Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

November 11 2019

Datenleck bei Online-Comic-Editor ToonDoo: 6 Millionen Nutzerdatensätze kopiert

Datenleck Online-Comic-Editor ToonDoo: 6 Millionen Nutzerdatensätze kopiert

Comic-Fans mit ToonDoo-Account sollten ihr Passwort ändern, denn Unbekannte haben im August Nutzerdaten von der Plattform abgegriffen.

searx-Instanz: Nachtrag zu www.kuketz-suche.de

In den letzten zwei bis drei Wochen habe ich viel Zeit mit der Optimierung und Verbesserung der searx-Instanz www.kuketz-suche.de verbracht. Dabei stieß ich regelmäßig auf ein Problem, das die Benutzung der searx-Instanz praktisch unmöglich macht – im Beitrag »searx-Instanz: Einstellungen, Hintergründe und Infos zu www.kuketz-suche.de« hatte ich es unter Ziffer »3.2 Vergabe von mehreren IP-Adressen« bereits angeschnitten:

[…] Mit steigender Anzahl von Benutzern lieferten einige Suchmaschinen allerdings keine Ergebnisse an die searx-Instanz zurück. Auch hier war die Ursache, dass zu viele Suchanfragen, in einem kurzen Zeitfenster, an die Suchmaschine(n) gestellt wurden. Im Gegensatz zu Google blendet Bing und Co. keine CAPTCHAs ein, sondern liefert einfach keine Ergebnisse mehr zurück bzw. sperrt die anfragende IP-Adresse der searx-Instanz temporär. Daher habe ich die searx-Instanz mit zwei weiteren IPv4-Adressen ausgestattet, die Suchanfragen an die Suchmaschinen weiterreichen.

Allerdings hat sich nun gezeigt, dass die zusätzlichen IP-Adressen nicht die erhoffte Lösung ist. Auch die zusätzlichen IP-Adressen kamen letztendlich auf eine Art »Blacklist« und Suchmaschinen wie Startpage lieferten keine Ergebnisse mehr. Zeitweise bin ich daher auf das Tor-Netzwerk ausgewichen bzw. alle Suchanfragen wurden über das Tor-Netzwerk gestellt – die anfragende IP-Adresse bei den Suchmaschinen hat sich dauerhaft verändert bzw. war die eines Tor-Exit-Nodes. Allerdings war die Geschwindigkeit deutlich langsamer.

Die letzten Tage habe ich dann an einer Lösung gearbeitet, die bisher vielversprechend zu sein scheint. Ob es allerdings so bleibt muss ein Langzeittest zeigen. Mit Details halte ich mich an dieser Stelle bewusst zurück und warte mal die nächsten Wochen ab.

Mitmachen: Hilf mit die Spendenziele zu erreichen!

November 10 2019

Datenschutzkonferenz 2020 – Eine Konferenzempfehlung für April 2020

Letztes Jahr habe ich das erste Mal an der „Datenschutzkonferenz“ in Düsseldorf teilnehmen dürfen.

Ein tolles Event für „Datenschützer“. Und auch im nächsten Jahr findet die „Datenschutzkonferenz“ wieder statt. Und zwar vom 27.04.2020 bis 29.04.2020.

Wer sich näher für die Inhalte interessiert, der kann sich dieses persönliche Video von mir anschauen:

Achtung: Wer sich bis zum 20.11.2019 mit meinem Formular anmeldet, kann 50,00 € sparen.

Das Formular mit dem Rabattcode findest du hier:

USA: Militär, Grenzschutz und Polizei bauen riesiges Biometrie-Überwachungsnetz

USA: Militär, Grenzschutz und Polizei flechten riesiges biometrisches Überwachungsnetz

Neben dem Department of Homeland Security baut auch das Pentagon eine Biometriedatenbank auf, in der bereits 7,4 Millionen Identitäten gespeichert sind.

November 09 2019

E-Evidence: EU-Datenschützer sieht Grundrechte beim Cloud-Zugriff nicht gewahrt

E-Evidence: EU-Datenschützer sieht Grundrechte beim Cloud-Zugriff nicht gewahrt

Der Vize-EU-Datenschutzbeauftragte Wojciech Wiewiórowski fordert Korrekturen an dem Plan, grenzüberschreitend Beweismittel wie E-Mails zugänglich zu machen.

November 08 2019

Web-Summit-Resümee: Die IT-Industrie auf der Suche nach Vertrauen

Web-Summit-Resümee: Auf der Suche nach Vertrauen

In Lissabon forderten Politiker und Netzaktivisten ein Umdenken bei der Ausbeutung von Daten. Vielleicht nur ein Goodie, meint c't-Redakteur Hartmut Gieselmann.

DuckDuckGo bringt Privacy-Erweiterung zurück in Apple-Browser Safari

DuckDuckGo bringt Privacy-Erweiterung zurück in Apple-Browser Safari

Die Suchmaschine musste bedingt durch Apples Änderungen ihre Safari-Extension neu auflegen. Sie blockiert Tracker und gibt Datenschutznoten.

heise+ | GPS-Überwachung von Firmenwagen: Was erlaubt ist und was nicht

GPS-Überwachung von Firmenwagen

GPS-Tracker in den Dienstwagen erlauben es dem Chef, die Wege seiner Leute präzise zu verfolgen. Die umfassende Überwachung birgt jedoch rechtlichen Zündstoff.

Muss ich die Namen von eingestellten Bewerbern an die Agentur für Arbeit übermitteln?

Der Bereich Sozialdatenschutz gehört nicht gerade zu den von mir favorisierten Bereichen. Warum ist das so? Das lässt sich leicht erklären.

