Mitarbeiterschulungen als Vorbereitung auf die DSGVO

In den vergangenen Wochen drehte sich bei uns alles um die DSGVO, welche in diesem Jahr einzug hält.
Doch wie bereitet man sich am besten darauf vor?

 

An erster Stelle stehen entsprechende Mitarbeiterschulungen, denn nur, wenn jeder Mitarbeiter bzgl. der neuen Richtlinien zum Datenschutz einwandfreie Kenntnisse hat, kann eine problemlose Umsetzung erfolgen.

Hier stellt sich die Frage, wie solche Schulungen am besten durchzuführen sind?!

Man darf dieses Thema nicht unterschätzen. So sollte nur jemand die Schulung durchführen, wenn lückenloses Wissen im Datenschutz vorhanden ist und man auf solche Mitarbeiterschulungen vorbereitet ist.

 

Mitarbeiterschulungen

 

Außerdem muss es sich beim Schulungsleiter gem. Artikel 39 Absatz 1a DSGVO und Paragraph 7 Absatz 1.1 BDSG um einen Datenschutzbeauftragten handeln.

 

Doch nicht nur der Schulungsleiter ist ausschlaggebend für den Erfolg bei den Mitarbeitern.

Es ist wie damals zu Schulzeiten – Fächer, welche uns interessiert haben, da lief es wie am Schnürchen und Lerninhalte konnten sich einfach eingeprägt werden.

Nun ist der Datenschutz aber nicht vergleichbar mit einem Schulfach, da hier viel tiefergehende Kenntnisse und Voraussetzungen vorliegen müssen.

Allerdings lässt sich eines auf den Datenschutz anwenden – „..ist Interesse vorhanden, lässt sich der Schulungsinhalt einfacher verstehen, merken und umsetzen!“

Es liegt also ein Augenmerk darauf, die Schulungen so interessant zu gestalten, dass die Mitarbeiter sich den Inhalt nicht nur für die Zeit der Schulung merken, sondern diesen verinnerlichen, verstehen und am wichtigsten, richtig anwenden.

Der Datenschutz bietet viele Hürden – diese gilt es im täglichen Arbeitsalltag zu meistern.

 

Reagieren Sie nicht zu spät!
Die Inhalte einer Datenschutzschulung sind meist umfangreich – je häufiger also solche Schulungen durchgeführt werden, desto effektiver wird der Datenschutz in den Alltag integriert.

Gehen Sie auch andere Wege!

Es mag banal klingen, aber so manchem helfen kleine Spiele innerhalb einer Schulung, das gelernte besser zu verstehen.
Lassen Sie sich also kleine Spiele einfallen, welche in Schulungen integriert werden können.

Auf Augenhöhe sein!

Wichtig ist auch, dass Schulungen nicht das typische „Lehrer-Schüler“-Gefühl auslösen.
Besser lässt sich vieles vermitteln, wenn man den Mitarbeitern/Kollegen auf Augenhöhe begegnet – Schließlich sind ja Grundkenntnisse zum Datenschutz immer vorhanden.

 

Datenschutz

 

Verschiedene Möglichkeiten nutzen!
Muss es immer eine „direkte Schulung“ – also von angesicht zu angesicht sein?

Vielleicht lassen sich auch Medien mit einbeziehen.
Viele Mitarbeiter nehmen Visuell schneller Sachverhalte auf.

 

Auch die Möglichkeit, Mitarbeiterschulungen zum Datenschutz mittels Webinar durchzuführen, sollte man in Betracht ziehen.

 

Bei allen gegebenen Möglichkeiten ist es jedoch unerlässlich, sich jemanden an die Seite zu holen, welcher Schulungen professionell durchführt. So kann man davon ausgehen, dass die nötigen und wichtigen Kenntnisse vorhanden sind und das Wissen zu den verschiedenen Themen ebenfalls vorliegt. Sollten Sie sich unsicher sein oder eine Datenschutzschulung in Ihrem Unternehmen planen, so stehen wir Ihnen selbstverständlich gern beratend zur Seite.
Unsere externen Datenschutzbeauftragen werden die Mitarbeiterschulungen gern für Sie übernehmen und Ihr Unternehmen diesbezüglich unterstützen.

 

Datenschutz – Einwilligungen der Nutzer

In der letzten Zeit geht es bei uns überwiegend darum, welche Neuerungen im Datenschutz auf uns zukommen. Mit in Kraft treten der DSGVO müssen einige Dinge beachtet werden.

 

Heute soll es um die Einwilligung der Nutzer gehen.
Diese spielt für viele Unternehmen eine wichtigere Rolle, als meist angenommen wird.

