungszweck)
    • in die Anfertigung und / oder Veröffentlichung
    • von Foto- / Videoaufnahmen
  • Bezeichnung und Datum des Events
  • Nennung des Fotografen bzw. des Verantwortlichen
  • Ggf. Ausdrückliche Einwilligung zur Weitergabe an Dritte
  • Ggf. Hinweis auf mögliche Gefahren bei Veröffentlichung im Internet
  • Versicherung des Verantwortlichen, das entsprechende Material nicht missbräuchlich zu verwenden
  • Bestätigung der Freiwilligkeit und Hinweis auf das Widerrufsrecht der Einwilligung nach Art. 7 Abs. 3 DSGVO
  • Ort, Datum und Unterschrift der betroffenen Person

Wir wünschen viel Freude bei den Veranstaltungen!

Bei Fragen immer gerne melden unter info@sicher-hoch-drei.com

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022

Hilfestellung zur Digitalisierung an Schulen für öffentliche Träger

Mit Herausgabe der Digitalisierungshinweise für Schulen in öffentlicher Trägerschaft in Baden-Württemberg hat das Ministerium für Kultus, Jugend und Sport Baden-Württemberg im Jahr 2019 eine Arbeitshilfe veröffentlicht, die Ihnen als Kommune als Träger von öffentlichen Schulen die Arbeit erleichtern soll.
Im Hinblick auf Ihre damit verbundenen Verantwortungen und Aufgaben haben wir im Folgenden die wichtigsten Punkte für Sie zusammengefasst.

Die Ausstattung der Schulen mit der erforderlichen Technik erfolgt durch die Träger; das Land sorgt für eine angemessene Qualifikation der Lehrkräfte zum pädagogischen Einsatz vorhandener Multimediatechnik im Unterricht.

  • Für den Einsatz digitaler Medien ist eine technische Vernetzung der Schule notwendig:
    • lokale Netzwerke sollten eingerichtet sein (Ethernet-Verkabelung (LAN), Funknetz (WLAN), Teilnetze (VLANs))
    • die Verbindung nach außen muss sichergestellt sein (Internetzugang, Firewall, Webfilter, Fernwartung/Fernzugriff)
  • Es sollte ein Medienentwicklungsplan erstellt werden (Schulen und Schulträger), um pädagogisch begründeten Ziele der Schule mit den finanziellen Möglichkeiten zu vereinbaren und die bedarfsgerechte Ausstattung und deren tatsächliche Nutzung und die Supportbarkeit der Ausstattung und Vernetzung zu sichern (s. auch: https://www.mep-bw.de/jw/web/userview/lmz_mep/mepprojekt/_/willkommen).
  • Einsatz- und Ausstattungsszenarien bezüglich Einfluss und Umfang des Einsatzes digitaler Medien können sich verschieden gestalten. Beachten Sie hierbei den Anhang der originalen Digitalisierungshinweise, zu denen Sie weiter unten den Link finden.
  • Generell ist darauf zu achten, dass
    • die Geräte (neben den Computern auch Druckern, Scannern, Beamern etc.) sowie ihre Verwendung und der Umgang standardisiert werden.
    • bei Sponsoring, Gebrauchtrechnern, Leasing o.ä. eine genaue und kritische Prüfung erfolgt.
    • eher die Hardwarebeschaffung sowie eine mindestens 3-jährige Vor-Ort-Garantie empfohlen werden und Umweltaspekte bei der Beschaffung zu beachten sind.
  • Da sich das Internet in den letzten Jahren zu einem wichtigen Werkzeug sowohl für das Lehren als auch für das Lernen entwickelt hat, sollte die Nutzung von Lern- und Arbeitsplattformen (auf Basis der Internetnutzung) gegeben sein (z.B. um virtuelle Lernräume zu gestalten, Medien und Materialien zu verwalten, Lernprozesse zu begleiten und auszuwerten, für Chats und Lerntagebücher etc.).
  • Falls Unterstützung im Bereich Beratung, Support und laufender Betrieb notwendig sein sollte, gibt es ein Beratungsangebot der Medienpädagogischen Berater und der Schulnetzberater an den Medienzentren sowie das Unterstützungsangebot des Landesmedienzentrums im Rahmen der paedML („pädagogische Musterlösung“) und darauf abgestimmte Lehrerfortbildungsangebote. Empfohlen sind ferner
    • ein Betriebskonzept (= die Summe aller Maßnahmen, die die Verfügbarkeit der in den Schulen bereitgestellten IT-Infrastruktur in einem vereinbarten Rahmen gewährleisten)
    • ein „Service Level Agreement“ (SLA) (= ein Vertrag/eine Vereinbarung zwischen Auftraggeber und Auftragnehmer für wiederkehrende Dienstleistungen zur Erreichung eines reibungslosen Ablaufs von Service und Support)
    • die Kategorisierung von Störungen nach Dringlichkeit (Severity Kategorien)
    • die Bestimmung fester AnsprechpartnerInnen in der Schule
    • die Beachtung der Aufgabenverteilung bezüglich der Tätigkeiten im laufenden Betrieb schulischer Netzwerke (beachten Sie hierzu die Auflistung auf den Seiten 19-25).
  • Es gibt außerdem weitere Unterstützungsangebote des Medienzentrenverbundes
    • in den Stadt- und Kreismedienzentren
    • durch Medienpädagogische Beratung und Schulnetzberatung an den Medienzentren
    • Landesmedienzentrum
  • Auf eine Qualifizierung der Lehrkräfte bei der Digitalisierung der Schulen sollte unbedingt geachtet werden. Fortbildungsangebote des Landes finden Sie z.B. hier: https://lfb.kultus-bw.de/Startseite.
  • Durch den Einsatz digitaler Technologien in Schulen gibt es u.a. Berührungspunkte mit dem Jugendmedienschutz, dem Datenschutz, dem Urheberrecht und dem Strafrecht. Falls Sie hier Unterstützung brauchen, stehen wir Ihnen gerne mit unserer Hilfe zur Seite. Zu beachten ist:
    • Für alle digitale Verfahren, bei denen personenbezogene Daten erhoben werden, ist ein Verzeichnis der Verarbeitungstätigkeiten durch die Schulleitung zu führen.
  • Weitere und detailliertere Informationen entnehmen Sie bitte den „Digitalisierungshinweise 2019“ direkt: https://www.lmz-bw.de/fileadmin/user_upload/Downloads/Handouts/Multimediaempfehlungen/2019_08_15-Digitalisierungshinweise.pdf

