ULD schickt "IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r"

Heute haben wir gleich mehrere gleichlautende Anfragen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) erhalten:

Betreff: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragte/r

Wir haben folgende E-Mail vom ULD erhalten. Die E-Mail-Adresse des Absenders lautet dsb-auskunft@datenschutzzentrum.de.

"Sehr geehrte Dame, sehr geehrter Herr, 

nach unseren Informationen wurden Sie als Datenschutzbeauftragte/r bestellt. Im Rahmen der Meldepflicht nach Artikel 37 Abs. 1 Datenschutzgrundverordnung (DSGVO) müssen Verantwortliche der zuständigen Aufsichtsbehörde melden, wer ihre Datenschutzbeauftragten sind. Dem Unabhängigen Landeszentrum für Datenschutz (ULD) wurden Vorname, Nachname und E-Mail (Pflichtfelder) sowie freiwillig Postanschrift und Telefonnummer gemeldet.

E-Mail des ULD an yourIT: IZG-Anfrage zu Ihrer Meldung als Datenschutzbeauftragter

Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?

Immer wieder gibt es Situationen, in denen es zumindest üblich erscheint, den Personalausweis als eine Art Pfand zu hinterlegen. Was sagt das Gesetz dazu? Und was ist unter Sicherheitsaspekten zu bedenken?

Unser Datenschutz-Team hat sich in der Vergangenheit immer wieder mit Anfragen zum Thema Personalausweis beschäftigt. Hier eine kurze Zusammenfassung mit passenden Beispielen zur Frage: Darf mein Personalausweis als Pfand verlangt werden?

yourIT-Datenschutz-Team zur Kundenanfrage: Darf mein Personalausweis als Pfand verlangt werden?

Außerdem gehen wir zum Schluss auch noch auf die Frage ein, ob und unter welchen Bedingungen eine Ablichtung als Kopie oder Scan des Personalausweises erlaubt ist und welche Vorsichtsmaßnahmen Sie treffen sollten.

Beschäftigtendatenschutz Teil 1 - "Der Bewerbungsprozess"

Ein einheitliches Arbeitsrecht existiert nicht. Die Regelungen sind verstreut über das Einkommensteuergesetz, das vierte Sozialgesetzbuch und letztlich auch über die EU-DSGVO und BDSG-neu. Hier folgen einige Tipps für Arbeitgeber aus dem Datenschutzrecht. Teil 1 dieser Serie beschäftigt sich mit dem Fragerecht im Bewerbungsprozess.

Beschäftigte nach § 26 Abs. 8 BDSG-neu

Das neuen Bundesdatenschutzgesetz hat den Begriff Beschäftigte in § 26 Abs. 8 sehr weit gefasst und gewährleistet somit einen umfassenden Schutz - auch für alle Bewerberinnen und Bewerber.

Der Bewerbungsprozess steckt voller Tücken.

Was muss der Arbeitgeber beachten?

Im Bewerbungsprozess treffen Bewerber und der neue potentielle Arbeitgeber zum ersten Mal aufeinander. Der Bewerber versucht sich mit den Bewerbungsunterlagen von der besten Seite zu zeigen und der Arbeitgeber strebt an, möglichst viele Informationen zu bekommen. Doch bereits hier gibt es einiges zu beachten...

Datenschutz-Praxis: Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.

Existieren schon Regelungen zum Offboarding?

Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem

Und wenn nicht?

Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Websites: Mehr als die Datenschutzerklärung

Sind Sie mit dem Webbrowser im Internet unterwegs, können Ihre personenbezogenen Daten schnell in Gefahr geraten. Viele Webseiten haben Datenschutzmängel. Dabei ist eine unvollständige Datenschutzerklärung nur ein Beispiel.

Datenschutz bei Webseiten oftmals mangelhaft

Wer glaubt, weniger prominente Webauftritte sind in Datenschutzfragen ein Risiko, bekannte Webseiten dagegen nicht, der irrt sich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor einigen Monaten Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befanden, fiel das Ergebnis aus Datenschutzsicht ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen erkannte das Landesamt zahlreiche Mängel.

Websites: Mehr als die Datenschutzerklärung

Ähnliche Resultate erhielt auch der Europäische Datenschutzbeauftragte (EDPS). Seine Prüfungen bei den Websites der wichtigsten EU-Organe und -Einrichtungen ergab, dass bei sieben von zehn geprüften Websites Datenschutz- und Datensicherheits-probleme aufgetreten sind. Eines der Probleme war das Tracking durch Dritte ohne vorherige Zustimmung. Weitere Schwachstellen betrafen die Verwendung von Trackern für Webanalysen ohne vorherige Zustimmung der Besucher und die Übermittlung personenbezogener Daten, die die Webseitenbetreiber über Webformulare mithilfe unverschlüsselter Verbindungen erfassten.

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?

Datensicherheit verlangt Differenzierung

Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Geldbußen gegen Mitarbeiter von Unternehmen sieht die EU-DSGVO nicht vor. So liest man in der letzten Zeit häufig. Doch stimmt das überhaupt? Die ehrliche Antwort auf diese Frage lautet: Meist schon, aber keineswegs immer!

Datenschutz-Verstoß eines Mitarbeiters

Ein Mitarbeiter übermittelt Daten, obwohl die Datenschutz-Grundverordnung (EU-DSGVO) das nicht zulässt. Der Grund: Er kennt sich mit den Vorschriften nicht richtig aus und hat sie falsch interpretiert. Eigentlich hätte ihm dies nicht passieren dürfen, denn er hat eine betriebsinterne Datenschutz-Schulung besucht. Aber wie es so geht: Gerade als diese Frage behandelt wurde, war er gedanklich woanders.

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Das ist ein typischer Fall von Fahrlässigkeit. Dass er bloß fahrlässig gehandelt hat, würde dem Mitarbeiter für sich allein allerdings nichts helfen. Denn die Regelung zur Verhängung von Geldbußen in Art. 83 EU-DSGVO kennt auch Geldbußen für fahrlässiges Handeln.

Die DSGVO-Pannen-Show

Auf dem diesjährigen Chaos Communication Camp präsentierte der LfDI BW die "DSGVO-Pannen-Show", mit einem Quiz und vielen Fallbeispielen.

"Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen" heißt es auf der eigenen Website. Der CCC organisiert alle vier Jahre das Chaos Communication Camp, welches vom 21. - 25. August 2019 bei Berlin stattfand. 

Der LfDI testet das Wissen der Besucher!