KI und Datenschutz

Der Hype um KI-Tools, insbesondere ChatGPT und dessen Ableger führt aktuell zu umfangreichen Experimenten von Firmen mit diesen Tools. Dabei gibt es (gefühlt) kaum noch Grenzen bzgl. der Daten, die einem KI-Tool anvertraut werden.

So gibt es immer mehr Anwendungen, die z.B. die Qualifikation von Bewerbungen automatisiert qualifizieren wollen, Personalabteilungen, die das Zeugnisschreiben auf eine KI auslagern oder Bewerber, die ihre Daten einer KI anvertrauen, um eine Bewerbung zu schreiben. Auch das Erstellen von Vertragsinhalten bis zum automatisierten Ausfüllen von Vertragsformularen mit Informationen von Unternehmen oder Personen in Unternehmen sind keine Seltenheit.  Und die Nutzung als Chatbot als Diskussionspartner für firmeninterne Fragestellungen ist mittlerweile keine Seltenheit.

Rechtgrundlage für personenbezogene Daten schaffen

Sofern Sie personenbezogene Daten in einem KI-Tool verarbeiten wollen, gilt auch für Nutzung dieser Tools nach der DSGVO die Notwendigkeit, hierfür eine Rechtsgrundlage zu schaffen. Sofern diese Rechtsgrundlage nicht z.B. durch einen Vertrag hergestellt wurde, brauchen Sie eine Zustimmungserklärung des Betroffenen. Ist diese nicht vorhanden, so sind Sie mehr als angreifbar und müssen neben Strafzahlungen u.U. sogar Schadenersatz (Artikel 82, DSGVO) leisten.

Wer personenbezogene Daten auf Basis einer Rechtsgrundlage mit KI-Tools von Dienstleistern verarbeiten möchte braucht darüber hinaus einen Auftragsverarbeitungsvertrag mit dem Dienstleister. Auch dies ist eine Pflichtanforderung der DSGVO, die bei Nichterfüllung erheblichen Ärger und Kosten verursachen kann.

Herausforderung: Dienstleister in den USA

Viele aktuell angebotenen Lösungen (z.B. Microsoft, OpenAI, Google, etc.) befinden sich nicht innerhalb des Geltungsbereiches der DSGVO.  Der Austausch von Informationen mit Dienstleistern in den USA ist allerdings im Rahmen des Data Privacy Frameworks möglich. Dabei müssen Sie als Unternehmen erst einmal prüfen, ob der Ihr Vertragspartner sich freiwillig diesem Abkommen angeschlossen hat (siehe DPF-Liste). Ist dies nicht der Fall, bleibt nur der Weg über Standardvertragsklauseln oder weitere rechtliche Vereinbarungen, die die DSGVO vorsieht. Dies ist aber ein sehr aufwendiger Weg mit weiter hohem Risiko für ein Unternehmen. OpenAI war bisher in der Liste noch nicht zu finden.

Darüber hinaus ist das aktuelle Abkommen mit den USA wackelig, denn schon werden die ersten Klagen gegen dieses Abkommen eingereicht und es besteht eine große Chance, dass dieses in absehbarer Zeit vom Europäischen Gerichtshof wieder gekippt wird.

Datenschutzhinweise aktualisieren

Sofern Sie diese Hürden genommen haben sollten Sie dringend die Datenschutzhinweise z.B. auf Webseiten aktualisieren und auf diese Verarbeitung und die beteiligten Parteien und Rechtsverhältnisse hinweisen.

Vorsicht! KI-Inputs werden zu Trainingsdaten

Es ist zu berücksichtigen, dass alle in ein KI-Tool eingegebene Daten (u.a. auch Prompts) aktuell als Trainingsdaten für die zugrundeliegenden Datenbanken und Netze verwendet werden. D.h. die Daten werden möglicherweise dauerhaft gespeichert und weitergenutzt. Das kann bei personenbezogenen Daten aufgrund der bestehenden Löschpflichten zu extremen Schwierigkeiten führen kann.

Profiling bleibt möglich

KI-System arbeiten auf der Basis von statistischen Modellen, um als Ergebnisse Muster zu erhalten. Insbesondere bei der Verwendung von personenbezogenen Daten ist diese Mustererkennung sehr schnell im Bereich der Profilbildung, die nach der DSGVO ohne Zustimmung verboten ist. Auch wenn einige KI-Dienste dies unterbinden, andere haben damit kein Problem.

Ebenso lassen sich mit einem KI-Tool auch alle Informationen zu einem Unternehmensprofil ausgeben. Sollten hieraus Informationen über Unternehmen an die Öffentlichkeit gelangen, die vertraulich sind, kann dies einem Unternehmen einen erheblichen Schaden zufügen.

Homeoffice Regelung in AV-Verträgen

Corona bewirkt eine deutlich stärkere Nutzung von mobilen Arbeitsmöglichkeiten besonders im Homeoffice. Bisher war das mobile Arbeiten eine Domäne der Unternehmensberatungen. Jetzt nutzen auch viele andere Dienstleistungsunternehmen diese Möglichkeiten.

Dieses Thema spielt immer häufiger auch in AV-Verträgen eine Rolle, hat aber weitreichende Auswirkungen aus Sicht des Auftraggebers und eines Auftragsverarbeiters, die beachtet werden sollten. Dabei berücksichtigen die folgenden Ausführungen stärker die Rolle des Auftragsverarbeiters.

Technische und organisatorische Maßnahmen für das Homeoffice

Für einen Auftragsverarbeiter ist zuerst wichtig, dass in einem AV-Vertrag keine Einschränkungen für den Arbeitsort der Mitarbeiter abgeschlossen werden. Das heißt es sollte das mobile Arbeiten außerhalb der Geschäftsräume des Auftragverarbeiters zulässig sein.