Im Alltagsgeschehen und im Gesamtbild mit allen anderen Aufgaben, die Sie betreuen, kann dies recht herausfordernd sein. Bei Fragen und Wünschen bieten wir gerne unsere Unterstützung an!


Der Betriebsrat und der Datenschutz

Am 18. Juni 2021 ist das „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ in Kraft getreten, bei dem es sich um ein sog. Artikelgesetz, das verschiedene Gesetze ändert, handelt, nicht aber um ein eigenständiges Gesetz.  

Die von der Änderung betroffenen Gesetze sind insbesondere das Betriebsverfassungsgesetz (BetrVG), das wesentliche Aufgaben und Rechte von Betriebsräten enthält, sowie das Kündigungsschutzgesetz (KSchG). 

Was ist neu? 

  • Nach § 30 BetrVG sind Betriebsratssitzungen per Video- bzw. Telefonkonferenzen nun ausdrücklich erlaubt, was der aktuellen pandemischen Lage entgegenkommt. Wie die Sitzungen in der virtuellen Form auszusehen haben, wird in §§ 33 und 34 BetrVG geregelt. Es ist insbesondere relevant, personenbezogene (z.B. Beschäftigungs-) Daten zu schützen und sicherzustellen, dass Dritte keinen Zugang zu der virtuellen Sitzung erlangen können. Auch eine Aufzeichnung der Sitzung ist untersagt. 
     
  • Darüber hinaus gibt es durch § 87 Abs. 1 Nr. 4 BetrVG nun das ausdrückliche Mitbestimmungsrecht des Betriebsrats bei der Gestaltung der mobilen Arbeit, welches es bisher nur auf Umwegen über die Mitbestimmung bei technischen Einrichtungen oder Verhütung von Arbeitsunfällen gab. 
     
