Fachbeiträge
Datenschutz und IT-Sicherheit
Ein teurer Klick
Videokonferenzen sind Alltag. Auch oder gerade weil Videokonferenzen Alltag sind, übt eine Schaltfläche eine (fast) unwiderstehliche Faszination auf Nutzer aus: Start der Videoaufzeichnung.
Viele Videokonferenzen bieten – sofern nicht vom IT-Administrator deaktiviert – eine Aufzeichnung der Konferenz an. Diese Schaltfläche stellt die Effizienzfrage: Wie effizient willst du sein?
Niels Lepperhoff: Ein teurer Klick. Erschienen in: Lohn+Gehalt 05/2024, S. 74 – 76.
Fotos im Internet – was soll dabei schon schiefgehen?
Fotos von und Videos mit Beschäftigten gehören fest zum Inventar des Employer Brandings und der Personalrekrutierung. Sie sollen Authentizität zeigen und die Begeisterung der Belegschaft visualisieren. Um eine möglichst große Reichweite zu erzielen, werden diese Fotos und Videos auf der Unternehmenswebsite und auch in sozialen Netzwerken veröffentlicht.
Niels Lepperhoff: Fotos im Internet – was soll dabei schon schiefgehen? Erschienen in: Lohn+Gehalt 04/2024, S. 54 – 56.
Wir nehmen Sicherheit ernst!
Wer seine Daten im Rahmen von Software-as-a-Service (SaaS) einem Dritten anvertraut, möchte diese in guten Händen wissen. Anbieter von Saas werben vielfach mit der Sicherheit von Daten oder „dem Datenschutz“. Aussagen wie z.B. „Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst“ finden sich in Produktbeschreibungen oder Datenschutzinforma-tionen. Anbieter von Personalabrechnungslösungen sind keine Ausnahme.
Niels Lepperhoff: Wir nehmen Sicherheit ernst! Erschienen in: Lohn+Gehalt 03/2024, S. 58 – 60.
Trennt sich die Spreu vom Weizen?
Schadensersatzklagen für (mutmaßliche) Datenschutzverstöße beschäftigten deutsche Gerichte 2023 mehrfach. Teilweise widersprachen sich die Entscheidungen. Der Europäische Gerichtshof (EuGH) hat die Gelegenheit ergriffen, grundlegende Fragen zu klären. Im Folgenden wird ausgeführt, welche Spielregeln beim Schadenser-satzanspruch im Lichte verschiedener Entscheidungen des EuGH gelten.
Niels Lepperhoff: Trennt sich die Spreu vom Weizen? Erschienen in: Lohn+Gehalt 02/2024, S. 58 – 60.
EuGH: Hürden für Bußgelder gesenkt
Im November 2019 sorgte das Bußgeld der Berliner Datenschutzaufsichtsbehörde von 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen unerlaubter Datenspeicherung für Aufsehen. Das Unternehmen focht den Bußgeldbescheid an und gewann in der ersten Instanz. Dagegen wurde Berufung eingelegt. Das Berufungsgericht bat den Europäischen Gerichtshof (EuGH) um eine Auslegung bestimmter Vorschriften aus der Datenschutz-Grundverordnung (DS-GVO). Am 05.12.2023 hat der EuGH (Az. C807/21) sein Urteil verkündet. Die Bedeutung dieses Urteils ist nicht nur für die Deutsche Wohnen SE relevant, sondern betrifft alle Unternehmen in Deutschland.
Niels Lepperhoff: EuGH: Hürden für Bußgelder gesenkt. Erschienen in: Lohn+Gehalt 01/2024, S. 50 – 52.
Neuer Flicken für den Datentransfer in die USA
Die EU-Kommission hat am 10.07.2023 mit ihrem Beschluss C (2023) 4745 das „EU-US Data Privacy Framework (DPF) zum Leben erweckt und damit den Datentransfer von der EU zu einigen Unternehmen in den USA vereinfacht. Der Beitrag beleuchtet kurz und knapp, welche Vorteile Unternehmen aus dem DPF ziehen können und was in der der Praxis zu beachten ist.
Niels Lepperhoff: Neuer Flicken für den Datentransfer in die USA. Erschienen in: Lohn+Gehalt 07/2023, S. 64 – 66.
Häufig gestellte Fragen zu Trusted Data Processor
Bei der Entwicklung der Verhaltensregel Trusted Data Processor standen neben einem Wettbewerbsvorteil für selbstverpflichtete Unternehmen auch Erleichterungen und mehr Rechtssicherheit im Vordergrund. In den Gesprächen zeigt sich, dass an verschiedenen Stellen Unsicherheit und Erklärungsbedarf über die Anwendung vom Trusted Data Processor herrschen. Entlang von häufig gestellten Fragen beleuchtet dieser Beitrag den Nutzen und Einsatz vom Trusted Data Processor in Unternehmen.
Niels Lepperhoff: Häufig gestellte Fragen zu Trusted Data Processor. Erschienen in: BvD-NEWS 3/2023, S. 54 – 55.
Künstliche Intelligenz – die Nutzung angehen
Anbieter beispielsweise von Bürosoftware, Suchmaschinen und Customer-Relationship-Management-Systemen (CRM) überbieten sich in Ankündigungen, dass sie künstliche Intelligenz (KI) in ihre Produkte integrieren werden oder integriert haben. Das Versprechen geht damit einher, dass die „KI“ Texte erstellt oder Entscheidungen treffen kann.
Niels Lepperhoff: Künstliche Intelligenz – die Nutzung angehen. Erschienen in: Lohn+Gehalt 06/2023, S. 66 – 71.
Der „Datenschutzteufel“ steckt im Detail
Das Hinweisgeberschutzgesetz (HinSchG) tritt am 02.07.2023 in Kraft. Es regelt die Einrichtung von Meldestellen, die Ausgestaltung einzurichtender Meldewege, den Umgang mit eingehenden Meldungen, den Schutz von Hinweisgebern vor Repressalien, aber auch den Schutz anderer Personen vor unrichtigen Meldungen.
Niels Lepperhoff: Der „Datenschutzteufel“ steckt im Detail. Erschienen in: Lohn+Gehalt 05/2023, S. 72 – 74.
Nutzung von Echtdaten zu Testzwecken – gewusst wie
Wer Software für den Personalbereich entwickelt, muss – ab einem gewissen Punkt – mit Echtdaten testen, sagen Praktiker. Eingewendet wird häufig, dass zum Testen auch anonyme oder künstliche Daten genutzt werden könnten. Wenn ein datensparsameres Mittel zur Verfügung steht – hier anonyme oder künstliche Daten -, wird rechtlich aus dem „Können“ schnell ein „Müssen“.
Niels Lepperhoff: Nutzung von Echtdaten zu Testzwecken – gewusst wie. Erschienen in: Lohn+Gehalt 04/2023, S. 64 – 66.
Verhaltensregel – Trusted Data Processor
Softwarehersteller kennen die Situation nur zu gut: Ein neuer Kunde ist fast gewonnen. Fachlich passt alles. Es fehlt nur noch die Freigabe durch den Datenschutzbeauftragten des neuen Kunden. Plötzlich heißt es „Stopp“, es gäbe da noch Datenschutzbedenken.
Niels Lepperhoff: Verhaltensregel – Trusted Data Processor. Erschienen in: Lohn+Gehalt 03/2023, S. 68 – 70.
Anonymisieren personenbezogener Daten – Ein Schlüssel zum Tor der Freiheit der Datenverarbeitung
Anonyme Daten unterfallen dem Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) nicht. Die Zuordnung vormals personenbezogener Daten zu dieser Kategorie hat also weitreichende Konsequenzen. Zugleich ist die Praxis auf belastbare Standards zum Erzeugen anonymer Daten angewiesen. Eine Untersuchung im Auftrag der Stiftung Datenschutz legt eine Basis.
Prof. Dr. Rolf Schwartmann/Andreas Jaspers/Niels Lepperhoff/Steffen Weiss. Erschienen in: RDV 1/2023, S. 40 – 44.
Auskunftsersuchen: konkrete Empfänger nennen
Jeder Mensch hat das Recht, Auskunft von einem Unternehmen, einer Behörde, einem Verein und allen anderen Stellen, die seine personenbezogenen Daten verarbeiten, zu verlangen. Der Inhalt dieses Auskunftsrechts wird in Art. 15 Datenschutz-Grundverordnung (DS-GVO) festgelegt. Wer Art. 15 DS-GVO liest, gewinnt den Eindruck, der Gesetzgeber hätte die mitzuteilenden Informationen hinreichend genau aufgeführt. Dieser Eindruck täuscht.
Niels Lepperhoff: Auskunftsersuchen: konkrete Empfänger nennen. Erschienen in: Lohn+Gehalt 02/2023, S. 60 – 62.
Teams – den Wildwuchs einhegen
Das Programm Teams von Microsoft hat sich fest im betrieblichen Alltag vieler Unternehmen verankert. Manche verwenden lediglich die Videokonferenzfunktion, während andere es als zentrales Kommunikations- und Organisationsmittel einsetzen.
Zu positiven Erfahrungen gesellen sich immer merkbarer auch negative Erfahrungen, wie z. B. ungewollte Eingriffe Externer, ein Wildwuchs an Teams-Räumen oder die Erkenntnis, dass sich in Teams gelöschte Daten mangels Back-ups nicht wiederherstellen lassen. Langsam dämmert die Erkenntnis, dass Teams mehr einem Baukasten gleicht, der vor der Nutzung zu konfigurieren ist.
Niels Lepperhoff: Teams – den Wildwuchs einhegen. Erschienen in: Lohn+Gehalt 01/2023, S. 64 – 66.
