Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Sie sind so aufgebaut, wie viele Benachrichtigungen von Paketzustellern. „Ihr Paket kommt an, verfolgen Sie es hier: https://kav...".

Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Diese Schadsoftware leitet dann Daten vom Smartphone weiter und leitet vom Smartphone auch eigenständig SMS mit Schadsoftware weiter. Die SMS können zusätzliche Kosten verursachen. Dabei kann ein Schaden in dreistelliger Höhe entstehen.

Solche Phishing-Angriffe sind nicht neu. Das Wort Phishing setzt sich zusammen aus dem Englischen „password“ und „fishing“. Durch das Phishing sollen Personen dazu verleitet werden, unter Vortäuschung falscher Tatsachen (sensible) Daten preiszugeben.

Wie erkenne ich Phishing?

Werden Sie misstrauisch, wenn eine der folgenden Merkmale zutrifft:

• Unpersönliche oder keine Anrede (z.B. „Sehr geehrter Kunde, …“)
• Vorgetäuschter dringender Handlungsbedarf
• Androhung von Folgen (z.B. „Wenn Sie ihre Daten nicht unverzüglich verifizieren, sperren wir Ihr Konto“)
• Abfrage vertraulicher Daten
• Nachrichtentext in schlechtem Deutsch
• Text enthält kyrillische Buchstaben, falsch aufgelöste oder fehlende Umlaute (z.B. „a“ oder „ea“ statt „ä“)

Wie kann ich mich gegen Phishing schützen?

• Niemals auf Links in einer dubiosen SMS oder E-Mail klicken (im Zweifel: Loggen Sie sich über Ihren gewohnten Weg auf Ihren Kundenkonto ein und nicht über einen Link aus der E-Mail/SMS oder fragen Sie telefonisch beim vermeintlichen Absender nach)
• Niemals persönliche Daten wie Passwörter oder Transaktionsnummern per E-Mail/SMS preisgeben
• Niemals einen Download-Link direkt aus der E-Mail/SMS heraus starten
• Niemals Anhänge einer E-Mail/SMS, die Ihnen verdächtig vorkommt, öffnen
• Immer ausloggen und nicht nur das Browserfenster schließen
• Immer auf die Aktualität der Antivirus-Software und Firewall achten

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Es gibt zwei verschiedene bekannte Szenarien über die Personen versuchen eine außergerichtliche Zahlung eines immateriellen Schadensersatzes (umgangssprachlich auch „Schmerzensgeld“ genannt) an Betroffene sowie die Erstattung von Rechtsanwaltskosten zu erwirken.

Auf der Webseite eines Unternehmens bittet eine Person über das Kontaktformular das Unternehmen um einen Rückruf. Wenn das Unternehmen die angegebene Nummer zurückrufen will, wird der Anruf nicht angenommen. Nach ein paar Wochen meldet sich die Person wieder und verlangt Auskunft über die von ihm gespeicherten Daten und verlangt Löschung der gespeicherten Daten.

Bei einem anderen Szenario wird erst der Newsletter des Unternehmens abonniert um dann direkt im Anschluss ein Auskunfts- und Löschanspruch geltend zu machen.

Zeitlich nachgelagert meldet sich dann ein Rechtsanwalt um im Auftrag dieser Person einen immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte und die dafür entstandenen Rechtsanwaltskosten geltend zu machen. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an.

Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch immaterielle Schäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Die Gerichte können dabei bereits die unzulässige Datenverarbeitung an sich als erstattungsfähigen Schaden bewerten.

Es empfiehlt sich auf ein Anwaltsschreibens zu reagieren und das Bestehen des Anspruchs sachlich begründet bestreiten. Zudem sind Prozesse zur Erfüllung von Betroffenenrechten zu erstellen, diese einzuhalten und die Rechenschaftspflichten nach der DSGVO lückenlos zu erfüllen um Beschwerden bei der Aufsichtsbehörde und Zivilprozesse abzuwenden.

Einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde ist eine nicht, nicht zufriedenstellende oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen. Die Landesbeauftragte für Datenschutz Niedersachsen berichtet, dass sich die Zahl der Beschwerden seit Geltung der DSGVO stark gesteigert haben, was bereits 2018 zur Folge gehabt hätte, dass "sich die Meldungen gemäß Art. 33 DSGVO auf 370 steigerten (gegenüber 20 im Jahr 2017).“ Dieser Trend hat sich 2019 fortgesetzt und noch weiter verstärkt. Im vergangenen Jahr meldeten Verantwortliche 824 Datenschutzverletzungen.“ Dies geht aus dem Tätigkeitsbericht von 2019 der Landesbeauftragten für den Datenschutz Niedersachsen hervor.

Sollten Sie Unterstützung bei der Erstellung und Implementierung von Prozessen zur Erfüllung der Betroffenenrechte benötigen, melden Sie sich gerne bei unserem ds²-Team.

Einen immateriellen Schadenersatz sprechen die Gerichte meistens nur zu, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet. Selbst dann ist die Schadenersatzhöhe gering. Eine solche Erheblichkeitsschwelle ist im Wortlaut des Art. 82 DSGVO nicht zu finden. Ob sie dennoch besteht, darüber wird gestritten. Die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt würde für gewöhnlich dem EuGH vorgelegt. Ein Amtsgericht in Goslar hat derweil selbst darüber entschieden und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze. Der Gerichtsentscheidung unterlegene Kläger hat wegen dieser Auslegung des AG Goslar Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht und hatte damit Erfolg. Das Urteil wurde aufgehoben und vom Bundesverfassungsgericht nun erklärt, dass eine Vorlage beim EuGH zur Klärung der Frage, ob ein Schaden erheblich sein muss, zu erfolgen hat. Die Entscheidung des EuGH steht noch aus.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.

Denn mit einer neuen Funktion des Office-Pakets Microsoft 365 kann die Leistung und das Verhalten von Mitarbeitern minuziös kontrolliert werden. Die Software kann aufzeichnen, wann und wie oft Mitarbeiter die Software nutzen. So kann beispielsweise auch ausgewertet werden, wann ein einzelner Mitarbeiter wie viele E-Mails mit Outlook verschickt hat und wie lange und wie oft Mitarbeiter über Teams miteinander kommuniziert haben. Bei der Auswertung wird der konkrete Mitarbeiter namentlich genannt. Es erfolgt also durch Microsoft eine Datenverarbeitung, wodurch auch neue (Meta-)Daten wie Nutzungsverhalten und Muster von Arbeitsabläufen, aber auch Prognosen hinsichtlich der Produktivität der einzelnen Beschäftigten erstellt werden. Auch Aussagen über die Arbeitshäufigkeit und -weise des Einzelnen an einem gemeinsamen Dokument können getroffen werden.

Zwar ist eine Anonymisierung möglich, diese muss allerdings aktiv eingestellt werden. Und selbst dann ist es fraglich, ob die Auswertung tatsächlich immer anonym erfolgen kann. Denn gerade in einer kleineren Gruppe können durch bestimmte Merkmale ggf. einzelne Personen identifiziert werden.

Allein die Möglichkeit diese Auswertungen nutzen zu können, unterstellt eine anlasslose Überwachung von Beschäftigten und stellt damit einen Eingriff in das Persönlichkeitsrecht der Beschäftigten dar, was nicht nur datenschutzrechtlich unzulässig, sondern auch arbeitsrechtlich problematisch ist. Microsoft wehrt sich und stellt klar, dass der Produktivitätswert, den die Software aufzeichnet, kein Überwachungswert sei, sie sich an das europäische Datenschutzrecht halten und die Daten nach 28 Tagen gelöscht werden.

Bei der Nutzung von Microsoft 365 werden diese und viele weitere Daten jedoch nicht nur massenhaft gesammelt, sondern auch in die USA, ein datenschutzrechtlich unsicheres Drittland, übertragen. Es empfiehlt sich daher, dass Unternehmen, die Microsoft 365 nutzen, selbst den Zugriff auf die Produktivitätsdaten sperren.

Die Nutzung von Tools wie der Office-Statistik sollten zudem zwingend (sofern vorhanden) mit dem Betriebsrat abgesprochen werden. Es empfiehlt sich, entsprechende Betriebsvereinbarungen zu schließen. Arbeitgeber die diese Gesichtspunkte bei der Nutzung von Microsoft 365 missachten, handeln rechtswidrig. Wer die Möglichkeit hat, auf Alternativen zurückzugreifen, ist gut beraten, dies zu tun.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Erschienen am 1. Oktober 2020

Gerne stellen wir Ihnen eine kleine Übersicht über unternehmensrelevante Dokumente rund um das Thema "Datenschutz" zur Verfügung. Gerne helfen wir Ihnen auch mit weiteren Unterlagen aus. Rufen Sie uns einfach an.

