20. Januar 2016
Für geschäftliche Korrespondenz konstituieren handels- und steuerrechtliche Vorschriften eine Pflicht zur Aufbewahrung. Da Emails regelmäßig der Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften dienen, sind sie als Handelsbriefe zu qualifizieren. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Die Frist, welche am jeweils am Jahresende des Jahres des Versandes/Empfangs der Email zu laufen beginnt, beträgt sechs Jahre. Für Buchungsbelege, Bilanzen und weitere Dokumente besteht sogar eine Aufbewahrungspflicht von zehn Jahren.
Diese Vorgaben in der Praxis für Emails umzusetzen ist – auf den ersten Blick – für Unternehmen dank automatischer Email-Archivierung technisch einfach umzusetzen, Speicherplatz ist dabei regelmäßig kein relevanter Kostenfaktor mehr. Betrachtet man die typische Korrespondenz, die in der Geschäftswelt per Email abgewickelt wird, jedoch genauer, so fällt auf, dass längst nicht alle Kommunikation in die o.g. Kategorien fällt. Dem Grundsatz der Datensparsamkeit folgend, besteht für solche Emails, für deren Aufbewahrung es keine gesetzliche Verpflichtung oder sonstige Rechtfertigung gibt, eine Pflicht zum Löschen.
Insbesondere im Bewerbungsprozess kommen die handels- und steuerrechtlichen Archivierungsfristen nicht zum Tragen. Wer sich heute auf eine Stelle bewirbt, tut dies regelmäßig per Email. Typischerweise wird hierzu ein gesondertes Postfach, z.B. jobs@…, verwendet. Gerne verteilt sich eine Bewerbung dann, ausgehend von der Personalabteilung, sternförmig im Unternehmen in die relevanten Abteilungen. Spätestens an dieser Stelle wird es faktisch unmöglich, eine Löschung umzusetzen. Sofern es nicht zur Eingehung eines Arbeitsverhältnisses kommt, besteht grundsätzlich noch die Möglichkeit des Klageverfahrens nach dem Allgemeinen Gleichstellungsgesetz (AGG). Anerkannt ist deshalb, dass zumindest für den Zeitraum von sechs Monaten eine Aufbewahrung noch zulässig ist, um ein arbeitsgerichtliches Verfahren bestreiten zu können. Danach folgt aus dem Recht auf informationelle Selbstbestimmung des Bewerbers die Verpflichtung, seine personenbezogenen Daten zu löschen.
Für das jobs@…-Postfach lässt sich dies noch durch eine automatische Löschung und eine Ausnahme von der Backup-Routine umsetzen. In den Postfächern der Abteilungen, in die die Bewerbung weitergeleitet wurde, ist das jedoch nicht mehr der Fall. Hier werden der Lebenslauf und die Bewerbung und alle weiteren Unterlagen dann wie sämtliche sonstige Korrespondenz archiviert.
Lösungsansätze
Viele Unternehmen entscheiden sich auch vor diesem Hintergrund zur Lösung über eigene oder fremd gehostete Bewerbungsplattformen. Bei diesen kann eine gesetzeskonforme Löschung regelmäßig umgesetzt werden, da nicht auf das Emailsystem zurückgegriffen wird.
Gerade für kleinere Unternehmen sind solche Lösungen auch aus Kostengründen regelmäßig jedoch uninteressant.
Aber auch mit „Bordmitteln“ lassen sich Prozesse entwickeln, die dem Datenschutz genügen. Neben einem Funktionspostfach (jobs@…), welches von der normalen Backup-Routine ausgenommen wird, und aus welchem Bewerbungen nach sechs Monaten gelöscht werden, sollten Bewerberdaten nicht intern per Email weitergeleitet werden. Vielmehr sollten die Bewerberdaten auf einem Laufwerk abgelegt werden, für welches wiederum eine fristgemäße Löschung implementiert ist. Die einzelnen Abteilungen bzw. Entscheider erhalten dann nur noch einen Zugriff auf die entsprechende Dateien.
Auch ohne kostspielige Tools lässt sich der Bewerberdatenschutz also gewährleisten. Allerdings müssen sich Unternehmen mit dieser Thematik befassen und aktiv Prozesse anstoßen. Die Belegschaft ist für die meisten Unternehmen heute das wichtigste Kapital, die Gewährleistung des Datenschutzes sollte, auch wegen der hohen Außenwirkung der Thematik, hohe Priorität haben.