Grundsätzlich sind im Sinne der DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, die den Schutz der personenbezogenen Daten (aber auch Firmendaten) sicherstellen. Für eine mobile Nutzung sind daher gesonderte Maßnahmen zu definieren. Hierzu gehört beispielsweise, dass der Zugang zu Daten immer verschlüsselt erfolgen sollte, idealerweise mit einer Zweifaktorauthentifizierung. Die Datenübertragung sollte genauso verschlüsselt sein (VPN-Verbindung) ebenso wie die Endgeräte. Hilfreich für das Erkennen von Maßnahmen ist z.B. das IT Grundschutzkompendium des BSI (2020) INF.9. „Mobiler Arbeitsplatz“.

Es ist unbedingt darauf zu achten, dass diese Maßnahmen auch in den „technischen und organisatorischen Maßnahmen“ dokumentiert sind. Denn hierauf referenzieren das Verarbeitungsverzeichnis und der AV-Vertrag immer. Hierzu gehören ebenso Richtlinien, die die Verpflichtungen für die Mitarbeiter für mobiles Arbeiten und / oder Homeoffice beinhalten.

Auch der Bundesdatenschutzbeauftragte empfiehlt, die explizite Genehmigung der Arbeit an einem Arbeitsplatz außerhalb der Betriebsräume  in den AV-Vertrag durch den Auftraggeber aufzunehmen.

Problematisch ist es für Auftragsverarbeiter, wenn die vereinbarten TOMs die Regelungen für das mobile Arbeiten inkl. Homeoffice gar nicht beinhalten. Nach Artikel 28 Abs. 10 DSGVO können Abweichungen von den vertraglichen Regelungen so gewertet werden, als ob der Auftragsverarbeiter nicht mehr Weisungsempfänger ist. Damit würde ein Auftragsverarbeiter Verantwortlicher für die Daten des Auftreggeber, eine für beide Seite unangenehme und kritische Situation.

Zusätzliche vertragliche Verpflichtungen mit Mitarbeitern

Im Rahmen eines AV-Vertrages gehen immer mehr Auftraggeber dazu über, für das Homeoffice spezifische Bedingungen zu fordern. Neben dem Verbot der Speicherung auf lokalen Geräten könnte auch das Kontrollrecht eingefordert werden. Der Auftraggeber behält sich in so einem Fall vor, im Bedarfsfall beim Auftragnehmer auch den Arbeitsplatz des Mitarbeiters zu Hause zu kontrollieren.

Hier gibt es nun große Ähnlichkeit zu den bisher sogenannten „Telearbeitsplätzen“. Handelt es um einen ständigen Arbeitsplatz, der auch nur zeitweise genutzt wird oder findet die Arbeit auf Anordnung des Arbeitgebers explizit zu Hause statt, dann gelten für diesen Arbeitsplatz ähnliche Bedingungen wie für einen Arbeitsplatz in der Firma. Der Mitarbeiter erhält dadurch  das Recht, dass der Arbeitsplatz nach den geltenden Verordnungen für Arbeitsstätten ausgestattet wird. Der Arbeitgeber erhält auch die Pflicht, die Vorgaben hierfür zu machen und die Umsetzung auch zu kontrollieren. Hierzu ist es dann allerdings erforderlich, dass diese Rechte und Pflichten in einer speziellen Vereinbarung mit dem Arbeitnehmer i.d.R. als Ergänzung oder Teil eines Arbeitsvertrages geschlossen werden müssen, um somit seine Zustimmung eingeholt wird. Denn mit den Kontrollmöglichkeiten durch den Auftraggeber wird automatisch Artikel 13 des Grundgesetzes tangiert, in dem – vereinfacht – die Unverletzlichkeit der Wohnung festgeschrieben ist.

Wird nun im Rahmen eines AV-Vertrages ein solche Kontrollrecht für den Heimarbeitsplatz eines Mitarbeiters vereinbart, dann gelten die gleichen Einschränkungen wie beschrieben.

Zusätzliche Herausforderung ist, dass Mitbewohner, wie Ehepartner, Lebenspartner, volljährige Kinder, Mitbewohner, etc. ebenfalls zustimmen müssten, sind sie doch ebenfalls betroffen.

Diese Zustimmung / Vereinbarung muss vor einem Abschluss eines AV-Vertrages getroffen werden, in dem solche Kontrollmöglichkeiten eingeräumt werden.

Zusammenfassung

Es ist wesentlich, die oben aufgeführten Voraussetzungen zu schaffen, bevor Vereinbarungen als Auftragsverarbeiter in AV-Verträgen abgeschlossen werden. Erschwerend kommt hinzu, dass Dritte betroffen sein können, die hier ebenfalls abgeholt werden müssen. Hier sollten auch Arbeitsrechtler eingebunden werden, um die vorliegenden Anforderungen zu prüfen und belastbare Vereinbarungen / Zustimmungen zu entwerfen.

Herausfordernd ist in diesem Zusammenhang eine mögliche pauschale Übertragung solcher Verpflichtungen auf Unterauftragnehmer.

Unklar bleibt leider auch, wie die Kontrollmöglichkeiten der Aufsichtsbehörden an privaten Arbeitplätzen im Bedarfsfall ermöglicht werden sollen.

Gespannt sein darf man auf die diskutierten Regelungen der Bundesregierung, die hier ein Recht auf Arbeitsplätze im Homeoffice verankern möchte, ob automatisch das Zuhause zu einem Firmenarbeitsplatz wird. Hier muss dann vom Gesetzgeber geklärt werden, ob und wenn ja wie die Kontrollmöglichkeiten in Vereinbarung mit dem Grundgesetz erfolgen sollen, wenn es sich nicht um einen „Telearbeitplatz“ handelt.

