Datenschutz News 2020-01
Arbeitsmedizin, Arbeitssicherheit, Elektro-Check, Brandschutz: CompanyCheck Deutschland GmbH
Informationsschreiben Datenschutzrecht & Arbeitsrecht
 
Januar 2020                                                           
Ausgabe 1/2020
____________________________________________________________________

Rückblick 2019

 
• Datenschutz-Verstöße  • Schonfrist vorbei! • Datenpannen • Hackerangriff • Passwort
• Zwischenbilanz • Videoüberwachung • Cookies-Hinweis • Masern-Impfpflicht
• Arbeitszeiterfassung • Urlaubsanspruch
________________________________________________________________________________
 
Datenschutz-Verstöße: Zahl der Bußgelder ist drastisch gestiegen

Die Dateschutzverstöße werden immer häufiger geahndet seit der Geltung der neuen EU-Regeln. Auch die Aufsichtsbehörde registrierten Zigtausende Datenpannen. Der oberste Datenschützer Ulrich Kelber verhängte ein saftiges Bußgeld in Höhe von 9,6 Mio. Euro gegen den Mobilfunk- und Festnetzkonzern 1&1 Drillisch. Der Grund: Das Konzern schützte sich nicht ausrechend, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. Die Aufsichtsbehörde wertete das als systematischen Verstoß. Seit der Einführung der Datenschutzgrundverordenung (DSGVO) im Mai 2018 ist immer wieder von einzelnen Bußgeldern zu hören. Laut einer Umfrage unter den Datenschutzbeauftragten der Länder zeigt jetzt: Im Jahr 2019 wurden mehr als 187 Bußgelder verhängt. Ein drastischer Anstieg. Denn zuvor hatten die Aufsichtsbehörden erst 40 Bußgelder ausgesprochen. Seit der Geltung der DSGVO im Mai 2018 wurden insgesamt 225 Bußgelder verhängt. Die meisten Datenschutz-Verstöße wurden in NRW verhängt. 2019 wurden hier 64 Bußgelder (2018:33) angeordnet. Gefolgt von Berlin mit 44 (2018:2), Niedersachsen mit 19 (2018:0) und Baden-Württemberg mit 17 (2018:2). Das Saarland verhängte in 6 Fällen Bußgelder (2018:1).


Die Schonfrist ist vorbei!!!

Viele Aufsichtsbehörden weisen auf die Verstöße gegen die DSGVO hin und es gibt vereinzelt Sanktionen oder Bußgelder. Laut dem Bundesdatenschutzbeauftragten könnten weitere Bußgelder und Sanktionen auf Unternehmen zukommen. Die Aufsichtsbehörden sehen darin ein wirksames Mittel gegen den mangelhaften Datenschutz. Doch deren Ziel ist es nicht möglichtst viele Geldbußen zu verhängen. Ein Verstoß gegen den Datenschutz muss schon eine gewisse Schwere aufweisen, um zu einer Geldbuße zu führen. Besonders grob fahrlässige oder vorsätzliche Missachtung von datenschutzrechtlichen Vorschriften kann zu Strafen führen. So wurde beispielsweise der Telekommunikationsanbieter Rapidata mit 10.000 € sanktioniert, weil das Unternehmen nach mehrfacher Aufforderung durch die Aufsichtsbehörde keinen Datenschutzbeauftragten benannt hatte. Natürlich muss man sich ein wenig mit der DSGVO auseinandersetzen, um diese richtig anwenden zu können. Jedes Unternehmen hat die Pflicht, dieser Aufgabe nachzukommen. Um nicht ins Visier der Aufsichtsbehörden zu geraten, empfiehlt sich insbesondere mit der Außendarstellung zu beschäftigen: Mit einer verschlüsselten Homepage, einer umfassenden und aktuellen Datenschutzerkärung und mit einem internen oder externen Datenschutzbeauftragen können Unternehmen zeigen, dass sie das Thema Datenschutzrecht ernst nehmen und sich mit der DSGVO auseinandersetzen.
 