Anonymisierung von personenbezogenen Daten (Teil 2)
Eine Anonymisierung personenbezogener Daten ist ein Weg, der Regulierung durch Datenschutzgesetze – insbesondere durch die Datenschutz-Grundverordnung (DS-GVO) – zu „entkommen“. Auf anonyme Daten finden Datenschutzgesetze keine Anwendung. In Ausgabe 6/2022 der LOHN+GEHALT wurden die technischen Verfahren zur Anonymisierung vorgestellt, und es wurde erläutert, welche Bedingungen erfüllt sein müssen, damit aus personenbezogenen Daten anonyme Daten werden. Der vorliegende Beitrag beleuchtet mögliche Einsatzszenarien. Ferner geht er auf die zusätzlich zu beachtenden datenschutzrechtlichen Anforderungen ein.
Niels Lepperhoff: Anonymisierung von personenbezogenen Daten (Teil 2). Erschienen in: Lohn+Gehalt 07/2022, S. 72 – 75.
Anonymisierung von personenbezogenen Daten (Teil 1)
Die Nutzung personenbezogener Daten wird durch die Datenschutz-Grundverordnung (DS-GVO) sowie weitere Datenschutzgesetze reguliert und beschränkt. Anonyme Daten unterliegen indes keiner vergleichbaren Verwertungsbeschränkung.
Ein Personenbezug von Daten ergibt sich nicht nur, wenn identifizierende Datenfelder wie z. B. Name oder Personalnummer im Datensatz enthalten sind. Vielmehr kann eine Kombination verschiedener Merkmale ebenfalls zu einem Personenbezug führen. Selbst dann, wenn keine identifizierenden Datenfelder vorhanden sind. Beispielsweise kann die Merkmalkombination „Vertriebsmitarbeiter“, „männlich“, „30 Jahre alt“ bereits personenbezogen sein, wenn im Unternehmen die Merkmale nur auf eine Person zutreffen.
Niels Lepperhoff: Anonymisierung von personenbezogenen Daten (Teil 1). Erschienen in: Lohn+Gehalt 06/2022, S. 64 – 67.
Digitales Recruiting
Offene Stellen und wenige Bewerber, um diese zu besetzen, das ist die prägende Erfahrung von vielen Personalverantwortlichen im Moment. Werbeagenturen versprechen schnelle Abhilfe, bspw. mittels auf potentielle Bewerber zielender Online-Werbung, vereinfachter Bewerbungsabläufe, Chatroboter und andere Werkzeuge aus dem Marketingarsenal.
HR-Mitarbeiter sehen sich plötzlich mit Vorschlägen konfrontiert, deren technische Funktionsweise ihnen unbekannt ist. Dabei wird nicht nur Geld für Funktionen oder Werbung ausgegeben, die nicht zu mehr Bewerbern führen, sondern es werden schnell auch Datenschutzverstöße begangen. Sind solche Datenschutzverstöße für Bewerber erkennbar, erhalten sie einen Eindruck, welchen Stellenwert Professionalität, Respekt vor der Privatsphäre und Compliance im Unternehmen haben.
Niels Lepperhoff: Digitales Recruiting. Erschienen in: Lohn+Gehalt 05/2022, S. 76 – 78.
Niederlage im Kündigungsschutzprozess wegen „Datenschutz“?
Erhebt ein krankheitsbedingt gekündigter Mitarbeiter Kündigungsschutzklage, rückt das betriebliche Eingliederungsmanagement (BEM) in den Fokus der Aufmerksamkeit. Das Landesarbeitsgericht Baden-Württemberg gab einer Kündigungsschutzklage u.a. wegen unzureichender Beachtung datenschutzrechtlicher Vorschriften statt (Urteil vom 28.07.2021, Az. 4 Sa 68/20).
Ein Weckruf, den eigenen BEM-Ablauf auf Datenschutz-Compliance zu prüfen. Der Weckruf erfolgt vor dem Hintergrund, dass ein Arbeitgeber die Datenschutz-Compliance seines BEM-Prozesses und jeder einzelnen BEM-Maßnahme jederzeit nachweisen können muss.
Niels Lepperhoff: Niederlage im Kündigungsschutzprozess wegen „Datenschutz“? Erschienen in: Lohn+Gehalt 04/2022, S. 70 – 73.
Vom Groschengrab zur Prävention
Neue Mitarbeiter sind möglichst am ersten Arbeitstag auch im Datenschutz zu unterweisen. Die Unterweisung ist u.a. ein Element, um sicherzustellen, dass die neuen Mitarbeiter personenbezogene Daten ausschließlich nach Weisung des Arbeitgebers verarbeiten (Art. 29 Datenschutz-Grundverordnung (DS-GVO)). Viele Unternehmen teilen deshalb Merkblätter aus oder schulen mittels Vorträgen oder Onlinekursen. Nach fast fünf Jahren praktischer Erfahrung mit der DS-GVO lohnt sich ein kritischer Blick auf die Praxis hinsichtlich Effektivität und Effizienz.
Dieser Beitrag will deshalb Anregungen geben, wie die Datenschutzunterweisung geprüft und ggf. zielgerichteter erfolgen kann.
Niels Lepperhoff: Vom Groschengrab zur Prävention. Erschienen in: Lohn+Gehalt 03/2022, S. 80 – 82.
Aus dem Innenleben eines privat genutzten Smartphones
In vielen Unternehmen gehört es zum guten Ton, die private Nutzung dienstlicher Smartphones zu erlauben. Smartphones sind schließlich Telefone. Warum sollten private Telefongespräche, für die dank Flatrate keine Kosten anfallen, problematisch sein? Weiterhin lassen sich teure Smartphones als Incentive nutzen.
Niels Lepperhoff: Aus dem Innenleben eines privat genutzten Smartphones. Erschienen in: Lohn+Gehalt 02/2022, S. 68 – 70.
Datensicherheit – Dilettieren oder Delegieren?
Art. 32 DS-GVO wirkt wie ein Fremdkörper in der Arbeit eines Datenschutzbeauftragten (DSB). Die übrigen Artikel sind vordergründig juristisch ausgerichtet. Art. 32 DS-GVO beschäftigt sich offenkundig mit purer (Informations-)Technik. Dank seiner einfachen Ausgestaltung und unkonkreten Vorgaben bleibt dem Betrachter der eigentliche Sprengsatz dieses Artikels für die Arbeit als DSB – wie vielfach zu beobachten – verborgen. Grund genug, im Folgenden hinter die Kulissen zu schauen.
Niels Lepperhoff: Datensicherheit – Dilettieren oder Delegieren? Erschienen in: BvD-NEWS 1/2022, S. 10 – 13.
Homeoffice – bleibt die Tür zu?
st mobiles Arbeiten wirklich ein Weg ohne rechtliche Pflichten des Arbeitgebers und Ansprüche des Arbeitnehmers? Dieser Beitrag gibt dazu eine Einschätzung aus der Datenschutzpers-
pektive.
Niels Lepperhoff: Homeoffice – bleibt die Tür zu? Erschienen in: Lohn+Gehalt 01/2022, S. 66 – 68.
Planen, drucken, aufhängen: Wo ist das Problem?
Die Digitalisierung der Personalwirtschaft und somit auch der Personaleinsatzplanung schreitet voran. Dienst- und Schichtpläne (im Folgenden: Dienstplan) werden teilweise seit vielen Jahren per Software erstellt. Heute erhalten Beschäftigte Zugriff auf ihren persönlichen Dienstplan per Portal oder App. Der Vorteil ist, dass jeder Beschäftigte nur seine Daten zu sehen bekommen kann und nicht mehr auch die Daten der Kollegen.
Diese Entwicklung darf nicht darüber hinwegtäuschen, dass ausgehängte Dienstpläne weiterhin je nach Tätigkeit oder Branche benötigt werden. Für Beschäftigte ohne Zugang zum Computer bleiben ausgehängte Dienstpläne weiterhin das Mittel der Wahl.
Niels Lepperhoff: Planen, drucken, aufhängen: Wo ist das Problem? Erschienen in: Lohn+Gehalt 07/2021, S. 78 – 79.
Mit Kompass und Karte
Sobald verschiedene Regeln zu beachten sind, steigt die Komplexität an. Das gilt umso mehr, wenn die Regeln sich auch noch gegenseitig beeinflussen. Im Datenschutz ist es nicht anders. Wer bspw. bei neuen Vorhaben einfach losläuft, verirrt sich schnell im Dickicht der Datenschutzgesetze, Rechtsprechung und Meinungen von Aufsichtsbehörden und anderen Personen. Ein methodisches Vorgehen tut not.
Niels Lepperhoff: Mit Kompass und Karte. Erschienen in: Lohn+Gehalt 06/2021, S. 84 – 85.
Rechtsgrundlagen zur Verarbeitung von Kopf- und Körpermaßen
Was haben Kostüme und Masken im Theater mit Datenschutz zu tun? Auf den ersten Blick wenig, scheint es. Bei näherer Betrachtung zeigt sich, dass die starke Zusammenarbeit zwischen Theatern sowie eine hohe Mobilität von Künstlern zu einem häufigen Austausch personenbezogener Daten führt. Die Datenverarbeitung findet zudem im Schnittpunkt des Persönlichkeitsrechts, der unternehmerischen Freiheit und der künstlerischen Freiheit statt. In der Praxis sind vielfältige Unsicherheiten hinsichtlich der anwendbaren Rechtsgrundlagen zu erkennen, und dies führt zur spürbaren Beeinträchtigung des Theaterbetriebs. Am Beispiel der Verarbeitung personenbezogener Daten zur Herstellung und Verwendung von Kostümen und Masken beleuchtet dieser Beitrag wesentliche Fragen der Zulässigkeit und zeigt erste Lösungswege auf.
Niels Lepperhoff: Rechtsgrundlagen zur Verarbeitung von Kopf- und Körpermaßen. Erschienen in: RDV 2021, Heft 4, S. 215 – 219.