Möchten Sie beispielsweise regelmäßige Infomails oder Newsletter versenden, so bedarf es hier der Einwilligung des Nutzers. Die Einwilligung unterliegt hier aber keinen besonderen Erfordernissen bzgl. der Form. Egal ob die Einwilligung schriftlich oder elektronisch abgegeben worden ist. Selbst eine mündliche Einwilligung ist laut Datenschutzgrundverordnung erlaubt.

 

 

Wichtig ist nur, dass eine einwandfreie Dokumentation erfolgt. Das ist natürlich bei schriftlichen oder elektronischen Einwilligungen einfacher, als bei einer mündlichen.

Wir raten deshalb dazu, die Einwilligung des Nutzers lieber in Schriftform (elektronisch oder handschriftlich) im System zu vermerken und abzuspeichern.

Reicht denn ein Opt-In-Kästchen aus?

Hier gibt es nur eine klare Antwort – Nein! Grundsätzlich reicht das Opt-In bzw. Opt-Out-Kästchen nicht aus. Erst recht nicht, wenn es vorangekreuzt ist.

Lösung wäre hier, sowohl das Opt-In-Kästchen anzubieten, als auch eine nachfolgende Mail, welche der Nutzer noch einmal bestätigen muss, um Newsletter von Ihnen erhalten zu können (Double-opt-in).

Hier wären wir auch schon beim nächsten wichtigen Punkt.

 

 

Einwilligungen müssen durch den Nutzer immer freiwillig abgegeben werden.

Das heißt, es dürfen keine Abhängigkeiten beispielsweise zwischen Vertragserfüllung und der Einwilligung des Nutzers bestehen. Das geht nur solange die Einwilligung für die Vertragserfüllung erforderlich ist.

Einwilligungen müssen so gestaltet werden, dass sie zum einen nur für einen bestimmten Zweck gelten und der jeweilige Zweck in der Einwilligung aufgeführt ist.

Will man beispielsweise einen Newsletter versenden, so muss die Einwilligung diesen Zweck enthalten und gilt auch nur für die Versendung dieses Newsletters.

Einwilligungen von den Nutzern einholen, welche für alles gelten, ist nach wie vor verboten.

Außerdem müssen Sie einwandfrei nachweisen können, dass Ihnen eine Einwilligung erteilt worden ist. Hier müssen Sie also an eine umfassende Dokumentation denken.

Der Nutzer kann im Übrigen die Einwilligung jederzeit widerrufen.
Hier muss es zukünftig genauso einfach gemacht werden die Einwilligung zu widerrufen, wie sie zu erteilen.

Wer jetzt sorge davor hat, alle Einwilligungen der Kunden erneut einholen zu müssen, den können wir beruhigen.
Alle bisher von Kunden erteilten Einwilligungen haben auch unter der DSGVO weiter bestand.

Voraussetzung ist, dass alle Anforderungen unserer bisherigen Datenschutzrichtlinien (wie TMG und BDSG) eingehalten worden sind.
Ist die Einwilligung bereits bei der Erteilung unwirksam, ist sie auch mit der DSGVO weiter unwirksam.

Wichtig ist auch hier der Nachweis der Einwilligung. Die Dokumentation ist also unerlässlich und der Nachweis der Einwilligung des Newsletterempfängers mit Hilfe von double-opt-in dient für Sie als Beweiszweck, sollte es zu Abmahnungen kommen.

 

 

Beachten Sie bitte auch, dass die DSGVO ein einheitliches Mindestalter für die Erteilung einer Einwilligung festgehalten hat.

In Artikel 8 wird festgehalten, dass Minderjährige (unter 16 Jahren) nur mit Zustimmung der Eltern eine wirksame Einwilligung abgeben können.

Grundsätzlich ist immer ein schutzwürdiges Interesse anzunehmen, wenn die betroffene Person von ihrem Widerspruchsrecht aus Art 21 DSGVO Gebrauch gemacht hat. Hierdurch hat sie eindeutig zu erkennen gegeben, dass eine (weitere) Nutzung ihrer personenbezogenen Daten für Zwecke der (Direkt)Werbung nicht mehr erfolgen soll.

Meldepflicht nach Bundesdatenschutzgesetz

Sind in Ihrem Unternehmen zehn oder mehr Personen beschäftigt, die automatisiert personenbezogene Daten verarbeiten?

Dann ist dieses Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz zu melden. Oder aber Ihr Unternehmen hat einen Datenschutz-beauftragten bestellt.

