Einsatz von Microsoft 365-Apps im HR-Umfeld
Diese Punkte müssen beim Einsatz von Microsoft 365-Apps im HR-Umfeld in jedem Fall beachtet werden.
Diese Punkte müssen beim Einsatz von Microsoft 365-Apps im HR-Umfeld in jedem Fall beachtet werden.
Wenn es sich um ein Arbeitsverhältnis handelt, in dem aus dem Vertrag klar hervorgeht, dass die Vermittlung der Arbeitskraft Bestandteil ist der Arbeit, dann ist es sowieso schon Teil des Arbeitsvertrags und man braucht keine zusätzliche Einwilligung.
Für den Fall, dass es ein ganz normales Arbeitsverhältnis ist und es im Arbeitsvertrag nicht geregelt ist, dass die Mitarbeiter auch vermittelt werden sollen (Zweck der Datenverarbeitung!), dann muss die Einwilligung eingeholt werden, dass die Vermittlung stattfindet und die Klarnamen des Mitarbeiters auf den jeweiligen Vermittlungsplattformen veröffentlicht werden.
Egal welche Variante: Die Informationspflichten nach Art. 13 DSGVO müssen immer erfüllt werden, d.h. die Mitarbeiter-Datenschutzerklärung nach Art. 13 DSGVO muss die entsprechenden Informationen hinsichtlich der Weitergabe der Daten an die Plattformen enthalten.
Stand: 29.11.2023
Zum Sachverhalt:
Der */die Beschuldigte hat einen Einkauf mit Karte getätigt, aber gemäß Videoüberwachung nicht alles aufs Band gelegt und wird nun wegen Diebstahls bezichtigt. Man erkennt aufgrund der Buchungsbelege, um welche Bank es sich handelt. Der Kaufmann stellt Strafanzeige wegen Diebstahls. Nun ermittelt die Kripo.
• Auf welcher Rechtsgrundlage darf die Bank die Daten an die ermittelnde Polizei übermitteln?
• Muss bzw. darf die Bank die Betroffene vor Übermittlung informieren?
Ist hier die DSGVO überhaupt anwendbar?
Gem. Art. 2 Abs. 2 Buchst. d DGSVO findet die DSGVO keine Anwendung auf Verarbeitungen von personenbezogenen Daten, die durch „die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ verarbeitet werden.
Stattdessen gelten u.a. die §§ 45 ff. des BDSG.
Aber: diese regeln den Umgang mit den Daten durch die Behörde selbst (in ihrer Funktion als eigener Verantwortlicher).
Die §§ 45 ff. des BDSG regeln nicht, ob und wie ein Unternehmen in diesem Zusammenhang Daten verarbeiten darf. Hier bleibt das Unternehmen selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Daher ist der Anwendungsbereich der DSGVO eröffnet.
Es braucht also eine Rechtspflicht aus gesetzlichen Vorgaben; Der DSGVO-Kommentar Gola/Heckmann, 3. Auflage 2022, Rz. 46 sagt dazu: „Auskunftsersuchen von Ermittlungsbehörden muss nur Folge geleistet werden, wenn ein Fall des § 163 Abs. 3 StPO vorliegt“.
Wie ist ein Ermittlungsverfahren aufgebaut? --> Mehr Infos hier
Ist für die Aufklärung einer Straftat die Übermittlung von Daten relevant, kommt als Rechtsgrundlage der Tatbestand des § 24 Abs. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) in Betracht.
Die DSGVO stellt immer die Rechte der Betroffenen in den Vordergrund.
Aber: Datenschutz ist kein Täterschutz! (siehe z.B. Urteil des LAG Niedersachsen vom 6. Juli 2022 (Az. 8 Sa 1148/20)
Im Zuge einer Strafermittlung müssen die betroffenen Personen nicht über die Datenübermittlung an die Polizei informiert werden.
Stand: 29.11.2023
Dem Grundsatz nach hat jede betroffene Person eine Recht auf Auskunft nach Art. 15 DSGVO.
Unter bestimmten Voraussetzungen können jedoch andere Vorschriften überwiegen, sodass das Recht auf Auskunft unter bestimmten Voraussetzungen auch verweigert werden kann.