Das Problem mit dem Sozialdatenschutzrecht

Das deutsche Sozialrecht ist ein historisch dicht gewachsener Rechtsdschungel. Das meine ich gar nicht unbedingt negativ. Schließlich wissen wir heute, wie wichtig z.B. Regenwälder oder dichte Wälder für unser Weltklima sind.

Aber Regenwälder und Dschungel sind eben häufig schwer zu durchdringen und zu durchblicken. Und so ist es auch mit dem Sozialrecht.

Datenschutzrecht im Bereich der öffentlichen Stellen ist in der Regel einfach konstruiert. Denn im Grundsatz dürfen öffentliche Stellen die personenbezogenen Daten verarbeiten, die erforderlich sind, um die die ihnen gesetzlich übertragene Aufgabe erfüllen bzw. wahrnehmen zu können.

Im Sozialdatenschutzrecht kommen dann noch bereichsspezifische Rechtsvorschriften hinzu, die speziell die Sozialdaten schützen. Hintergrund ist der hohe Schutzbedarf der Daten. Und so gibt es nicht nur Sonderregelungen zum Datenschutzrecht im SGB X, sondern auch in Einzelregelungen der einzelnen anderen Sozialgesetzbücher.

Und so ist das Ganze eben doch recht unübersichtlich, wenn damit nicht jeden Tag „Vollzeit“ zu tun hat.

Hier die Frage zur Übermittlung von Namen bei Neueinstellungen

Über die nachfolgende Frage bzw. Anmerkung eines Datenschutz-Coaching-Mitglieds habe ich mich dennoch aber gefreut:

Eine Stellenausschreibung erfolgt (auch) über die Arbeitsagentur. Das Unternehmen erhielt nun von einer Sachbearbeiterin der Arbeitsagentur die Aufforderung, bei einer Stellenbesetzung zwingend auch den Namen des eingestellten Bewerbers mitteilen zu müssen, auch wenn dieser NICHT über einen Vermittlungsvorschlag der Arbeitsagentur vermittelt wurde (und dann den entsprechenden Meldebogen vorgelegt hätte). Eine eingeschränkte Information, DASS die Stelle besetzt wurde, würde nicht ausreichen, es müsse der Name des Eingestellten übermittelt werden. Dementsprechend müsste auch die Datenschutzerklärung des Arbeitgebers angepasst werden.

Die Frage, die sich aus dieser Anmerkung ergibt, ist diese: Sind Arbeitgeberinnen rechtlich verpflichtet, bei Neueinstellungen die Namen der Betroffenen an die Agentur für Arbeit mitzuteilen?

Ergänzend hat das Datenschutz-Coaching-Mitglied angegeben, dass die Agentur für Arbeit auf Nachfrage zu den Rechtsgrundlagen der Datenverarbeitung bzw. Auskunftspflicht sinngemäß diese Angaben gemacht hat:

Bei nicht von der Arbeitsagentur vorgeschlagenen Bewerberinnen muss die Arbeitgeberin ihrer Informationspflicht bei Neueinstellungen selbständig nachkommen.

Die Befugnis der Bundesagentur für Arbeit zur Datenerhebung bei der Arbeitgeberin resultiert aus § 67a Abs. 2 Nr. 2b SGB X. Die Übermittlungsgrundlage für die Arbeitgeberin an die Bundesagentur für Arbeit ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 39 SGB III.

Meine erste Reaktion

WTF! Das habe ich noch nie gehört, dass Arbeitgeberinnen bei Neueinstellungen den Namen an die Agentur für Arbeit zu melden haben. Auch die genannten Rechtsgrundlagen scheinen mir da nicht unbedingt einschlägig zu sein.

Nachvollziehbar ist, dass bei Neueinstellungen, bei denen von der Agentur für Arbeit bzw. einem Jobcenter vermittelte Bewerberinnen am Stellenauswahlverfahren teilnehmen, eine Mitteilung an die Bundesagentur für Arbeit zu erfolgen hat, aus der sich ergibt, dass die betreffenden vermittelten Bewerberinnen die Stelle nicht bekommen haben.

Dies ergibt sich auch aus § 39 Abs. 1 SGB III, wonach Arbeitgeberinnen, die Vermittlungsdienstleistungen der Agentur für Arbeit in Anspruch nehmen und die für eine Vermittlung erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.

Ferner lässt sich im Umkehrschluss § 39 Abs. 3 Nr. 2 SGB III heranziehen, wonach sich ergibt, dass die Agentur für Arbeit Vermittlungsleistungen für Arbeitgeberinnen einstellen kann, wenn diese „keine oder unzutreffende Mitteilungen über das Nichtzustandekommen eines Ausbildungs- oder Arbeitsvertrags mit einer oder einem vorgeschlagenen Ausbildungsuchenden oder einer oder einem vorgeschlagenen Arbeitsuchenden macht und die Vermittlung dadurch erschwert wird“.

Das alles ist für den Bereich der freien Vergabe von Stellen ohne Einbindung von Vermittlungsleistungen der Agentur für Arbeit jedoch nicht der Fall.

Meine zweite Reaktion

So…Stephan…nun denk’ noch einmal genau nach. Kann es nicht ggf. doch sein, dass hier eine Pflicht zur Angabe von Namen von „Eingestellten“ besteht. Die Agentur für Arbeit wird doch nicht einfach so behaupten, dass diese Auskunft hier zu erteilen ist, oder?

Also schaue ich mir das noch einmal näher an…und siehe da…es findet sich wieder nichts, was diese Ansicht zum Bestehen einer Pflicht zur Angabe von Namen gegenüber der Agentur für Arbeit stützt.

