Alle Artikel zum Thema Datenschutz

Beiträge

In diesem Beitrag geht es nicht um Tutorials wie ich meinen Rechner mit VeraCrypt verschlüssele
oder wie meine E-Mails mit GNUpg sicherer mache. Eher um einen groben Überblick über
Möglichkeiten und Grenzen von Verschlüsselung.

Seit dem Menschen kommunizieren, stellen sie sich die Frage wie kann man Informationen von A nach B weitergeben ohne, dass ein Dritter Zugriff auf diese Informationen erhält.

Verschlüsselung

Wie kann man eine Depesche mit dem Standort der auf der Lauer liegenden Einheit so verschleiern, dass der Empfänger die Information zwar verarbeiten kann, ein anderer der die Depesche abfängt aber keine Rückschlüsse auf den Inhalt ziehen kann.

In unserer digitalisierten Welt spielen Depeschen oder gar Briefe eine eher untergeordnete Rolle. Durch das Buzzword „Cloud“ und auch die Aufdeckungen durch Edward Snowden ist die Datenverschlüsselung in aller Munde.

Wie kann ich meine Daten vor dem Zugriff anderer schützen?

Es gibt verschiedene Ansätze: Zum Einen wäre da die Kommunikation (Email, Messenger, Surfen) und zum Anderen die Speicherung von Daten.

Wichtig hierbei ist eins: Kann ich die Daten lesen, so sind sie nicht verschlüsselt und jeder könnte sie lesen.

Sicherheit

Das heißt verschlüsselt, also unlesbar sind die Daten nur, wenn sie unterwegs sind oder ich den Rechner nicht aktiv nutze.

Verschlüsselung hilft also nicht vor Trojanern und Keyloggern.

Auch wenn ich meine E-Mails stärker verschlüssele als die NSA, hilft mir das nichts, wenn mir beim Lesen in der U-Bahn jemand über die Schulter guckt.

 

Wichtiger ist der eigene Umgang mit Daten.
Welche Daten sollte man nicht in der Cloud speichern?
Welche Sicherheitskonzepte, abseits der Verschlüsselung nutze ich? (Anti-Virus- Software, regelmäßige Updates)

Zu diesem Thema haben wir Ihnen nachfolgend eine kleine, hilfreiche Linksammlung erstellt:

Mann an PC
Solltest du Fragen haben oder solltest du tiefergehendes Interesse oder gar Unterstützung zu diesem Thema benötigen, stehen wir dir gern zur Seite.

 

Bildquelle:www.pixabay.de

Die EU-Datenschutz-Grundverordnung (DSGVO) sieht ein Recht auf Vergessenwerden vor.

Vergessenwerden

Was bedeutet dies nun genau?

Wenn Betroffene nicht möchten, dass ihre Daten weiter verarbeitet werden und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden.

Im Absatz 1 des Artikels 17 der DSGVO heißt es dazu:

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:
a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.
c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.
d) Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.

 

Hierbei sind von der verarbeitenden Stelle Informationspflichten zu beachten.

Schon das Bundesdatenschutzgesetz (BDSG) fordert, dass von der

  • Berichtigung unrichtiger Daten,
  • der Sperrung bestrittener Daten sowie
  • der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung

die Stellen zu verständigen sind, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden. Die DSGVO führt aus, dass (auch) bei Veröffentlichung der Daten die anderen Stellen, die die Daten verarbeiten, von dem Löschwunsch bzw. der Löschverpflichtung zu informieren sind.

Security

 

Die Löschpflicht umfasst dabei neben den Daten und Datenkopien auch Links auf die Daten und Kopien.

Unternehmen, die personenbezogene Daten verarbeiten, sollten daher ein Löschkonzept haben, welches unter anderem klare Regeln darüber enthält,

  • wann was zu löschen ist
  • wo sich die Daten befinden und
  • wie sie verteilt wurden.

Bei der Erstellung eines Löschkonzeptes für Ihr Unternehmen sind wir Ihnen gerne behilflich.

Binärcode

Datenvermeidung und Datensparsamkeit – Wie schafft man das?