Der Bayerische Landesbeauftragte für den Datenschutz vertritt in der Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“ folgende Position:
„(2) Vertraulichkeitsgrund: Gefährdung der öffentlichen Sicherheit
Ein weiterer Vertraulichkeitsgrund besteht, soweit die Erteilung der Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (§ 83 Abs. 1 Nr. 1, § 82a Abs. 1 Nr. 1 Buchst. b SGB X, Parallelregelung: § 34 Abs. 1 Nr. 1, § 33 Abs. 1 Nr. 1 Buchst. b BDSG)."
Hier muss die Prognose für den Fall der Beauskunftung eine hinreichende Wahrscheinlichkeit ergeben, dass es zu einem Schaden hinsichtlich eines Schutzguts der öffentlichen Sicherheit oder Ordnung kommen oder ein Nachteil für das Wohl des Bundes oder eines Landes eintreten wird. Der Begriff der öffentlichen Sicherheit oder Ordnung ist unionsrechtlich zu verstehen.
Der Ausschluss eines Zugangsanspruchs zielt darauf, Informationsflüsse zu verhindern, welche die innere oder äußere Sicherheit des Bundes oder eines Landes gefährden können. Auch bei diesem Vertraulichkeitsgrund dürfte es insbesondere auf das Verhalten ankommen, das die betroffene Person oder ein von ihr informierter Dritter voraussichtlich an den Tag legen wird. Im Unterschied zu § 82a Abs. 1 Nr. 1 Buchst. a SGB X muss sich dieses Verhalten aber nicht gegen den Verantwortlichen richten.“ (vgl. S. 28)
Fazit
Liegt demnach ein Verdacht nahe, dass die betroffene Person, die Auskunft verlangt z.B. aktuell in Strafverfahren verwickelt ist oder z.B. der Reichsbürgerszene angehört (die in Deutschland als verfassungswidrig gilt), kann der betroffenen Person das Recht auf Auskunft verwehrt werden, wenn zu befürchten ist, dass dadurch die öffentliche Sicherheit gefährdet werden könnte.
Eine Abwägung ist in jedem Falle durchzuführen.
Stand: 29.11.2023
Das Recht auf Auskunft steht jedem Betroffenen zu. Inwiefern bei nicht vollständiger oder falscher Auskunft ein Schadensersatzanspruch abgeleitet werden kann, ist allerdings fraglich, die Gerichte entscheiden hier sehr unterschiedlich.
Die von Gerichten angesetzten Streitwerte bei Auskunftsklagen nach Art. 15 DSGVO variieren stark.
Der höchste Betrag liegt bei 358.466 Euro (LG München I, Endurteil v. 06.04.2020 – 3 O 909/19 - Anspruch auf Kopien personenbezogener Daten im Zusammenhang mit einer Anlagevermittlung), der geringste Betrag bei 100,- Euro.
--> Die meisten werden jedoch v.a. im Jahr 2023 mit einem relativ geringen Streitwert von 500,- Euro angesetzt.
Stand: 29.11.2023
Google plant Online-Marketer durch die Anonymisierung von IP-Adressen daran zu hindern, Chrome-Nutzer über verschiedene Websites hinweg verfolgen zu können.
Das Movement for an Open Web (MOW) ist eine Organisation, die sich gegen Googles Privacy-Sandbox-Initiative eingesetzt hat. MOW behauptet, die IP-Verschleierung sei schädlich für konkurrierende Internet-Werbeunternehmen. MOW hat demnach bei der britischen Wettbewerbs- und Marktaufsichtsbehörde (CMA) eine Beschwerde über Googles IP-Schutz-Vorschlag eingereicht.
IP Protection, oder auch als "ip-blindness" oder "Gnatcatcher" bezeichnet, ist ein Proxy-System, das Apples Privacy Relay ähnelt. Es soll die Verbindungen des Chrome-Browsers über zwei Proxys laufen lassen, einen von Google und einen von einem Drittanbieter, so dass die wahre öffentliche IP-Adresse des Nutzers verschleiert wird.
Der IP-Schutz wird voraussichtlich in einer zukünftigen Version von Chrome erscheinen, möglicherweise schon im Januar 2024 mit dem Debüt von Chrome 122.
Funktionsweise:
Der von Google betriebene Proxy kann die IP-Adresse des Nutzers beobachten, nicht aber die besuchten Websites. Der Proxy eines Drittanbieters kann die besuchten Webserver sehen, nicht aber die IP-Adresse des Besuchers.