Im Gegenteil: Je länger ich mir das ansehe, um so „dreister“ finde ich diese Anforderung der Agentur für Arbeit bzw. der betreffenden Sachbearbeiterin oder des Sachbearbeiters.

Wie ist denn nun die Rechtslage?

In rechtlicher Hinsicht besteht eindeutig keine Pflicht von Arbeitgeberinnen, in Stellenbesetzungsverfahren das Ergebnis an die Bundesagentur für Arbeit unter Nennung des Namens der ausgewählten neuen Beschäftigten mitzuteilen, wenn keine Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind.

Der Anwendungsbereich von § 39 SGB III, der hier in Verbindung mit § 67a SGB X für die Datenerhebung seitens der Arbeitsagentur als „Auskunftsnorm“ angegeben werden, ist bei freien Stellenbesetzungsverfahren, bei denen Vermittlungsleistungen der Agentur für Arbeit nicht in Anspruch genommen werden, noch nicht einmal eröffnet.

Die §§ 35 ff. SGB III sind in der geltenden Fassung zu dem Zweck eingeführt worden, Vermittlungsleistungen der Agentur für Arbeit zu regeln und zu fördern.

Ein Rückgriff auf § 39 SGB III ist daher bei der Nichtinanspruchnahme von Vermittlungsleistungen der Agentur für Arbeit nicht zulässig.

Sofern sich die Agentur für Arbeit hier auf den Standpunkt beziehen möchte, dass aber die Nennung von Namen erforderlich sei, um ihre gesetzliche Aufgabe zu erfüllen und insoweit eine Befugnis zur Datenerhebung besteht, ist schon das nicht zutreffend. Denn gerade bei Sozialleistungsträgern ist der Grundsatz der Erforderlichkeit eng auszulegen (vgl. Bieresborn, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kap. 4 Rn. 66).

Und da es hier im Bereich der „freien“ Stellenvergabe schon an einer konkreten Aufgabe der Agentur für Arbeit fehlt (§ 39 SGB III ist – wie gesagt – nicht anwendbar), ist festzustellen, dass die Agentur für Arbeit diese personenbezogen Daten nicht erheben darf.

Arbeitgeberinnen sind zudem gut beraten, sich gut zu überlegen, ob sie dennoch „freiwillig“ der Anforderung von Arbeitsagenturen nachkommen, Namen von Neueinstellungen außerhalb von Vermittlungsleistungen der Arbeitsagentur nachzukommen.

Denn: Eine solche Übermittlung von personenbezogenen Daten könnte wiederum selbst datenschutzrechtlich unzulässig sein.

Und was ist bei Inanspruchnahme von Vermittlungsleistungen der Arbeitsagentur

Selbst wenn Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind, ist nach meiner Auffassung eine Pflicht zur Angabe von vollständigen Namen gegenüber der Agentur für Arbeit ebenfalls fraglich.

Denn Sinn und Zweck von § 39 SGB III ist es, sicherzustellen, dass Vermittlungsleistungen für Arbeitslose effektiv erbracht werden können und vor allem die Internet-Jobbörse aktuelle Daten vorhalten kann. Hierfür kann es ausreichend sein, wenn mitgeteilt wird, dass die vom Arbeitsamt vermittelten Bewerber die Stelle nicht erhalten haben.

Es gibt aber noch dieses Szenario:

Es ist nicht ausgeschlossen, dass ein Bewerber, der bei der Arbeitsagentur als arbeitslos gemeldet war, eine Stelle erhalten hat, ohne dass dieser von der Arbeitsagentur einen Hinweis auf die Stelle bekommen hat.

Hier könnte man schon daran denken, dass es eine Erforderlichkeit für die Angabe von Namen von Neueinstellungen bestehen könnte, damit die Arbeitsagentur ihre Daten sofort im o.g. Sinn aktuell halten kann.

Allerdings erhält die Arbeitsagentur sowieso wegen anderer sozialversicherungsrechtlicher Meldungen die Information, wenn eine Person nicht mehr arbeitslos ist.

Auch insoweit kann ich daher keine Erforderlichkeit für die konkrete Angabe von Namen von Neueingestellten gegenüber der Agentur für Arbeit erkennen.

Entscheidend ist aber vor allem hier ein Blick auf den § 39 Abs. 3 Nr. 2 SGB III. Dort können Sanktionen gegenüber Arbeitgeberinnen nur dann erfolgen, wenn diese keine Mitteilungen über das „Nichtzustandekommen“ von Ausbildung- oder Arbeitsverträgen machen, wenn Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind.

Das macht sehr klar, dass es also bei der Inanspruchnahme von Vermittlungsleistungen grundsätzlich nur eine Pflicht der Arbeitgeberin gibt, Informationen darüber zu erteilen, dass vermittelte Personen eine Stelle nicht bekommen haben.

Auch hier hätte ich erhebliche Zweifel daran, dass eine Übermittlung des Namens der Neueinstellung auf Aufforderung der Vermittlungs-Sachbearbeitenden der Agentur für Arbeit datenschutzrechtlich zulässig wäre.

Ein Erfahrungsbericht über den Umgang mit angeblichen TatsachenÜber „Resonanzräume“ zwischen dem BKA, der ‚Welt‘ und anderen Medien

"Es existiert ein Resonanzraum im Netz, wo man sich gegenseitig bestärkt“, sagte BKA-Präsident Münch in einem Interview mit der Rheinischen Post. Diese Äußerung, an sich gemünzt auf Beziehungen zwischen extremistischen Gefährdern und potenziellen Terroristen, trifft offensichtlich auch auf ihn selbst und die perfekte Resonanz seiner Visionen in der 'Welt' und anderen Medien zu, wie die folgende Geschichte erzählt ... Weiterlesen
Reposted bydarksideofthemoon darksideofthemoon

Mitarbeiter von IT-Sicherheitsfirma Trend Micro verkaufte Kundendaten an Scammer

l+f: Mit Kapuze oder ohne? Es geht es auch ganz anders ...