  • Außerdem gibt es eine Neuregelung der Verantwortlichkeit: mit § 79a BetrVG gilt nunmehr der Betriebsrat datenschutzrechtlich als Teil des Verantwortlichen. Damit werden diesbezügliche Unsicherheiten aus dem Weg geräumt, wenngleich der Arbeitgeber grundsätzlich der Verantwortliche im Sinne des Datenschutzes ist und bleibt. 

Wichtig dabei 

Die Neuregelung und Erweiterung der Rechte des Betriebsrats führen zu vielen Berührungspunkten mit dem Datenschutz, insbesondere bei Gestaltung der technisch-organisatorischen Maßnahmen. Da der Datenschutzbeauftragte (DSB) einer Organisation auch für den Betriebsrat zuständig ist, kann (und sollte) der Betriebsrat nach Art. 39 Abs. 1 a) DSGVO die Beratungs- und Unterstützungsangebote in Anspruch nehmen. Ferner muss er dem DSB Zugang zu allen personenbezogenen Daten gewähren, da auch der Betriebsrat als Teil der Organisation zu sehen ist. 

Und dennoch… 

… ist noch nicht alles geklärt. Im Raum steht nun, ob nicht § 79a BetrVG gegen die DSGVO verstoße.  Zwar dürften die Mitgliedstaaten eigenständig bestimmen, wer für den Datenschutz verantwortlich ist, dies gelte jedoch nur, wenn der Verantwortliche die Mittel und Zwecke der Verarbeitung festlege (Art. 4 Nr. 7 Halbsatz 2 DSGVO). Der Betriebsrat entscheide allerdings alleine und wäre demnach eigentlich ein eigener Verantwortlicher. Unter Umständen werde dies von den Gerichten entschieden werden müssen. 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022 

Die „Innentäter“ als Tabuthema – Teil 2

Vor einigen Wochen sind wir bereits auf die Innentäter eingegangen.  
Zur Erinnerung: Innentäter sind im Unternehmen beschäftigte Personen, die dem Unternehmen Schaden zufügen durch Nichtbeachtung der Regelungen und Vorgaben wie Geschäftsrichtlinien, Informationssicherheitsvorgaben, Datenschutzrichtlinien etc. 

Im Gegenzug zu den unbewusst handelnden Innentätern stoßen wir bei bewusst handelnden Innentätern auf Kriminalität und Illegalität. 

Wie erkennt man solche Personen, wie kann man präventiv handeln? 

Hierzu möchten wir die verschiedenen Typen betrachten: 
 

  • Bonus- und Vorteilsjäger 
    sind eigentlich „harte Arbeiter“. Sie tun zwar viel für die Organisation, möchten aber auch ihren Anteil dafür haben. Sollte eine finanzielle oder auch materielle Belohnung in Sichtweite sein, sehen sie auch mal über Regeln hinweg. Die Wahrscheinlichkeit, es mit einer solchen Person zu tun zu haben, liegt je nach Branche bei 5-7 %. Die Folgen können tatsächlich fatal sein und neben der Rufschädigung z.B. durch zu niedrige Preise mit geringeren Margen sogar der ganzen Branche schaden. 
    Da er einen besseren Abschluss erzielen und die Belohnung durch den Chef nicht entgehen lassen möchte, entscheidet sich Herr Müller bewusst gegen die Einhaltung der Regeln für Sicherheit und Datenschutz und missbraucht diverse Kundenadressen. 
    -> Präventiv sind in erster Linie Kontrollmaßnahmen wie das bekannte Vier-Augen-Prinzip. Wichtig sind darüber hinaus auch Schulungen, um die Mitarbeiter für Konsequenzen und Strafbarkeit zu sensibilisieren.  
     
  • Gefühlt vernachlässigte Personen 
    denken, dass ihr Einsatz für die Organisation nicht ausreichend oder gerecht gewürdigt werde, weshalb sie sich die „fehlende“ Belohnung gerne selbst suchen. Ungefähr 10 % der Beschäftigten sehen sich vernachlässigt, etwa 2-3 % können zu Innentätern werden. Das kann von „Krankmachen“ über Diebstahl bis hin zu Racheaktionen gehen. Einen großen Schaden ziehen die Aktionen aber selten mit sich. 
    -> Mit einem offenen Augen lässt sich bei solchen Beschäftigten frühzeitig eine Veränderung in Form ihres Verhaltens feststellen. 
     
