Jedes Unternehmen führt über seine Mitarbeiter eine Personalakte. Hier sind alle Unterlagen zusammengefasst, die mit dem Arbeitsverhältnis im Zusammenhang stehen.

Dies sind beispielsweise die Bewerbung des Mitarbeiters, dessen Zeugnisse, der Arbeitsvertrag, Angaben zur Kranken- und Rentenversicherung u.ä.m.

Nicht in die Personalakte gehören u.a. Notizen des Arbeitgebers über die Arbeitsleistung des Arbeitnehmers oder eine Liste von Krankheitstagen und Krankheitsgründen. Gleiches gilt auch für die Religionszugehörigkeit oder die politische Ausrichtung des Arbeitnehmers.

Männchen

Die elektronische Personalakte, die mittlerweile vielerorts verwendet wird, ist nichts anderes als eine Sammlung dieser Unterlagen durch ein EDV-System. Dieses ersetzt dann die konventionelle Papierakte.

Bei der automatisierten Verarbeitung der personenbezogenen Daten und der Führung einer solchen digitalen Akte spielt der Datenschutz eine besondere Rolle.

Die Datenverarbeitung unterliegt hier einem Verbot mit Erlaubnisvorbehalt. Das heißt, die Erhebung, Verarbeitung und Nutzung der Daten ist in der Regel nur mit der Einwilligung des betroffenen Mitarbeiters möglich.

Der Arbeitgeber muss den Arbeitnehmer vor dessen Einwilligung auf den vorgesehenen Zweck der Datenspeicherung hinweisen, sowie ggf. auf die Folgen bei Verweigerung der Einwilligung.

Diese Einwilligung muss schriftlich, kann jedoch auch im Rahmen des Arbeitsvertrages erfolgen. Wichtig ist dann, dass dies im Vertragstext besonders hervorgehoben werden muss. Ohne Einwilligung des Mitarbeiters ist die Führung der elektronischen Personalakte auch dann möglich, wenn die Speicherung seiner Daten der Zweckbestimmung des Arbeitsverhältnisses entspricht.

Personalakte

Der Arbeitnehmer hat laut den Vorschriften des Betriebsverfassungsgesetzes das Recht zur Einsicht in seine Personalakte, inklusive der Möglichkeit, sich Notizen zu machen. Die Möglichkeit der Einsichtnahme besteht ohne Nachweis des Grundes.

Führen Sie bereits elektronische Personalakten und es bestehen noch Unsicherheiten oder möchten Sie zukünftig elektronische Personalakten führen? Bei Fragen stehen wir Ihnen natürlich gern mit Rat und Tat zur Seite!

Die (Sommer)Urlaubszeit hat begonnen! Viele befinden sich schon im Urlaub oder sind auf dem Weg dorthin. Letzte Arbeiten sind vor der Abwesenheit sind zu erledigen, damit während dieser Zeit auch weiterhin alles rund läuft.

on vaccation

Was haben Sie für Ihre Abwesenheit mit Ihrem dienstlichen E-Mail-Account geplant?
Ruht dieser und bleiben alle Mails ungelesen?

Hier besteht natürlich die Gefahr, dass wichtige Mails nicht bearbeitet und ggfs. Fristen versäumt werden. Gleiches gilt für die Abwesenheit wegen Krankheit.
Gerne wird in diesem Fall eine Weiterleitung der Mails an Kollegen eingerichtet oder Zugriffsrechte für Andere auf den E-Mail-Account eingeräumt.

eule

Die Frage ist, ob solche Weiterleitungen oder die Vergabe von Zugriffsrechten mit dem Datenschutz konform gehen?

Hierzu haben wir folgende Möglichkeiten für Sie:

    • Sie lesen während Ihrer Abwesenheit Ihre Mails und beantworten diese – dann benötigen Sie keine Weiterleitung oder müssen keine Zugriffsberechtigung vergeben. Sinnvoll ist dies jedoch nicht, denn Urlaub ist Urlaub und Krankheit ist Krankheit – vielleicht ist man auch gar nicht in der Lage, seine E-Mails zu lesen.
    • Sie richten eine Weiterleitung ein oder vergeben Zugriffsrechte. Es gibt jedoch für diese Fälle keine eindeutige Rechtsprechung. Entscheidend ist auf jeden Fall, ob in Ihrem Unternehmen die private Nutzung Ihres dienstlichen E-Mail-Accounts erlaubt ist. Ist dies der Fall, dann ist nach bisheriger Meinung der Zugriff auf Ihre Mails durch Vorgesetzte oder Kolleg/innen nicht zulässig. Ihr Vorgesetzter dürfte auch nicht von Ihnen verlangen, dass Sie dem Zugriff auf Ihren E-Mail-Account zustimmen – es würde dann nämlich an der erforderlichen Freiwilligkeit der Zustimmung fehlen. Im Übrigen geht es grundsätzlich auch darum, dass der Absender sicher sein kann, dass seine Mail bei dem von ihm gewünschten Adressaten ankommt, um ihn ggfs. vor Schaden zu bewahren.
    • Die beste Lösung ist sicherlich, einen Auto-Responder (Abwesenheits-Benachrichtigung) einzurichten. Weisen Sie darauf hin, dass Ihre Mail nicht weitergeleitet wird. Informieren Sie den Absender der Mail über die Dauer Ihrer Abwesenheit. Optimal ist, wenn Sie außerdem Ihre Vertretung angeben, mit Namen, E-Mail-Adresse und ggfs. Telefonnummer. Der Absender kann so sicher sein, dass seine Mail nicht unbefugt gelesen wird und kann selber entscheiden, ob sein Anliegen von einer anderen Person bearbeitet werden soll, oder er lieber auf Ihre Rückkehr wartet.

 

Nun sind Sie bestens vorbereitet und können Ihren Urlaub genießen oder sich bei Abwesenheit durch Krankheit in Ruhe auskurieren.

Für den Sommerurlaub wünschen wir Ihnen erholsame Tage und einen wundervollen Urlaub 🙂

Abwesenheit

 

Bildquelle: pixabay

Wir haben uns nun schon viel mit dem Thema Datenschutz auseinandergesetzt und so einige Texte hierzu verfasst.

ABER es ist und bleibt Theorie.

Wie sieht der Datenschutz in der Praxis aus?

Zusammen mit unserem externen Datenschutzbeauftragten – Herrn Ronald Köcher – haben wir über seine Erfahrungen und Erlebnisse während seiner bisher acht Jahre in unserem Unternehmen gesprochen. Seit 2009 ist er bei uns im Bereich Datenschutz tätig und hat schon viel gesehen und erlebt.

Wir sind neugierig und fragen bei ihm nach.

Nora: Ronald, was macht dir an deinem Job als Datenschutzbeauftragten am meisten Spaß?

Ronald: Das ist gar nicht so einfach zu beantworten. Jeder weiß, dass das Thema Datenschutz nicht unbedingt beliebt ist und viele Unternehmen scheuen sich davor, sich mit diesem Thema auseinanderzusetzen, da es mit viel Aufwand und Veränderungen einhergeht. Es ist immer wieder eine Herausforderung sich auf die unterschiedlichen Unternehmen einzustellen und ihnen aufzuzeigen, dass Datenschutz wichtig ist. Unser Ziel ist den Betrieb nicht zu stören oder gar lahm zu legen, sondern dafür zu sensibilisieren, dass sich das Unternehmen im Rahmen seiner Möglichkeiten datenschutztechnisch anpasst. Jeder neue Kunde ist anders und in seinem Handeln absolut individuell. Sich damit auseinanderzusetzen und die Prozesse zu verstehen, diese kundengerecht und in Einklang mit dem Datenschutz zu bringen, das ist das, was mir Spaß macht.

Nora: Ja das versteh ich, zumal das Thema Datenschutz ja nun auch nicht unbedingt aufregend und spannend ist. Ich staune immer wieder, wie du es in unseren Mitarbeiter-Schulungen schaffst uns das Thema nahezubringen ohne das wir einschlafen. 🙂 Auch finde ich gut, dass du zu der letzten Schulung eine kleine Nachkontrolle vorbereitet hast, weil es uns so auch noch mehr zeigt, dass auch uns in der LOROP GmbH das Thema Datenschutz wichtig sein muss und das wir mit gutem Beispiel vorrangehen müssen. Auch wenn wir es mit einem kleinen Gewinnspiel verknüpft haben um eine Motivation zu schaffen sich mit der Nachkontrolle auseinander zu setzen und wenn es den Kollegen nur um den Gewinn gehen sollte, so hast du doch erreicht das sie sich wiederholend mit dem Thema auseinandersetzen.

Ronald: Ja man muss Mittel und Wege finden auch ein eher trockenes und ein sehr abstraktes Thema halbwegs attraktiv zu gestalten und aufgrund meiner Erfahrung habe ich ja auch das eine oder andere Fallbeispiel was ich anführen kann um die Sachverhalte deutlich machen zu können.

Nora: Wenn du einen Neukunden bekommst ist ja der Erste Schritt sich mit dem Unternehmen vertraut zu machen und sich die Abläufe und Gegebenheiten in dem Unternehmen anzusehen. Was sind aus deiner Sicht immer wieder Fallen oder anders ausgedrückt Überraschungspunkte die durch dich auffallen?