Die häufigsten Datenschutzverletzungen

In der EU sind seit Inkrafttreten der DSGVO mehr als 40.000 Datenpannen registriert worden, die meisten davon in Deutschland. Saftige Bußgelder waren die Folge. Besonders viele Datenpannen wurden in Arztpraxen und im Gesundheitssektor registriert. Im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten (z.B. Gesundheitsdaten) verarbeitet. Daher ist es besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird. Die am häufigsten gemeldeten Datenpannen waren: Postfehlversand, Hackingangriffe, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Verlust eines Datenträgers sowie Fax-Fehlversand. Aufgrund des fehlerhaften Umgangs mit Daten wurden bislang von der Bußgeldstelle des Datenschutzbeauftragten Bußgelder in Höhe von 207.140 € verhängt. Die höchsten Bußgeldbescheide waren die Folge von Datenpannen. In einem Fall wurden versehentlich Gesundheitsdaten veröffentlicht und im anderen Fall wurden personenbezogene Daten unsachgemäß entsorgt. Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Hackerangriff: Was tun?

Wie schützt man eigentlich seine Daten in einer digitalen Welt? Man kann Vorkehrungen treffen, um nicht Opfer von Cyberkriminalität zu werden. Würmer, Trojaner, Viren und Phishingattaken sind handfeste Gefahren bei der Arbeit am PC, beim Surfen im Internet oder mit dem Smartphone. Diese Sicherheitstipps sollten beherzigt werden: Ein sicheres Passwort hilft gegen Hackerangriffe.
Die deutschen Klassiker „12345“ und „passwort“ sind absolut unsicher, trotzdem werden sie am häufigsten verwendet. Für die Sicherheit eines Passwortes gibt es vor allem zwei Kriterien. Zum einen gilt: Je länger, desto sicherer. Zum anderen sollten keine identen Passwörter verwendet werden. Denn: Ist das Passwort einmal geknackt, hat der Hacker leichtes Spiel.
Firewall und Virenschutz gegen Datenmissbrauch.
Man sagt, eine Firewall ist wie ein Türsteher. Sie achte darauf, dass keine unerwünschte Gäste ins System kommen. Wenn jedoch eine Schadsoftware durchgeschlüpft ist, hilft ein Virenscanner beim Aufspüren. Eine geeignete Software kann man herunterladen. So schützen Sie sich vor Heckerangriffen: Daten mit Vorsicht behandeln, Updates machen und Backups und Datensicherung nicht vergessen!!!
 
 
Das perfekte Passwort

Hackern wird es teilweise sehr einfach gemacht das Passwort zu knacken. Die Notwendigkeit ein starkes Passwort zu nutzen wird daher immer wichtiger. Man sollte einem Hacker durch die Verwendung eines starken Passwortes so schwer wie möglich machen an die begehrten Daten zu kommen- nicht nur im privaten Umfeld sondern auch in Ihrem Unternehmen.

Gestaltung eines starken Passwortes. Mindestens 8 Zeichen. Kombination aus Groß-Kleinbuchstaben, Sonderzeichen und Ziffern. Keine Verwendung von Trivialpasswörtern, die leicht zu erraten sind (z.B. Name, Geburtsdatum usw.).

Sichere Aufbewahrung. Der Aufkleber am Bildschirm mit dem Passwort macht es zwar für den Nutzer einfach sich das Passwort zu merken, jedoch erleichtert dies auch einem Unbefugten den Zugang zum Computer.
Zwischenbilanz: Wer für DSGVO-Verstöße zahlte

Laut einer Untersuchung von PreciseSecurity.com sind seit Mai 2018 über 90.000 Meldungen über Datenlecks bei der europäischen Datenschutz-Institutionen eingegangen. Die Folgen solcher Meldungen können finanziell schwerzhaft sein. Die Statista-Grafik (siehe rechts) zeigt die höchsten Bußgeldzahlungen aufgrund der DSGVO-Verstöße im Jahr 2019. Absoluter Spitzenreiter ist die British Airways. Die Fluglinie hatte sensible Daten offen zugänglich ins Netz gestellt. Die Folge war über 200 Mio. €  Bußgeld. Die Hotelgruppe Marriot musste über 110 Mio. € Strafe zahlen, weil Hacker die Daten von mehr als 300 Millionen Kunden/innen aus ihrem IT-System stehlen konnten. Die bislang höchste Strafe für ein deutsches Unternehmen wurde über die Deutsche Wohnen verhängt. Der nachlässige Umgang mit Daten von Mieter/innen hat ein Bußgeld in Höhe von 14,5 Mio. € zur Folge. Laut einer Bitkom-Umfrage aus September 2019 sind nur 25 Prozent der Unternehmen vollständig DSGVO-konform- das sind nur zwei Prozentpunkte mehr als im September 2018.  Quelle: statista                     
Videoüberwachung

Videoüberwachung ist die Beobachtung von Orten durch optisch-elektronische Einrichtungen (optische Raumüberwachung). Oft erfolgt diese Überwachungsform in Verbindung mit der Aufzeichnung und/oder Analyse der gewonnen Daten. Die Bilddaten werder in der Regel digital gespeichert und können durch eine Software analysiert werden. Personen können z.B. mit Gesichtserkennung automatisch identifiziert oder von sich bewegenden Fahrzeugen die Kfz-Kennzeichen automatisch erkannt werden.