  • Zurückgewiesene Innentäter 
    haben sich oftmals lange auf eine ihnen vorgesetzte Position vorbereitet. Beim Bewerbungsvorgang wird jedoch ein Bewerber von außerhalb bevorzugt. Der Schaden könnte dann groß werden, wenn zurückgewiesene Innentäter anfangen, den neuen Vorgesetzten zu sabotieren, schließlich kennen sie die Position und Aufgaben nur zu gut. Dies kann sogar so weit gehen, dass personenbezogene oder unternehmensinterne Daten an die Konkurrenz weitergegeben werden. 
    -> Wichtig an dieser Stelle ist also die Beziehung zu den Mitarbeitern sowie keine „leeren Dinge“ zu versprechen, die evtl. nicht 100 % sicher sind, um das Vertrauen nicht zu gefährden. 
     
  • Geldgierige Innentäter 
    können bis zu 5 % der Organisation ausmachen. Sie nutzen einfache Gelegenheiten, um sich zu bereichern. Bei der Router-Entsorgung denkt Herr Meyer an seinen eigenen Vorteil und nimmt diesen mit nach Hause, um ihn evtl. aufbereitet weiterverkaufen zu können. Dass dies einen datenschutzrechtlichen Verstoß mit sich zieht, bedenkt er dabei nicht. 
    -> Schulungen sowie klare Prozesse und Kontrolle zur Einhaltung der DSGVO sind hier unerlässlich. 
     
  • Zukunftsegoisten 
    planen, die Organisation zu verlassen und möchten dabei so viele Daten wie möglich zum eigenen Vorteil nutzen. Der Anteil liegt bei etwa 1-2 % der Beschäftigten. Die Folgen können verheerend sein, wenn Frau Seiler beispielsweise Kundenadressen mitnimmt und dann zur Konkurrenz wechselt. 
    -> Auch wenn Zukunftsegoisten gelegentlich über ihre Pläne reden, gilt es im Falle einer Kündigung Vorsicht walten zu lassen und Zugriffsrechte zu überprüfen. 
     
  • Süchtige und andere Abhängige  
    sind (teilweise auch durch Krankheiten) von Drogen, Tabletten oder anderen Suchtmitteln abhängig, wofür sie Geld benötigen. 5-10 % der Menschen stecken laut Bundesgesundheitsministerium in einer Abhängigkeit. Sie stellen aufgrund der Unberechenbarkeit oft ein hohes Risiko für die Organisation dar; sind sie als Abhängige entlarvt, lassen sie sich beispielsweise oft erpressen oder verstricken sich selbst in illegale Geschäfte, um die Abhängigkeit zu finanzieren. 
    -> Zwar müssen Betroffene aufgrund der Schweigepflicht zustimmen, aber durch einen Arbeitsmediziner können Gegenmaßnahmen getroffen werden. 
     
  • Vom Schicksal getroffene Innentäter 
    handeln oft überraschend und unerwartet. Das kann sich in plötzlicher Demotivation und Laissez-faire-Haltung bis hin zur mutwilligen Zerstörung von KFZ äußern. Aufgrund dessen, dass sie nicht einschätzbar sind, kann der Schaden leicht bis sehr hoch sein. 
    -> Wichtig ist hier vor allem das Betriebsklima, sodass solche Personen jemanden haben, mit dem sie reden können. 
     
  • Eingeschleuste Innentäter 
    sind die Gefährlichsten. Sie werden von außerhalb mit großer Mühe eingeschleust, um innerhalb der Organisation massiven Schaden anzurichten sowie Daten und Informationen zu entwenden. Der Schaden kann dementsprechend immens sein. 
    -> Das Erkennen dieser Innentäter ist tatsächlich schwierig und kann eigentlich lediglich über Screening, Scannen, Überwachung etc. stattfinden. 
     