Faszination Künstliche Intelligenz
Produktvorstellungen kommen immer seltener ohne die Betonung von „KI“ aus. Mit „KI“ sollen moderne Technik und Leistungsvermögen suggeriert werden. Eine erstaunliche Konnotation, steht „KI“ doch für „Künstliche Intelligenz“.
Das gleichnamige Forschungsfeld entstand 1956. Wenn schon die „moderne“ Technik im Kern 65 Jahre alt ist, wie verhält es sich mit dem zugesprochenen Leistungsvermögen?
Niels Lepperhoff: Faszination Künstliche Intelligenz. Erschienen in: Lohn+Gehalt 05/2021, S. 74 – 76.
Einwilligungen für Beschäftigtenfotos – Schritte zur Vereinfachung
Aus der Praxis: Personalmangel! Arbeitgeber reagieren mit Werbung auf der eigenen Webseite und auf Social-Media-Kanälen, um ihre Attraktivität zu steigern. Um authentisch und unverwechselbar zu wirken, werden dazu gern Fotos von Beschäftigten – teilweise unter Nennung des Namens – verwendet.
Niels Lepperhoff: Einwilligungen für Beschäftigtenfotos – Schritte zur Vereinfachung. Erschienen in: Lohn+Gehalt 04/2021, S. 86 – 87.
Auftragsverarbeitung: Umgang mit Datenschätzen
Am 05.11.2020 stellte die Firma Atlassian die Ergebnisse einer Studie zur Auswirkung von Homeoffice auf die Work-Life-Balance in einem Blog vor.
Dazu wertete Atlassian das Nutzungsverhalten von Mitarbeitern ihrer Kunden aus. Der Blogautor, Arik Friedman, schreibt dazu: „With usage data from millions of people across the world at my fingertips, I wondered whether activity patterns could illuminate changes in our collective work habits with the transition to remote work”. Kunden aus der EU sollte dieser Satz aufhorchen lassen, denn Atlassian agiert als Auftragsverarbeiter insbesondere für die von Atlassian gehosteten Produkte Jira und Confluence.
Niels Lepperhoff: Auftragsverarbeitung: Umgang mit Datenschätzen. Erschienen in: Lohn+Gehalt 03/2021, S. 92 – 93.
E-Mail an die falsche Person versendet – schlimm?
Jeder (oder fast jeder) dürfte schon einmal aus Versehen eine E-Mail an den falschen Empfänger versendet haben. Der sächsische Datenschutzbeauftragte nennt in seinem Tätigkeitsbericht für 2019 Fehlversand bspw. per Post, Fax oder E-Mail als den am häufigsten gemeldeten Sicherheitsvorfall. Die Ursachen sind vielfältig. Sie reichen von Verwechslung der Empfänger aufgrund von Namensgleichheit bis zum „falschen“ Klick auf einen vom E-Mail-Programm vorgeschlagenen Empfänger (Autovervollständigung).
Niels Lepperhoff: E-Mail an die falsche Person versendet – schlimm?. Erschienen in: Lohn+Gehalt 02/2021, S. 80 – 81.
E-Mail-Verschlüsselung im Bewerbungsprozess
Bewerbungen per E-Mail sind längst Standard und haben die postalische Kommunikation fast vollständig verdrängt. Man möchte meinen, dass auch die damit zusammenhängenden Datenschutzfragen längst geklärt seien. Dass dem nicht so zu sein scheint, macht der jüngste Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) deutlich. Ein guter Anlass, einen Blick auf das Thema Verschlüsselung von E-Mails zu werfen.
Niels Lepperhoff: E-Mail-Verschlüsselung im Bewerbungsprozess. Erschienen in: Lohn+Gehalt 01/2021, S. 68 – 69.
Von H&M lernen
Im Vergleich mit Maschinen wird die Arbeitsleistung von Beschäftigten von zahlreichen Faktoren beeinflusst. Dazu zählen neben der Gesundheit auch einschneidende Erlebnisse im Privatleben wie Heirat oder Scheidung.
Ein naheliegender Gedanke ist, diese privaten Angaben systematisch zu sammeln und für die Personalplanung und -führung zu verwenden.
Niels Lepperhoff: Von H&M lernen. Erschienen in: Lohn+Gehalt 07/2020, S. 104 – 105.
Corona-Kontaktliste – vermeidbarer Ärger
Datenschutzrechtliche Beschwerden zum Umgang mit coronabedingten Kontaktlisten zur Rückverfolgbarkeit, etwa von Besuchern in Gaststätten oder bei Veranstaltungen, führten bereits zu aufsichtsbehördlichen Maßnahmen und Bußgeldern. Grund genug für uns, die Vorschriften zu diesen Listen näher anzusehen.
Niels Lepperhoff: Corona-Kontaktliste – vermeidbarer Ärger. Erschienen in: Lohn+Gehalt 06/2020, S. 80 – 81.
Videokonferenzen im Kreuzfeuer
Durch das (erzwungene) Homeoffice und das Verbot von Besprechungen vor Ort erleben Videokonferenzanbieter starken Zulauf und Aufmerksamkeit. Am Anfang stand die Sicherstellung des Betriebs von Unternehmen und Behörden im Vordergrund. Im Zuge öffentlicher Überlegungen, Homeoffice und Videokonferenzen zu einem festen Bestandteil im Unternehmen zu machen, rückt die Frage der Rechtmäßigkeit stärker in den Vordergrund.
Niels Lepperhoff: Videokonferenzen im Kreuzfeuer. Erschienen in: Lohn+Gehalt 05/2020, S. 60 – 61.
Cloud-Dienste: eine Spaßbremse
Vom Hersteller gehostete und gepflegte Softwareanwendungen („Cloud“) versprechen, dass Nutzer im Unternehmen immer die neuen Features erhalten, ohne dass eine neue Version gekauft und installiert werden müsste. Welche rechtlichen Folgen neue Funktionen haben können oder das plötzliche standardmäßige Aktivieren von Funktionen durch den Hersteller, illustriert der Beitrag an den Funktionen „Aufzeichnung von Chats“, „Aufzeichnung von Videokonferenzen“ und „Automatische Analyse von Kommunikationsverhalten“. Die Betrachtung erfolgt generalisiert, d. h. nicht auf ein bestimmtes Produkt bezogen, da die datenschutz-rechtlichen Fragestellungen grundsätzlicher Natur sind und sich auch bei anderen Produkten in ähnlicher Weise stellen.
Niels Lepperhoff: Cloud-Dienste: eine Spaßbremse. Erschienen in: Lohn+Gehalt 04/2020, S. 82 – 83.
Abenteuer Homeoffice
Arbeiten im Homeoffice stellt einen Beitrag nicht nur zur Gesundheitsprävention, sondern – ganz unabhängig von Corona – auch zur Steigerung der Mitarbeiterzufriedenheit dar. Die plötzliche Einführung von Homeoffice für weite Teile der Belegschaft nahezu von einem Tag auf den anderen stand im Zeichen der „Aufrechterhaltung der Funktionsfähigkeit des Unternehmens“. Der Zeitpunkt ist gekommen, zu prüfen, welche Regelungen und Dokumentationen eigentlich für ein Arbeiten im Homeoffice erforderlich sind, und diese schnellstmöglich zu erstellen.
Homeoffice berührt verschiedene Themenbereiche. Dieser Beitrag konzentriert sich auf den Datenschutz.
Niels Lepperhoff: Abenteuer Homeoffice. Erschienen in: Lohn+Gehalt 03/2020, S. 68 – 69.
Auftragsverarbeiter: Die Finger im Honigtopf?
Die Datenschutz-Grundverordnung (DS-GVO) kennt genau 2 Rollen, die Unternehmen einnehmen können: Verantwortlicher (engl. „Controller“) und Auftragsverarbeiter (engl. „Processor“). Bspw. führt die PersoAb GmbH die Personalabrechnungen für ihre Auftraggeber durch. Für die Personalabrechnung im Auftrag agiert die PersoAb GmbH als Auftragsver-arbeiter. Für den eigenen Recruiting-Prozess ist sie jedoch Verantwortliche.
Ein Auftragsverarbeiter agiert als Erfüllungsgehilfe für seinen Auftraggeber. Zugespitzt formuliert: „Auftragsverarbeiter = Sklave“.
Ein Verantwortlicher bestimmt über Zwecke oder Mittel der Verarbeitung. Zugespitzt formuliert: „Verantwortlicher = Herr“.
Was passiert, wenn der Sklave aus dem Honig(Daten)topf des Herrn nascht?
Niels Lepperhoff: Auftragsverarbeiter: Die Finger im Honigtopf? Erschienen in: Lohn+Gehalt 02/2020, S. 66 – 67.
Falscher Empfänger – Das unterschätzte Risiko
Eine „Verletzung des Schutzes personenbezogener Daten“ ist spätestens innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Datenschutzaufsichtsbehörde zu melden (Art. 33 Abs. 1 DS-GVO). Unter einer „Verletzung des Schutzes personenbezogener Daten“ versteht die DS-GVO „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. (Art. 4 Nr. 12 DS-GVO). Alles klar?
Niels Lepperhoff: Falscher Empfänger – Das unterschätzte Risiko. Erschienen in: Lohn+Gehalt 07/2019, S. 78 – 79.
Unterauftragsverarbeiter wechseln? Wie Sie Fallstricke vermeiden
Das Leben als Auftragsverarbeiter ist wirklich nicht einfach. Da Art. 28 DS-GVO die Pflichtinhalte für den Autragsverarbeitungsvertrag (AVV) im Vergleich zum § 11 BDSG-alt verändert hatte, waren neue Verträge nötig. Auf den ersten Blick wirkte der Austausch der Verträge wie ein rein formaler – ja bürokratischer – Akt. Vielfach drängte sich der Eindruck auf, dass außer den beteiligten DSB auf der Fachseite weder Auftraggeber noch Auftragnehmer am Inhalt sonderlich interessiert waren.