Ein ehemaliger Trend-Micro-Mitarbeiter hat die Seiten gewechselt und Privatkundendaten an Telefonbetrüger verkauft. Auch deutsche Kunden sollten wachsam sein.

November 07 2019

Wie lange „gilt“ eine Einwilligung

Folgende Frage kam von einem Datenschutz-Coaching-Mitglied:

Frage zur Einwilligung in die längerfristige Aufbewahrung von Bewerberdaten (Pool): für welchen Zeitraum sollte/kann die Einwilligung erfolgen? Ist eine Einwilligung in unbegrenzte Speicherung statthaft?

Meine Antwort

Ich möchte meine Antwort nicht auf die hier in Frage stehende Speicherung im „Bewerber-Pool“ beschränken, sondern eher allgemein auf die Frage eingehen, ob eine Einwilligung zeitlich „abläuft“.

Gerne wird hier z.B. von Aufsichtsbehörden vertreten, dass eine Einwilligung zeitlich ablaufe, also dem „Verfall“ unterliegen würde:

3.5 „Verfall“ der Einwilligung, Verwirkung

Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail- Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist
Quelle: Datenschutzkonferenz (DSK), Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), S. 10 (PDF)

Dass das nicht richtig ist, sollte eigentlich jeder Juristin schon vorher klar gewesen sein. Denn in rechtlicher Hinsicht handelt es sich bei einer Einwilligung um eine einseitige (empfangsbedürftige) Erklärung einer natürlichen Person.

Genauso wenig wie die Erklärung der Annahme eines Vertrages dem zeitlichen „Verfall“ unterliegt, kann dies bei einer Einwilligung der Fall sein. Gleichwohl habe einige Zivilgerichte dies zuvor so vertreten.

Glücklicherweise hat der BGH aber bereits mit Urteil vom 01.02.2018 (Az.: III ZR 196/17) klargestellt, dass eine erteilte Einwilligung nicht zeitlich abläuft:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Mir persönlich ist es ein Rätsel, warum diese Entscheidung des BGH aus dem Februar 2018 (BGH, Urteil vom 1.2.2018, Az.: III ZR 196/17)nicht von der DSK in der oben zitierten „Orientierungshilfe Direktwerbung“ herangezogen worden ist. Es ist einer der „Parade-Entscheidungen“ des BGH zu den Voraussetzungen an datenschutzrechtliche Einwilligungen und sollte der DSK „eigentlich“ bekannt sein. Stattdessen zitiert die DSK in ihrer Orientierungshilfe allein eine einzige Entscheidung und behauptet, dass „die Zivilgerichte“ das so sehen würden. Eine recht krasse Fehlbewertung, die viele Verantwortliche in die Irre führt. Aber nun ja…mit dem Einräumen und der Berichtigung von Fehlern ist es bei der DSK ja auch in anderen Dingen nicht immer allzu gut bestellt.
Wenn ich als Anwalt so beraten würde, könnte ich häufiger Kontakt mit meinem Haftpflichtversicherer aufnehmen.

Hier können die Aufsichtsbehörden in jedem Fall noch besser werden – soviel können wir wohl sagen.

Um auf die Ausgangsfrage zurückzukommen, ist es also nicht nur „statthaft“, sondern „normal“, dass eine Einwilligung unbegrenzt erteilt wird.

Es gibt nun aber ein „ABER“. Denn unabhängig von der unbeschränkten Dauer der Geltung einer Einwilligung kann ich ggf. aus anderen „Prinzipien“ ggf. gebunden sein, eine Verarbeitung irgendwann einzuschränken oder zu beenden.

Ich will hier auf die „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art. 5 DSGVO) hinaus. Dort gibt es das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Dieses Prinzip der Speicherbegrenzung besagt, dass personenbezogene Daten nur solange „nicht anonymisiert“ gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.

Wir müssen also schon schauen, ob der Zweck der Speicherung von Daten, die auf einer Einwilligung des Betroffenen beruht, irgendwann erreicht (oder aufgehoben) ist. Wenn dies der Fall, wären die Daten unabhängig von der unbeschränkten Dauer der Einwilligung zu löschen.

Bezogen auf den Bewerber-Pool würde ich mir als Unternehmen schon die Frage stellen, ob es Sinn macht, Bewerberdaten, die älter als zwei Jahre sind, noch im Bewerber-Pool zu halten. Die Daten sind mit Blick auf die noch vorhandenen „Skills“ der Bewerber möglicherweise schon veraltet und insoweit nicht mehr für den Zweck brauchbar. Wenn das so ist, müssten sie dann wohl gelöscht werden.

Sicher sind auch längere Fristen begründbar. Und genau da kommen wir dann zu einer Anforderung an Unternehmen, die manchmal etwas zu kurz kommt. Die handelnden Personen sollten wirklich einmal konkret nachdenken, wie lange denn eine Speicherung wirklich sinnvoll ist und dies idealerweise dokumentieren. Häufig zeigt sich dann, wie lange eine Speicherung im Hinblick auf den Zweck des Bewerber-Pools erforderlich ist.

Das Schöne daran ist, dass man diese Überlegungen dann zugleich in ein hoffentlich vorhandenes „Löschkonzept“ übertragen kann.

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist?

Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt.

Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt):

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer (…)
2. als Halter eines Kraftfahrzeugs anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat (…).