Meldepflicht

 

Das Bundesdatenschutzgesetz sagt im § 4d:

„Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde …. zu melden.“

Und

„Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat“.

 

Zu beachten ist jedoch, dass für bestimmte Unternehmen die Meldepflicht auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt wurde.

Dies betrifft Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Im § 43 des BDSG sind die Bußgeldvorschriften für Verstöße gegen den Datenschutz aufgeführt. Dazu gehört auch der Verstoß gegen die Meldepflicht, sofern diese nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllt worden ist. Diese Ordnungswidrigkeit kann mit einem Bußgeld bis zu 50.000 Euro geahndet werden.

Sicherheit

Übrigens: der Datenschutz-Beauftragte sollte natürlich rechtzeitig vor dem Beginn der automatisierten Verarbeitung von personenbezogenen Daten bestellt worden sein.

Und natürlich muss auch eine interne Verfahrens-Dokumentation vorliegen. Bei Nichterfüllung können sonst auch diese Fälle mit Bußgeld gem. § 43 BDSG geahndet werden.

Benötigen Sie Hilfe oder weitere Informationen zum Thema “Meldepflicht nach dem Bundesdatenschutzgesetz”, stehen wir Ihnen natürlich gern zur Verfügung.

Das Recht auf Vergessenwerden

Die EU-Datenschutz-Grundverordnung (DSGVO) sieht ein Recht auf Vergessenwerden vor.

Vergessenwerden

Was bedeutet dies nun genau?

Wenn Betroffene nicht möchten, dass ihre Daten weiter verarbeitet werden und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden.

Im Absatz 1 des Artikels 17 der DSGVO heißt es dazu:

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:
a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.
c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.
d) Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.

 

Hierbei sind von der verarbeitenden Stelle Informationspflichten zu beachten.

Schon das Bundesdatenschutzgesetz (BDSG) fordert, dass von der

  • Berichtigung unrichtiger Daten,
  • der Sperrung bestrittener Daten sowie
  • der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung

die Stellen zu verständigen sind, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden. Die DSGVO führt aus, dass (auch) bei Veröffentlichung der Daten die anderen Stellen, die die Daten verarbeiten, von dem Löschwunsch bzw. der Löschverpflichtung zu informieren sind.

Security

 

Die Löschpflicht umfasst dabei neben den Daten und Datenkopien auch Links auf die Daten und Kopien.

Unternehmen, die personenbezogene Daten verarbeiten, sollten daher ein Löschkonzept haben, welches unter anderem klare Regeln darüber enthält,

  • wann was zu löschen ist
  • wo sich die Daten befinden und
  • wie sie verteilt wurden.

Bei der Erstellung eines Löschkonzeptes für Ihr Unternehmen sind wir Ihnen gerne behilflich.

Binärcode

Datenvermeidung und Datensparsamkeit – Wie schafft man das?

Datensparsamkeit? – Wie? Bei einer Warenbestellung im Internet beispielsweise, wird man aufgefordert eine Reihe persönlicher Daten preiszugeben. Auch bei der Anmeldung in sozialen Netzwerken, bei online-Registrierungen werden häufig viele personenbezogene Daten erfragt.

Datenvermeidung

Das Personalcontrolling in Unternehmen trägt Daten zusammen, um z.B. Personalstatistiken zu erstellen, zur Personalplanung und zum Risikomanagement u.ä.m. Dies sind nur einige von vielen Beispielen für das Sammeln von personenbezogenen Daten.

Datenvermeidung

Wie sieht es in diesem Zusammenhang mit Datenvermeidung und Datensparsamkeit aus?

Der § 3a des Bundesdatenschutzgesetzes sagt dazu folgendes aus:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.“

Und

„Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Es sollen somit nur die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind. Die willkürliche Ansammlung von Daten auf Vorrat ist nicht gestattet. Das Gebot der Datenvermeidung und Datensparsamkeit fordert von der verarbeitenden Stelle, die Umstände der Erforderlichkeit, die Zwecke und die Prozesse der Datenverarbeitung zu prüfen.

Neben dem verpflichtenden Charakter für Unternehmen sollte der §3a BDSG auch als Appell an jeden von uns verstanden werden. Gehen Sie sensibel mit Ihren persönlichen Daten um.

Daten werden insbesondere im Internet zunehmend leichtfertig herausgegeben und stehen somit für Auswertungen und Weitergabe zur Verfügung, ohne dass der Betroffene noch eine Verfügung darüber hat.

Überwachung von Arbeitnehmern durch Keylogger – ist das zulässig?