Niels Lepperhoff: Unterauftragsverarbeiter wechseln? Wie Sie Fallstricke vermeiden. Erschienen in: BvD-NEWS 3/2019, S. 31 – 33.
Keine Geburtstagsfeier wegen Datenschutz?
Wie in einem Brennglas lassen Geburtstage den Widerspruch zwischen sozialem Miteinander in einem Unternehmen und dem Datenschutz hervortreten. Der Datenschutz verbiete nicht nur die netten Bilder davon, wie die Kollegin betrunken auf der Weihnachtsfeier tanzte, sondern auch Geburtstagsfeiern. So oder so ähnlich reagieren Geschäftsführer und Mitarbeiter, wenn ein Datenschutzbeauftragter die Geburtstagsliste entdeckt. Wollte der Gesetzgeber Feiern und Freude verbieten?
Niels Lepperhoff: Keine Geburtstagsfeier wegen Datenschutz? Erschienen in: Lohn+Gehalt 06/2019, S. 59 – 60.
Betriebliches Eingliederungsmanagement – „Auf Unterlagen vom BEM hat nur das BEM-Team Zugriff!“ Wirklich?
Fragt man bei HR, wer Zugriff auf die im Rahmen eines betrieblichen Eingliederungsmanagements (BEM) kopierten, eingescannten und erstellen Unterlagen hat, lautet die Antwort in etwa: „Auf BEM-Unterlagen hat nur das BEM-Team Zugriff.“ Für Papierunterlagen stimmt die Aussage. Diese befinden sich regelmäßig in abgeschlossenen Schränken, meistens in der Personalabteilung. Die Schrankschlüssel werden von HR-Mitarbeitern verwahrt. Bei näherer Betrachtung zeigt sich, dass Unterlagen eingescannt abgelegt und Protokolle mit einem Office-Programm erstellt werden. Als Speicherort kommt das Abteilungslaufwerk zum Einsatz. Auf Abteilungslaufwerke und somit BEM-Unterlagen greifen auch IT-Administratoren bspw. zur Wartung oder Fehlerbehebung zu.
Niels Lepperhoff: Betriebliches Eingliederungsmanagement. Erschienen in: Lohn+Gehalt 05/2019, S. 90 – 91.
Wann ist ein Videointerview im Bewerbungsverfahren zulässig?
Zur Unterstützung des Bewerbungsprozesses werden zunehmend Videointerviews eingesetzt. Im Unterschied zum Telefoninterview vermitteln Videointerviews auch den visuellen Eindruck über die Mimik und Gestik des Bewerbers. Damit stehen dem Interviewer ähnlich viele Eindrücke wie in einem Präsenzinterview zur Verfügung. Dem Bewerber wird indes die Anreise zum Interview erspart.
Niels Lepperhoff: Wann ist ein Videointerview im Bewerbungsverfahren zulässig? Erschienen in: Lohn+Gehalt 04/2019, S. 76 – 77.
Mitarbeiter fotografieren? Aber sicher!
Fotos von Mitarbeitern sind in der Praxis in vielen Unternehmen allgegenwärtig. Sie zieren den Werksausweis, illustrieren die Webseite sowie andere Werbematerialien und dürfen als Erinnerung an (interne) Veranstaltungen nicht fehlen. Jedes Foto eines Menschen stellt zwangsläufig einen Eingriff in dessen Persönlichkeitsrecht dar. Die Schwere des Eingriffs hängt von der abgebildeten Situation ab. Deshalb verwundert es nicht, dass die Grenzen des Erlaubten durch Gerichtsprozesse ausgeleuchtet wurden. Über die Jahre kristallisierte sich ein akzeptierter Umgang mit Fotos und Videos heraus. Mit der Datenschutz-Grundverordnung (DS-GVO) ändern sich die Spielregeln.
Niels Lepperhoff: Mitarbeiter fotografieren? Aber sicher! Erschienen in: Lohn+Gehalt 03/2019, S. 71 – 73.
BREXIT: Rettet den Datenfluss
Die Auswirkungen des Brexits sind zahlreich und tiefgreifend. In der Presse wird über Flugverbindungen, Zollabfertigungen, Zölle und Aufenthaltserlaubnisse gesprochen. Über den Datenfluss mit Stellen in Großbritannien wurde indes nicht berichtet. Diese Lücke soll im Folgenden geschlossen werden. Dabei wird deutlich, dass jeder Empfänger in Großbritannien zu prüfen und ggf. ein zusätzlicher EU-Standardvertrag zu schließen ist. Der Aufwand und die erforderliche Zeit sollten nicht unterschätzt werden. Insbesondere britische Unternehmen dürften bei einer Vielzahl gleichzeitig eintreffender Vertragsanfragen schnell an Kapazitätsgrenzen stoßen.
Niels Lepperhoff: BREXIT: Rettet den Datenfluss. Erschienen in: Lohn+Gehalt 02/2019, S. 71 – 73.
Als Compliance schockte – Ein Rückblick auf 2018
2018 war ein einschneidendes Jahr, verbunden mit vielfältigen, individuellen Erfahrungen im Datenschutz. Ich möchte die Gelegenheit zu einem ganz persönlichen Rückblick und einem kleinen Ausblick nutzen. Je länger ich mich mit der DS-GVO beschäftigte, desto deutlicher schälten sich ihre vielen kleinen ineinander greifenden Rädchen heraus. Zwei dieser Rädchen, Rechenschaftspflicht und Bußgeldhöhe, entfalteten 2017/2018 eine überzeugende Wirkung.
Niels Lepperhoff: Als Compliance schockte – Ein Rückblick auf 2018. Erschienen in: BvD-NEWS 1/2019, S. 22 – 25.
Sind Ihre Kollegen schon im Datenschutz geschult worden?
Die Datenschutz-Grundverordnung (DS-GVO) ist seit dem 25. Mai 2018 wirksam. Es waren sehr viele Veränderungen für Unternehmen und Behörden. Durch die öffentliche Berichterstattung sowie diese Veränderungen sind Mitarbeiter aufgeschreckt und verunsichert worden. Das bekannte Mittel gegen Verunsicherung lautet Schulung. Eine Datenschutzschulung für Mitarbeiter ist dringend erforderlich. Nebenbei wird auch die gesetzliche Verpflichtung zur Schulung umgesetzt.
Niels Lepperhoff: Sind Ihre Kollegen schon im Datenschutz geschult worden? Erschienen in: Lohn+Gehalt 01/2019, S. 66 – 68.
Geteilte Verantwortung: Folgen für Social-Media-Auftritte
In Zeiten, wo Personalrecruiting auch über Social-Media-Auftritte erfolgt, ist die Compliance von Social-Media-Auftritten auch ein Thema für Personalabteilungen. Am 05.06.2018 stellte der EuGH (Europäische Gerichtshof) fest, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook Ireland, Facebook Inc. für die Verarbeitung personenbezogener Daten verantwortlich ist (Az. C-210/16). Der Fall bezieht sich zwar auf alte, nicht mehr gültige Gesetze. Gleichwohl lassen sich die Aussagen auf das heute gültige Recht, d. h. die Datenschutz-Grundverordnung (DS-GVO) übertragen.
Die Schlussfolgerungen aus dem Urteil gelten nicht nur für Fanpages auf Facebook, sondern grundsätzlich für alle Auftritte in sozialen Medien, d. h. bspw. auch für LinkedIn, Xing, Youtube.
Niels Lepperhoff, Viktoria Maria Bien: Geteilte Verantwortung: Folgen für Social -Media-Auftritte. Erschienen in: Lohn+Gehalt 07/2018, S. 103 – 104.
Überwachung – Die unbekannte Aufgabe?
Zu den in Art. 39 Abs. 1 lit. b) DS-GVO festgelegten Aufgaben des Datenschutzbeauftragten (DSB) gehört die „Überwachung der Einhaltung dieser Verordnung (…)“. Diese Überwachungsaufgabe des DSB ergänzt die Verantwortung des Verantwortlichen, die getroffenen Maßnahmen zur Einhaltung der DS-GVO zu überprüfen (Artt. 24 Abs. 1 S. 2 und 32 Abs. 1 lit. d) DS-GVO. Überwachung bezieht sich sowohl auf eine Prüfung der vom Verantwortlichen selbst durchgeführten Kontrollen, als auch auf eigene Prüfhandlungen des DSB.
Niels Lepperhoff: Überwachung – Die unbekannte Aufgabe? Erschienen in: BvD-NEWS 3/2018, S. 26 – 29.
Kandidatensuche in berufsorientierten sozialen Netzwerken – Rechtsgrundlage und Pflichten
Offene Stellen und wenige oder keine geeigneten Bewerber führen verstärkt dazu, dass Unternehmen geeignete Personen in sozialen Netzwerken recherchieren, um sie anzuwerben. Ob eine solche Suche gesetzeskonform ist, bedarf einer näheren Betrachtung.
Niels Lepperhoff, Tatjana Ermola: Kandidatensuche in berufsorientierten sozialen Netzwerken – Rechtsgrundlage und Pflichten. Erschienen in: RDV 2018, Heft 5, S. 260 – 261.
Headhunting bei Xing & Co
Einen geeigneten Kandidaten für die ausgeschriebene Stelle zu finden, kann teilweise zu deprimierenden Ergebnissen führen. Was, teilweise, damit zusammenhängt, dass die angebotenen Positionen nicht die gewünschten Interessenten ansprechen. Dieser Umstand führt wiederum dazu, dass die Suche nach den geeigneten Job-Kandidaten sich auf die berufsorientierten sozialen Netzwerke, solche wie LinkedIn oder Xing, erweitern muss.
Niels Lepperhoff: Headhunting bei Xing & Co. Erschienen in: Lohn+Gehalt 06/2018, S. 77 – 78.
Feedback – immer eine gute Sache?