11. Januar 2016
Im April 2016 soll das Parlament schlussendlich über die neue EU-Datenschutzgrundverordnung abstimmen. Beobachter gehen fest davon aus, dass das Parlament seine Zustimmung erteilt – nach drei Jahren intensiver Verhandlungen, zahlreicher Debatten und etlicher Entwürfe soll dann das finale Gesetz verabschiedet werden. Damit wird die zweijährige Umsetzungsphase im April 2018 enden, sodass die neuen Regelungen innerhalb der 28 Mitgliedstaaten der Europäischen Union verbindlich werden.
Die Europäische Bürgerbeauftragte ist der Ansicht, die Europäische Kommission habe einem deutschen Journalisten zu Unrecht den Zugang zu Dokumenten bezüglich der Überwachung durch britische Geheimdienste verwehrt. Im konkreten Fall hatte ein deutscher Journalist die Europäische Kommission um die Freigabe eines Briefes des Außenministers des Vereinigten Königreichs an die damalige Vizepräsidentin der Kommission und weiterer Dokumente gebeten. Die Europäische Kommission kam dem Antrag zum Teil nach, indem sie den Brief veröffentlichte. Die Freigabe der weiteren Dokumente verweigerte sie jedoch mit der Begründung, dass noch nicht abschließend geprüft sei, ob in der Massenüberwachung durch britische Geheimdienste ein Verstoß gegen das Datenschutzrecht des Einzelnen vorläge.
Der Europäische Bürgerbeauftragten zufolge dürfe der Zugang zu derartigen Dokumenten nicht ohne angemessene Begründung abgelehnt werden. Eine solche Begründung, die eine Ablehnung gerechtfertigt hätte, sei hier nicht erfolgt. Die Europäische Kommission habe ihre Untersuchungen in dieser Angelegenheit offenbar seit 2013 nicht fortgesetzt. Die Europäische Bürgerbeauftragte sieht darin – angesichts der Relevanz dieses Themas für europäische Bürger – einen Missstand in der administrativen Tätigkeit der Kommission.
Der Verbraucherzentrale Bundesverband (vzbv) hat bereits 2012 gegen 25 Klauseln der damaligen Datenschutzerklärung und Nutzungsbedingungen von Google geklagt und im November 2013 vor dem Landgericht Berlin gewonnen. Dagegen ist Google in Berufung gegangen. Das Berufungsverfahren liegt derzeit beim Kammergericht. Ein Termin zur mündlichen Verhandlung ist noch nicht bestimmt.
Nun hat der vzbv nach eigenen Angaben erneut zwei Klauseln in der Datenschutzerklärung von Google abgemahnt. Aktuell geht es um die Erhebung und Verwendung von personenbezogenen Daten. Zwei Nutzungsbedingungen enthielten Formulierungen, die die Rechte der Verbraucher nach Ansicht des vzbv unzulässig einschränkten.
So nehme sich Google heraus, automatisiert Inhalte der Nutzer, z. B. E-Mails, zu analysieren, um etwa personalisierte Werbung zu platzieren. Dies sei rechtswidrig, weil es an einer wirksamen Einwilligung in diese intensive Art der Datenauswertung fehle. Nach Ansicht des vzbv bedarf die Erhebung und Nutzung personenbezogener Daten zu Werbezwecken immer einer gesonderter Einwilligung. In einzelnen Klauseln der aktuellen Datenschutzerklärung werde diese Praxis zwar allgemein angekündigt, allerdings ohne die Verbraucher um Zustimmung zur konkreten Datenerhebung und Datennutzung zu bitten. Dass die Nutzer aufgefordert werden, der Datenschutzerklärung von Google insgesamt zuzustimmen, sei nicht hinreichend. Der Begriff „Werbung“ werde außerdem nicht näher beschrieben, so dass er theoretisch sogar Anrufe beim Nutzer umfasst.
Außerdem werde eine Klausel beanstandet, nach der nur für die Weitergabe „sensibler Kategorien“ von personenbezogenen Daten eine ausdrückliche Einwilligungserklärung notwendig ist. Eine Unterscheidung zwischen „sensiblen“ und anderen personenbezogenen Daten ist nach Ansicht des vzbv mit den deutschen Datenschutzvorschriften nicht vereinbar.