Arbeitnehmer, die an ihrem Arbeitsplatz einen PC mit Internetzugang haben, könnten diesen nicht nur zur Verrichtung ihrer dienstlichen Aufgaben verwenden, sondern auch für private Dinge nutzen – auf Webseiten surfen, private Mails abrufen und beantworten u.ä.m.

Zwar haben Unternehmen in der Regel dazu entsprechende Vereinbarungen abgeschlossen, die die private Nutzung von Internet und E-Mail entweder erlauben, dulden oder gänzlich verbieten, jedoch können diese Vereinbarungen bei einem Verbot in Einzelfällen nicht die tatsächliche private Nutzung unterbinden.

Büroarbeit

Von daher sind manche Unternehmen dazu übergegangen, die Nutzung per Keylogger zu überwachen. Ein Keylogger ist ein sogenannter Tasten-Protokollierer, der dazu dient, sämtliche Tastenanschläge des Computernutzers zu speichern und zu überwachen. Er kann als Programm auf einem Computer installiert oder als Hardware-Modul zwischen den Rechner und die Tastatur gesteckt werden. Dabei werden auch hochsensible Daten, wie persönliche Passwörter und PINs, miterfasst. Auch Screenshots vom Computer-Bildschirm können so angefertigt werden.

Ist die Mitarbeiter-Überwachung mit Hilfe eines Keylogger zulässig?

Eindeutig nein!

Keylogger

Nachdem bereits Vorinstanzen entsprechend geurteilt hatten, hat nun das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (2 AZR 681/16) folgendes festgestellt:

der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.

Der heimliche Einsatz von Spähsoftware stellt einen massiven Eingriff in das Recht des Mitarbeiters auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) dar.

 

Bildquelle: https://pixabay.com/

Mitarbeiterfotos und Ihre Verwendungsmöglichkeiten – Ist das rechtlich ohne weiteres möglich?

Welches Unternehmen verwendet nicht gern Mitarbeiterfotos? Folgende Beispiele zeigen beliebte Verwendungsmöglichkeiten.

  1. Eine Betriebsfeier steht an, und ein Mitarbeiter fotografiert die Veranstaltung, um die Fotos dann später in das Firmen-Intranet zu stellen.
  2. Für die neue Unternehmens-Broschüre und den Internet-Auftritt werden Arbeitsplätze/Arbeitssituationen und Mitarbeiter fotografiert.
  3. Im Facebook-Auftritt des Unternehmens werden Mitarbeiter mit Aufgabengebiet und Foto vorgestellt.
Mitarbeiterfotos

Beispiel 1: Betriebsausflug

Mitarbeiterfotos

Beispiel 2: Titelbild einer Unternehmensbroschüre

Verwendung von Mitarbeiterfotos -Ist das rechtlich ohne weiteres möglich?

Bereits die Anfertigung einer Fotografie setzt aufgrund des allgemeinen Persönlichkeitsrechts in der Regel die Erlaubnis des Mitarbeiters voraus.

Es drängt sich daher zurecht die Frage auf, ob und vor allem wie diese Mitarbeiterfotos im Anschluss gegebenenfalls genutzt werden dürfen. Das entscheidende Gesetz hierfür ist das Kunsturhebergesetz. § 22 bestimmt für Mitarbeiterfotos zunächst den Grundsatz:

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.

Im § 23 sind diverse Ausnahmen genannt, zum Beispiel Bildnisse aus dem Bereich der Zeitgeschichte oder wenn es sich um Bilder von Versammlungen oder ähnlichem handelt.

Um die Verwendung von Mitarbeiterfotos somit auf eine rechtlich einwandfreie Basis zu stellen, sollten folgende Punkte beachte werden:

  • keine heimliche Anfertigung von Fotos
  • ist geplant Mitarbeiterfotos öffentlich zu verwenden, so sollte eine schriftliche Einwilligung der betreffenden Personen eingeholt werden
  • diese sind jedoch nur wirksam, wenn die Einwilligungen freiwillig, also ohne Druck oder gar Androhung von Konsequenzen, abgegeben werden
  • in der Einwilligung sollte der Verwendungszweck und das Veröffentlichungsmedium konkret benannt werden
  • und schlussendlich sollten Angaben zu einer eventuellen (oder fehlenden) Vergütung enthalten sein

Auch hier wird wieder deutlich, wie wichtig es ist sich mit dem Datenschutz auseinander zu setzen.

Im Zweifelsfall den Datenschutz-Beauftragten einschalten. Wir helfen auch bei der Formulierung einer solchen Einwilligung. Sie erreichen uns jederzeit unter der Rufnummer 030 3309626-0 oder per E-Mail unter kontakt@lorop.de