Die Handlungen unbewusster Innentäter lassen sich meist durch gute Geschäftsprozesse und Kontrollen eingrenzen. Für beide Typen sind Schulungen und aufmerksame Führungskräfte jedoch wichtig. Ein gutes Betriebsklima und gute Gemeinschaft tragen außerdem bei beiden Typen (unbewusste und bewusste Innentäter) dazu bei, die Innentäterschaft vorzubeugen. 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022 

3G am Arbeitsplatz

Während man sich vor einiger Zeit noch einig war, dass es datenschutzrechtlich nicht zulässig sei, den Impfstatus der Beschäftigten abzufragen, ist es nun sogar gesetzlich vorgeschrieben. 

Die Änderungen des Infektionsschutzgesetz (IfSG) traten am 24. November 2021 in Kraft und gelten nun – vorerst – bis zum 19. März 2022 bundesweit. Und dennoch herrscht im Hinblick auf 3G am Arbeitsplatz noch immer Unsicherheit im Umgang mit den persönlichen Daten. 

Die erfolgte Gesetzestextänderung regelt, dass Beschäftigte ihre Arbeitsstätte nur unter der Voraussetzung betreten dürfen, dass sie einen 3G-Nachweis „mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“ (§ 28b IfSG). 

Durch Verwendung des Wortes „hinterlegen“ gestattet der Gesetzgeber dem Arbeitgeber hier die Möglichkeit der Speicherung des 3G-Status von ArbeitnehmerInnen. 

Dennoch gibt es einige Punkte zu beachten: 

Wer gilt denn als Beschäftigter? 

Das IfSG selbst gibt zu dieser Frage keine Antwort, weshalb hier das Arbeitsschutzgesetz (ArbSchG) mit § 2 Abs. 2 Anwendung findet, wonach neben den „klassischen“ ArbeitnehmerInnen auch Auszubildende und „arbeitnehmerähnliche Personen“ zu den Beschäftigten zählen. Somit müssen auch Freelancer einen 3G-Nachweis mit sich führen, sobald sie in den (Büro-) Räumlichkeiten eines Auftraggebers tätig werden. 

Wie verhält es sich mit externen Besuchern? 

An dieser Stelle ist § 28b IfSG tatsächlich eindeutig und spricht nur von Arbeitgebern und Beschäftigten. Externe Besucher fallen somit grundsätzlich zunächst raus. Handelt es sich beim externen Besucher allerdings um einen Bewerber, so greift § 26 Abs. 8 BDSG, wonach Bewerber bereits als Beschäftigte anzusehen sind. 

Dennoch sei hier angemerkt, dass es dem Arbeitgeber im Sinne des Hausrechts freisteht, allgemein bei allen Personen, die den Betrieb betreten, den 3G-Status zu prüfen. 

Die Praxis 

Zwar ist in § 28b Abs. 6 Satz 2 Nr. 2 IfSG vorgesehen, dass mithilfe einer Rechtsverordnung über einen befristeten Zeitraum vorgeschrieben werden dürfe, welche Maßnahmen Arbeitgeber beispielsweise im Zusammenhang mit den Verpflichtungen zu treffen haben, allerdings ist diese Rechtsverordnung bislang nicht umgesetzt. Daher muss jeder Arbeitgeber tatsächlich selbst entscheiden, wie er die Prüfverpflichtung in seinem Betrieb am besten umsetzen kann. 

Die Dokumentation kann auch bzw. sollte bestenfalls in einer Liste erfolgen, die Nachweise sollten optimalerweise nur gesichtet und nicht gespeichert und auch nicht in der Personalakte abgelegt werden. Auf dieser Liste kann dann der Mitarbeitername erfasst werden, die Information, welches „G“ erfüllt wurde, sowie bis wann dieser Nachweis gültig ist (PCR-Test 48 Stunden, Antigen-Test 24 Stunden, Impfung hat bisher kein Ende der Gültigkeit – das obliegt dem Arbeitgeber selbst – z.B. Ende der Gültigkeit nach einem Jahr oder eben nicht). 

Mit einer Einwilligung der Beschäftigten ist es außerdem möglich, den Nachweis auch zu hinterlegen bzw. zu speichern. Das heißt, der Beschäftigte kann freiwillig darüber entscheiden, dem Arbeitgeber seinen 3G-Nachweis zu überlassen. 