Feedback hilft Menschen, sich zu verbessern. Eigentlich bringt jede Interaktion ein verbales oder auch nonverbales Feedback mit sich. Im Unternehmensalltag wird demgegenüber unter Feedback eine bewusste – meist verbale – Äußerung verstanden. Einige HR-Anwendungen erlauben ein strukturiertes Einholen und Verwalten von Feedback. Gegenüber dem mündlichen Feedback lassen sich potenzielle Feedbackgeber gezielt ansprechen, und das erhaltene Feedback wird dokumentiert.
Niels Lepperhoff: Feedback – immer eine gute Sache? Erschienen in: Lohn+Gehalt 05/2018, S 97 – 98.
Datenschutzschulung – auf die innovative Art
Selten hat ein Thema landesweit so hohe Wellen geschlagen, wie das Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO). Es wurde viel spekuliert und manches vollkommen fehlinterpretiert. Doch die seit Monaten anhaltende Debatte rund um die DS-GVO ist auch ein ausgesprochen überzeugendes Plädoyer für ein absolut effizientes Lernformat.
Niels Lepperhoff, Harald Mais: Datenschutzschulung – auf die innovative Art. Erschienen in: BvD-NEWS 2/2018, S. 72 – 75.
Herausforderung Datenmanagement
Sie haben sicherlich vieles über das neue Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GVO), gelesen, das ab 25.05.2018 vollzogen wird. Die Tonlage der Berichte schwankt zwischen Panik und „Es ist ja noch immer gut gegangen“. Auch wenn sich die Aufregung legen wird, die grundlegende Herausforderung für HR bleibt bestehen: Wie können die neuen Anforderungen kostengünstig und flexibel dauerhaft umgesetzt werden?
Niels Lepperhoff: Herausforderung Datenmanagement. Erschienen in: Lohn+Gehalt Spezial Juni 2018, S. 12 – 13.
Gehaltsdaten für Benchmarks
Arbeitgeber nutzen Benchmarks zum Check ihres Gehaltsgefüges und stellen deren Anbietern oft auch Gehaltsdaten zur Verfügung. Für Betriebsräte stellt sich die Frage, ob eine solche Übermittlung überhaupt zulässig ist.
Personalverantwortliche nutzen in der Praxis Gehalts-Benchmarks, um zum Beispiel die marktübliche Höhe zu erfahren. Damit lassen sich nicht nur bei Neueinstellungen die Gehaltswünsche der Kandidaten besser einschätzen, sondern auch das bestehende Gehaltsgefüge auf (zu) hohe Gehälter durchforsten. Diese Benchmarks differenzieren typischerweise nach Branche, Qualifikation, Alter, Geschlecht und Position. Weitere Kriterien können je nach Benchmark hinzukommen.
Niels Lepperhoff: Gehaltsdaten für Benchmarks. Erschienen in: Computer und Arbeit 4/2018, S. 29 – 31.
Datenmanagement – ein Thema der Zeitwirtschaft
Zeitwirtschaft ist ein unverzichtbarer Bestandteil der Personalwirtschaft seit Jahrzehnten. Die grundlegenden Aufgaben wie An- und Abwesenheiten inkl. Gründe erfassen, Urlaub verwalten sowie entsprechende Berichte erzeugen begleiten jedes Unternehmen Tag für Tag. Hinsichtlich der Umsetzung bestehen jedoch merkbare Unterschiede. Auf der einen Seite des Spektrums die – eher aussterbende – papierbasierte Lösung und auf der anderen Seite das integrierte System mit Terminals, elektronischen Workflowsund automatischen Schnittstellen zur Lohnbuchhaltungssoftware und zum Personalinformationssystem.
Niels Lepperhoff: Datenmanagement – ein Thema der Zeitwirtschaft. Erschienen in: Lohn+Gehalt 03/2018, S. 26 – 29.
Umsetzung der Informationspflichten für Mitarbeiter – Anregungen und Ideen
Ein wichtiger Baustein des neuen europäischen Datenschutzrechts, der Datenschutz- Grundverordnung (DS-GVO), ist die Transparenz. Die neuen Regeln sind ab dem 25.05.2018 anzuwenden, somit endet dann die von der Europäischen Union eingeräumte Übergangszeit.
Wenn jede von einer elektronischen Datenverarbeitung betroffene Person sich ein Bild über die tatsächliche Verarbeitung ihrer Daten machen kann, bedeutet dies Transparenz. Zur Transparenz tragen insbesondere die in Artikel 13 und 14 DS-GVO normierten Informationspflichten gravierend bei. Von der Transparenzpflicht werden auch die nicht elektronisch verarbeiteten Beschäftigten- und Bewerberdaten nicht ausgenommen.
Niels Lepperhoff: Umsetzung der Informationspflichten für Mitarbeiter – Anregungen und Ideen. Erschienen in: BvD-NEWS 1/2018, S. 29 – 35.
Mitarbeiter oder Hochleistungskuh?
Verborgene Zusammenhänge entdecken und die Produktivität steigern sind zwei Versprechen, die mit dem Schlagwort „Big Data“ verbunden werden. Hinter Big Data steht die Idee, Daten aus unterschiedlichen Quellen in einen „Topf“ zu werfen und mit Hilfe von Analyseverfahren auf Zusammenhänge (fast) in Echtzeit hin zu durchleuchten. Die computergestützte Auswertung verspricht einfache Bedienung und verlangt höchstens geringe statistische oder wissenschaftliche Methodenkenntnisse. Ein Erkenntnisgenerator für jedermann gewissermaßen. Weiterhin lassen sich die Daten auch für komplexe automatische Steuerung von Mensch und Maschine verwenden.
Niels Lepperhoff: Mitarbeiter oder Hochleistungskuh? Erschienen in: Lohn+Gehalt Spezial März 2018, S. 10 – 11.
Was sage ich Bewerbern und Beschäftigten? Informationspflichten ab Mai 2018
Transparenz ist ein zentraler Pfeiler des neuen europäischen Datenschutzrechts, der Datenschutz-Grundverordnung (DS-GVO). Am 25.05.2018 endet die Übergangszeit, d. h. die neuen Regeln sind anzuwenden.
Transparenz bedeutet, dass jede von einer elektronischen Datenverarbeitung betroffene Person wissen können soll, was mit ihren Daten geschieht. Im Beschäftigungsverhältnis sind von der Transparenzpflicht auch nicht elektronische Verarbeitungen betroffen. Die insbesondere in Art. 13 und 14 DS-GVO normierten Informationspflichten tragen maßgeblich zur Transparenz bei.
Niels Lepperhoff, Viktoria Maria Bien: Was sage ich Bewerbern und Beschäftigten? Erschienen in: Lohn+Gehalt 02/2018, S. 36 – 40.
Endspurt oder heiße Luft?
In einer Bitkom Umfrage vom September 2017 gaben 13 Prozent der befragten Unternehmen ab 20 Mitarbeiter an, erste Maßnahmen zur Umstellung auf die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen. Genauso viele Unternehmen antworteten, dass sie sich bewusst nicht mit dem neuen Gesetz beschäftigen wollen. Wie ist die Situation wirklich einzuschätzen?
Niels Lepperhoff im Interview mit Herrn Markus Matt, Chefredakteur. Erschienen in: Lohn+Gehalt 01/2018, S. 82 – 85.
Zertifizierung – Ein Zwischenstand
Mit der DS-GVO nimmt der Gesetzgeber einen neuen Anlauf, Zertifizierung im Datenschutzrecht zu verankern. Zertifikate können helfen, die Einhaltung verschiedener Vorschriften der DS-GVO nachzuweisen. Um diese Wirkung entfalten zu können, bedarf es einer Akkreditierung und Genehmigung durch die Datenschutzaufsichtsbehörde. Mit dem BDSG-Neu hat der deutsche Gesetzgeber einen zweistufigen Akkreditierungsprozess etabliert.
Niels Lepperhoff: Zertifizierung – Ein Zwischenstand. Erschienen in: BvD-NEWS 3/2017, S. 83.
Pre-Employment-Screening – Eine rechtliche Herausforderung?
Obwohl Bewerber dazu verpflichtet sind, wahrheitsgemäße Angaben zu machen, ist die eine oder andere erfundene Verschönerung der Ausbildung, Erfahrung oder Beschäftigungsdauer auf Seiten der Bewerber leider nicht auszuschließen. Um sich vor unerkannten Täuschungen und den damit verbundenen Schäden zu wappnen, scheint es für Arbeitgeber verlockend, die Angaben des Bewerbers mittels Pre-Employment-Screening auf ihre Richtigkeit zu überprüfen. Dieser Artikel behandelt eine legitime Rechtsgrundlage für die Datenerhebung zum Zwecke des Pre-Employment-Screenings und legt offen, welche Kriterien bei der Durchführung zu beachten sind.
Niels Lepperhoff, Viktoria Maria Bien: Pre-Employment-Screening – Eine rechtliche Herausforderung? Erschienen in: Lohn+Gehalt 07/2017, S. 104 – 106.
Gehaltsdaten für Benchmarks übermitteln – zulässig?
Die Mehrheit der Arbeitnehmer hat sich wohl mal gefragt, wie ihr Gehalt im Vergleich zu dem anderer ausfällt. Auch Personalabteilungen beschäftigen sich mit der Frage nach einer angemessenen Vergütung. Da ist es naheliegend, sich Gehaltsvergleiche, sogenannte Gehaltsbenchmarks, anzusehen und diese auch für Gehaltsverhandlungen heranzuziehen. Diese Gehaltsbenchmarks können naturgemäß nicht ohne die Lieferung von individuellen Gehaltsdaten erstellt werden. Die Anbieter von Gehaltsbenchmarks brauchen eine Vielzahl an Datensätzen, um eine aussagekräftige Übersicht bieten zu können. Es stellt sich die Frage, auf welcher Rechtslage eine Weitergabe der Daten denkbar wäre, und ob es durch Anonymisierung der Gehaltsdaten möglich wäre, die Notwendigkeit einer Rechtsgrundlage zu umgehen.