Datensparsamkeit? – Wie? Bei einer Warenbestellung im Internet beispielsweise, wird man aufgefordert eine Reihe persönlicher Daten preiszugeben. Auch bei der Anmeldung in sozialen Netzwerken, bei online-Registrierungen werden häufig viele personenbezogene Daten erfragt.

Datenvermeidung

Das Personalcontrolling in Unternehmen trägt Daten zusammen, um z.B. Personalstatistiken zu erstellen, zur Personalplanung und zum Risikomanagement u.ä.m. Dies sind nur einige von vielen Beispielen für das Sammeln von personenbezogenen Daten.

Datenvermeidung

Wie sieht es in diesem Zusammenhang mit Datenvermeidung und Datensparsamkeit aus?

Der § 3a des Bundesdatenschutzgesetzes sagt dazu folgendes aus:

„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.“

Und

„Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Es sollen somit nur die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind. Die willkürliche Ansammlung von Daten auf Vorrat ist nicht gestattet. Das Gebot der Datenvermeidung und Datensparsamkeit fordert von der verarbeitenden Stelle, die Umstände der Erforderlichkeit, die Zwecke und die Prozesse der Datenverarbeitung zu prüfen.

Neben dem verpflichtenden Charakter für Unternehmen sollte der §3a BDSG auch als Appell an jeden von uns verstanden werden. Gehen Sie sensibel mit Ihren persönlichen Daten um.

Daten werden insbesondere im Internet zunehmend leichtfertig herausgegeben und stehen somit für Auswertungen und Weitergabe zur Verfügung, ohne dass der Betroffene noch eine Verfügung darüber hat.

Arbeitnehmer, die an ihrem Arbeitsplatz einen PC mit Internetzugang haben, könnten diesen nicht nur zur Verrichtung ihrer dienstlichen Aufgaben verwenden, sondern auch für private Dinge nutzen – auf Webseiten surfen, private Mails abrufen und beantworten u.ä.m.

Zwar haben Unternehmen in der Regel dazu entsprechende Vereinbarungen abgeschlossen, die die private Nutzung von Internet und E-Mail entweder erlauben, dulden oder gänzlich verbieten, jedoch können diese Vereinbarungen bei einem Verbot in Einzelfällen nicht die tatsächliche private Nutzung unterbinden.

Büroarbeit

Von daher sind manche Unternehmen dazu übergegangen, die Nutzung per Keylogger zu überwachen. Ein Keylogger ist ein sogenannter Tasten-Protokollierer, der dazu dient, sämtliche Tastenanschläge des Computernutzers zu speichern und zu überwachen. Er kann als Programm auf einem Computer installiert oder als Hardware-Modul zwischen den Rechner und die Tastatur gesteckt werden. Dabei werden auch hochsensible Daten, wie persönliche Passwörter und PINs, miterfasst. Auch Screenshots vom Computer-Bildschirm können so angefertigt werden.

Ist die Mitarbeiter-Überwachung mit Hilfe eines Keylogger zulässig?

Eindeutig nein!

Keylogger

Nachdem bereits Vorinstanzen entsprechend geurteilt hatten, hat nun das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (2 AZR 681/16) folgendes festgestellt:

der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht.

Der heimliche Einsatz von Spähsoftware stellt einen massiven Eingriff in das Recht des Mitarbeiters auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) dar.

 

Bildquelle: https://pixabay.com/

Welches Unternehmen verwendet nicht gern Mitarbeiterfotos? Folgende Beispiele zeigen beliebte Verwendungsmöglichkeiten.

  1. Eine Betriebsfeier steht an, und ein Mitarbeiter fotografiert die Veranstaltung, um die Fotos dann später in das Firmen-Intranet zu stellen.
  2. Für die neue Unternehmens-Broschüre und den Internet-Auftritt werden Arbeitsplätze/Arbeitssituationen und Mitarbeiter fotografiert.
  3. Im Facebook-Auftritt des Unternehmens werden Mitarbeiter mit Aufgabengebiet und Foto vorgestellt.
Mitarbeiterfotos

Beispiel 1: Betriebsausflug

Mitarbeiterfotos

Beispiel 2: Titelbild einer Unternehmensbroschüre

Verwendung von Mitarbeiterfotos -Ist das rechtlich ohne weiteres möglich?