Eine Löschung der Übersicht sollte bestenfalls nach Ende der Gültigkeit oder spätestens nach sechs Monaten (außer die Information zum Geimpftenstatus, weil ja eben momentan noch unbegrenzt gültig) erfolgen. 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Januar 2022 

Eine Inventur von Daten und Informationen

Um einen besseren Schutz für sensible Daten zu gewährleisten und externen Angreifern den Zugriff darauf zu erschweren, sind verschiedene Schritte notwendig. Oft erscheinen uns diese Dinge wie ein großer Berg, den man nie erklimmen kann und der mit der Zeit auch immer weiter wächst… Aus diesem Grund haben wir versucht, für Sie einmal die wesentlichen Dinge greifbar und machbar zusammenzufassen. 

An erster Stelle sollte eine „Inventur“ der Daten und Informationen stehen, um herauszufinden, was überhaupt zu schützen gilt und welche der Informationen die wirklichen „Schätze“ der Organisation sind – also eben gerne dieses Mal nicht nur in personenbezogenen Daten denken. 
Je größer die Organisation, desto größer natürlich auch die Datenmenge und gleichzeitig auch die Herausforderung hier Struktur hineinzubringen. 

Bestenfalls sollte man die Daten daher in verschiedene Kategorien einordnen. So kann man zum einen die vorhandenen Informationen bestmöglich nutzen als auch schnellstmöglich finden. Zum anderen kann man so gewährleisten, besonders wichtige bzw. sensible Informationen der Organisation entsprechend zu schützen. 

Vorgeschlagen werden folgende vier Kategorien: 

  1. Öffentlich: diese Daten sind für jeden ersichtlich und frei verfügbar 
    (z.B. Informationen auf der Website der Organisation) 
  2. Intern: diese Daten und Informationen sind nicht für Außenstehende bestimmt, sondern einem bestimmten (größeren) Mitarbeiterkreis zugänglich 
    (z.B. interne E-Mail-Kommunikation, Dienstanweisungen…) 
  3. Vertraulich: diese Daten und Informationen könnten für Mitbewerber und Konkurrenten interessant sein, denn hier handelt es sich um Informationen, die für den Erfolg des Unternehmens (das gilt für staatliche Verwaltungen wahrscheinlich nicht im gleiche Maße) entscheidend und wichtig sind 
    (z.B. Vertragsentwürfe, Entwicklungsunterlagen…)   
  4. Streng vertraulich / geheim: diese Daten und Informationen, sind essentiell wichtig, um Erfolg und Fortbestehen der Organisation zu gewährleisten 
    (z.B. Forschungsprojekte, noch nicht veröffentlichte Entwicklungspläne, Strategien…) 

Das Ergebnis 

Erst wenn definiert ist, welche Daten besonders schützenswert sind, kann auch ein entsprechender Schutz gewährleistet werden.  

Tatsächlich ist es aber so, dass Sie Ihre Daten nun nicht nur besser schützen können sollen, denn das Gesetz geht an dieser Stelle sogar noch einen Schritt weiter: seit 2019 ist der Schutz von Geschäftsgeheimnissen auch gesetzlich geregelt – nämlich über das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Das Ziel ist es, Organisationen vor der Spionage durch Konkurrenten zu schützen. Sollte ein Cyber-Angriff erfolgt sein, müssen Organisationen im Rahmen des GeschGehG nachweisen können, dass wichtige / kritische Informationen durch entsprechende Maßnahmen geschützt worden sind. 

Und nun die Praxis 

Es sollte zunächst sichergestellt sein, dass eine Richtlinie zur Einordnung von und zum Umgang mit Daten und Informationen entwickelt ist. Wenn Sie mögen, helfen wir Ihnen gerne dabei. 

In einem zweiten Schritt sollten die einzelnen Fachabteilungen bzw. Bereiche der Organisation die Einordnung dann umsetzen und die entsprechenden Daten und Informationen in die einzelnen Kategorien einstufen.  

Wem es hilft, der kann auch die internen Speicherorte auf Server oder in der Cloud entsprechend der Kategorien vorsehen. Dadurch gewöhnen sich alle fast schon automatisch an den entsprechenden Umgang mit den Informationen. 