Haben Sie weitere Fragen zu diesem Thema? Dann sprechen Sie uns einfach an.

Das leidige Thema mit den Einwilligungen von Mitarbeitern

Rechtssichere Einwilligungen bleiben auch nach 3 Jahren DSGVO eine Herausforderung für viele Unternehmen. Hierbei stechen insbesondere die fehlerhaften Einwilligungen für die eigenen Mitarbeiter heraus.

Grundlagen

Grundsätzlich weise ich nochmal auf die Vorgaben für eine rechtssichere Einwilligung zur Verarbeitung von personenbezogenen Daten hin, die in Art. 7 DSGVO sowie dem Erwägungsgrund 32 DSGVO festgehalten sind.

Bestandteile einer rechtssicheren Einwilligung sind

  • Zweck der Verarbeitung der Daten (konkret)
  • Hinweis auf den Widerruf der Einwilligung
  • Einfache Kontaktmöglichkeit zum Widerrufen der Einwilligung

Die Einwilligung muss dabei freiwillig erfolgen und darf auch nicht an einen anderen Vertrag gekoppelt sein.

Typische Fehler

Einwilligungen sind in viele Fällen trotz des Arbeitsvertrages notwendig. In §26 BDSG neu ist klar geregelt, dass nur Daten im Rahmen des Beschäftigtenverhältnisses verarbeitet werden dürfen, die für dessen Begründung, Durchführung oder Beendigung erforderlich sind (Der genaue Wortlaut ist etwas umfangreicher). D.h. für Geburtstagslisten mit vollem Geburtsdatum, Gratulationen und Präsente für Ehe-/Lebenspartner und Kindern oder Incentives in Form von Fitnessgutscheinen, etc. könnten Daten verarbeitet werden, die nicht unter §26 BDSG fallen. In all diesen Fällen ist eine Einwilligung des Mitarbeiters erforderlich.

Hier taucht auch schon ein erster kritische Anwendungsfall auf. Wenn bei der Einstellung eines Mitarbeiters direkt ein Stapel von Einwilligungen mit dem Vertrag ausgehändigt wird und diese unterschrieben zurückgegeben werden sollen, dann kann der Eindruck entstehen, dass eine fehlende Freiwilligkeit und eine Vertragskoppelung vorliegen. Damit würden alle Einwilligung sofort unwirksam und die Verwendung der Daten für die beabsichtigten Zwecke würde ohne Rechtsgrundlage erfolgen. Dies könnte spätestens bei einer nicht einvernehmlichen Trennung von einem Mitarbeiter ein böser Fallstrick werden. Hier sollte explizit auf eine Trennung der Vorgänge bzw. ausführliche Information bzgl. der Freiwilligkeit geachtet werden.

Ein weiterer Fall sind Einverständniserklärungen aus den Zeiten vor der DSGVO. In vielen Firmen herrscht die Meinung, dass alte Einwilligungen ihre Gültigkeit behalten haben. Dem ist i.d.R. nicht so, wenn die o.a. Mindestbestandteile einer Einwilligung nicht erfüllt sind. Dabei sind die typischen Fehler das Fehlen eines Widerspruchshinweises oder auch „Blanko“- Einwilligungen für eine unbestimmte Zahl von Anwendungsfällen (kein konkreter Zweck). Diese Einwilligungen sind mindestens seit Gültigkeit der DSGVO unzulässig und unwirksam (wahrscheinlich sogar schon vorher). Daher müssen diese neu eingeholt werden.

Auch vergessen wird häufig, dass eine Einwilligung widerrufen werden kann. Hier muss sichergestellt werden, dass nach einem Widerruf der Mitarebieter z.B. nicht mehr in der Liste der privaten Handynummern auftaucht und ihm auch nicht mehr vom Firmenchef am Wochenende telefonisch gratuliert wird. Dieser Prozess wird in vielen Fällen vergessen, zumal die wenigsten Firmen den Überblick haben, welche Mitarbeiter für welches Thema eine Einwilligung abgegebene haben. Eine gut organisierte Personalabteilung sollte hier die Regie führen.

Bestehende Einwilligungen prüfen

Sofern es Einwilligungen von Mitarbeitern gibt, sollten diese auf die Mindestbestandteile geprüft werden. Sind diese nicht vorhanden muss eine neue Einwilligung erfolgen. I.d.R. sollte der Datenschutzbeauftragte oder ein Datenschutz-Auditor diese Dinge prüfen und auf mögliche Fehler hinweisen. Ich empfehle aber auch hier, dass Personalabteilungen selbständig aktiv werden und erst einmal die Vielzahl an Einwilligungen und Formulierungen identifizieren, die es möglicherweise gibt. Im Anschluss kann dann der Datenschutzbeauftragte für eine sachgerechte Aussage hinzugezogen werden.  Ebenso sollte die i.d.R. „alten“ Vorlagen für Einwilligungen verifiziert und aktualisiert werden. Dazu gehört auch, die Konkretisierung des Zweckes.

 

Datenschutzerklärung ständig aktualisieren

Mittlerweile hat jeder eine Datenschutzerklärung auf seiner Webseite. Dabei wird diese lästige Aufgaben meist einmalig erledigt, die Datenschutzerklärung (hoffentlich) mit einem juristisch fundierten Generator erzeugt und dann gespeichert. Aus der Erfahrung wird diese Datenschutzerklärung aber nie wieder angepackt. Dies stellt ein hohes Risiko für das Unternehmen dar. Daher ist es wichtig, die Datenschutzerklärung ständig zu aktualisieren.