Das beantwortet aber noch nicht die Frage, ob hierfür auch die Kopie eines Führerscheins zulässig ist oder nicht.

Finden einer Rechtsgrundlage

Also müssen wir uns auf die Suche nach einer Rechtsgrundlage begeben. Denn zweifelsohne stellt die Anfertigung einer Kopie eines Führerscheins im Kontext mit einem Beschäftigungsverhältnis eine Verarbeitung personenbezogener Daten dar.
Nach § 26 Abs. 7 BDSG gelten die Regelungen zur Verarbeitung von personenbezogenen Daten von Beschäftigten nämlich auch für Daten, die nicht-automatisiert verarbeitet werden.

Apropos § 26 BDSG – da wären wir auch schon bei der ersten einschlägigen Rechtsgrundlage, an die wir beim Anfertigen von Kopien von Führerscheinen von Beschäftigten denken könnten.

§ 26 BDSG als Rechtsgrundlage?

Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.

Knackpunkt – Erforderlichkeit

Knackpunkt ist hier (wie so häufig) die Erforderlichkeit – und…da wir uns im (zunächst) deutschen Recht befinden…wohl auch eine „Erforderlichkeit“ i.S.d. deutschen „Verhältnismäßigkeitsgrundsatzes“.

So würden jedenfalls die Arbeitsgerichte mit hoher Wahrscheinlichkeit sozusagen „reflexartig“ auf die Prüfung der Verhältnismäßigkeit springen, wenn sie den Begriff der Erforderlichkeit hören. Und ja…ich muss mir das auch gerade mühsam abtrainieren. Denn genau genommen ist sehr fraglich, ob bei einer Regelung wie z.B. § 26 BDSG, die nach meinem Verständnis wohl eine Art spezifischerer Regelung zu Art. 6 Abs. 1 lit. b) DSGVO darstellt, der deutsche Grundsatz der Verhältnismäßigkeit anzuwenden ist.

Aber egal…ich würde jedenfalls vermuten, dass ein Arbeitsgericht genau diesen Schritt aus o.g. Gründen („Reflex“) durchführen würde. Also schauen wir uns das mal an:

Wann liegt eine „Erforderlichkeit“ nach dem Grundsatz der Verhältnismäßigkeit im deutschen Recht vor?

Eine Maßnahme (wie die Kopie von Führerscheinen) ist verhältnismäßig, wenn

  1. die Datenverarbeitung geeignet ist, um den verfolgten Zweck der „Führerscheinüberprüfung“, zu erfüllen („Eignung“),
  2. es kein milderes Mittel gibt, dass gleich effektiv ist, um den Zweck zu erfüllen und schließlich („Erforderlichkeit“)
  3. die Schwere des mit der Datenverarbeitung einhergehenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten nicht außer Verhältnis zum „Gewicht“ des verfolgten Zwecks steht („Angemessenheit“)

Zweck der Verarbeitung ist hier übrigens nicht die Überprüfung des Vorliegens einer Fahrerlaubnis, sondern meines Erachtens vielmehr die Vermeidung einer Halterhaftung der Arbeitgeberin nach dem StVG. Die Überprüfung der Fahrerlaubnis und die Anfertigung einer Kopie sind hier nur Mittel zum Zweck. Das sollte man also immer differenziert betrachten.

Prüfen wir das also einmal durch.

Beispiel 1: Nehmen wir mal eine Vertriebsmitarbeiterin im Außendienst. Die soll einen Firmenwagen zur Verfügung gestellt bekommen. In dem Kontext möchte man eine Kopie des Führerscheins zu ihrer Personalakte nehmen. Ist das nach § 26 BDSG rechtlich zulässig?

Eignung: Zunächst einmal ist eine Überprüfung des Führerscheins und das Anfertigen einer Kopie zweifelsfrei geeignet, den Zweck der Vermeidung einer Halterhaftung wegen der schuldhaften Überlassung eines Fahrzeuges an Personen ohne eine Fahrerlaubnis zu erfüllen. Dahinter können wir also einen „Haken“ machen.

Anmerken möchte ich hier, dass es nach der Rechtsprechung des BVerfG bei der Frage der „Eignung“ oder „Geeignetheit“ noch nicht einmal erforderlich ist, dass das verwendete Mittel den Zweck erreicht. Es reicht aus, wenn das verwendete Mittel die Erreichung des Zwecks fördert. Das ist also schon sehr weit auszulegen. Zumindest wohl hier im deutschen Recht (§ 26 BDSG), in dem wir uns gerade befinden.

Erforderlichkeit: Diese Stufe der Verhältnismäßigkeitsprüfung ist die „Skeptikerinnen-Stufe“. Und die werden wir häufig bei Aufsichtsbehörden vorfinden. Denn Aufsichtsbehörden setzen „Datenschutz“ gerne auf genau dieser Ebene um. Und zwar indem sie den Standpunkt vertreten, dass es ein milderes Mittel gibt, um den Zweck zu erreichen.

So einfach ist das aber nicht. Denn das BVerfG (und die Rechtswissenschaft) hat den Grundsatz der Verhältnismäßigkeit zunächst einmal für staatliches Handeln in den o.g. Stufen der Eignung, Erforderlichkeit und Angemessenheit geprägt. Und zwar als unmittelbaren Ausfluss des Rechtsstaatsprinzips. Und danach gibt es für die Stufe der Erforderlichkeit ein dem „Gesetzgeber“ zugestandenen Beurteilungs- und Ermessensspielraum.

