3G-Pflicht am Arbeitsplatz – Datenschutzrechtliche Pflichten beachten

Mandanteninformation GDPC vom 22.11.2021

3G-Pflicht am Arbeitsplatz – Datenschutzrechtliche Pflichten beachten

Wir möchten Sie heute über die datenschutzrechtlichen Auswirkungen der 3G-Pflicht am Arbeitsplatz informieren. Bundeseinheitlich und unabhängig von der Betriebsgröße gilt ab Mittwoch (24.11.2021) die 3G-Pflicht am Arbeitsplatz.

Das bedeutet, dass die Mitarbeiter einen Nachweis über den 3GStatus (genesen, geimpft, getestet) vorlegen müssen, der Arbeitgeber diese Nachweis kontrolliert und entsprechend dokumentiert. Ohne Nachweis darf der Arbeitgeber den Mitarbeiter nicht auf das Betriebsgelände lassen (stichprobenartige Kontrollen genügen nicht).

Die Pflicht des Arbeitgebers bezieht sich auf alle Mitarbeiter, die im Betrieb Kontakt zu anderen Personen haben können (!). Wichtig: Auf solche Mitarbeiter, die ausschließlich im Home-Office arbeiten oder die zu Zeiten arbeiten, in denen sich keine anderen Beschäftigten oder Kunden im Betrieb aufhalten, bspw. bei abendlichen Reinigungskräften, bezieht sich die 3G-Pflicht nicht. In diesem Fall dürfen grds. auch keine entsprechenden personenbezogenen Daten (genesen, geimpft, getestet) erhoben werden. Bitte berücksichtigen Sie dies bei der entsprechenden Ausgestaltung des Prozesses.

Für die Kontrolle und die damit verbundene Dokumentation dürfen Arbeitgeber auch entsprechende Daten ihrer Beschäftigten verarbeiten, da diese zur Kontrolle und zum Nachweis derselbigen verpflichtet sind. Gemäß des Grundsatzes der Datenminimierung muss aber unbedingt darauf geachtet werden, dass so wenige personenbezogene Daten wie möglich gespeichert werden.

So dürfen Arbeitgeber bspw. erfassen, bei welchen Mitarbeitern – mangels Impfung oder Genesung – ein täglicher Testnachweis erforderlich ist. Eine Kopie des Impfausweises oder der GenesenenBescheinigung ist jedoch grds. nicht statthaft. Es reicht hierfür bspw. das Anfertigen einer Dokumentation mit Name des Beschäftigten; Vorliegen der vollständigen Impfung oder der Genesung (bei letzterem inkl. Ablaufdatum); Datum der Kontrolle.

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Unser Netzwerk wird sich zeitnah mit Ihnen in Verbindung setzen und Lösungen schaffen!
Das garantieren wir.

Wir freuen uns auf Ihre Anfrage.

Chinesisches Datenschutzgesetz stellt Unternehmen vor Herausforderungen

Mandanteninformation GDPC vom 25.10.2021

Chinesisches Datenschutzgesetz stellt Unternehmen vor Herausforderungen

Wir möchten Sie heute über die Auswirkungen des Chinesischen Datenschutzgesetzes (Personal Information Protection Law – PIPL) auf deutsche Unternehmen informieren.

Sollten Sie keinerlei Dependancen in der Volksrepublik China besitzen und keinerlei Geschäftsbeziehungen zu chinesischen Unternehmen unterhalten, so müssen Sie nicht weiterlesen. In allen anderen Fällen empfehlen wir die Lektüre unserer nachfolgenden Zusammenfassung.

1. Um was geht es genau?
Zum 01.11.2021 tritt das erste chinesische Datenschutzgesetz in Kraft. Wesentliches Ziel des Gesetzes ist es, Datenmissbrauch und das Sammeln von Daten durch private Unternehmen zu unterbinden.
Da China einer der wichtigsten Handelspartner ist, hat dies auch entsprechende Auswirkungen auf deutsche Unternehmen. Es ist hierbei nicht von Belang, ob das (deutsche) Unternehmen personenbezogene Daten innerhalb oder außerhalb Chinas erhebt, da das Gesetz auch außerhalb der Grenzen Chinas Wirkung entfaltet. Hilfreich ist, dass sich das chinesische Gesetz an europäischen Datenschutzvorgaben (DSGVO & Co.) orientiert.