Google hat bis zum 25. Januar 2016 Zeit, auf die Abmahnung zu reagieren. Danach droht eine Unterlassungsklage vor dem Landgericht Berlin.
7. Januar 2016
Seit dem 01.Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine unabhängige oberste Bundesbehörde. Bislang stand die BfDI unter der Dienstaufsicht des Bundesministeriums des Inneren und unter der Rechtsaufsicht der Bundesregierung. Mit Beginn dieses Jahres entfällt die Verantwortlichkeit der BfDI gegenüber diesen Aufsichtsbehörden und die Bundesbeauftragte ist lediglich dem Parlament gegenüber rechenschaftspflichtig. Ihre Entscheidungen sind gerichtlich überprüfbar.
Bereits seit 1995 ist die Bundesrepublik gemäß europarechtlicher Vorgaben verpflichtet, eine unabhängige Datenschutzkontrolle auf Bundesebene einzurichten. Hierzu gehört auch, dass nicht einmal der Anschein einer Abhängigkeit der BfDI bestehen darf. Dieses Ziel soll durch die beschriebene Umgestaltung erreicht werden.
Wie die BfDI in einer Pressemitteilung bekannt gibt, beabsichtigt der Gesetzgeber mit der Neugestaltung der Behördenstruktur ein weiteres Signal in Sachen Datenschutz zu senden – nämlich, dass „eine starke, unabhängig agierende Aufsichtsbehörde ein wichtiges Anliegen ist“. Auch durch personelle Aufstockungen soll die BfDI zukünftig besser aufgestellt sein.
Zu den Tätigkeitsschwerpunkten der BfDI gehört nach eigenen Angaben vor allem die Anpassung des nationalen Datenschutzrechts an die voraussichtlich ab 2018 geltende Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält teilweise Öffnungsklauseln, deren Ausgestaltung den Mitgliedsstaaten obliegt. Beispielhaft sei hier der Themenbereich des Arbeitnehmerdatenschutzes genannt.
Ferner wird die neue Gestaltung des Datentransfers in Drittstaaten auf der Agenda der BfDI stehen. Seitdem der EuGH im Oktober 2015 den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unzulässig erklärt hat, besteht auch in dieser Angelegenheit noch Regelungsbedarf für die BfDI.
Welche Auswirkung die Umgestaltung der BfDI auf die Praxis haben und wie die BfDI ihre Vorhaben umsetzt, bleibt abzuwarten.
31. Dezember 2015
Das Team von datenschuztticker.de wünscht allen Lesern einen guten Rutsch und ein erfolgreiches Jahr 2016!
30. Dezember 2015
Medienberichten zufolge sind die bei der Hyatt Hotels eingesetzten Zahlungssysteme in insgesamt 627 Hotels in 52 Ländern mit einer Malware infiziert, die geeignet ist, Kreditkartendaten abzuschöpfen. Nach Unternehmensangaben dauern die Untersuchungen derzeit an und man habe externe Cybersecurity-Experten hinzugezogen. Zudem seien für die Zukunft Schritte unternommen worden, um die Sicherheit zu stärken. Die Kunden werden gebeten, ihre Abrechnungen genau zu prüfen. Unberechtigte Abbuchungen müssten nicht hingenommen werden.
28. Dezember 2015
Der Deutsche Bundestag hat das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ verabschiedet.
Verbraucherverbände können künftig im Wege der Unterlassungsklage gegen Unternehmen vorgehen, wenn diese in für Verbraucher relevanten Bereichen gegen das Datenschutzrecht verstoßen. Dies gilt insbesondere bei Datenverarbeitung für Werbung, Persönlichkeitsprofile sowie Adress- und Datenhandel. Bislang war das allein Aufgabe der Datenschutzbeauftragten des Bundes und der Länder.