Informationen zum Datenschutz im Homeoffice

Plötzlich im Homeoffice

Muster Homeoffice-Richtlinie

Checkliste Homeoffice

Hinweiskarten zur Mitarbeitersensibilisierung am Arbeitsplatz

Hinweisschild zur Datenschutzverletzung

Hinweisschild zum Umgang mit Passwörtern

Hinweisschild zum sicheren Arbeitsplatz

Hinweisschild zu Schadsoftware

Hinweise zu Clean Desk

Datenschutz kompakt

Rundum-Überwachung im Straßenverkehr

Immer mehr Speditionen, Taxiunternehmen oder Unternehmen mit eigenem Kundendienst koordinieren ihren Fuhrpark mit Hilfe von „Global Positioning Systemen“ – kurz GPS. Diese Systeme werden in die Betriebs-Fahrzeuge eingebaut und ermöglichen eine zum Teil lückenlose Verfolgung. Die Hersteller dieser GPS-Ortungssysteme versprechen ihrerseits „Kostensenkung, Produktivitäts- und Effizienzsteigerung sowie umfassende Kontrollmöglichkeiten“.

Die Einsatz- und Auswertungsmöglichkeiten dieser Systeme scheinen für den Arbeitgeber unbegrenzt. So kann zum Beispiel über die automatische Rückmeldung an den Disponenten der aktuelle Standort des Fahrzeugs übermittelt werden.

Unterschiedliche Aktivitäten können bzw. müssen zum Teil vom Fahrer in einem Freitextfeld beschrieben werden (wie z.B. Anfang und Ende des Tankvorgangs sowie getankte Menge, Wartezeiten und Bereitschaftsdienst, Pausen). Uhrzeit und Ort dieser Eingaben werden hierbei zu jedem Zeitpunkt erfasst und im System für spätere Auswertungsmöglichkeiten gespeichert.

Des Weiteren können Fahreigenschaften durch die GPS-Tools ermittelt werden und geben über das Fahrverhalten der Mitarbeiter einige Auskünfte:

In welchem Drehzahlbereich wird gefahren?In welcher Weise wird der Tempomat verwendet?Daraus wird im besten Fall ein Schulungsbedarf ermittelt, um z.B. wirtschaftliches Fahren zu trainieren. Es gibt aber auch Systeme, die aus diesen Informationen automatisch „Fahrernoten“ generieren.

Unter datenschutzrechtlichen Gesichtspunkten werden diese Überwachungsmöglichkeiten sehr kritisch gesehen. So hat sich bspw. der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (RLP) wie folgt geäußert: „Die Beschäftigtenkontrolle durch Ortungssysteme ist datenschutzrechtlich nur in sehr engen Grenzen zulässig: Der Einsatz eines GPS-Ortungssystems durch Unternehmen kann nicht auf die Einwilligung der Beschäftigten gestützt werden, da bei einer flächendeckenden Überwachung nicht von der erforderlichen Freiwilligkeit einer Einwilligung der Beschäftigten ausgegangen werden kann. Ortungssysteme, mit denen Beschäftigte dauerhaft kontrolliert werden können, sind grundsätzlich unzulässig. Beschäftigte dürfen nicht einem permanenten Kontrolldruck ausgesetzt werden, sie sind nicht „Betriebskapital“, sondern Bürger mit Rechten."

Weitere Aufsichtsbehörden innerhalb der Bundesrepublik sehen dies ganz ähnlich.

Für Speditionen, Servicedienstleister oder auch Taxiunternehmen stellt sich nun die Frage: Was ist erlaubt? Wie weit darf die Fahrerüberwachung gehen und welche Voraussetzungen müssen erfüllt sein, damit der Einsatz solcher Systeme zulässig ist?

Benötigen Sie Unterstützung bei diesem Thema, rufen Sie uns gerne an unter +49 5421/308950. Wir freuen uns auf Ihren Anruf!