Verweise auf Datenschutzerklärung

Es reicht i.d.R. für ein Unternehmen aus, eine Datenschutzerklärung für alle Anwendungsfälle zu erstellen, auf die dann verwiesen wird. D.h. alle datenschutzrechtlichen Hinweise werden in einem Dokument gebündelt, auf das im Bedarfsfall referenziert werden kann. Diese Verweise finden z.B. bei folgenden Anwendungsfällen eine Verwendung:

  • Webseite
  • Kontaktformular
  • EMail-Footer
  • Soziale Medien (Facebook, Instagram, .etc).
  • Hinweisschilder bzgl. Videoüberwachung
  • Bewerberinformationen
  • Schriftstücke
  • usw.

Anpassungen zwingend

Es ist vollkomen klar, dass bei der Menge an Quellen, die auf die Datenschutzerklärung verweisen, permanente Änderungen erforderlich sind. Dies liegt an einer  Vielzahl an Anwendungsfällen mit unterschiedlichen rechtlichen Rahmenbedingungen, die permanente Rechtsprechung (Urteile), Gesetzesanpassungen oder auch ein neuer Software-/Tooleinsatz im Unternehmen.

Hierzu ermpfehlen wir folgende Vorgehensweisen:

  • Sobald eine neue Verarbeitung im Verarbeitungsverezeichnis aufgenommen werden soll, wird die Datenschutzerklärung auf Ergänzungsnotwendigkeiten geprüft und bei Bedarf angepasst.
  • Bei der Ergänzung von Medienkanälen (soziale Medien, Newsletter, etc.), geplanten Messeauftritten, Veranstaltungen, etc. wird ebenfalls geprüft, ob hier eine Verarbeitung vorliegt, die im Verarbeitungsverzeichnis ergänzt und anschließend auch in der Datenschutzerklärung erwähnt werden sollte.
  • Bei allgemeingültigen Urteilen zum Datenschutz sollte anschließend sofort die Anpassungsnotwendigkeit der Datenschutzerklärung geprüft werden. In den letzten 12 Monaten gehörten hierzu die Cookie-Urteile sowie die Unwirksamkeit des Privacy Shield Abkommens. Die Hinweise hierzu erhalten Sie durch den jeweiligen Landesdatenschutzbeauftragten, den Datenschutzbeauftragten und / oder Presseveröffentlichungen.

Wir empfehlen darüber hinaus, jährlich einen der bekannten Datenschutzgeneratoren anzuwerfen und sich die Änderungen des Ergebnisses im Vergelich zur genutzten Datenschutzerklärung anzuschauen. Auch hier gibt es zum Teil kleinste Details, die sich geändert haben könnten.

Letztendlich geht es immer darum, dass die Rechenschaftspflicht und die ständige Verbesserungen nach Artikel 5 und Artikel 32 der DSGVO erfüllt werden.

Videoüberwachung – Tipps für den Einsatz

Mit der stetigen Zunahme von Kameraangeboten und dem Preisverfall steigt der Einsatz von Videoüberwachung in Unternehmen. Dabei soll die Videoüberwachung zum einen der Abschreckung dienen, unterstützt in der Realität aber auch den Versuch, bei einem Schaden einen möglichen Verursacher zu identifizieren oder Beweise zu sichern.

Bei einem geplanten Einsatz muss jedem Unternehmer klar sein, dass der Einsatz auch grundlegenden datenschutzrechtlichen Regelungen unterliegt, sofern personenbezogene Aufnahmen nicht ausgeschlossen werden können.

Verstöße gegen diese Reglungen haben in den letzten Monaten wieder zu umfangreichen Bußgeldern geführt. Deswegen anbei ein paar Erinnerung an Regeln, die für einen Einsatz beachtet werden sollten.

Rechtsgrundlage und Zweck der Videoüberwachung

Wenn der Zweck der Überwachung die Vermeidung von Straftaten durch unbefugten Dritten auf dem Grundstück insbesondere der Schutz des Firmeneigentum ist, kann natürlich für die Verarbeitung der Daten nicht auf eine Zustimmung der Betroffenen gehofft werden. Hier ist die Rechtsgrundlage somit Artikel 6 lit. f DSGVO die Grundlage, die sich auf das berechtigte Interesse des Verantwortlichen bezieht. Aber Vorsicht, mit dem Verweis auf diese Rechtgrundlage ist das Unternehmen verpflichtet zu prüfen, ob und wie eine Überwachung ein schutzwürdiges Interesse eines Betroffenen beeinträchtigen könnte. Nicht zulässig ist übrigens die Überwachung von Mitarbeitern mit der Berufung auf diese Rechtsgrundlage. Daher sollte auch vermieden werden, diesen Eindruck durch eine in diesem Sinn ungeeignete Aufstellung von Überwachungstechnik zu erzeugen (z.B. überwachter Raucherbereich auf dem Gelände).

Achtung: Tonaufnahmen sind gesondert zu behandeln und gehören nicht automatisch zur Videoüberwachung. Nach §201 Strafgesetzbuch ist das unbefugte Abhören des vertraulichen Wortes strafbar. Hier gilt darüber hinaus auch die Gesetzgebung des Bundes und der Länder.

Die beabsichtigte oder unbeabsichtigte Überwachung von Mitarbeitern ist über die genannte Rechtgrundlage natürlich nicht möglich.

Nur eigenes Gelände überwachen

Die installierten Videokameras dürfen nur das eigene Gelände überwachen, weder den öffentlichen Raum noch das Gelände der Nachbarn. Somit ist darauf zu achten, dass andere Bereiche ausgenommen oder unkenntlich gemacht werden (gute System unterstützen diese Anforderungen).