Persönlichkeitsschutz im Beschäftigungsverhältnis. Unabhängig von der Art der Überwachung, der Kontrolle der Arbeitnehmer und den insoweit anfallenden Verarbeitung personenbezogener Daten hat der Arbeitgeber – aufgrund seiner speziellen Verpflichtung aus § 75 Abs. 2 BetrVG bzw. aufgrund der Rücksichtsnahmepflicht des § 241 BGB- den Anspruch des Arbeitnehmers auf Persönlichkeitsschutz (Art. 2 Abs. 1 GG) in Gestalt des informationellen Selbstbestimmungsrechts zu beachten. Extrem wichtig ist es, den Grundsatz der Verhältnismäßigkeit zu prüfen und ausdreichend zu dokumentieren, insbesondere bei Abstellung auf Rechtmäßigkeit des berechtigten Intresses. Videoüberwachung ist nicht standardgemäß eine Notwendigkeit (das mildeste Mittel), wenn es andere Mittel (z.B. Alarmanlage) gibt, um den zugrundeliegenden Zweck zu erreichen.

Transparenzanforderung und Hinweisbeschilderung. Der Verantwortliche hat auf eine Videoüberwachung auf Grundlage des Art. 13 DSGVO zu informieren und seinen Informationspflichten nachzukommen.
 
>> Der Datenschutz schützt keine Daten, sondern unsere Menschenwürde und Privatsphäre<<
 
Cookies-Hinweis: EuGH Urteil (Az.: C 673/17)

Was sind Cookies? Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Homepage zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Webseite den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft. Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Homepage vorgenommen hat.
Beispiele: Sprache, Angaben zur Zeit, persönliche Daten, Name, E-Mail-Adresse usw. Das Urteil vom EuGH schreibt vor, dass Nutzer ihre Einwilligung aktiv erteilen müssen. Das geht nur indem Webseiten-Betreiber darüber informieren, welche Art Cookies sie nutzen- und dem Nutzer die Möglichkeit geben, selbst über Anklick-Boxen zu entscheiden, mit welchen Cookies sie einverstanden sind (Opt-in-Lösung). Webseiten-Betreiber haben die Pflicht, die Nutzer klar und umfassend darüber zu informieren, welche Art Cookies wie lange genutzt werden- und inwieweit sowie für welche Dauer Zugriff auf die erhobenen Daten erhalten.
Masernpflicht (ab März 2020)

Die Impfpflicht gilt ab 1. März 2020 für Kindertagesstätten, Schulen, andere Gemeinschaftseinrichtungen, bei der Tagespflege und in Flüchtlingsunterkünften. Eltern müssen dann vor der Aufnahme ihrer Kinder in Kitas oder Schulen nachweisen, dass diese geimpft sind. Auch das Personal der Einrichtungen, wie Mitarbeiter medizinischer Einrichtungen müssen geimpft werden. Wenn ein Mitarbeiter sich weigert, dann darf er /sie keine Tätigkeit mehr aufnehmen und ihm/ihr droht ein Bußgeld von bis zu 2.500 €. Zuständig für die Überwachung und Bußgelder sind die örtlichen Gesundheitsämter. Arbeitsrechtliche Konsequenzen können Abmahnungen oder im schlimmsten Fall die Kündigung sein.

>> Das deutsche Datenschutzrecht ist, das Recht auf informationelle Selbstbestimmung, d.h. dass jeder grundsätzlich selbst entscheiden kann, welche seiner personenbezogenen Daten zugänglich gemacht werden <<
Arbeitszeiterfassung: EuGH Urteil (Az.: C-55/18)

Der Europäische Gerichtshof (EuGH) hat Arbeitgeber in der EU dazu verpflichtet, die Arbeitszeit ihrer Mitarbeiter/innen systematisch und vollständig zu erfassen. Nur so lasse sich überprüfen, ob zulässige Arbeitszeiten überschritten würden. Wenn Schichtarbeit und Gleitzeit vollständig dokumentiert wird (z.B. Dienstplan), da muss sich nichts ändern. Komplizierter wird es bei der Vertrauensarbeitszeit. Den größten Handlungsbedarf haben Unternehmen, die bislang kaum oder nur unsystematisch die Arbeitzeit erfassen. Wie genau das Erfassungssystem zu gestalten ist, gibt der EuGH nicht vor. Aber er sagt ganz klar: Ziel ist, die Gesundheit und Sicherheit der Arbeitnehmer zu schützen und Überforderung zu vermeiden.