Durch die Trennung der IP-Adresse des Nutzers vom Zielort des Nutzers durch den Google-Dienst können Websites und Vermittler (ohne zusätzliche Informationen) die IP-Adressen von Personen nicht mit ihren Surfgewohnheiten verknüpfen, um Marketingprofile zu erstellen.
Anfänglich wird der IP-Schutz auf freiwilliger Basis erfolgen, aber Google beabsichtigt, ihn zur Standardeinstellung für den Chrome-Browser zu machen.
Stand: 15.11.2023
Ende Oktober wurde der BSI-Bericht für das Jahr 2023 veröffentlicht. Die Cybersicherheitsbehörde kommt ganz klar zu dem Schluss: Die Bedrohung durch Cybercrime ist extrem gestiegen und so hoch wie noch nie.
„Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt. Im Bericht verzeichnen wir einen Anstieg der Bedrohung im Bereich Schwachstellen. So werden täglich knapp 70 neue Schwachstellen in Softwareprodukten entdeckt – rund 25 Prozent mehr als im vorherigen Berichtszeitraum. Auch die rasante Weiterentwicklung neuer und angepasster Angriffsmethoden und der zunehmende Dienstleistungscharakter (Cybercrime-as-a-Service) sind besorgniserregend. Dabei bleibt Ransomware die Hauptbedrohung“ (vgl. BSI-Bericht, S. 5)
Meist werden Cyberangriffe mithilfe von Schadprogrammen ausgeführt, u.a. durch E-Mail-Anhang, maliziöse Webserver, Exploit usw.). Täglich kommen mehrere neue Schadprogramm dazu.
Stand: 15.11.2023
Aus dem Sachverhalt:
Einer österreichische Mittelstreckenlauf-Profisportlerin wurden wegen eines begangenen Dopingverstoßes für schuldig befunden. Daraufhin wurden ihr Preisgelder aberkannt und ihre Ergebnisse für ungültig erklärt, die in den Zeitraum der positiv getesteten Ergebnisse fielen. Zudem wurde eine Wettbewerbs- und Teilnahmesperre von 4 Jahren verhängt.
Die Ergebnisse des Doping-Verstoßes, welche Mittel die Sportlerin eingenommen bzw. besessen hatte, wurden von der NADA (= Unabhängige Dopingkontrolleinrichtung) in Zusammenhang mit dem Klarnamen der Sportlerin auf der Website der NADA veröffentlicht. Die Sportlerin stelle daraufhin den Antrag, dass ihre personenbezogenen Daten von der Website entfernt werden sollen. Daraufhin hatte die Unabhängigen Schiedskommission (USK) dem Gerichtshof Vorabentscheidungsfragen vorgelegt:
Fragen zur Vorabentscheidung - Rechtssache C‑115/22
"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?
2. Steht die DS-GVO – insbesondere im Hinblick auf Art. 6 Abs. 3 zweiter Unterabsatz DS-GVO – einer nationalen Regelung entgegen, welche die Veröffentlichung des Namens der von der Entscheidung der USK betroffenen Personen, der Dauer der Sperre und Gründe hierfür vorsieht, ohne dass auf Gesundheitsdaten der betroffenen Person rückgeschlossen werden kann? Spielt es dabei eine Rolle, dass eine Veröffentlichung dieser Informationen gegenüber der Allgemeinheit laut der nationalen Regelung nur dann unterbleiben kann, wenn es sich beim Betroffenen um einen Freizeitsportler, eine minderjährige Person oder eine Person handelt, die durch die Bekanntgabe von Informationen oder sonstigen Hinweisen wesentlich zu der Aufdeckung von potenziellen Anti-Doping-Verstößen beigetragen hat?
3. Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?
4. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?
5. Bei Bejahung der Frage 4: Handelt es sich bei der gemäß § 8 des ADBG 2021 eingerichteten USK um eine Behörde im Sinne von Art. 10 DS-GVO?“
Aus den Urteilsgründen
Zur Vorlagefrage 1:
"1. Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um „Gesundheitsdaten“ im Sinne von Art. 9 DS-GVO?“
Die Einnahme von verbotenen Dopingsubstanzen sagt per se nichts über den Gesundheitszustand im Sinne von Art. 9 DSGVO aus, da hierbei weder auf den geistigen oder körperlichen Gesundheitszustand Rückschlüsse gezogen werden können. Bei der Veröffentlichung des Verstoßes gegen die Anti-Doping-Regeln findet Art. 9 DSGVO demnach keine Anwendung.