Auf Videoüberwachung hinweisen

Nach Artikel 13 DSGVO ist ein Unternehmen verpflichtet, auf eine rechtmäßige Verarbeitung von personenbezogenen Daten hinzuweisen. Nach Artikel 12 DSGVO muss dies Transparent für den Betroffenen erfolgen, so dass er seine Rechte unmittelbar ausüben kann.

Auf dem Gelände sollte daher als erstes ein gut sichtbar ein Hinweis auf eine Videoüberwachung befinden. Hierzu gibt es auch Piktogramme, die bildlich auf diese Verarbeitung hinweisen.

Zweitens muss den Informationspflichten genüge getan werden. Hierzu gehört nach Artikel 13 Ansatz 1 DSGVO u.a. die Angabe des Zweckes, des Verantwortlichen mit den Kontaktdaten, Rechtgrundlage, und mögliche Empfänger. Idealerwiese kann man diese Informationen auf einem Ausdruck auf der Innenseite einer Eingangstür platzieren.

Die meisten Datenschutzbehörden liefern hierzu Vorlagen (z.B. die Vorlage der Landesbeauftragten für Datenschutz in Niedersachsen).

Aufbewahrungszeit von Videoaufnahmen

Die Videoüberwachung verfolgt neben der Abschreckung häufig den Zweck, bei einem möglichen Schaden den Verursacher identifizieren zu können. Sobald aber der Zweck der Verarbeitung nicht mehr gegeben ist, müssen nach der DSGVO die personenbezogenen Daten gelöscht werden.

Hieraus ergibt sich die Verpflichtung des Unternehmens, so schnell wie möglich festzustellen, ob z.B. ein Schaden aufgetreten ist, der die Sichtung von Videoaufnahmen zur Beweissicherung oder Täteridentifikation notwendig erscheinen lässt.

Aus der Praxis hat sich mittlerweile herauskristallisiert, dass ein Zeitraum von 48 bis max. 72 Stunden für eine Prüfung (Verarbeitung) als ausreichend angesehen wird. Dabei wird davon ausgegangen, dass ein maximaler Zeitraum insbesondere für Wochenenden oder Feiertagen erforderlich sein kann. Es ist trotzdem möglich, dass eine solche Frist nicht ausreicht, so dass es im Einzelfall auch spezifische zu begründende längere Prüfzeiträume geben kann. Wichtig ist, dass eine Prüfung unverzüglich stattfindet.

Zeitnahes Löschen von Aufnahmen

Wenn gar nichts passiert ist, dann müssen die Videoaufnahmen auf denen Personen zu erkennen oder identifizierbar sind unverzüglich gelöscht werden. Ist z.B. ein Einruch oder eine Sachbeschädigung passiert, dann ist zu prüfen, welche Aufnahmen zur Erfüllung des Verarbeitungszweckes erforderlich sind.

Alle anderen personenbezogenen Aufnahmen sollten unverzüglich gelöscht werden. Sofern eine Einschaltung von Behörden (Polizei, etc.) erfolgt, sollte mit diesen Rücksprache gehalten werden.

Rechenschaftspflicht

Selbstverständlich ist die Videoüberwachung als Verarbeitung mit allen Pflichtangaben im Verarbeitungsverzeichnis zu führen.

Mit einem Verweis auf Artikel 6 lit. f DSGVO ist es ebenfalls erforderlich, die Interessen von Betroffenen und Unternehmen gegeneinander abzuwägen. Diese Abwägung sollte mit dem Ergebnis schriftlich dokumentiert und kann als Anhang zum Verarbeitungsverzeichnis hinterlegt werden.

Werden Aufnahmen länger aufbewahrt ist auf jeden Fall schriftlich festzuhalten, warum dies erfolgt. Die oben genannte Rechtsgrundlage ist dabei nicht beliebig ausdehnbar.

Ketten

Privacy Shield und EU Standardvertragsklauseln

Der europäische Gerichtshof hat am 16.Juni 2020 das Privacy Shield Abkommen der EU Kommission mit den USA für ungültig erklärt. Damit wird die datenschutzkonforme Rechtsgrundlage für den Datentransfer und die Verarbeitung von personenbezogenen Daten in die USA für unwirksam erklärt.

Darüber hinaus gehören die USA ab sofort zu den Drittländern, in denen die Verarbeitung von personenbezogenen Daten aus der EU für unsicher erklärt wird und ohne zusätzliche Vereinbarungen nicht mehr zulässig ist. Da sich auch die sogenannten Standardvertragsklauseln für Auftragsverarbeitungsverträge auf ein angemessenes Datenschutzniveau in den USA berufen ist sehr wahrscheinlich, dass diese ebenfalls ihre Gültigkeit verlieren werden. Wer sie weiter benutzt, muss als Verantwortlicher zumindest genau prüfen, ob der Schutz der Daten durch geeignete Maßnahmen gewährleistet werden und hierzu zusätzliche Vereinbarungen getroffen werden müssen.

Gültigkeit der Standardvertragsklauseln

Die EU muss zur weiteren Gültigkeit den Standardvertragsklauseln noch Stellung beziehen, diese außer Kraft setzen und evtl. Alternativen anbieten. Ob eine personenbezogene Einwilligung für eine Verarbeitung in den USA ausreicht darf ebenfalls bezweifelt werden, da hier eine entsprechend umfangreiche Aufklärung des Betroffenen erfolgen muss und der europäische Gerichtshof grundsätzlich davon ausgeht, dass die Grundrechte der EU Bürger bzgl. Datenschutz in den USA verletzt werden.