Und zum Schluss ist es natürlich wichtig, die Beschäftigten diesbezüglich zu informieren und zu schulen, damit der Datenschutz – und in diesem Fall auch der Geschäftsgeheimnisschutz – im Alltag auch beachtet wird. 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe Dezember 2021 

Die automatische Emailarchivierung

Wer kennt es nicht? Heutzutage schreiben wir deutlich häufiger Emails statt Briefe – es geht schneller, ist unkomplizierter und auch deutlich günstiger (man bedenke, dass die Deutsche Post das Porto immer nur nach oben korrigiert). 

Aber kein E-Mail-Versand ohne sich über die Archivierung Gedanken zu machen. In vielen Unternehmen wird hier auf eine revisionssichere Archivierung der Mails gesetzt, um handels- und steuerrechtlichen Anforderungen gerecht zu werden (§ 257 HGB, § 147 AO). Demnach müssen bestimmte Dokumente für zehn Jahre aufbewahrt werden. Eine revisionssichere Archivierung, die den rechtlichen Anforderungen entsprechen soll, muss zwingend sicherstellen, dass an den zu archivierenden Dokumenten keine Veränderungen mehr vorgenommen und diese nachträglich eben nicht bearbeitet werden können. 

Bewerbungen 

Auch Bewerbungsunterlagen werden heutzutage oft per Mail verschickt und unabhängig davon, ob es zu einer Einstellung oder einer Absage kommt: der Umgang mit diesen Unterlagen ist ebenfalls von den Vorgaben des Datenschutzgesetzes betroffen. 
Zum Zwecke des Beschäftigungsverhältnisses dürfen Verantwortliche personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verwenden, wenn „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses“ notwendig ist (§ 26 (1) Satz 1 BDSG). Auch Bewerber zählen in diesem Fall zu den Beschäftigten (§ 26 (8) Satz 1 BDSG). 

Das bedeutet im Umkehrschluss, dass die Unterlagen nur so lange aufbewahrt werden dürfen, bis eine Entscheidung über das Beschäftigungsverhältnis getroffen ist. Anschließend haben die Unternehmen die Daten zu löschen (Art. 17 (1a) DSGVO). 

Im Falle einer Absage ist recht bekannt, dass Unterlagen nur bedingt aufbewahrt werden dürfen: 
– falls die Person ihre ausdrückliche Einwilligung gegeben hat, bis zum Zeitpunkt ihres Widerrufs oder 
– mind. zwei Monate nach Erstellung des Absagebescheids, da es nach dem Allgemeinen Gleichbehandlungsgesetz zu Klagen kommen kann. 

Was nicht sehr bekannt ist: auch bei Einstellungen kann eine (Teil-)Löschpflicht greifen, da nach dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg keine „pauschalen Übernahmen“ erfolgen dürfen. Es dürfe nur das übernommen werden, was zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. 

Das Problem hierbei 

Oft werden im Postfach die Emails nicht sortiert und nach Betreff, Themenbereich und schon gar nicht nach Archivierungsfrist sortiert. So geschieht es schnell, dass per Mail eingegangene Bewerbungsunterlagen mit den anderen (wichtigen) Dokumenten revisionssicher archiviert werden. 

Dass dies jedoch nicht den vorher beschriebenen Anforderungen entspricht, ist leider offensichtlich. 

Was ist also zu tun? 

Wir empfehlen Ihnen unbedingt, Bewerbungsunterlagen nicht mit der revisionssicheren Archivierung zu sichern. Stellen Sie stattdessen sicher, dass sie löschbar bleiben und vor allem auch fristgerecht gelöscht werden. Es empfiehlt sich beispielsweise, ein zusätzliches „Bewerber-Postfach“ zu erstellen, in das Sie neu eingegangene Bewerbungen exportieren können. Achten Sie hierbei auch unbedingt darauf, dass keine Weiterleitung der Bewerbungsunterlagen an Postfächer, die von der Archivierung doch betroffen sind, stattfindet. Denn sonst wäre auch das extra Postfach umsonst  😊 

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe November 2021 

Die „Innentäter“ als Tabuthema

Wir sind alle Menschen und Menschen machen Fehler.
Es wird sich daher auch niemals ganz vermeiden lassen, dass bei der Arbeit Fehler passieren, die von Externen genutzt werden und zum Datenabfluss führen können.
Umso wichtiger ist es jedoch, auch die – wir bezeichnen sie mal so – „Innentäter“ zu thematisieren, da hingegen aller Vermutungen etwa zwei Drittel der Angriffe von innen erfolgen – selbst wenn ungewollt.