In der Folge können wir bei Gesetzen z.B. sehr häufig viele mildere Mittel finden, die gleich geeignet wären. Aber der Gesetzgeber hat hier eben einen Spielraum der Beurteilung und Entscheidung, in dem er sich bewegen kann. So sollen Gerichte eben nicht „Gesetzgebung“ spielen, sondern vielmehr nur die Schranken aufweisen, bei denen durch Gesetzte z.B. unzulässig in die Rechte von Bürgerinnen eingegriffen wird.

Nur gilt dieser o.g. Spielraum eben nicht in gleicher Weise für die Exekutive. Und fraglich ist auch, ob und inwieweit dieser Spielraum für die nichtöffentlichen Stellen, d.h. die Unternehmen gilt. Es ist aber unbestritten, dass die Verwaltung und auch Unternehmen auf der Stufe der „Erforderlichkeit“ einen eigenen Einschätzungsspielraum haben. Nur die „Weite“ ist halt unklar.

Das bedeutet im Ergebnis auch – zumindest hier im BDSG als einschlägig anzuwendendes Recht – dass eine Aufsichtsbehörde nicht ohne Weiteres ihre eigene Ansicht über ein milderes Mittel ansetzen darf, um eine Maßnahme z.B. für unzulässig zu halten.

Dass die Aufsichtsbehörden dies gleichwohl gerne so vertreten, können wir unlängst im Hinblick auf eine Erforderlichkeit bei der Datenverarbeitung für Vertragszwecke bei Online-Services nachlesen. Und zwar in den „Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (PDF) des Europäischen Datenschutzausschusses. Das ist allerdings wiederum ein anderes Thema, dessen Abhandlung hier den Rahmen sprengen würden.

Jedenfalls wird es in der Praxis beim Merkmal der „Erforderlichkeit“ in der Praxis interessant. Denn viele Aufsichtsbehörden erkennen hier einen Spielraum nicht oder kaum an.

Praktisch würde ich empfehlen, das Merkmal der „Erforderlichkeit“ bei der Datenverarbeitung durch Unternehmen im unmittelbaren Kontext mit der „Angemessenheit“ zu prüfen. Warum? Weil es so zu sachgerechteren Ergebnissen führt. Um das durchführen zu können, müssen wir uns aber um die „Angemessenheit“ kümmern.

Angemessenheit: Eine Datenverarbeitungsmaßnahme ist in ihrer konkreten Ausgestaltung dann angemessen, wenn die Beeinträchtigung, die der Datenverarbeitung für den Betroffenen bedeutet und der mit der Verarbeitung verfolgte Zweck in einem wohl abgewogenem Verhältnis zueinander stehen.

Und hier schlägt dann auch die Stunde der Abwägungen unterschiedlicher Rechtspositionen und vor allem der Grundrechte. Und im Ergebnis sind dann hier gute Argumente gefragt.

Da die oben angeführte „Erforderlichkeit“ – also die Frage nach einem milderen Mittel, das gleich geeignet zur Zweckerreichung ist – kann ehrlicherweise wohl nur dann praktisch erfolgen, wenn wir die rechtlichen Ansprüche, Interessen oder Schutzgüter von Verantwortlichen und Betroffenen miteinander abwägen. Daher würde ich immer dazu raten, im Datenschutzrecht die Prüfung der Erforderlichkeit und Angemessenheit zusammenzuziehen.

Zurück zum Beispiel 1

Also tun wir das noch mal im Hinblick auf das konkrete Beispiel 1 . Die Geeignetheit hatten wir oben ja schon festgestellt. Offen sind also noch Erforderlichkeit und Angemessenheit.

Gibt es ein milderes Mittel, das Vorliegen einer Fahrerlaubnis für eigene Zwecke zu dokumentieren, um seine Risiken aus der Halterhaftung zu minimieren? Ja, das gibt es. Denn es wäre ein milderes Mittel, sich den Ausweis vorzeigen zu lassen, und sich einen Vermerk darüber anzufertigen (bzw. es geeignet zu dokumentieren), dass Mitarbeiterin X am Tag X im Besitz einer Fahrerlaubnis der Fahrerlaubnisklasse Z war.

Ich kenne einige Arbeitgeberinnen, die hier jetzt sofort einwerfen würden, dass die Anfertigung einer Kopie viel weniger Aufwand bereiten würde und zudem nur so „beweissicher“ eine Halterhaftung vermieden werden könnte.

Tja…und dann geht es los. Denn jetzt müssen wir hier die entgegenstehenden Positionen miteinander abwägen. Und hier werden wir auch die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO heranziehen müssen. Und dort speziell Art. 5 Abs. 1 lit. c) DSGVO – den Grundsatz der Datenminimierung. Danach muss die Verarbeitung personenbezogener Daten insbesondere „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Erinnern wir uns diesbezüglich noch einmal um den Zweck. Der Zweck ist die Vermeidung der Halterhaftung aus § 21 StVG. Für diesen Zweck muss eine Maßnahme getroffen werden, die sicherstellt, dass nur die Beschäftigten ein Firmenfahrzeug fahren, die im Besitz einer gültigen Fahrerlaubnis sind.

Sicher kann da das Anfertigen einer Kopie ein geeignetes Mittel für die Dokumentation der Prüfung sein.

Nur wiegt das Argument nicht schwer. Denn auch eine Kopie einer Fahrerlaubnis ist nicht geeignet, sicherzustellen, dass eine Beschäftigte zu einem späteren Datum noch im Besitz einer gültigen Fahrerlaubnis ist.