Niels Lepperhoff: Gehaltsdaten für Benchmarks übermitteln – zulässig? Erschienen in: RDV 2017, Heft 5, S. 242 – 244.
Pre-Employment-Screening im Lichte der DS-GVO
Es liegt in der Natur der Sache, dass Bewerber sich von ihrer besten Seite zeigen und versuchen, nachteilige Fakten zu kaschieren. Einige Bewerber gehen dabei so weit, dass sie Zeugnisse fälschen oder in ihrem Lebenslauf bewusst falsche Angaben machen. Für den Arbeitgeber ist es schwierig oder sogar unmöglich, solche Täuschungen ohne eine weitere Recherche zu entdecken. Obwohl diese Täuschungen zu schweren Schäden für Arbeitgeber führen können, sind die rechtlichen Möglichkeiten, den Wahrheitsgehalt von Zeugnissen und Lebensläufen zu überprüfen, begrenzt. Dieser Artikel bewertet verschiedene Rechtsgrundlagen aus Sicht des Datenschutzes und zeigt eine Lösungsmöglichkeit zur Überprüfung von Bewerbern auf.
Niels Lepperhoff: Pre-Employment-Screening im Lichte der DS-GVO. Erschienen in: ZD Zeitschrift für Datenschutz 11/2017, S. 8 – 10.
Der neue EU-Datenschutz – Was ist für Unternehmen relevant?
Mit dem am 27.04.2017 vom Deutschen Bundestag beschlossenen neuen Bundesdatenschutz-gesetz (BDSG-neu) geht die Modernisierung des Datenschutzrechtes in eine neue Runde. Die europäische Union läutete 2016 mit der Datenschutz-Grundverordnung (DS-GVO) eine Harmonisierung und Modernisierung des Datenschutzrechtes in Europa ein. Hier werden die für Unternehmen wesentlichen Regelungen im BDSG-neu kurz beleuchtet.
Niels Lepperhoff: Der neue EU-Datenschutz – Was ist für Unternehmen relevant? Erschienen in: Lohn+Gehalt 06/2017, S. 70 – 72.
Datenschutz: Recht = DS-GVO + BDSG-neu – Änderungen für Unternehmen
Mit dem am 27.04.17 vom Deutschen Bundestag beschlossenen neuen Bundesdatenschutz-gesetz (BDSG-neu) geht die Modernisierung des Datenschutzrechts in eine neue Runde. Die europäische Union läutete 2016 mit der Datenschutz-Grundverordnung (DS-GVO) eine Harmonisierung und Modernisierung des Datenschutzrechts in Europa ein. Im Folgenden werden die für Unternehmen wesentlichen Regelungen im BDSG-neu kurz beleuchtet. Die Ausführungen erheben keinen Anspruch auf Vollständigkeit, sondern konzentrieren sich auf die Vorschriften mit praktischer Bedeutung.
Niels Lepperhoff: Datenschutz: Recht = DS-GVO + BDSG-neu – Änderungen für Unternehmen. Erschienen in: IT-Sicherheit 05/2017, S. 44 – 46.
Was kommt auf Contact Center zu?
Im Mai 2018 tritt die neue Datenschutzgrundverordnung in Kraft. Teletalk beschreibt in diesem Artikel ausführlich, worauf sich Dienstleister einstellen müssen.
Niels Lepperhoff: Was kommt auf Contact Center zu? Erschienen in: TeleTalk, Ausgabe Juli 2017, S. 12-14.
Gehaltsbenchmarks unterstützen – zulässig?
Der Grat zwischen einem wettbewerbsfähigen Gehalt und einem (zu) hohen Gehalt ist schmal. Benchmarks geben Auskunft über die Gehaltsspannbreiten in einer Branche. Dabei wird je nach Benchmark neben weiteren Kriterien auch nach Qualifikation, Position, Geschlecht und Alter unterschieden. Um solche Benchmarks erstellen zu können, sind die Anbieter auf personenbezogene Gehaltsdaten angewiesen. Personalleiter stehen deshalb vor der Frage, ob sie die Gehaltsdaten ihrer Mitarbeiter an die Anbieter übermitteln dürfen.
Niels Lepperhoff: Gehaltsbenchmarks unterstützen – zulässig? Erschienen in: Lohn+Gehalt 05/2017, S. 90 – 91.
Der übersehene Paragraph und die DS-GVO
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ ergänzte 2015 das Telemediengesetz um Sicherheitsanforderungen für Webseiten, Webshops, FTP-Server usw. Mit der Datenschutz-Grundverordnung (DS-GVO) stellt sich die Frage neu: Wie integrieren sie sich in die neuen Anforderungen zum Schutz personenbezogener Daten?
Niels Lepperhoff: Der übersehene Paragraph und die DS-GVO. Erschienen in: IT-Sicherheit 04/2017, S. 54 – 55.
Vom Sturz aus dem 15. Stock … oder warum es bisher immer noch gut gegangen ist.
Ein Mann springt aus dem 15. Stock. Auf seinem Weg nach unten denkt er: „Keine Gefahr, bisher ging alles gut.“ 15 Stockwerke hat er Recht … An dieses Bild muss ich denken, wenn mir aus Unternehmen berichtet wird, dass eine Umstellung auf das neue Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GVO), nicht notwendig sei. Die laufende Übergangsfrist bis zum 25.05.2018 wirkt ähnlich beruhigend wie ein 15 Stockwerke langer Fall. Wird die Landung ähnlich hart? Vieles spricht dafür.
Niels Lepperhoff: Vom Sturz aus dem 15. Stock. Erschienen in: Lohn+Gehalt Spezial 04/2017, S. 8 – 9.
Zeitwirtschaft trifft Datenschutz-Grundverordnung
Auch die Zeitwirtschaft unterliegt ab dem 25.05.2018 den neuen gesetzlichen Vorschriften der Datenschutz-Grundverordnung (DS-GVO). Insofern lohnt sich eine Beschäftigung mit den neuen Anforderungen, die die DS-GVO an die Art und Weise der Datenverarbeitung stellt.
Niels Lepperhoff: Zeitwirtschaft trifft Datenschutz-Grundverordnung. Erschienen in: Lohn+Gehalt 03/2017, S. 20 – 21.
Das IT-Sicherheitskonzept in der DS-GVO
Der Implementierung von Sicherheitsmaßnahmen geht nach Art. 32 Abs. 1 DS-GVO eine Risikoabwägung voraus. Diese Risikoabwägung unterliegt der Rechenschaftspflicht von Art. 5 Abs. 2 DS-GVO, d. h. sie sollte aus Nachweisgründen dokumentiert werden und stellt letztlich ein Sicherheitskonzept dar. Die Inhalte speisen sich einerseits aus weiteren Vorgaben des Art. 32 DS-GVO, aber auch aus der Anforderung, den Stand der Technik zu berücksichtigen (Art. 32 Abs. 1 S1 DS-GVO).
Niels Lepperhoff: Das IT-Sicherheitskonzept in der DS-GVO. Erschienen in: BvD-NEWS 02/2017, S. 15 – 18.
Softwarehersteller hilf!
Das Verhältnis zwischen Anwender und Hersteller ist bei Programmen für die Entgeltberechnung seit vielen Jahren ein besonderes. Durch die jährlichen gesetzlichen Änderungen sowie komplexe rechtliche Vorschriften zur Berechnung fühlen sich Anwender schnell überfordert und sind froh, dass ihre Programme sie kompetent durch den „Dschungel“ führen. Mit dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 werden Anwender noch stärker auf die Unterstützung ihrer Hersteller angewiesen sein.
Niels Lepperhoff: Softwarehersteller hilf! Erschienen in: Lohn+Gehalt 03/2017, S. 52 – 54.
Are you ready? – Checkliste für die Datenschutz-Grundverordnung
Die Reform des europäischen Datenschutzes, die im kommenden Jahr wirksam werden wird, führt in jeder IT-Abteilung zu Handlungsbedarf. Doch wie groß ist der? Und was fehlt? Denn oft ist noch teilweise unklar, wo die neuen Regeln greifen und wo der Soll-Zustand bereits durch vorhandene Maßnahmen erfüllt sein könnte.
Niels Lepperhoff: Are you ready? Erschienen in: kes 02/2017, S. 56 – 58.
Informationspflichten gegenüber Bewerbern nach der DS-GVO
Unternehmen sind gesetzlich verpflichtet, Personen, deren Daten sie erheben oder empfangen, über die Verarbeitung dieser Daten zu informieren. Diese Pflicht ergibt sich aus dem BDSG und demnächst nach der DS-GVO, wobei die Informationspflichten nach der DS-GVO erheblich umfangreicher sind. Unterschieden wird danach, ob die Informationen beim Bewerber erhoben werden oder – mit oder ohne sein Wissen – bei anderen Stellen.
Niels Lepperhoff: Informationspflichten gegenüber Bewerbern nach der DS-GVO. Erschienen in: RDV 01/2017, S. 21 – 25.
Hilfe, mein Datenschutzbeauftragter schläft
Die Reform des europäischen Datenschutzes, die im kommenden Jahr wirksam werden wird, führt in jedem Unternehmen zu Handlungsbedarf. Trotz der Allgemeingültigkeit der neuen Gesetzgebung und der damit verbundenen Änderungen haben viele Organisationen noch nicht mit der Umsetzung begonnen. Vielfach herrscht Unsicherheit darüber, ob die neuen Regelungen für das eigene Unternehmen überhaupt einschlägig sind, und ob der Soll-Zustand durch bereits vorhandene Maßnahmen nicht schon längst erfüllt ist. Dieser Artikel räumt mit weitverbreiteten Fehlannahmen auf und leistet Hilfestellung bei der Beurteilung der eigenen Datenschutz-Compliance.