Die Rechtslage bzgl. der Standardvertragsklauseln ist also aktuell unscharf und umfangreich interpretierbar. Dieses Risiko sowie der hohe Aufwand zur Erstellung zusätzlicher Vereinbarungen liegt somit auf der Seite des Verantwortlichen.

Folgen für die Praxis

In der Praxis bedeutet dies, dass eine Verarbeitung durch amerikanische Unternehmen nur auf Systemen, die sich in der EU befinden zulässig sein wird. Dazu gehört auch, dass keine Dienstleister eingesetzt werden sollten, die auf Basis des jetzt ungültigen Privacy Shield Abkommens Dienstleister (Subunternehmen) beauftragt haben.

Was sollte jetzt getan werden:

  • Prüfen Sie alle AV-Verträge mit Dienstleistern in den USA, ob diese auf das Privacy Shield Abkommen referenzieren. Diese Grundlagen sind ab sofort ungültig und Sie befinden sich in dem Risiko, die DSGVO zu verletzen.
  • Prüfen Sie in allen AV-Verträgen die Angaben der Subunternehmer. Im Falle des Einsatzes eines amerikanischen Dienstleisters ohne europäischen Serverstandort bitten Sie Ihren Vertragspartner um Auskunft bzgl. der weiteren Vorgehensweise zur Umsetzung des aktuellen Urteils.
  • Entfernen Sie in Ihrer Datenschutzerklärung die Hinweise auf das Privacy Shield Abkommens als Basis für die Übermittlung von Daten in die USA und Ergänzen Sie im Falle alternativer Lösungen diese Informationen auf Ihrer Webseite.
  • Achten Sie beim Abschluss neuer Verträge ab sofort darauf, dass die Datenübermittlung in die USA ausgeschlossen werden sollte.

Bei weitere Fragen zu diesem Thema sprechen Sie uns gerne an. Hier geht es zu unseren Kontaktdaten.

Videoconferencing

Vorsicht Videoconferencing?

Die Corona Krise bringt neben den Kontaktverboten auch Videoconferencing auf den Weg in den normalen Arbeitsalltag. So haben viele Firmen festgestellt, dass Sie für ein Arbeiten außerhalb der eigenen Räume technisch nicht aufgestellt sind. Hierdurch wird natürlich das Thema Digitalisierung vorangetrieben. Analoges gilt für das Thema Schulungen, bei denen aktuell die Online-Kursangebote einen großen Zulauf erhalten. Nachteilig ist, dass momentan einige Regelungen unter dem Gesichtspunkt der Notsituation einfach ignoriert werden und dazu gehören der Datenschutz und die IT-Sicherheit. Aus den Erfahrungen der letzten Wochen habe ich einige Punkte zusammengetragen, die ich in diesem Kontext gerne weitergeben möchte.

ZOOM

Ein wesentliches Thema in diesem Kontext sind die Conferencing Systeme, die jetzt von Firmen genutzt werden sollen. Dabei sticht aktuell das System Zoom immer wieder heraus, ist es doch augenscheinlich einfach, kostenlos und bis zu gleichzeitig 100 Teilnehmern nutzbar. Zoom ist Teil von Privacy Shield und bietet einen AV-Vertrag an. Damit erfüllt Zoom die Anforderungen der DSGVO. Rechtsgrundlage hier ist i.d.R. Artikel 6 lit b. DSGVO. Dennoch häufen sich die Hinweise auf eklatante Sicherheits- und Datenschutzprobleme. Um hier nicht wieder alle Punkte aufzuführen verweise ich auf ein paar Artikel, die unter den folgenden Links zu finden sind.

April Beitrag von Computerbild

April Beitrag von B24 zur Reaktion von Zoom auf die Vorwürfe

April Beitrag Sueddeutsche

April Beitrag Vice Magazin

Die Entscheidung, ob Zoom mit den aktuell gefundenen Sicherheitslücken ideal ist muss jeder selber entscheiden. Möglicherweise sollte aber die Nachbesserungen von Zoom erst umgesetzt und kritisch getestet werden, bevor ein Einsatz in Unternehmen erfolgt.

Cisco Webex und Microsoft Teams

Welche Alternativen gibt es denn für Firmenkunden. Auch hier ist eine Vielzahl von Lösungen auf dem Markt erhältlich. Mir begegenen immer wieder zwei primäre Lösungen und dies ist Cisco Webex und Microsoft Teams. Beide sind Privacy Shield zertifiziert, Cisco bietet ebenfalls den AV-Vertrag mit den Standarddatenschutzklauseln an. Insbesondere momentan bieten beide Anbieter mit ihren wohlkerprobten Angeboten auch preislich Alternativen zu freien Systemen wie z.B. ZOOM an.

Beitrag Magazin LANline zu Webex und MS Teams

Weitere Anbieter

Eine Vielzahl von Anbietern tummeln sich auf dem Markt. Unabhänging von Datenschutz und Informationssicherheit unterscheiden sich viele Systeme in der Anzahl der gleichzeit performant nutzbaren Verbindung, der Übertragungsqualität, der einfachen Bedienbarkeit und natürlich bei den Kosten. Zum Datenschutz verweise ich hier auf die gute Übersicht von Dr. Schwenke unter folgendem Link:

Dr. Schwenke: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

Verhalten in einer Konferenz

Erst einmal ist es wichtig im Falle des Einsatzes einer Videoconferencing Software nicht zu vergessen, das Verfahrensverzeichnis zu aktualisieren sowie einen AV-Vertrag abzuschließen. Darüber hinaus haben sich ein paar Verhaltensregeln bewährt, die das Thema Datenschutz (insbesondere auch den Schutz der Privatsspäre) unterstützen:

  • Nutzen Sie die Möglichkeit, den Hintergrund auszublenden oder weich (unscharf) zeichnen zu lassen (Blur Effekt).
  • Sofern nur das private Wohnzimmer als Arbeitsplatz zur Verfügung steht, sollte von einer Videoübertragung abgesehen werden, wenn andere Familienmitglieder unfreiwillig durchs Bild laufen.
  • Wenn man aktiv nicht redet sollte das Mikrofon auf stumm gestellt werden, um zu vermeiden, dass sämtliche Gespräche mit anderen Bewohnern, das Klingeln des Postboten oder der Ruf zum Mittagessen, allen Teilnehmern offeriert wird.
  • Lassen Sie keine vertraulichen Unterlagen im sichbaren Videobereich liegen. Insgesamt sollte das Bild primär auf das Gesicht fokussiert werden. Einige Kameras erledigen das sogar automatisch.
  • Sofern Sie Moderator sind öffenen Sie auf Ihrem Rechner nur die Programme, die für die Konferenz wesentlich sind. Peinlich und kritisch ist, wenn Sie versehentlich Bildschirminhalte teilen, die nicht für andere bestimmt sind.
  • Führen Sie parallel keine Telefonate ohne zu prüfen, ob die Mikrofonfunktion und die Videoübertragung ausgeschaltet sind (generell sollten Sie sich nur auf die Konferenz fokussieren).
  • Melden Sie sich beim Eintreten in eine Konferenz mit Ihrem Namen und begrüßen die anderen Teilnehmer. Prüfen Sie in der Teilnehmerliste online, ob Sie die dort angegeben Namen kennen und seien Sie in Ihren Äußerungen zurückhaltend, wenn Sie nicht sicher sind, wer tatsächlich teilnimmt. Deshalb empfehlen wir auch, sich in einer Conferencing Session mit ihrem  Namen anzumelden.
Datenschutzschulungen

Datenschutzschulung als Pflicht

Als Berater erhalten wir viele Einblicke in Unternehmen und die teils unterschiedlichen Vorgehensweisen zum Thema Datenschutz und Informationssicherheit.

Interessanterweise sind immer wieder die folgenden Punkte zum Datenschutz und der Informationssicherheit zu finden:

  • Hohe Unkenntnis der Geschäftsführung über die rechtlichen Verpflichtungen
  • Umfangreiches Halb- oder Nichtwissen der Mitarbeiter
  • Ein Ausblenden von organisatorischen Maßnahmen insbesondere in IT-Abteilungen sowie den rechtlichen Risiken, denen z.B. Administratoren aus ausgesetzt ist

Zeit investieren, Risiko minimieren

Obwohl diese Themen durch Präsensschulungen abgedeckt und der Wissensstand drastisch erhöht werden könnte, wird seitens der Entscheider gerne darauf verzichtet. Dabei werden häufig die hohe Arbeitslast sowie der Zeitbedarf als Argument gegen Präsenzschulungen angeführt. Manche Unternehmen greifen hingegen auf externe Standardschulungen zurück und wundern sich anschließend, dass diese Themen für den Mitarbeiter nicht in den betrieblichen Ablauf übertragbar sind.

Da die Folgen des Nichtwissens immer größere Auswirkungen haben, regen wir grundsätzlich folgende Regeln für Datenschutz- und Informationssicherheitsschulungen an:

  • Verpflichtende Schulungen für alle Mitarbeiter
  • Thematisch fokussierte Schulungen für Geschäftsführung, IT-Abteilung, Personalabteilung und Vertrieb.
  • Präsenzschulung mit der Möglichkeit, Fragen zu stellen und Unternehmensbeispiele durchzugehen.
  • Dauer maximal 2 Stunden

Schulungsinhalte

Inhaltlich sollten die Schulungen auf die DSGVO, das BDSG sowie betrieblich genutzte Informationssicherheitsnormen referenzieren, allerdings keine juristischen Artikel und Paragraphenschlachten beinhalten. Aus der Erfahrung sind u.a. folgende Themen hilfreich für die unterschiedlichen Schulungsteilnehmer:

  • Was sind DSGVO und BDSG?
  • Abgrenzung Datenschutz und Informationssicherheit
  • Welche Rechtsgrundlagen müssen vorliegen?
  • Wie sehen korrekte Einwilligungen aus?
  • Verpflichtende Verfahren und Handlungsfristen
  • Was ist ein Auftragsverarbeitungsvertrag?
  • Was macht der Datenschutzbeauftragte?
  • An wen kann ich mich wenden und wo muss ich selber handeln?
  • Was sind Verarbeitungen und technisch organisatorische Maßnahmen?
  • Wie erfüllt man die Rechenschaftspflicht?
  • Welche einfachen Schutzmaßnahmen können getroffen werden?

Natürlich kann eine Vielzahl weiterer Themen je nach Teilnehmerkreis ergänzt werden. Hilfreich sind immer auch Themen, die Beispiele aus der täglichen Praxis einbeziehen. Daher sollte vor einer Schulung eine kurze Abstimmung z.B. mit dem für den Bereich verantwortlichen Leiter erfolgen, um hieraus Themen abzuleiten.

Sprechen Sie uns an, wenn Sie hier eine individuelle Schulung für Ihr Unternehmen benötigen.

Rechenschaftspflicht erfüllen

Wenn sich Aufsichtsbehörden melden und Fragen zur Umsetzung des Datenschutzes stellen geht es  häufig um die Erfüllung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO. In Artikel 5 DSGVO steht: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können“.

