abakus it AG Newsletter Hero Datenschutzbrief

Datenschutzbrief – Newsletter Nr. 07/2021

Darf ich als Unternehmen eine Liste über den Impfstatus meiner Angestellten führen? Diese Frage erhalten wir als Datenschutzbeauftragte nun regelmäßig. Solange die Datei nur verwendet wird, um die Reiseplanung und die Visabeantragung durchzuführen, könnte man die Verarbeitung auf Art. 88 DSGVO zusammen mit § 26 Abs. 3 S. 1 BDSG, Art. 9 Abs. 2 lit. b DSGVO stützen. Hier ist sich die Rechtsprechung aber noch nicht einig.

Eine Einwilligung vom Angestellten ist wohl datenschutz-rechtlich unrealisierbar. Eine Interessensabwägung, wird objektiv eher in Richtung des Mitarbeiters ausfallen. Eine gesetzliche Vorgabe zur Speicherung des Impfstatus durch den Arbeitgeber lässt sich (bisher) nicht finden. Es bleibt als Ausweg letzten Endes die arbeitsvertragliche Grundlage.

Die Schwierigkeit liegt u.a. in der Erforderlichkeit. Ist es für die Erbringung der Aufgaben des Mitarbeiters unumgänglich erforderlich seinen Impfstatus zu kennen und zu speichern, bzw. ist dies nicht auch mit milderen Mitteln möglich? Das kann im Einzelfall (wie z.B. Reiseplanung) gewiss für eine Listenspeicherung sprechen. Dabei müssen stets die Verhältnismäßigkeit bedacht und die besonderen Schutzmöglichkeiten gewährleistet werden. Meist reicht es, den geforderten Nachweis vor Ort zu erbringen. Nicht nur die Regierung setzt hier auf Eigenverantwortung, sondern auch Berufstätige müssen letztendlich über die Preisgabe ihrer Daten entscheiden.

Nachdem es sich um Gesundheitsdaten und damit um besonders sensible Daten handelt, bleibt weiterhin ein gewisses Restrisiko.

Aus der Perspektive des Datenschutzes lässt sich diese Frage nicht abschließend klären, bleiben hierbei viele Aspekte des Arbeitsrechts offen. Letztlich ist jeder Fall individuell zu betrachten. Im Zweifel sollte man auf solche Listen verzichten.

Ihr Franz Obermayer (Vorstand)

Quelle: https://dsgvo-gesetz.de/art-9-dsgvo/

Schadsoftware durch die Hintertüre

Jedes Unternehmen verlässt sich bei der Gestaltung der Informations- technik in der EDV auf die Expertise und das Know-how der IT- Abteilung. Mit Virenscanner und Firewall, stets durch „Updates“ auf den neuesten Stand gebracht. Und trotzdem finden Hacker mit Hilfe von Trojanern einen Weg, sich im Firmennetzwerk mit teilweise umfangreicher Berechtigung umzuschauen. Wie kommt das?

Angestellten erhalten bereits bei Eintritt in die Firma eine personifizierte E-Mail-Adresse. Die Privatnutzung der Firmen-E-Mail-Adresse wird hierbei unterschiedlich gehandhabt, üblicherweise trennt man die privaten Belange von den betrieblichen. So haben mittlerweile alle Angestellte zusätzlich zur betrieblichen Adresse auch eine oder mehrere private E-Mail-Adressen, um erreichbar zu sein.

Die Anzahl der (privaten) E-Mail-Anbieter – darunter viele kostenlose – weltweit lassen sich nur schwer erahnen. Die in Deutschland bekanntesten Anbieter sind u.a.: t-online.de, web.de, GMX, oder Freenet. Um nicht abhängig vom Ort, Endgerät oder E-Mailprogramm zu sein, bieten fast alle Anbieter den flexiblen Zugriff auf das kostenlose Postfach über einen Internet Web-Browser (z.B. Microsoft EDGE, Google Chrome oder Mozilla Firefox) an.

Das Öffnen des privaten E-Mail-Postfachs im Internet Browser des Firmen-PCs erfolgt mit wenigen Hürden und Kontrollmechanismen. Die Anhänge in den Mails bleiben vom Firmen Virenscanner ungeprüft und ermöglichen, einmal geöffnet, an der firmeneigenen Firewall vorbei, innerhalb weniger Sekunden, unbemerkt die Installation einer Schadsoftware. Das kann auch während des Ladens des privaten Smartphones am USB-Port des Firmen-PCs erfolgen. Unscheinbar aussehende E-Mails in HTML-Code verfasst, können durch ein aktiviertes Makro Hackern Zugang zum Firmennetzwerk ermöglichen. Daher ist von einer Nutzung dieser Webbrowser-E-Mail-Postfächer in Firmennetzwerken unbedingt abzuraten.

Näheres bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Checkliste. Dort befindet sich eine lesenswerte Leitlinie zum Umgang mit E-Mails.

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_leitlinie_pdf.pdf

GB nun sicheres Drittland

Nach Art. 44ff DSGVO sind alle Länder außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) datenschutzrechtlich gesondert zu betrachten.

Diese Vorschrift soll gewährleisten, dass personenbezogene Daten von EU-Bürgern auch dann noch entsprechend geschützt sind, wenn Unternehmen nicht der DSGVO unterliegen.

Ab dem 01.01.2021 steht nun Großbritannien aufgrund des Brexits nicht mehr im Verbund der EU und fällt somit in die Kategorie „Drittland“. Verarbeitende Unternehmen waren daraufhin angehalten aktiv zu werden, um eine der geeigneten Garantien nach Art. 46 DSGVO zu stellen.

Eine Ausnahme dieser Regelung stellt ein von der EU-Kommission erlassener Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO dar, der dem betroffenen Drittland eine entsprechend hohe Sicherheit bei der Verarbeitung von personenbezogenen Daten bescheinigt Seit dem 28.Juni 2021 gibt es nun einen solchen Angemessenheitsbeschluss auch für Großbritannien, was den bereits vorhandenen und zukünftigen Datentransfer erleichtert.

Eine Prüfung auf Rechtmäßigkeit dieser Beschlüsse erfolgt alle 4 Jahre durch die EU-Kommission. Unternehmen sollten zwischenzeitig prüfen, ob es Alternativlösungen innerhalb der EU gibt.

Länderliste mit Angemessenheitsbeschluss der EU: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

© Photo by Daniel Leone on Unsplash