Ein verlässlich, zugängliches und objektives System. Es muss also genau geregelt sein, wann die Arbeitszeit beginnt und wann sie endet. Die Daten müssen richtig erfasst sein, auf aktuellem Stand und möglichst vor Manipulation geschützt. Das System muss einsehbar sein, damit etwa auch Behörden oder Betriebsräte die Arbeitszeiten nachprüfen können.
 
Verfall von Urlaubsansprüchen (EuGH Urteil Az.: C-684/16)

Das Bundesarbeitsgericht hat die EuGH-Vorgaben zum Urlaubsrecht umgesetzt. Damit verfallen Ansprüche nicht mehr automatisch. Die Entscheidung könnte auch für vermeintlich verfallende Urlaubstage gelten. Der EuGH ist der Meinung, dass Urlaubsansprüche nur dann automatisch verfallen, wenn der Arbeitnehmer tatsächlich in der Lage war, seinen bezahlten Jahresurlaub zu nehmen. Dies sei aber nur dann anzunehmen, wenn der Arbeitgeber den Arbeitnehmer erforderlichenfalls sogar dazu auffordert, den Urlaub zu nehmen und ihm mitteilt, dass der nicht genommene Urlaub am Ende des zulässigen Übertragungszeitraums oder am Ende des Arbeitsverhältnisses verfallen wird.
Der Verfall von Urlaub kann allerdings in der Regel nur dann eintreten, „wenn der Arbeitgeber den Arbeitnehmer zuvor konkret aufgefordert hat, den Urlaub zu nehmen und ihn klar und rechtzeitig darauf hingewiesen hat, dass der Urlaub andernfalls mit Ablauf des Urlaubsjahres oder Übertragungszeitraum erlischt.“
Dokumentieren, auffordern und hinweisen. Um sich auf einen automatischen Verfall von Urlaubsansprüchen berufen zu können, werden die Unternehmen in Zukunft nachweisen müssen, dass sie die vom BAG aufgestellten Anforderungen eingehalten haben. Deshalb sollten entsprechende Mitteilungen an die Arbeitnehmer zumindest in Textform erfolgen und in geeigneter Weise. archiviert werden. Nach den Vorstellungen des BAG soll jeder Arbeitnehmer „konkret aufgefordert“ werden, den Urlaub zu nehmen.

Wir verbleiben bis zum nächsten Informationsschreiben mit schönen Grüßen.

Swetlana Winter (CompanyCheck Deutschland GmbH)
________________________________________________

Aktuelle Informationen erhalten Sie auch weiterhin immer auf unserer Website und auf den unten aufgeführten Social Media Plattformen.
facebook instagram linkedin xing
Bei Fragen schreiben Sie uns gerne eine Mail oder hinterlassen Ihre Daten, damit wir uns persönlich bei Ihnen melden können.

CompanyCheck Deutschland GmbH – Schillerstrasse 47/49 – 22767 Hamburg
Geschäftsführer: Thorsten Thomsen & Ingo Passoth
Tel.: 040 540903150 – Fax: 040 540903159 - Email: info@companycheck-deutschland.de
www.companycheck-deutschland.de
Registergericht: Hamburg – HRB 142341 – Steuernummer.: 41/712/03738 - USt.IdNr.: DE306929643
Bankverbindung: Kreissparkasse Herzogtum Lauenburg IBAN: DE06 2305 2750 0086 0428 76 BIC: NOLADE21RZB
Oder kontaktieren Sie uns über unser Online Formular

VERBINDEN SIE SICH MIT UNS

Folgen Sie uns in den Social Networks

CompanyCheck Deutschland GmbH auf Facebook
CompanyCheck Deutschland GmbH auf YouTube
CompanyCheck Deutschland GmbH auf XING
CompanyCheck Deutschland GmbH auf LinkedIn

CompanyCheck Deutschland

040-540903150

info@companycheck-deutschland.de