Ronald: Das ist leicht zu beantworten. Es ist immer der Besprechungsraum der eine Vielzahl von Informationen liefert. Allein der Mülleimer ist eine wahre Fundgrube an sensiblen Daten. Flipcharts und Whiteboards, liegen gelassene USB-Sticks liefern zahlreiche Informationen die nach einer Besprechung hinterlassen werden. Es ist regelrecht spannend wie man anhand eines Besprechungsraumes die vor kürzlich abgehaltenen Besprechungen rekonstruieren kann, ohne dass man der Besprechung beigewohnt hat.

Datenschutz

Nora: Also rumliegende Notizen, ja das kann ich mir gut vorstellen. Das auch hier und da mal eine Bewerbungsunterlage vergessen wird, kann ich mir auch vorstellen. Was man aber meist garnicht vor Augen hat ist, dass der Mülleiner ebenfalls ein Risiko darstellt. 

Ronald: Es geht ja noch viel weiter, ich habe bei einem Kunden mal auf einer Flipchart Zugangsdaten zum WLAN entdeckt, die für eine Besprechung an Gäste bekannt gegeben wurden. Leider hatte der Besprechungsleiter vergessen das beschriebene Blatt nach dem Meeting zu entfernen. Die heutzutage gängigen Whiteboards und Smartboards haben temporäre Speicher. Kollegen die sich mit solcher Technik auskennen können problemlos das geschriebene aufgrund des temporären Speichers wiederherstellen und kommen so an unter Umständen sensible Daten ran. Auf jeden Fall bekommt er Informationen die für ihn nicht bestimmt sind.

Besprechungsraum


Nora: Das ist ja wirklich interessant. Auch wenn man das nicht mit Absicht macht, liegen hier ja klare Verstöße gegen die Datenschutzverordnungen vor. Zum Glück ist uns das noch nicht passiert! Wenn ich mir aber vorstelle, dass wir mal eine Bewerbungsmappe liegen lassen und direkt im Anschluss ein weiteres Gespräch erwarten, ist das nicht nur ein Verstoß, sondern auch hochgradig unprofessionell. Das hinterlässt keinen guten Eindruck bei unseren Bewerbern. Aber wenn ich dir so zuhöre stelle ich fest, dass ich in Zukunft noch sensibler mit unserem Besprechungsraum umgehen muss. So werden solche, von dir beschriebenen Situationen, vermieden.

Ronald: Ja, da gebe ich dir Recht. Aber ich kann dich beruhigen, du machst das mit unserem Besprechungsraum sehr gut. Ich habe auch schon beobachtet, dass du direkt im Anschluss nach der Besprechung den Raum aufräumst und eventuell liegen gelassene Notizen abräumst. Aber ich habe hier noch etwas für dich das dir in Zukunft eine kleine Hilfe sein kann. Es gibt an stressigen Tagen geben sich die Termine die Hände. Für solche Tage habe ich für dich eine kleine Checkliste zusammengestellt.

Nora: Vielen Dank! Ja, das ist super. Die werde ich mir laminieren und mit in den Besprechungsraum hinter die Tür hängen. So kann ich immer kontrollieren, ob ich an alles gedacht habe, wenn ich den Besprechungsraum nach dem aufräumen verlasse.

Checkliste

Wie Ihr seht ist der Besprechungsraum nicht auf die leichte Schulter zu nehmen.

Besprechungsraum

Lieber Ronald, vielen lieben Dank das du dir die Zeit für das Interview genommen hast. Ich freue mich, das du jederzeit für unsere Kunden oder Leserschaft für eventuell offene Fragen zur Verfügung stehst.

Selbstverständlich sind wir auch gern für Ihr Unternehmen eine Unterstützung im Bereich Datenschutz. Sie erreichen uns unter 030 33096260 oder unter kontakt@lorop.de

 

Wir freuen uns darauf Sie und Ihr Unternehmen kennenzulernen.

Heute gehört das Arbeiten im Home-Office immer öfter genauso zum Unternehmensalltag wie die Tage der Anwesenheit im Büro.

Bei der Arbeit außerhalb des Unternehmens, also dem Arbeiten im Home-Office,  gilt es, technische und organisatorische Maßnahmen im Sinne des
§ 9 Bundesdatenschutzgesetz (BDSG) umzusetzen. Besonders dann, wenn der Mitarbeiter personenbezogene Daten im Sinne des § 3 BDSG verarbeitet.

Damit Sie auch zu diesem Thema bestens informiert sind, haben wir für Sie ein kleines „Merkblatt“ erarbeitet.
Diese können Sie durch anklicken auf Ihrem eigenen Rechner speichern und damit jederzeit zur Hand haben, wenn Sie diese benötigen.

Arbeiten

 

Benötigen Sie oder Ihre Mitarbeiter Hilfe, so stehen wir Ihnen selbstverständlich gern persönlich zur Verfügung.

Cloud-Services sind durch ihre Popularität und Beliebtheit im Internet zahlreichen Angriffsmöglichkeiten und Gefahren ausgesetzt.
Doch welche sind dies und wie können Sie darauf reagieren bzw. damit umgehen?

Mit diesem Thema haben wir uns beschäftigt und wollen Ihnen heute mehr Klarheit über mögliche Gefahren bei der Nutzung diverser Cloud-Services geben.

Nachfolgende Risiken sind im Cloud-Computing gegeben und durchaus auch an der Tagesordnung:
  • Missbrauch und schädliche Nutzung von Cloud Computing
  • Unsichere Schnittstellen
  • Zugriff auf die Daten seitens des Cloud Anbieters, Dritter oder Geheimdienste
  • Risiken durch geteilte Technologien
  • Datenverlust und Datenmanipulation
  • Diebstahl von Benutzerkonten oder Cloud-Diensten

Beim Cloud Computing bleibt der Cloud Anwender verantwortlich nach dem Bundesdatenschutzgesetz (§ 3 Abs. 7 BDSG). Er ist daher weiterhin im Außenverhältnis für die Sicherheit der Daten verantwortlich.
Außerdem muss mit dem Cloud Anbieter ein Vertrag zur Auftragsdatenverarbeitung (ADV) nach § 11 BDSG geschlossen werden.

Im Vorfeld oder zu Beginn der Nutzung von Cloud-Services sollten folgende Maßnahmen unbedingt beherzigt werden:
  • Schutzniveau der Daten definieren (Sicherheitslevel)
  • Sicherer Transfer der Daten in die Cloud (z. B. Übertragung über VPN)
  • Sichere Datenverarbeitung (z. B. Zugriffe und Aktivitäten protokollieren)
  • Sicherer Zugang zu den Cloud-Diensten (z. B. starke Authentifizierungsmechanismen)
  • Sichere Datenarchivierung (verschlüsseltes archivieren)
  • Sichere Datenlöschung/-vernichtung

Datenübermittlung ins Ausland

Ein Großteil der Cloud Anbieter speichert die Daten außerhalb des EU/ EWR Raumes. Folge ist, dass der Abschluss eines ADV-Vertrages alleine nicht mehr ausreichend ist.

Für die Datenübermittlung bedarf es einer Rechtsgrundlage.
Außerdem muss das adäquate Datenschutzniveau hergestellt werden. Die Anbieter müssen also entweder nach dem Privacy Shield zertifiziert sein oder EU-Standardvertragsklauseln abschließen. Von den Aufsichtsbehörden wird in diesen Fällen überwiegend zusätzlich noch der Abschluss einer ADV-Vereinbarung für erforderlich gehalten.

Die ab Mai 2018 geltende DSGVO (europäische Datenschutz-Grundverordnung) sieht vor, dass die technisch-organisatorischen Maßnahmen des Auftragnehmers (Cloud-Anbieters) durch die Einhaltung geeigneter, genehmigter Verhaltensregeln (Code of Conduct) oder durch eine Zertifizierung nach DSGVO nachgewiesen werden.

Ausländische Cloud-Anbieter, die einen Service innerhalb der EU anbieten wollen, müssen die Vorgaben der DSGVO ebenso beachten wie die Anbieter aus der EU selbst (Marktortprinzip). Andernfalls sollen Nicht-EU-Anbieter keinen Zugang zum EU-Markt erhalten.

Computer Cloud

Wie Sie sehen, handelt es sich hier um ein sehr komplexes Thema. Sofern Sie sich unsicher sind und Hilfe benötigen, stehen wir Ihnen gern mit unserem Know-How zur Verfügung.

Bildquelle: www.pixabay.de

Kennen Sie die Gebote zum Datenschutz?

Organisationen, die personenbezogene Daten verarbeiten oder nutzen, müssen diesbezüglich laut Bundesdatenschutzgesetz (BDSG) diverse Schutzmaßnahmen treffen.
Allgemein bekannt sind diese als „8 Gebote des Datenschutzes“ geworden.

Damit Sie zum Thema Datenschutz bestens informiert sind, haben wir nachfolgend die „Gebote zum Datenschutz“ übersichtlich für Sie zusammengefasst.
Diese können Sie durch anklicken auch auf Ihrem eigenen Rechner speichern und damit zur Hand haben, wenn Sie diese benötigen.

Wichtige Datenschutz-Gebote