2. Auswirkungen auf deutsche/europäische Unternehmen
Da die konkreten Auswirkungen des neuen chinesischen Datenschutzgesetzes für jedes Unternehmen – je nach konkreter Ausgestaltung der Aktivitäten auf dem chinesischen Markt – unterschiedlich sind, können wir Ihnen nachfolgend nur eine summarische Auflistung einiger Pflichten geben:

      • Berichtspflichten gegenüber den chinesischen Aufsichtsbehörden
      • Benennung eines Ansprechpartners für Datenschutzfragen (z.B. ein Datenschutzbeauftragter)
      • Informationspflichten gegenüber den Betroffenen
      • Einholung von Einwilligungen für bestimmte Verarbeitungen wie bspw. für das Tracking
      • Verbot von algorithmischer Preisdifferenzierung zwischen Nutzern/Kunden
      • Genehmigungsvorbehalt für internationale Datentransfers aus China heraus, einschließlich des Abschlusses entsprechender Standardverträge

Es ist zwar derzeit noch nicht klar, ob und wie konsequent die chinesischen Behörden das Gesetz gegenüber ausländischen/europäischen Unternehmen durchsetzen, jedoch empfiehlt es sich für in China tätige Unternehmen definitiv sich mit den neuen Regelungen vertraut zu machen.

Sie sind auf dem chinesischen Markt aktiv, unterhalten Geschäftsbeziehungen zu chinesischen Unternehmen und/oder haben spezifische Fragen zu den rechtlichen Anforderungen? Kommen Sie gerne auf uns zu! 

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Unser Netzwerk wird sich zeitnah mit Ihnen in Verbindung setzen und Lösungen schaffen!
Das garantieren wir.

Wir freuen uns auf Ihre Anfrage.

Datenlöschung als Beitrag zum Klimawandel?

Mandanteninformation GDPC vom 28.09.2021

Datenlöschung als Beitrag zum Klimawandel?

Wir möchten Sie heute über ein etwas anderes Thema informieren, nämlich darüber, wie die Einhaltung datenschutzrechtlicher Vorschriften einen Beitrag zum Klimaschutz leisten kann.

Die fortschreitende Digitalisierung bring auch immer größere Mengen mehr oder weniger sinnloser Daten hervor und bindet dadurch wertvolle Speicherressourcen (z.B. Server), die vor allem viel Energie benötigen. Laut dem Fachmagazin „Cloud-Computing Insider“ wurden alleine im Jahr 2020 ca. 6.000.000 Millionen Tonnen Kohlendioxid in die Atmosphäre abgegeben, alleine aufgrund des Archivierens von sinnlosen oder nicht mehr benötigten Daten.

Im Schnitt kennen Firmen bei 52 Prozent ihrer Daten weder den Inhalt noch den Wert. Sie wären somit zumindest erstmal löschwürdig. Dass die Einhaltung der datenschutzrechtlichen Vorgaben, mithin die Pflicht zur Löschung nicht mehr benötigter/erforderlicher (personenbezogener) Daten, hier ggf. einen kleinen Beitrag zu weniger klimaschädlichen Emissionen leisten kann, ist auch für uns verblüffend.

Ein einzelner Server im Unternehmen, der oft zwischen 20 und 30 Prozent mit unnötigem Datenmüll ausgelastet wird, verursacht in etwa so viel CO2-Emmissionen wir ein sportlicher SUV im Betrieb. Denn: Server und Netze sind grds. sog. Stromfresser. Die Produktion einer Kilowattstunde stößt im Schnitt ca. 544 Gramm CO2 aus. Um ein Gigabyte Informationen zu übertragen/archivieren, werden im Schnitt 13 Kilowattstunden benötigt (über 7 Kilogramm CO2).

Vergleichbares gilt für das Videostreaming oder für die aktuell in der Corona-Pandemie beliebten Videokonferenzen. Pro Stunde Videostreaming (etwa im Rahmen von Videokonferenzen) werden im Schnitt 90 Gramm CO2 pro Stunde emittiert; die gleiche Dauer einer Telefonkonferenz verbraucht in etwa nur 5 Gramm CO2 und damit 14 mal weniger.

Weiteres Beispiel: Jede einzelne Google-Suche verursacht alleine bis zu 5 Gramm CO2, das Aufrufen einer Webseite 0,02gr. pro Sekunde. Wer seinen Fuhrpark auf Elektromobilität umstellen möchte, um seinen CO2-Fußabdruck zu verbessern, während auf den eigenen Servern Unmengen von nicht genutzten und unnötigen Daten lagern, sollte vielleicht darüber nachdenken, nicht mehr benötigte Daten löschen.

Dadurch spart das Unternehmen Kosten, kann gleichzeitig CO2 reduzieren und das mit relativ geringem Aufwand. Viele Unternehmen werden sich zukünftig mit der Frage auseinandersetzen müssen, wie Sie sich in Sachen Klimaschutz und Emissionsreduktion positionieren wollen.

Dass ein kleiner Teil hiervon alleine die Einhaltung datenschutzrechtlicher Pflichten, wie die ordnungsgemäße Datenlöschung und die Erstellung eines Löschkonzepts, ist, stellt einen interessanten Betrachtungswinkel dar.

Wenngleich nicht unberücksichtigt bleiben darf, dass durch die Einhaltung des Datenschutzrechts natürlich auch wieder CO2 ausgestoßen wird. In diesem Sinne wünschen wir Ihnen eine angenehme Woche!

Ihre Datenschutzexperten der GDPC

Dr. Kevin Marschall und Stephan Blazy

Starten Sie heute

Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Unser Netzwerk wird sich zeitnah mit Ihnen in Verbindung setzen und Lösungen schaffen!
Das garantieren wir.

Wir freuen uns auf Ihre Anfrage.

Tesla is watching you

Mandanteninformation GDPC vom 03.09.2021

Tesla is watching you

Wir möchten Sie heute über einen brisanten Fall in Zusammenhang mit der Datenverarbeitung des (Elektro-)Autoherstellers TESLA informieren. Sollten Sie einmal mit dem Gedanken gespielt haben, sich ein Auto der Marke Tesla anzuschaffen, so lesen Sie besser nicht weiter; der nachfolgende Fall könnte Ihre Kaufentscheidung vielleicht beeinflussen.

Wie Sie vielleicht schon wissen, sind in TeslaFahrzeugen mehr als 100 verschiedene Sensoren sowie mind. 8 Kameras (innen/außen) verbaut, die diverse Daten über das Fahrzeug, den Fahrer und über die Umgebung erheben. Ein Tesla kann folglich auch Videos und Fahrdaten aufnehmen, speichern und die Firmenzentrale senden. Und nun das Entscheidende: Tesla gibt die Daten im Bedarfsfall auch an Behörden weiter mit der Folge: Ordnungswidrigkeiten- und Strafverfahren für die Fahrer, wie nun jüngst in Berlin geschehen. Ein Tesla-Fahrer raste mit mehr als 100 Stundenkilometer durch Berlin und versuchte, Fahrerflucht zu begehen – ein Video und Fahrdaten aus dem Auto belegen das. Zugegebenermaßen ein sehr rücksichtsloses und gefährliches Verhalten.

Aber: Der zuständige Amtsanwalt Andreas Winkelmann sagte gegenüber dem ZDF: „Tesla hat seinen eigenen Fahrer verpfiffen, ohne Tesla wäre die Tataufklärung so nicht möglich gewesen.“ Durch die Daten von Tesla wussten die Behörden bspw. wann die Türen geöffnet wurden, sekundengenaue Details zu Geschwindigkeit und Gaspedalstellung, Längs- und Querbeschleunigung sowie wann und in welcher Intensität die Bremse betätigt wurde. Und das Wichtigste: Videoaufnahmen von Fahrer und Beifahrer – Sentry-Mode – Wächtermodus – nennt das Tesla.

Ist dieser Modus eingeschaltet, zeichnet das Auto mit seinen Rundumkameras alle Menschen auf, die im Wagen sitzen oder sich diesem bis auf eine bestimmte Distanz von außen nähern ohne deren Einwilligung und Wissen; gleiches gilt für vorbeilaufende Fußgänger, die ebenfalls von den Kameras erfasst werden.

Was sagt Tesla zu dem Vorfall? „Für die Einhaltung der geltenden Gesetze und Vorschriften sei der Fahrzeugbesitzer zuständig“. Tesla erklärt zudem: „Aufnahmen durch den Wächtermodus werden in der Regel nicht an Tesla übertragen, 30sekündige Videosequenzen würden allerdings bei „kritischen Ereignissen“ automatisch gespeichert und könnten zu diversen Zwecken abgerufen werden. Zur Frage des ZDF, wie lange Tesla die Daten speichere, antwortete Tesla: „So lange, wie es erforderlich sei“. Eine für die Privatsphäre der Bürger sehr beunruhigende Antwort.

Besitzt TESLA einen Freifahrtsschein in Sachen Datenschutz? Nein, ganz und gar nicht. Die Aufsichtsbehörden innerhalb der EU formieren sich langsam aber sicher auch gegen Tesla. Erst Ende letzten Jahres wurde ein umfangreiches Gutachten des Netzwerks Datenschutzexpertise unter Leitung des ehemaligen Landesdatenschutzbeauftragten von SchleswigHolstein Thilo Weichert veröffentlicht, wonach Autos von Tesla wegen vieler Datenschutzverstöße in der EU gar nicht zugelassen werden dürften. Nun sind die europäischen Aufsichtsbehörden am Zug. Die europäische Hauptniederlassung befinde sich in Amsterdam, somit wäre für ein europäisches Verfahren die niederländische Behörde “Autoriteit Persoonsgegevens” die zuständige Kontrollinstanz.

Bei Rückfragen können Sie sich gerne jederzeit an uns wenden.

Ihre Datenschutzexperten der GDPC

Starten Sie heute

Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Unser Netzwerk wird sich zeitnah mit Ihnen in Verbindung setzen und Lösungen schaffen!
Das garantieren wir.

Wir freuen uns auf Ihre Anfrage.

DSGVO-konforme Nutzung von Microsoft 365?

Mandanteninformation GDPC vom 04.09.2021

DSGVO-konforme Nutzung
von Microsoft 365?

Wir haben Sie bereits vor einiger Zeit darüber informiert, dass die Aufsichtsbehörden im Bereich „Datenübermittlung in Drittländer“ eine Prüfoffensive starten und diese bereits vollziehen. Vor diesem Hintergrund ist es nun mehr umso wichtiger, die eigenen Datenverarbeitung mit Bezug zu Drittländern (z.B. Einschaltung eines Dienstleisters mit Sitz in den USA) auf Rechtskonformität hin zu überprüfen.

Für Unternehmen, die Microsoft 365 einsetzen und dabei regelmäßig in Konflikt mit dem Datenschutzrecht geraten, bietet T-Systems nun Abhilfe mit einem „Cloud Privacy Service“ für Unternehmen. Dieser Service ist praktisch der Nachfolger der inzwischen eingestellten Microsoft Cloud Deutschland. Im Unterschied dazu baut er zum Datenschutz nicht nur auf vertragliche Regelungen, sondern inbs. auf technische Vorkehrungen, wie etwa auf umfangreiche Verschlüsselungsmechnismen.

Basis dafür ist das nach einer Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Gateway. Nach aktuellen Informationen steht der Dienst in einigen Wochen sowohl großen als auch kleinen Unternehmen zur Nutzung bereit.

Der Dienst ist für Großunternehmen für einen Mehrpreis von zwei Euro je Nutzer und Monat gegenüber sonstigen Microsoft-365-Abo-Kosten verfügbar. Für kleine und mittlere Unternehmen wird T-Systems den Dienst für monatliche Aufpreise von vier bis fünf Euro je Nutzer auch für kleinere Unternehmen anbieten. In dem Preis machen sich die Einrichtungskosten stärker bemerkbar. T-Systems lässt sich die aufwendige Konzeption seines Services und die daraus resultierende Datenschutzkonformität seiner Kunden folglich entsprechend vergüten. Aus datenschutzrechtlicher Sicht kann die Nutzung dieses Service im Vergleich zur “herkömmlichen” Nutzung von MS 365 definitiv empfohlen werden.

Die Anwenderdaten sind im Rechenzentrum in Deutschland gut geschützt, insbesondere auch vor dem Zugriff durch US-Behörden, da diese auf Basis von US-Gesetzen keinen Zugriff auf Daten deutscher Kunden verlangen können. Weitere Informationen zur konkreten Ausgestaltung des Service sowie zu datensicherheitsrechtlichen Aspekten finden Sie im Beitrag des C´t Magazin für Computer Technik, abrufbar unter: Cloud Privacy Service zur DSGVO-konformen Nutzung von MS 365.

Bei Rückfragen können Sie sich gerne jederzeit an uns wenden.

Ihre Datenschutzexperten der GDPC

Starten Sie heute

Sprechen Sie mit unseren Experten und finden Sie Lösungen für Ihr Unternehmen, Ihre IT-Sicherheit und Ihre Haftungssituation.

Unser Netzwerk wird sich zeitnah mit Ihnen in Verbindung setzen und Lösungen schaffen!
Das garantieren wir.

Wir freuen uns auf Ihre Anfrage.