Zur Vorlagefrage 3:
"Verlangt die DS-GVO – insbesondere im Hinblick auf die Grundsätze des Art. 5 Abs. 1 Buchst. a und c DS-GVO – vor der Veröffentlichung in jedem Fall eine Interessenabwägung der mit einer Veröffentlichung für den Betroffenen berührten Persönlichkeitsinteressen einerseits und dem Interesse der Allgemeinheit an der Information über den von einem Sportler begangenen Anti-Doping-Verstoß andererseits?“
Aufgabe der NADA ist es, gesperrte Sportler zu listen und die Gründe und Dauer der Sperrung darzulegen. Eine Interessensabwägung ist in diesem Fall nicht notwendig, da es bei der Veröffentlichung auch um eine präventive Maßnahme handle, andere Sportler vor Doping-Missbrauch zu warnen und abzuschrecken. Eine anonyme Veröffentlichung und kürzere Dauer von Sperren hätten für andere Sportler keine derart abschreckende Wirkung.
Zur Vorlagefrage 4:
"Handelt es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat und wegen dieses Verstoßes an der Teilnahme an (nationalen und internationalen) Wettkämpfen gesperrt ist, um eine Verarbeitung persönlicher Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DS-GVO?“
Die Einnahme von verbotenen Dopingmitteln und insbesondere der Besitz von verbotenen Mitteln stellt in Kombination mit der Sperre und der Aberkennung von Preisgeldern und Titeln eine Straftat dar. Neben der Sanktion der Sportlerin soll das Verfahren auch für andere Sportler eine abschreckende Wirkung haben. Die Datenverarbeitung fällt somit unter Art. 10 DSGVO.
Stand: 15.11.2023
Derzeit wird in der EU diskutiert, ob Menschen ab einem Alter von 70 Jahren regelmäßig einem Fahrtauglichkeits-Check unterziehen müssen, um die Fahrtüchtigkeit zu überprüfen. Sollte der Check negativ ausfallen, könnte somit ein Entzug des Führerscheins einhergehen. In einigen europäischen Ländern ist eine solche Vorgehensweise derzeit bereits üblich.
Der deutsche Verkehrsminister sowie der ADAC sieht verpflichtende Fahrtauglichkeits-Checks jedoch kritisch, zumal keine signifikanten Unfallstatistiken vorhanden seien, die älteren Fahrern zuzuschreiben wären.
Auch aus datenschutzrechtlicher Sicht sind solche verpflichtenden Tests oder auch die Pflicht von Ärzten, Auffälligkeiten zu melden kritisch zu sehen, da es sich hier um die Verarbeitung von besonders schützenswerten Daten nach Art. 9 DSGVO handle.
Mehr Infos dazu vom ADAC
Der Plan der EU für Führerscheintests für Menschen ab 70 ist statistisch nicht gerechtfertigt, denn 14,5 % aller an Verkehrsunfällen Beteiligten im Jahr 2021 waren 65 Jahre und älter, der Anteil dieser Altersgruppe an der Gesamtbevölkerung lag aber bei 22,1 %
Statistik
1.Alle Führerscheininhaber werden bezüglich ihres Geburtsdatums erfasst und kategorisiert. Bisher nur grundsätzliche Erfassung der Daten, ohne Kategorisierung.
2.Eine riesige Bevölkerungsgruppe wird dann aufgrund ihres Alters standardmäßig hinsichtlich ihres Gesundheitszustandes erfasst (vgl. Vorgaben zur Nicht-Diskriminierung, § 1 AGG).
3.In den Führerscheinstellen werden diese gesundheitsbezogenen Daten dauerhaft hinterlegt à Verarbeitung von Art. 9 DSGVO-Daten in der Exekutive sollten genau abgewogen werden.
Stand: 15.11.2023
Anfang August 2023 hat das Bundesministerium des Innern und für Heimat (BMI) einen Referentenentwurf für ein Erstes Gesetz zur Änderung des Bundesdatenschutzgesetzes vorgelegt.