“Das ist ein wichtiger Schritt zum besseren Schutz unserer Daten. Endlich bekommen Verbände bei Datenschutzverstößen ein Klagerecht. Personenbezogene Daten sind für den Wirtschaftsverkehr von unermesslicher Bedeutung. Beim Surfen, in sozialen Netzwerken oder einfach bei der Handynutzung spielen sie eine riesige Rolle. Wir müssen uns darauf verlassen können, dass unsere Daten rechtlich geschützt sind und dieser Schutz auch durchgesetzt werden kann. Ein Missbrauch kann weitreichende und schwerwiegende Folgen haben. Alle darauf zu verweisen, ihre Recht einzeln einzuklagen, ist oft ein stumpfes Schwert.”, kommentierte der Bundesminister der Justiz und für Verbraucherschutz Maas die Gesetzesverabschiedung.
23. Dezember 2015
Nach einer kurzen Winterpause werden wir, wie gewohnt, an dieser Stelle wieder einige interessante und relevante Meldungen rund um das Thema Datenschutz zusammentragen.
Bis dahin wünscht das Team von datenschutzticker.de allen Lesern ein frohes Weihnachtsfest!
21. Dezember 2015
Die Datenschutzaufsichtsbehörden von Bayern, Baden-Württemberg, Berlin und Hamburg haben im Rahmen einer gemeinsam angelegten bundesweiten Prüfaktion insgesamt 21 Partnerbörsen einer datenschutzrechtlichen Prüfung unterzogen. Gravierende Mängel, so das allgemeine Fazit der Behörden, seien nicht festgestellt worden. Allerdings gebe es mehrere Bereiche, in denen die Dating-Portale – aus bayerischer Sicht – datenschutzrechtlichen Nachbesserungsbedarf aufweisen.
Technischer Datenschutz (Fragen der Datensicherheit)
So sei es „extrem negativ aufgefallen“, dass sämtliche überprüften Dating-Portale ein unzureichendes Anmeldeverfahren praktizieren würden, da neben der Angabe der E-Mail-Adresse oder eines Pseudonyms meist nur ein als “unsicher” zu qualifizierendes Passwort (z. B. ohne Komplexitätsvorgaben, nur aus drei bis sechs Stellen bestehendes Passwort) gefordert werde.
Umgang mit Auskunftsersuchen
Zwar sei positiv aufgefallen, dass bei Tests dem gesetzlich verankerten Anspruch auf Erteilung einer Auskunft über die gespeicherten Daten in der Regel „schnell und zuverlässig“ entsprochen worden. Allerdings seien die Anforderungen an den Nachweis der Berechtigung des Auskunftsbegehrens oftmals als zu gering einzustufen, sodass sich der Schutz der Nutzerdaten im Portal leicht aushebeln lasse.
Datenschutzbestimmungen, AGB und Nutzungsbedingungen
Eigentlich sollen Datenschutzbestimmungen ebenso wie allgemeine Geschäftsbedingungen, Nutzungsbedingungen und Einwilligungserklärungen dazu dienen, den Nutzer darüber zu informieren, welche personenbezogenen Daten konkret erhoben werden und wie mit diesen umgegangen wird, bevor er entsprechende Erklärungen abgibt oder Daten preisgibt. Die dadurch angestrebte Transparenz sei in vielen Fällen jedoch nicht oder nur rudimentär vorhanden.
Identifizierung und Altersverifikation
Einige der Portal-Betreiber würden zur Identifizierung und Altersverifikation Kopien des Personalausweises des Nutzers anfordern. Dieses Verfahren sei in der Praxis allerdings häufig unzulässig. Im Nachgang der Prüfung müsse man daher alternative Verfahren erörtern.
Zugriff auf Kommunikationsinhalte
Überraschend habe man festgestellt, dass nahezu alle Portal-Betrieber Einblick in die Kommunikationsinhalte der Nutzer nehmen (z. B. im Rahmen von Chats). Dies sei den Nutzern auf Partnersuche häufig nicht bewusst. Dadurch werde in Grundrechte der Betroffenen eingegriffen und ein solches Vorgehen sei daher nur auf Grundlage einer ausdrücklichen Einwilligung der Kommunikationspartner zulässig.
Man werde nun die Portal-Betreiber über die Feststellung von Mängeln informieren und diese auffordern, die Mängel unverzüglich zu beheben – sofern sie diese Mängel im Prüfungsverfahren nicht selbst schon erkannt und behoben haben.
Pages: 1 2 ... 158 159 160 161 162 ... 274 275 