Bereits die Anfertigung einer Fotografie setzt aufgrund des allgemeinen Persönlichkeitsrechts in der Regel die Erlaubnis des Mitarbeiters voraus.

Es drängt sich daher zurecht die Frage auf, ob und vor allem wie diese Mitarbeiterfotos im Anschluss gegebenenfalls genutzt werden dürfen. Das entscheidende Gesetz hierfür ist das Kunsturhebergesetz. § 22 bestimmt für Mitarbeiterfotos zunächst den Grundsatz:

Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt.

Im § 23 sind diverse Ausnahmen genannt, zum Beispiel Bildnisse aus dem Bereich der Zeitgeschichte oder wenn es sich um Bilder von Versammlungen oder ähnlichem handelt.

Um die Verwendung von Mitarbeiterfotos somit auf eine rechtlich einwandfreie Basis zu stellen, sollten folgende Punkte beachte werden:

  • keine heimliche Anfertigung von Fotos
  • ist geplant Mitarbeiterfotos öffentlich zu verwenden, so sollte eine schriftliche Einwilligung der betreffenden Personen eingeholt werden
  • diese sind jedoch nur wirksam, wenn die Einwilligungen freiwillig, also ohne Druck oder gar Androhung von Konsequenzen, abgegeben werden
  • in der Einwilligung sollte der Verwendungszweck und das Veröffentlichungsmedium konkret benannt werden
  • und schlussendlich sollten Angaben zu einer eventuellen (oder fehlenden) Vergütung enthalten sein

Auch hier wird wieder deutlich, wie wichtig es ist sich mit dem Datenschutz auseinander zu setzen.

Im Zweifelsfall den Datenschutz-Beauftragten einschalten. Wir helfen auch bei der Formulierung einer solchen Einwilligung. Sie erreichen uns jederzeit unter der Rufnummer 030 3309626-0 oder per E-Mail unter kontakt@lorop.de

Jedes Unternehmen führt über seine Mitarbeiter eine Personalakte. Hier sind alle Unterlagen zusammengefasst, die mit dem Arbeitsverhältnis im Zusammenhang stehen.

Dies sind beispielsweise die Bewerbung des Mitarbeiters, dessen Zeugnisse, der Arbeitsvertrag, Angaben zur Kranken- und Rentenversicherung u.ä.m.

Nicht in die Personalakte gehören u.a. Notizen des Arbeitgebers über die Arbeitsleistung des Arbeitnehmers oder eine Liste von Krankheitstagen und Krankheitsgründen. Gleiches gilt auch für die Religionszugehörigkeit oder die politische Ausrichtung des Arbeitnehmers.

Männchen

Die elektronische Personalakte, die mittlerweile vielerorts verwendet wird, ist nichts anderes als eine Sammlung dieser Unterlagen durch ein EDV-System. Dieses ersetzt dann die konventionelle Papierakte.

Bei der automatisierten Verarbeitung der personenbezogenen Daten und der Führung einer solchen digitalen Akte spielt der Datenschutz eine besondere Rolle.

Die Datenverarbeitung unterliegt hier einem Verbot mit Erlaubnisvorbehalt. Das heißt, die Erhebung, Verarbeitung und Nutzung der Daten ist in der Regel nur mit der Einwilligung des betroffenen Mitarbeiters möglich.

Der Arbeitgeber muss den Arbeitnehmer vor dessen Einwilligung auf den vorgesehenen Zweck der Datenspeicherung hinweisen, sowie ggf. auf die Folgen bei Verweigerung der Einwilligung.

Diese Einwilligung muss schriftlich, kann jedoch auch im Rahmen des Arbeitsvertrages erfolgen. Wichtig ist dann, dass dies im Vertragstext besonders hervorgehoben werden muss. Ohne Einwilligung des Mitarbeiters ist die Führung der elektronischen Personalakte auch dann möglich, wenn die Speicherung seiner Daten der Zweckbestimmung des Arbeitsverhältnisses entspricht.