Erschienen am 2. Oktober 2020

Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der Hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz (179.000 Mitarbeiter, 22 Mrd. Euro Umsatz, 4.300 Geschäfte in 64 Ländern) verhängt: 35.258.707,95 Euro. Grund ist die langjährige Überwachung von Mitarbeitern des für Onlinebestellungen zuständigen H&M-Servicecenters in Nürnberg.

„Ohne vergleichbares Beispiel“

Caspar erklärte, man habe einen „derartig gravierenden“ Verstoß lange nicht mehr gesehen; der Umfang der Ausforschungen sei „in den letzten Jahren ohne vergleichbares Beispiel“. Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und ihre Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden.

"Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an", heißt es in der Pressemitteilung der Hamburgischen Datenschutzbehörde. Das Wissen reiche "von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen".

Umfangreiche Profile angelegt

Die Dateien seien "mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar" gewesen und genutzt worden, um Profile "für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten." Bekannt wurde das, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte. H&M wurde bereits vom Verein Digitalcourage der Negativpreis „Big Brother Award“ verliehen.

Entschuldigung und Schadenersatz

Caspar berichtete, H&M habe mittlerweile ein "umfassendes Konzept vorgelegt, wie von nun am Standort Nürnberg Datenschutz umgesetzt werden soll". Außerdem habe sich die Unternehmensleitung "ausdrücklich bei den Betroffenen entschuldigt" und sich bereit erklärt, den "Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen". Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen. Caspar lobte „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß." H&M hat jetzt zwei Wochen Zeit, Einspruch gegen den Bußgeldbescheid einzulegen.

Imageschaden oft noch größer

Die bisher höchsten Bußgelder bei Verstößen gegen die DSGVO wurden in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen SE und in Höhe von 9,5 Mio. Euro gegen 1&1 verhängt. Europaweit wurde gegen Google das höchste Bußgeld verhängt: 50 Mio. Euro. Die Höhe des Bußgelds ist aber nur eine Seite. Die entstehenden Imageschäden und deren Folgen wie bspw. der Vertrauensverlust und der sinkende Markenwert können sich noch höher addieren. Die Datenschutz-Compliance durch ein geprüftes leistungsfähiges Datenschutz-Managementsystem ist dagegen selbst für internationale Konzerne regelrecht günstig.

Update vom 16.10.2020: Der NDR berichtete, dass H&M keinen Einspruch gegen den Bußgeldbescheid eingelegt hat. Somit ist dieser nun rechtskräftig.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

ds² profitiert von langjährigen Erfahrungswerten, umfangreichem Wissen in Theorie und Praxis sowie einer guten Zusammenarbeit mit den relevanten Institutionen der Branche. Damit die Kunden von ds² die bestmögliche Beratung bekommen, legen wir großen Wert auf entsprechende Aktualität, Professionalität und Flexibilität. Alle ds²-Berater haben die besten Ausbildungen im Bereich des Datenschutzes absolviert und werden durch regelmäßige Schulungen mit den neusten Entwicklungen und Richtlinien vertraut gemacht. Jeder Berater hat entsprechende Prüfungen abgelegt und kann auf eine umfangreiche Berufserfahrung in Unternehmen und als Datenschutzberater zurückgreifen.

Die ds²-Kunden können sich jedoch nicht allein auf ein umfangreiches Fachwissen verlassen, sondern auch auf einen professionellen, kundenfreundlichen Service. Den Kunden steht jederzeit ein Ansprechpartner, auch vor Ort, zur Verfügung, der mit dem Unternehmen vertraut ist. Neben dem eigentlichen Datenschutzberater wird ein Stellvertreter bereitgestellt, welcher von der Bestandsaufnahme an auch immer ansprechbar ist.

Des Weiteren profitieren die Kunden vom Know-how aller Berater, da zwischen diesen ein ständiger Wissenstransfer auf allen Fachgebieten erfolgt. Bei akuten Problemen bietet ds² die Möglichkeit von Online-Konferenzen, um eine möglichst schnelle Lösung umzusetzen oder auch um den gesamten Prozess wirtschaftlicher zu gestalten.

Zu Ihrer Sicherheit sind sämtliche Tätigkeiten der ds²-Berater durch unsere Beratungshaftpflichtversicherung geschützt.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.