Ziel des Gesetzentwurfs ist, dass die Vereinbarungen aus dem aktuellen Koalitionsvertrag aufgegriffen und die Ergebnisse der
Evaluierung des Bundesdatenschutzgesetzes (BDSG) eingearbeitet werden.
Ein wichtiger Punkt ist, dass das Thema Datenschutz vereinheitlicht und somit Rechtsunsicherheiten aus dem Weg geschafft werden sollten durch klar definierte Ansprechpartner. Unterschiedliche Auffassungen der einzelnen Aufsichtsbehörden der jeweiligen Bundesländer sollten damit der Vergangenheit angehören. Auch der Beschäftigtendatenschutz soll in einem speziellen Gesetz geregelt werden, die einer nationalen Datenstrategie folgt.
Mehr Infos von der GDD
•Interessant: § 16 a BDSG-neu à Institutionalisierung der Datenschutzkonferenz von Bund und Ländern (DSK), die DSK würde sich hier eine Geschäftsordnung geben.
•Ziel: v.a. Erreichung und Fortentwicklung der einheitlichen Anwendung des europäischen und nationales Datenschutzrechts.
•Jedoch: keine Regelungen zur rechtlichen Verbindlichkeit von DSK-Beschlüssen, da diese die Kompetenzen von Bundes- und Landesbehörden betrifft und damit verfassungsrechtliche Grenzen betreffen würde (Mischverwaltung nicht beim Datenschutz möglich).
•Weiterhin keine Regelungen zur Zusammenarbeit der verschiedenen Aufsichtsbehörden und der DSK.
•Interessant zudem der angedachte neue § 40a BDSG à Unternehmen sind gemeinsam in einem Projekt datenschutzrechtlich verantwortlich.
•Zuständig: Aufsichtsbehörde desjenigen Unternehmens, das im vorangegangenen Geschäftsjahr den höchsten Umsatz erzielt halt.
•Gilt auch für länderübergreifende Forschungsprojekte: Zuständigkeit der Aufsichtsbehörde des Forschungspartners, der die meisten Personen beschäftigt, die kontinuierlich personenbezogene Daten verarbeiten.
•Ziel: Vermeidung von Rechtunsicherheit beim Auftreten unterschiedlicher Rechtsauffassungen bei länderübergreifenden Vorhaben.
Der Referentenentwurf wird der Änderungsbedarf im BDSG im Zuge der Evaluierung des BMI wie folgt zusammengefasst:
•„ In § 1 bedarf es einer Klarstellung, um eindeutig auszudrücken, dass das BDSG nur anwendbar ist, wenn die Datenverarbeitung einen Inlandsbezug aufweist. Auch wird § 1 Absatz 4 Satz 3 so umformuliert, dass deutlich wird, dass die Norm nur nichtöffentliche Stellen adressiert.
•Die Regelung zur Videoüberwachung öffentlich zugänglicher Räume (§ 4) muss mit Blick auf nichtöffentliche Stellen überarbeitet werden.
•§ 17 bedarf einer Ergänzung, um Vakanzen in der Stellvertretung des Gemeinsamen Vertreters im Europäischen Datenschutzausschuss (EDSA) zu vermeiden.
•Die §§ 19 und 40 werden um Klarstellungen zur zuständigen federführenden Datenschutzaufsichtsbehörde ergänzt.
•In den §§ 27 und 29 müssen redaktionelle Änderungen vorgenommen werden
•In § 34 ist klarzustellen, dass das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) nicht aufgrund privater, sondern nur aufgrund öffentlich-rechtlicher Satzungen eingeschränkt werden kann. Auch sollte in § 34 das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 im Hinblick auf Geheimhaltungsinteressen eingeschränkt und zudem eine Pflicht von Bundesbehörden geregelt werden, betroffene Personen über die Möglichkeit nach § 34 Absatz 3 zu informieren, dass eine Auskunftserteilung an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verlangt werden kann. In der Regelung zur automatisierten Entscheidung im Einzelfall (§ 37) ist eine Streichung erforderlich.“
Wir werden uns aber den ersten offiziellen kompletten Gesetzesentwurf genau ansehen, wenn er veröffentlicht ist.
Stand: 15.11.2023