Personalakte

Der Arbeitnehmer hat laut den Vorschriften des Betriebsverfassungsgesetzes das Recht zur Einsicht in seine Personalakte, inklusive der Möglichkeit, sich Notizen zu machen. Die Möglichkeit der Einsichtnahme besteht ohne Nachweis des Grundes.

Führen Sie bereits elektronische Personalakten und es bestehen noch Unsicherheiten oder möchten Sie zukünftig elektronische Personalakten führen? Bei Fragen stehen wir Ihnen natürlich gern mit Rat und Tat zur Seite!

Die (Sommer)Urlaubszeit hat begonnen! Viele befinden sich schon im Urlaub oder sind auf dem Weg dorthin. Letzte Arbeiten sind vor der Abwesenheit sind zu erledigen, damit während dieser Zeit auch weiterhin alles rund läuft.

on vaccation

Was haben Sie für Ihre Abwesenheit mit Ihrem dienstlichen E-Mail-Account geplant?
Ruht dieser und bleiben alle Mails ungelesen?

Hier besteht natürlich die Gefahr, dass wichtige Mails nicht bearbeitet und ggfs. Fristen versäumt werden. Gleiches gilt für die Abwesenheit wegen Krankheit.
Gerne wird in diesem Fall eine Weiterleitung der Mails an Kollegen eingerichtet oder Zugriffsrechte für Andere auf den E-Mail-Account eingeräumt.

eule

Die Frage ist, ob solche Weiterleitungen oder die Vergabe von Zugriffsrechten mit dem Datenschutz konform gehen?

Hierzu haben wir folgende Möglichkeiten für Sie:

    • Sie lesen während Ihrer Abwesenheit Ihre Mails und beantworten diese – dann benötigen Sie keine Weiterleitung oder müssen keine Zugriffsberechtigung vergeben. Sinnvoll ist dies jedoch nicht, denn Urlaub ist Urlaub und Krankheit ist Krankheit – vielleicht ist man auch gar nicht in der Lage, seine E-Mails zu lesen.
    • Sie richten eine Weiterleitung ein oder vergeben Zugriffsrechte. Es gibt jedoch für diese Fälle keine eindeutige Rechtsprechung. Entscheidend ist auf jeden Fall, ob in Ihrem Unternehmen die private Nutzung Ihres dienstlichen E-Mail-Accounts erlaubt ist. Ist dies der Fall, dann ist nach bisheriger Meinung der Zugriff auf Ihre Mails durch Vorgesetzte oder Kolleg/innen nicht zulässig. Ihr Vorgesetzter dürfte auch nicht von Ihnen verlangen, dass Sie dem Zugriff auf Ihren E-Mail-Account zustimmen – es würde dann nämlich an der erforderlichen Freiwilligkeit der Zustimmung fehlen. Im Übrigen geht es grundsätzlich auch darum, dass der Absender sicher sein kann, dass seine Mail bei dem von ihm gewünschten Adressaten ankommt, um ihn ggfs. vor Schaden zu bewahren.
    • Die beste Lösung ist sicherlich, einen Auto-Responder (Abwesenheits-Benachrichtigung) einzurichten. Weisen Sie darauf hin, dass Ihre Mail nicht weitergeleitet wird. Informieren Sie den Absender der Mail über die Dauer Ihrer Abwesenheit. Optimal ist, wenn Sie außerdem Ihre Vertretung angeben, mit Namen, E-Mail-Adresse und ggfs. Telefonnummer. Der Absender kann so sicher sein, dass seine Mail nicht unbefugt gelesen wird und kann selber entscheiden, ob sein Anliegen von einer anderen Person bearbeitet werden soll, oder er lieber auf Ihre Rückkehr wartet.

 

Nun sind Sie bestens vorbereitet und können Ihren Urlaub genießen oder sich bei Abwesenheit durch Krankheit in Ruhe auskurieren.

Für den Sommerurlaub wünschen wir Ihnen erholsame Tage und einen wundervollen Urlaub 🙂

Abwesenheit

 

Bildquelle: pixabay