Genau genommen ist das Anfertigen einer Kopie nur ein Mittel der Dokumentation der erfolgten Überprüfung der Fahrerlaubnis. Ist diese erforderlich, um die Gefahren der Halterhaftung zu minimieren. Unter Berücksichtigung der Angemessenheit der Maßnahme muss ich das ehrlicherweise verneinen. Denn ein Gericht würde keine Verurteilung vornehmen dürfen, nur weil ein Unternehmen entgegen seinen datenschutzrechtlichen Pflichten zur Datenminimierung keine Kopie von Fahrerlaubnissen angefertigt hat. Das Argument der „Beweissicherheit“ überzeugt daher hier auch insgesamt nicht.

Denkbar wäre, dass einige KfZ-Haftpflichtversicherer die Anfertigung von Kopien von Führerscheinen als vertragliche Pflicht der Versicherungsnehmerin in Versicherungsverträgen vornehmen. Das ist derzeit aber wohl nicht bzw. nicht häufig der Fall. Mir ist jedenfalls kein Versicherer bekannt, der dies fordert. Entsprechende Klauseln dürften zudem mit hoher Wahrscheinlichkeit unzulässig sein, da sie einer gesetzlichen Regelung zum Datenschutz (s.o.) widersprechen bzw. mit dieser nicht in Einklang zu bringen wären.

Damit bliebe als „PRO“-Argument für die Kopie nur noch eine Arbeitserleichterung für die Arbeitgeberin. Nur ist diese wiederum bei einer Gesamtschau unter Berücksichtigung der Rechte der Betroffenen nicht angemessen. Insbesondere weil es nicht schwierig sein dürfte, hier einen effektiveren „Workflow“ einzurichten, der eine schnelle Dokumentation einer Überprüfung der Fahrerlaubnis ohne Mehraufwand ermöglicht.

Ergebnis:

§ 26 BDSG ist keine ausreichende Rechtsgrundlage für die Anfertigung von Führerscheinkopien

Ergebnis zu Beispiel 1: Ich halte § 26 BDSG nicht für eine Rechtsgrundlage, die das Anfertigen von Kopien von Führerscheinen erlaubt.

Rechtlich ist übrigens auch ein anderes Ergebnis vertretbar, überzeugt mich aber nicht. Dann wäre eine Zulässigkeit nach § 26 BDSG nach meinem Dafürhalten allerdings nur dann vertretbar, wenn es sich um Beschäftigte handelt, die deren Tätigkeit für das Unternehmen einen „fahrbaren Untersatz“ in Form eines Kraftfahrzeugs voraussetzt.

Rechtspflicht zur Anfertigung von Führerscheinkopien?

Auf der nächsten Stufe könnte man sich überlegen, ob es nicht eine rechtliche Verpflichtung zum Anfertigen von Kopien von Führerscheinen gibt.

Aus dem StVG ergibt sich dies jedenfalls nicht direkt. Insoweit wird man also auch hier keine Rechtsgrundlage für die Anfertigung von Führerscheinkopien finden können.

Zulässigkeit auf Basis einer Interessenabwägung

Nächste Station beim Finden einer Rechtsgrundlage für das Anfertigen von Führerscheinkopien wäre dann die Datenverarbeitung aus Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Hier muss ich zunächst ein Interesse an der Datenverarbeitung für den Verantwortlichen oder einen Dritten bestehen.

Hier reicht jedes Interesse aus, das von der Rechtsordnung gebilligt wird. Dazu kann auch gehören, dass ich mich möglichst gut, gegen eine etwaige Haftung oder gar Strafbarkeit absichern möchte und daher z.B. gerne Führerscheinkopien vorhalten möchte. Und dazu kann es „erforderlich“ sein, die Kopien zu speichern.

Dann muss ich auf der nächsten Stufe jedoch mit einem möglicherweise überwiegenden entgegenstehenden Interesse der betroffenen Beschäftigten abwägen.

Wenn wir es mal plastisch machen wollen, wäre das Interesse der Arbeitgeberin im Hinblick auf Sinnhaftigkeit und Erforderlichkeit der Speicherung von Führerscheinkopien auf einer Skala von 1 – 10 vielleicht auf „2“ einzuordnen. Zumindest wäre das meine persönliche Einordnung.

Das Interesse der durchschnittlichen Betroffenen, dass ihre Führerscheinkopien beim Arbeitgeber nicht digital gespeichert werden, da diese bereits vorgezeigt wurden, dürfte auf der Skala nach meiner Einschätzung aber sicher bei 8 – 9 liegen.

Ohne lange herumdiskutieren zu wollen, meine ich nicht, dass die Interessenabwägung hier zugunsten der Speicherung durch die Arbeitgeberin ausfallen kann.

Daher kann die Speicherung nicht auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgen.

Wenn nichts mehr hilft, hilft die Einwilligung…

Da alle anderen Rechtsgrundlagen offensichtlich ausscheiden, bleibt noch die Einwilligung.

Nach Art. 6 Abs. 1 lit. a) DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Und nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Dabei werden diese Anforderungen an die Einwilligung in Deutschland im Beschäftigungsverhältnis hinsichtlich der Freiwilligkeit durch § 26 Abs. 2 BDSG konkretisiert.

Hier können wir schon daran zweifeln, ob insoweit eine Regelungskompetenz der Bundesrepublik Deutschland bestand, aber lassen wir das mal so stehen. Denn sinnvoll ist die Regelung in § 26 Abs. 2 BDSG aufgrund des im Arbeitsverhältnis ggf. bestehenden Ungleichgewichts zwischen Arbeitgeberin und Arbeitnehmerin im Hinblick auf die Freiwilligkeit meines Erachtens schon.

Was ist denn nun dort zur Freiwilligkeit in § 26 Abs. 2 BDSG geregelt? Wörtlich heißt es dort:

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Dass Beschäftigte generell eine Einwilligung erteilen können, weil sie – übertrieben formuliert – ihr Gehirn nicht am Werkstor abgeben, hat das BAG schon vor einiger Zeit entschieden (vgl. dazu mein Beitrag hier).