Im Gegensatz zum alten BDSG muss also seit Gültigkeit der DSGVO der Verantwortliche, d.h. das Unternehmen nachweisen, dass es den Datenschutz umgesetzt hat.  Hier sind auf Anfrage der Aufsichtsbehörden Unterlagen beizubringen, die aufzeigen sollen, welche Maßnahmen ergriffen wurden.

Welche Dokumente sind sinnvoll?

In den folgenden Absätzen haben wir einige Unterlagen aufgeführt, die eine hohe Relevanz zur Erfüllung der Rechenschaftspflicht haben können. Je nach Unternehmensgröße kann es hier weitere Ergänzungen geben. Wichtig ist, dass nicht der Datenschutzbeauftragte diese Pflicht erfüllen muss, sondern das Unternehmen. In unserem Artikel über den Datenschutzkoordinator haben wir bereits erwähnt, dass dies eine operative Aufgabe ist, die ein  Datenschutzkoordinator steuern bzw. durchführen könnte.

Ernennung eines Datenschutzbeauftragten

Auch wenn lt. DSGVO keine schriftliche Ernennung vorgesehen ist, empfehlen wir, eine offizielle Ernennung mit der Zustimmung des Datenschutzbeauftragten zu dokumentieren und hier die Aufgaben entsprechend Artikel 39 DSGVO zu beschreiben.

Bei der Ernennung sollte ebenfalls berücksichtigt werden, dass der ernannte Datenschutzbeauftragte eine entsprechend passende Qualifikation nachweisen kann (Artikel 37 Abs. 5 DSGV). Sofern kein Datenschutzbeauftragter benannt werden muss sollte diese Begründung ebenfalls vorbereitet werden.

Datenschutzhandbuch

In diesem sind wesentliche Regeln zum Datenschutz für alle Mitarbeiter hinterlegt. Dieses Handbuch kann aber auch aus Teildokumenten bestehen z.B. die Datenschutzleitlinie, die Datenschutzorganisation und Datenschutzrichtlinien.

Verfahren zum Datenschutz

Hier sollten alle Verfahren dokumentiert sein, die sich aus den Artikeln 15 ff, den Meldepflichten bei Datenschutzvorfällen nach Artikel 33 DSGVO und Artikel 34 DSGVO sowie der Datenschutzfolgeabschätzung nach Artikel 35 ergeben.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis ist eines der besten Dokumente, um eine Übersicht über den Datenschutz in einem Unternehmen zu erhalten. In diesem sind auch die technischen und organisatorischen Maßnahmen aufgeführt, die für die Verarbeitungen individuell oder grundsätzlich gelten. Wenn diese in einem eigenständigen Dokument gepflegt werden gehört dies immer zu dem Verarbeitungsverzeichnis. Sofern Sie Auftragsverarbeiter sind denken Sie bitte an das separat zu führende Verzeichnis nach Artikel 30 Abs. 2 DSGVO.

Einwilligungen

Sofern Einwilligungen für die Verarbeitung von Daten die Rechtsgrundlage bilden, dann sollten Sie wissen, wo diese Einwilligungen im Bedarfsfall verwahrt werden. Wichtig ist auf jeden Fall, dass Sie die Einwilligungen mindestens als Muster-Formulare der Aufsichtsbehörde bei Bedarf zur Verfügung stellen könnten.

AV-Verträge

Hier spielt erst einmal eine Rolle, ob ein AV-Vertrag abgeschlossen wurde. Deshalb empfehlen wir, im Verarbeitungsverzeichnis direkt auf Dienstleister und AV-Vertrag zu referenzieren. Bei Bedarf müssen auch diese der Aufsichtsbehörde vorgelegt werden, so dass es sehr sinnvoll ist, diese in einer eigenen Vertragsverwaltung zu archivieren.

Sensibilisierung / Schulungen Mitarbeiter

 Es empfiehlt sich, Nachweise über Schulungen der Mitarbeiter, eine Verpflichtung auf Artikel 5 DSGVO im Arbeitsvertrag, verteilte Informationsbroschüren etc. vorzuhalten. Hier kann man Anleihen z.B. an der Dokumentation von Sicherheitsunterweisungen machen.

Weitere Dokumente

Ebenfalls hilfreich ist das Aufbewahren von folgenden Informationen zur Erfüllung der Rechenschaftspflicht:

  • Tätigkeitsbericht des Datenschutzbeauftragten
  • Prüfergebnis für eine Verarbeitung nach Artikel 6 lit. f DSGVO
  • Dokumentierte Liste aller Fälle über die Ausübung von Betroffenenrechten
  • Sicherheitsvorfälle
  • Dokumentation eines Informationssicherheitssystems
  • Audits

Bei Änderungen von Dokumenten ist es ebenfalls hilfreich, Versionsnummern zu verwenden und in einer Versionshistorie die Änderungen festzuhalten. So kann man die nach Artikel 32 Abs. 1 lit. d) DSGVO geforderte ständige Verbesserung ebenfalls einfach nachweisen.

Benötigen Sie bei der Umsetzung der DSGVO Anforderungen Unterstützung, dann überlegen wir mit Ihnen eine sinnvolle Lösung. Sprechen Sie uns einfach an.

Hilfreiches Datenschutz-Audit

Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.

Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.

Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.

Unvollständige Umsetzung

Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.

  • So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
  • Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
  • Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.

Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind  neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.

Datenschutz-Audit für Transparenz

Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.

Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.

Mit einem solchen Auditbericht können Sie

  • als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
  • den internen oder externen DSB durch systematische Informationen unterstützen,
  • die Umsetzung von Maßnahmen besser einschätzen,
  • die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.

Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.

Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.