Was sind überhaupt Innentäter?
Innentäter sind im Unternehmen beschäftigte Personen, die dem Unternehmen Schaden zufügen durch Nichtbeachtung der Regelungen und Vorgaben wie Geschäftsrichtlinien, Informationssicherheitsvorgaben, Datenschutzrichtlinien etc.
Hier sind sowohl Datenschutzverstöße inkludiert als auch materielle Schäden (wie der Verlust von wertvollen Informationen, Zerstörung eines Computers etc.) oder immaterielle Schäden (wie Rufschädigung des Unternehmens).

Innentäter können bewusst und unbewusst handeln.
Bewusst zu handeln in diesem Sinne bedeutet, absichtlich, evtl. sogar böswillig Informationen weiterzugeben.
Bei den unbewussten Innentäter kann man sogar noch weiter differenzieren:

  • Gutgläubige Innentäter
    glauben das Richtige zu tun und tun dabei doch das Falsche.
    Wenn sich beispielsweise ein Anrufer als Geschäftspartner ausgibt, um mit diesem Trick interne Informationen herauszufinden, gibt Anja gerne Informationen heraus, weil sie alles richtig machen und den Geschäftspartner zufriedenstellen möchte.
    -> Eine Präventionsmaßnahme wären Schulungen, in denen auf die Gefährdung aufmerksam gemacht und der entsprechende Umgang damit geübt wird.
  • Unverbesserliche und schwatzhafte Innentäter
    scheinen solche Gelegenheiten fast anzuziehen, da sie eben sehr schwatzhaft sind und sich selbst gerne in den Vordergrund stellen.
    Eigentlich war in einer Richtlinie festgehalten, dass keine nicht zugelassenen USB-Sticks verwendet werden dürfen. Dennoch hatte Karl einen verwendet, auf dem sich eine Verschlüsselungssoftware befand, die nun ebenfalls den Rechner verschlüsselte und nun ist dieser nicht mehr verwendbar (ganz zu schweigen davon, was mit dem gesamten Netzwerk noch hätte passieren können).
    -> In diesem Fall wird es wichtig sein, dass schützenswerte Infos auch für interne Unbefugte nicht zugänglich sind. Außerdem sollte in Schulungen immer wieder auf diese Problematik hingewiesen werden.
     
  • Schusselige und überengagierte Innentäter
    halten sich oftmals nicht an Regeln, einfach weil sie im Moment nicht daran denken.
    Katja hat beispielsweise Probleme damit, sich Passwörter zu merken. Daher wählt sie ein recht einfaches aus und klebt dieses zudem noch an den PC-Bildschirm. Dass es hier zu großen Problemen kommen kann, ist wohl selbsterklärend. Was wenn die Reinigungskraft das Passwort findet?
    -> Im Grunde kennen sowohl die Schussel als auch die Überengagierten die Gefährdungen. Daher sind hier wohl deutlich erinnernde Gespräche von Nöten.
     
  • Die Allesklicker
    denken oft erst zu spät nach und klicken angezeigte Links zu schnell an.
    Sören bekommt eine Mail und ohne diese überhaupt gelesen zu haben, öffnet er zunächst den Anhang. Der Anhang jedoch enthält eine Verschlüsselungsdatei – natürlich hat er auch direkt den „Bearbeitungsmodus“ in diesem Word-Dokument aktiviert; die Folgen sind verheerend.
    -> Hier kann ein entsprechendes Training weiterbringend sein, um ein Gefühl dafür zu entwickeln, was geöffnet und was nicht geöffnet werden darf.

Sie sehen also – Kommunikation und Wiederholung bzw. Training sind hier absolut notwendig, um präventiv Innentätern entsprechende Gefahrenquellen vorwegzunehmen.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe November 2021