Festgestellt werden kann, dass eine Einwilligung die Speicherung von Führerscheinkopien zulässig sein kann.

Voraussetzung ist aber, dass dann eine freie Wahl besteht. Und daran könnten u.U. Zweifel bestehen, weil fraglich ist, was denn die Konsequenz ist, wenn die Einwilligung nicht erteilt wird. Darf der Arbeitgeber dann ggf. die Nutzung eines Firmenwagens untersagen? Das ist tatsächlich nicht so einfach zu beantworten.

Meine Empfehlung

Da sich der Sinn für eine Speicherung von Führerscheinkopien mir nicht gänzlich erschließt und diese vor allem rechtlich nicht geboten sind, würde ich generell eher davon abraten, diese Kopien zu speichern.

Es gibt aber ein in der Praxis wichtiges Ausnahme-Szenario. Dieses kann vor allem bei Unternehmen mit mehreren Standorten einschlägig sein. Oder auch dann, wenn z.B. Lebenspartner von Beschäftigten den Dienstwagen mitnutzen können sollen.

In diesen Fällen kann es sein, dass aufgrund einer nicht vorhandenen örtlichen Nähe eine Speicherung von Führerscheinkopien zulässig sein kann. Denn dann ist im Interesse des Beschäftigten, z.B. über eine Internet-, Intranetportal oder über eine App, Bilder von seinem Führerschein zu übermitteln, damit diese dann für Zwecke der Prüfung des Vorliegens einer Fahrerlaubnis gespeichert werden können.

Und für die Angehörigen von Beschäftigten, für die insoweit nicht die Einschränkungen von § 26 Abs. 2 BDSG greifen, kann eine Einwilligung in diesem Szenario ebenfalls zulässig erteilt werden.

Voraussetzung ist hier immer eine transparente und verständliche Beschreibung der Verarbeitungszwecke und der Verarbeitungsumfangs (inkl. Speicherdauer) sowie ein Hinweis auf den Widerruf der Einwilligung und dessen Folgen.

Wenn die Einwilligung dann noch entsprechend protokolliert wird, steht der Speicherung von Führerscheinkopien im o.g. Szenario grundsätzlich nichts im Wege.

NetGuard: Prüfung auf aktive Internetverbindung über www.google.com

Unter Einstellungen -> Erweiterte Optionen sollte der NetGuard Verbindungstest angepasst werden. Standardmäßig prüft NetGuard auf eine bestehende Internetverbindung über die Adresse www.google.com:

Validate at: www.google.com

Danke Jonas für die Info.

Mitmachen: Du kannst den Blog aktiv unterstützen!

heise+ | Windows: Festplatten mit Bordmitteln verschlüsseln

Schloss, Zensur, Überwachung

Verschlüsselte Festplatten schützen die eigenen Daten vor fremden Blicken. Auf Windows können Sie bequem mit dem Bordmittel Bitlocker arbeiten.

Datenschutz-Skandal: Kalifornien will Facebook mit Klage zu Aussagen zwingen

Datenschut-Skandal: Kalifornien will Facebook mit Klage zu Aussagen zwingen

Weil Facebook nur unzureichend Aufforderungen nachkam, Informationen im Zusammenhang mit einem Datenschutz-Skandal herauszugeben, klagt Kalifornien.

Spionage-Anklage gegen ehemalige Twitter-Mitarbeiter

Twitter-Profil mit maskiertem Reiter, daneben der Claim "AND WE'RE ONLY BEGINNING..."

Zwei Twitter-Mitarbeiter sollen im Auftrag eines saudischen Agenten in Konten von Regimekritikern eingedrungen sein. Ziel war unter anderem, sie aufzustöbern.

November 06 2019

Einbindung der Datenschutzbeauftragten bei einem „Sozialplan“

In der Rubrik „Fragen & Antworten“ kommen erfreulicherweise auch manchmal Fragen, die ich zwischen Tür & Angel kurz beantworten kann.

So wie diese:

Bei meinem Arbeitgeber muss ein Sozialplan erstellt werden. Ist dieses Thema ausschließlich zwischen Betriebsrat und Arbeitgeber zu sehen oder gibt es ggf. Mitwirkungsanforderungen/-pflichten für die betriebliche Datenschutzbeauftragte? Und wenn ja, welche?

Meine Antwort

Ich sehe bei der Erstellung von Sozialplänen keine gesonderten Mitwirkungspflichten seitens der Datenschutzbeauftragten.

Gleichwohl sind Sozialpläne jedoch häufig mit der Verarbeitung besonders schutzbedürftiger personenbezogener Daten verbunden. Und da kann es schon sein, dass die Beratungsaufgabe der Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. a) DSGVO von Arbeitgeberin oder Betriebsrat intensiver nachgefragt wird.

Neue Versionen der Musterverträge für externe DSB

Für Datenschutz-Coaching-Mitglieder stehen seit heute überarbeite Versionen der Musterverträge für die Tätigkeit des externen DSB zur Verfügung.

Ich habe nur kleine Änderungen vorgenommen. Die neuen Vertragsversionen finden Datenschutz-Coaching-Mitglieder hier:

Die Änderungen sind jeweils hier (Pauschalvergütung) und hier (aufwandsbasierte Vergütung) kenntlich gemacht.

Apple TV+: Apple protokolliert Sehgewohnheiten

Apple TV+: Apple protokolliert Sehgewohnheiten

Die Erfassung detaillierter Nutzungsdaten soll unter anderem der Verbesserung der TV-App dienen – und für Werbe-Targeting.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl