Als Berater und Datenschutzbeauftragter könnte man schnell der Annahme verfallen, Datenschutz müsse eines der wichtigsten Themen im Unternehmen überhaupt sein. Dass dem in der Mehrzahl aller Unternehmen nicht so ist, wissen die meisten – zumindest unterbewusst. Aber wie wichtig sollte Datenschutz genommen werden und welchen Stellenwert sollte er tatsächlich haben?
Um den Anforderungen der Datenschutzgrundverordnung nach Transparenz nachkommen zu können und die betroffene Person in die Lage zu versetzen Ihre Recht auf Widerspruch, auf Löschung oder auf Bereitstellung der verarbeiteten Daten wahrnehmen zu können, ist es erforderlich, dass der Betroffene sein Recht auf Auskunft nutzen kann.
Mit dem Recht auf Auskunft kann die Person Information darüber erhalten, ob und wenn ja welche Daten über sie verarbeitet werden.
Das Auskunftsrecht beschränkt sich nicht nur auf die Daten die durch das Unternehmen verarbeitet werden, vielmehr umfasst das Recht auch weitere Informationen, die mit beauskunftet werden müssen. Dazu gehört zum Beispiel die Information, auf welcher Grundlage, zu welchem Zweck und wie lange sie verarbeitet werden, ob sie an Dritte weitergegeben werden und noch ein paar weitere Punkte.
Wir schauen uns hier speziell das Auskunftsrecht, inklusive des Rechts auf Kopie, an und auch konkret die Frage, welche Daten beauskunftet werden müssen und welche nicht beauskunftet werden brauchen.
In China wird in Kürze – am 1. November 2021 – das erste Gesetz zum Schutz personenbezogener Daten in Kraft treten. Die Pekinger Zentralregierung reagiert damit auf zunehmende Sorgen in der chinesischen Bevölkerung über Datenmissbrauch durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von den neuen Regeln größtenteils ausgenommen.
Außerdem wird vermutet, dass damit auch der heimische Technologiesektor etwas beschränkt werden soll. Daher spricht Markus Zechel in dieser Folge mit Pia Stoffels – einer echten Expertin, die beruflich viel mit China zu tun hat. Als Data Privacy & Compliance Counsel muss sie sich regelmäßig mit der Frage der Zulässigkeit von Datentransfers in asiatische Länder beschäftigen. Die beiden beleuchten die Gemeinsamkeiten mit der DSGVO sowie einige Unterschiede, aber auch die Frage, ob dies ein wichtiger Schritt in Richtung eines Angemessenheitsbeschlusses werden könnte.
Das Auskunftsrecht nach Art. 15 DSGVO sorgt bei vielen für Unsicherheiten, nicht zuletzt auch aufgrund unterschiedlicher Gerichtsentscheidungen, die bei ähnlichen Sachverhalten zu unterschiedlichen Entscheidungen kommen.
In dieser Folge besprechen Heiko Gossen und Natalia Wozniak nicht nur die gesetzlichen Anforderungen an Unternehmen rund um das Auskunftsrecht, sondern auch wie ein praktischer und datenschutzkonformer Umgang damit aussehen kann. Außerdem schauen die beiden auf aktuelle Urteile, u.a. höchstrichterliche Urteile:
BGH, Urteil vom 15.06.2021 – VI ZR 576/19
Auskunftsumfang bezieht sich auch auf interne Vermerke und zurückliegende (dem Betroffenen bereits bekannte) Korrespondenz.
VG Schwerin, Urteil vom 29.04.2021 – 1 A 1343/19 SN
Gutachten in seiner Gesamtheit können potenziell vom Anspruch auf Kopie umfasst sein; Relevant ist die Unterscheidung zwischen Sachdaten und personenbezogenen Daten (grundsätzlich sind alle Arten von Informationen betroffen, mit Beispielen).
Landesarbeitsgericht Niedersachsen, Urteil vom 09.06.2020 – Az.: 9 Sa 608/19
Kein Anspruch auf Überlassung gesamter Inhalte, z.B. von Personalakten.
Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20
Recht auf Kopie (hier von E-Mails) erfordert hinreichende Bestimmtheit, dazu ist gestuftes Vorgehen zielführend.
OLG Stuttgart, Urteil vom 31.03.2021, AZ 9U34/21
Auskunftserteilung an einen Dritten (z.B. Rechtsanwalt) nur nach Vorlage der Vollmacht im Original oder nach entsprechender Information durch den Betroffenen selbst.
Amtsgericht Bonn, Urteil vom 30.7.2020 – 118 C 315/19
Auskunftsbegehren ist nicht allein dadurch rechtsmissbräuchlich, wenn zugleich auch andere Ziele, wie die Vorbereitung eines Gerichtsverfahrens, verfolgt werden.
Landesarbeitsgericht Baden-Württemberg, Urteil vom 17.3.2021, 21 Sa 43/20
Kein pauschaler Ausschluss von Daten im Hinweisgebersystem – Darlegungs- und Beweislast des AG, dass im konkreten Fall Rechte und Freiheiten Dritter beeinträchtigt sind.
Heute, am 256. Tag des Jahres, ist der Tag des Programmierers. Dieser Tag kommt im Gegensatz zu anderen besonderen Feiertagen, wie zum Beispiel dem Tag des Systemadministrators, nicht aus den USA, sondern aus Russland und wurde im Jahr 2009 von der russischen Regierung sogar ganz offiziell per Dekret als beruflicher Gedenktag anerkannt. Ob Programmierer in Russland am heutigen Tag in Anlehnung an ihre US-amerikanischen Administratoren-Kollegen mit einem Stück Medovik geehrt werden, wissen wir leider nicht. Was wir aber sehr gut kennen, sind die Anforderungen, die Informationssicherheit und Datenschutz an die Software-Entwicklung stellen. Deren Wichtigkeit sowie die einzelnen Anforderungen fassen wir im Folgenden zusammen.
Das TTDSG setzt die E-Privacy Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung) in nationales Recht um. Denn neben der DSGVO ist auf europäischer Ebene auch die e-Privacy Richtlinie zu berücksichtigen. Zwar sollte die lange erwartete E-Privacy Verordnung die ältere E-Privacy Richtlinie ersetzen, allerdings können sich die Mitgliedsstaaten nun schon seit Jahren nicht auf einen gemeinsamen Konsens einigen.
Daher nahm die konkrete Idee für das TTDSG, das der nationalen Umsetzung der E-Privacy Richtlinie dient, seinen Lauf.
Das TTDSG tritt am 01.12.2021 in Kraft.
An dieser Stelle wollen wir die Änderungen für den Bereich der Telemediendienste näher beleuchten.
Die neuen Standarddatenschutzklauseln (engl. Standard Contractual Clauses – kurz SCC) sollen nach den Vorstellungen der EU-Kommission nicht nur bei zukünftigen Datenübermittlungen in Drittstaaten zum Einsatz kommen, sondern auch in bestehenden Vereinbarungen ersetzt werden. Außerdem möchte man der Rechtsprechung des EuGH im Fall Schrems II nachkommen und verpflichtet den Verantwortlichen zur Durchführung eines Transfer Impact Assessments. Eine weitere Neuerung ist der modulare Aufbau der SCC, womit sich nun wesentlich mehr Konstellationen zwischen den Beteiligten ohne entsprechende Anpassungen abbilden lassen.
IT-Servicemanagement (ITSM) ist vielen, die in der IT arbeiten, vermutlich ein Begriff. Alle außerhalb von IT-Abteilungen genießen im besten Fall die Vorteile, die ein implementiertes ITSM mit sich bringt, ohne sich aber mit Details beschäftigen zu müssen.
In dieser Themenfolge sprechen wir mit unserem Gast Robert Sieber über Schnittmengen und Unterschiede zwischen ITSM, einem Datenschutz-Managementsysteme (DSMS) und einem Informationssicherheits-Managementsystem (ISMS).
Daher sprechen Heiko Gossen und Markus Zechel mit Robert Sieber nicht nur darüber, was IT Servicemanagement ist, für wen das etwas ist, sondern auch über die Fragen, wo man als Datenschutzbeauftragter oder Informationssicherheitsbeauftragter von einem funktionierenden ITSM profitiert. Hier spielt vor allem eine gemeinsame Datenbasis eine wichtige Rolle, aber auch auf der Prozessebene gibt es viele Schnittstellen und Synergien.
Robert ist ein Experte für das Thema ITSM, hat sich aber auch schon oft und viel mit den Synergien mit anderen Managementthemen beschäftigt. Er betreibt die Seite https://different-thinking.de, wo man auch seinen „IT-Management Podcast – für den Servicenerd in Dir“-Podcast findet.
Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und installiert Server-Updates, damit seine Kollegen sicher sind, ohne ihre Arbeit unterbrechen zu müssen.
Ungefähr so könnte die Dramaturgie am Beginn der Geschichte desjenigen Protagonisten aufgebaut werden, um den es heute geht: den Systemadministrator.
Seit dem Jahr 2000 wird am letzten Freitag im Juli diese geschäftskritische Rolle mit ihrem eigenen, inoffiziellen Feiertag gewürdigt, dem Tag des Systemadministrators. Die englische Originalbezeichnung ist sehr viel treffender: System Administrator Appreciation Day. Und Wertschätzung haben Systemadministratoren allemal verdient.
Nach längerem Anlauf hat der Bundesrat am 28.05.2021 – gut drei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) – dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt. Das TTDSG soll, wie Bundeswirtschaftsminister Peter Altmaier betont, für mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt sorgen. Das Gesetz wird zusammen mit dem neuen Telekommunikationsgesetz am 1. Dezember 2021 in Kraft treten.