Niels Lepperhoff: Hilfe, mein Datenschutzbeauftragter schläft. Erschienen in: Lohn+Gehalt 01/2017, S. 87 – 89.
Abschied von Fingerprint, Iris-Scan & Co? – Biometrische Zugangskontrollen im Lichte der neuen DS-GVO
Biometrische Daten werden gerne zur Identifikation von Personen eingesetzt, da sie sich einer bestimmten Person eindeutig zuordnen lassen, nicht an Dritte weitergegeben werden können und daher als sicher gelten. Im Rahmen der Zutrittskontrolle gelten sie als sehr sicher. Auch für die Nutzer erscheint die Zutrittskontrolle durch biometrische Daten auf den ersten Blick attraktiv: Im Gegensatz zu Passwörtern und Zutrittskarten können biometrische Daten nicht vergessen oder verloren werden, sondern ermöglichen eine schnelle und unkomplizierte Identifizierung. Auf den zweiten Blick zeigt sich jedoch, dass die Verwendung biometrischer Daten für die betroffenen Personen erhebliche Risiken birgt.
Niels Lepperhoff: Abschied von Fingerprint, Iris-Scan & Co? Erschienen in: IT-Sicherheit 1/2017, S. 36 – 39.
Die Zeit drängt für HR – Die neue EU-Datenschutz-Grundverordnung
Niels Lepperhoff im Interview mit dem Chefredakteur der Zeitschrift „HR-Perfomance“, Franz Langecker, zum Thema „Einführung der neuen EU-Datenschutz-Grundverordnung“ und dem sich daraus ergebenden Handlungsbedarf für Unternehmen.
Niels Lepperhoff: Die Zeit drängt für HR – Die neue EU-Datenschutz-Grundverordnung. Erschienen in: HR-Performance 1/2017, S. 76, www.hrperformance-online.de.
2017: Das Jahr der Entscheidung für Softwareanbieter?
Bisher war der Datenschutz für die meisten Softwareanbieter kein wichtiges Thema. Durch die größte Reform des europäischen Datenschutzrechtes seit 1995 wird Datenschutz ein zentrales Kriterium beim Einkauf von Softwareprodukten. Insbesondere aufgrund der neuen Dokumentations- und Nachweispflichten werden Unternehmen datenschutzrechtliche Aspekte in ihre Auswahlkriterien aufnehmen müssen. Die Softwareanbieter, die passende Lösungen anbieten, können sich hier einen Wettbewerbsvorteil verschaffen.
Niels Lepperhoff: 2017: Das Jahr der Entscheidung für Softwareanbieter? Erschienen in: Lohn+Gehalt Spezial Oktober 2016, S. 12 – 15.
Sicheres Hosting nach deutschem Datenschutzrecht
Am 25.05.2016 trat das neue, europäische Datenschutzrecht, die Datenschutz-Grundverordnung, in Kraft. Mit ihrem Wirksamwerden in zwei Jahren wird sie das deutsche Datenschutzrecht fast vollständig ablösen. Dieses führt zu vielen neuen Anforderungen an Hosting- und Clouddienste.
Niels Lepperhoff: Sicheres Hosting nach deutschem Datenschutzrecht. Erschienen in: Funkschau. Sonderheft Made in Germany, S. 27.
Datenschutzrecht – Neue Spielregeln für Auftragnehmer
In der TeleTalk 04/2016 haben die Autoren das neue Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Am 25.05.2016 ist das Gesetz in Kraft getreten. Nach Ablauf der zweijährigen Übergangszeit wird es wirksam und löst das bisherige Datenschutzrecht fast vollständig ab. Betroffen sind alle Unternehmen.
Niels Lepperhoff, Thomas Müthlein: Datenschutzrecht – Neue Spielregeln für Auftragnehmer. Erschienen in: TeleTalk 07/2016, S. 11 – 13.
Wann kostet ein Personenbezug zu viel?
Wenn personenbezogene Daten verarbeitet werden, sind die Vorschriften des Datenschutzes zu beachten. Durch die beschlossene Reform des Datenschutzes werden diese Vorschriften zukünftig noch weiter verschärft und bringen einen nicht unerheblichen Zeitaufwand für Unternehmen mit sich. Bei der Verarbeitung von Daten ohne Personenbezug sind die Vorschriften des Datenschutzes hingegen nicht zu beachten und der damit verbundene Aufwand entfällt. Dieser Artikel beleuchtet die Frage, ob und inwieweit die Entfernung eines Personenbezuges zur Vermeidung von Kosten, die bei der Erfüllung von datenschutzrechtlichen Pflichten entstehen, sinnvoll sein kann.
Niels Lepperhoff: Wann kostet ein Personenbezug zu viel? Erschienen in: Lohn+Gehalt 07/2016, S. 97-98.
Auf die Finger geschaut Die Datenschutz-Grundverordnung bringt neue Bestimmungen für die Verarbeitung biometrischer Daten
Die Verwendung biometrischer Daten birgt für die betroffenen Personen erhebliche Risiken. Das neue europäische Datenschutzgesetz trägt dem Rechnung und erlaubt ihre Verarbeitung nur in engen Grenzen. Bei Zuwiderhandlung drohen empfindliche Geldbußen und Schadenersatzansprüche der betroffenen Personen – alte und neue Systeme und ihr organisatorisches Umfeld sind daher zu prüfen und gegebenenfalls anzupassen.
Niels Lepperhoff: Auf die Finger geschaut. Erschienen in: kes 06/2016, S. 52 – 56.
Datenschutz-Compliance bei der Auswahl von Dienstleistern DS-GVO fordert Unternehmen heraus – spätestens 2018
Von der breiten Öffentlichkeit nahezu unbemerkt hat die EU die größte Reform des europäischen Datenschutzrechtes seit 1995 verabschiedet. Die europäische Datenschutz-Grundverordnung (DS-GVO) wurde im vergangenen Frühjahr verabschiedet und erlangt ihre volle Gültigkeit am 25.05.2018. Sie löst das bisherige deutsche Datenschutzrecht, insbesondere das Bundesdatenschutzgesetz (BDSG), weitestgehend ab. Dadurch ändern sich die Anforderungen, die an Dienstleister zu stellen sind. Vor allem aufgrund erhöhter Dokumentations- und Nachweispflichten ist die Compliance mit datenschutzrechtlichen Vorschriften vom „Nice-to-have“ zum „Must-have“ geworden. Gleichzeitig werden die Bußgelder – auch bei vermeintlichen Kavaliersdelikten – drastisch erhöht, sodass die Missachtung der neuen Datenschutzvorschriften schwerwiegende Folgen für ein Unternehmen haben kann.
Niels Lepperhoff, Mareike Papendorf, Thomas Müthlein: Datenschutz-Compliance bei der Auswahl von Dienstleistern. DS-GVO fordert Unternehmen heraus – spätestens 2018. Erschienen in: IT-Sicherheit 06/2016, S. 46 – 49.
E-Learning in der Cloud – der Datenschutzcheck
E-Learning ist ein Mittel, um Qualifizierungsmaßnahmen in den Arbeitsalltag zu integrieren. Kern des E-Learnings ist das E-Learning Management System (EMS). Es ist eine Softwareanwendung, die den Zugang zu den Inhalten verwaltet, bei der Erstellung unterstützt und die Inhalte an die Teilnehmer ausspielt. EMS lassen sich selber betreiben oder als Software as a Service („Cloud“) mieten. Eine Checkliste hilft Ihnen, zu prüfen, ob die wichtigsten Datenschutzvorschriften, die bei der Variante „Cloud“ zu beachten sind, eingehalten werden.
Niels Lepperhoff: E-Learning in der Cloud – der Datenschutzcheck. Erschienen in: HR Performance 06/2016, S. 46 – 47.
Neue Verpflichtungen im Detail: Sicherheitskonzept und Wirksamkeitsprüfungen
Mit der Datenschutz-Grundverordnung (DS-GVO) verankert der europäische Gesetzgeber auch neue Vorgaben für die IT-Sicherheit. Auf IT-Sicherheitsbeauftragte und Administratoren kommen unter anderem die Pflicht zur Erstellung eines Sicherheitskonzeptes und die regelmäßige Durchführung von Wirksamkeitstests zu.
Niels Lepperhoff, Thomas Müthlein: Neue Verpflichtungen im Detail: Sicherheitskonzept und Wirksamkeitsprüfungen. Erschienen in: kes 05/2016, S. 64 – 68.
Datenschutz-Grundverordnung: Neue Dokumentationspflichten in der IT
Bisher galt das Prinzip, dass die Datenschutzaufsichtsbehörde Verstöße eines Unternehmers gegen Datenschutzvorschriften belegen muss. Ein Unternehmen war nicht verpflichtet, anlasslos eine Dokumentation zu erstellen und zu pflegen, mit der es sein gesetzeskonformes Handeln nachweisen konnte. Dies wird sich mit dem Wirksamwerden der Datenschutz-Grundverordnung grundlegend ändern. Dann müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Verarbeitung nachzuweisen. So kann zukünftig auch eine fehlende Dokumentation mit einem Bußgeld belegt werden – sogar dann, wenn die dazugehörige Verarbeitung rechtskonform erfolgt ist. Vor diesem Hintergrund sind auch die Softwareentwicklung, die IT-Administration und die IT-Sicherheit gefragt, ein entsprechendes Dokumentationssystem einzuführen oder das bereits vorhandene an die neue Rechtslage anzupassen.
Niels Lepperhoff, Thomas Müthlein: Datenschutz-Grundverordnung: Neue Dokumentationspflichten in der IT. Erschienen in: IT- Sicherheit 05/2016, S. 66 – 69.
Neue EU-Datenschutz-Grundverordnung: Was Sie wissen sollten
Die EU vereinheitlich das Datenschutzrecht, so dass europaweit tätige Unternehmen ab 2018 anstelle eines Flickenteppichs nationaler Datenschutzgesetze nur noch ein Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) einhalten müssen. Ausgewählte Änderungen, die insbesondere für Dienstleister aus den Bereichen Marketing, Kundenkommunikation und Call Center von Bedeutung sind, stehen im Mittelpunkt dieses Beitrags.
Niels Lepperhoff, Thomas Müthlein: Neue EU-Datenschutz-Grundverordnung: Was Sie wissen sollten. Erschienen in: Teletalk 04/2016, S. 28 – 32.
Dokumentationspflichten in der DS-GVO
Bisher galt das Prinzip, dass die Aufsichtsbehörde Verstöße eines Unternehmens gegen Datenschutzvorschriften belegen muss. Ein Unternehmen war nicht verpflichtet, anlasslos eine Dokumentation zu erstellen und zu pflegen, mit der es sein gesetzeskonformes Handeln nachweisen konnte. Dies wird sich mit dem Inkrafttreten der Datenschutz-Grundverordnung grundlegend ändern. Dann müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Verarbeitung nachweisen zu können.
Niels Lepperhoff: Dokumentationspflichten bei der DS-GVO. Erschienen in: RDV 04/2016, S. 197 – 203.
Personalrecruiting (bald) ein risikoreiches Geschäft?
Die DS-GVO vollzieht im Vergleich zum bisherig geltenden BDSG einen Paradigmenwechsel. Das BDSG stellt die rechtskonforme Datenverarbeitung in den Mittelpunkt. Die Bußgelder adressieren deshalb ausgewählte Verstöße gegen das BDSG mit bis zu 50.000 bzw. 300.000 Euro. Im Zentrum der DS-GVO steht die Befolgung ihrer gesamten Vorschriften – mit Bußgeldern von bis zu 4% des Jahresumsatzes oder 20 Millionen Euro. Bei Nichtbeachtung kann das Personalrecruiting so bald zu einem risikoreichen Geschäft werden.
Lepperhoff, Niels: Personalrecruiting (bald) ein risikoreiches Geschäft? Erschienen in: Lohn+Gehalt Spezial Juni 2016, S. 14 – 21.
Neue Aufgaben für (HR-)Fach- und Führungskräfte durch die Datenschutz-Grundverordnung
Die Reform des europäischen Datenschutzrechtes wirkt sichauf alle Bereiche und Abteilungen eines Unternehmens aus. Der Personalbereich ist davon besonders betroffen, da hier eine Vielzahl von Daten zu verschiedenen Zwecken verarbeitet wird. Die Einhaltung des neuen Datenschutzrechtes kann nicht mehr allein dem Datenschutzbeauftragten oder der Rechtsabteilung überlassen werden. Vielmehr sind auch Führungskräfte und der Personalbereich in der Verantwortung, die neuen Vorgaben und Anforderungen umzusetzen.
Niels Lepperhoff: Neue Aufgaben für (HR-)Fach- und Führungskräfte durch die Datenschutz-Grundverordnung. Erschienen in: Lohn+Gehalt 04/2016, S. 92-95.
Datenschutz-Grundverordnung: Am Anfang steht das Sicherheitskonzept
Mit der Datenschutz-Grundverordnung kommen neue Pflichten auf Administratoren und IT-Sicherheitsverantwortliche zu. Eine wichtige Neuerung stellt die Pflicht zur Erstellung eines Sicherheitskonzepts dar, das zahlreichen gesetzlichen Vorgaben genügen muss. Dieser Beitrag zeigt auf, wie ein Sicherheitskonzept erstellt werden kann. Bereits bestehende Sicherheitskonzepte sollten an die neuen Vorgaben angepasst werden.
Niels Lepperhoff: Datenschutz-Grundverordnung: Am Anfang steht das Sicherheitskonzept. Erschienen in: IT-Sicherheit 04/2016, S. 58 – 61.
Jedes Unternehmen ist betroffen – Datenschutz-Grundverordnung oder warum Datenschutzverstöße kein Kavaliersdelikt sind
Verstöße gegen Datenschutzvorschriften werden oft als Kavaliers- oder Bagatelldelikte abgetan. Der geringe Verfolgungsdruck und die vergleichsweise niedrigen Bußgelder führen dazu, dass sich viele Unternehmen nur wenig oder schlimmstenfalls sogar gar nicht mit Fragen des Datenschutzes befassen. Durch die größte Reform des europäischen Datenschutzrechtes seit 1995 wird das Datenschutzrecht auf eine europaweit einheitliche Basis umgestellt und gleichzeitig werden die Bußgelder drastisch erhöht. Die Einführung neuer Aufgaben und die Ausweitung bereits bekannter Pflichten führen dazu, dass sich Unternehmen eingehend mit dem Datenschutz beschäftigten müssen, um die neuen Vorgaben einhalten zu können. Insbesondere im Personalbereich ergeben sich zahlreiche Neuerungen, wie die Pflicht Bewerber, Mitarbeiter und sonstige Personen über die Verarbeitung ihrer Daten zu informieren.
Niels Lepperhoff: Jedes Unternehmen ist betroffen – Datenschutz-Grundverordnung oder warum Datenschutzverstöße kein Kavaliersdelikt sind. Erschienen in: Lohn+Gehalt 03/2016, S. 105-109.
Neue Vorschriften – auch für die Security!
Mitte April 2016 haben EU-Parlament und EU-Rat das neue europäische Datenschutzrecht verabschiedet, die Datenschutz-Grundverordnung (DS-GVO). Neben einer EU-weiten (Neu-)Regelung des Datenschutzes selbst hat die DS-GVO auch erhebliche Auswirkungen auf die IT-Sicherheit.
Niels Lepperhoff, Thomas Müthlein: Neue Vorschriften – auch für die Security! Erschienen in: kes 02/2016, S. 54 – 63.
Mehr gesetzliche Pflichten für IT-Verantwortliche
Die größte Reform des europäischen Datenschutzrechtes seit 1995 betrifft nicht nur rechtliche Grundlagen, sondern auch den Einsatz von IT-Produkten und die Dokumentation von IT-Sicherheitsmaßnahmen. Durch die drastisch erhöhten Bußgelder, die auch bei vermeintlich harmlosen Bagatellverstößen verhängt werden können, kann die Missachtung von datenschutzrechtlichen Vorschriften gravierende Folgen für Unternehmen haben. Dies gilt auch für Auftragnehmer, die nun erstmals eigenverantwortlich IT-Sicherheitsmaßnahmen für die von ihnen angebotenen Leistungen durchführen müssen. Erweiterte und zusätzliche Pflichten wie die Ausweitung der Meldepflicht von Sicherheitsvorfällen, die regelmäßige Überprüfung von Sicherheitsmaßnahmen und die Durchführung von Risikoanalysen sorgen für zusätzlichen Handlungsbedarf.
Niels Lepperhoff: Mehr gesetzliche Pflichten für IT-Verantwortliche. Konsequenzen aus der neuen EU-Datenschutz-Grundverordnung (Teil 1). Erschienen in: IT-Sicherheit 02/2016, S. 64 – 69.
Personalrecruiting (bald) ein risikoreiches Geschäft?
Die größte Reform des europäischen Datenschutzrechtes seit 1995 wird in den nächsten Jahren zu großen Umstellungen im betrieblichen Alltag führen. Im Recruiting entstehen zusätzliche Informationspflichten gegenüber Bewerbern, die zusammen mit den erweiterten Rechten an den eigenen Daten zu zahlreichen Stolpersteinen führen können. Durch die erhöhten Transparenzpflichten können Bewerbern Informationen in die Hände gelangen, die in gerichtlichen oder aufsichtsbehördlichen Verfahren gezielt gegen Unternehmen eingesetzt werden können.
Niels Lepperhoff: Personalrecruiting (bald) ein risikoreiches Geschäft? Erschienen in: HR Performance | Recruiting Tomorrow 2017. Verlag: Datakontext GmbH. April 1016.
Folgen des EuGH-Urteils zu Safe Harbor: Bußgeld angedroht
Am 6. Oktober 2015 hat der Europäische Gerichtshof das bis dato häufig im Datenverkehr mit den USA genutzte Instrument „Safe Harbor“ außer Betrieb gesetzt. Während die EU-Kommission zusammen mit der US-Regierung an der Nachfolgeregelung „Privacy Shield“ arbeitet, droht der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit an, die ersten Bußgelder gegen Unternehmen zu verhängen, die weiterhin Safe Harbor nutzen. Ein Bußgeld für rechtswidrige Übermittlungen personenbezogener Daten beträgt nach § 43 Abs. 2 Nr. 1 BDSG bis zu 300.000 Euro.
Niels Lepperhoff, Thomas Müthlein: Folgen des EuGH-Urteils zu Safe Harbor: Bußgeld angedroht. Erschienen in: HR Performance 02/2016, S. 66 – 67.
Bedeutung der jüngsten Änderungen des § 13 Abs. 7 TMG
Im Rahmen des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“, das am 25.07.2015 in Kraft trat, wurde neben anderen Gesetzen auch das TMG geändert. Die Berichtserstattung rund um das Gesetz konzentrierte sich auf die neuen Regelungen für Betreiber kritischer Infrastrukturen, wie z. B. Energieversorgung. Dabei blieb weitgehend unbeachtet, dass vom neuen Absatz 7 des § 13 TMG (fast) alle Betreiber von Telemediendiensten betroffen sind. Damit bestehen jetzt Anforderungen an die Sicherheitsvorkehrungen von Webshops, Unternehmenshomepages, E-Mailservern u. v. m. aller Branchen und Unternehmensgrößen. Der Beitrag beleuchtet die neue Regelung, insbesondere aus dem technischen Blickwinkel, und schätzt die Konsequenzen für die Praxis ab.
Niels Lepperhoff, Mareike Papendorf: Bedeutung der jüngsten Änderungen des § 13 Abs. 7 TMG. Erschienen in: DuD 02/2016, S. 107 – 110.
Einführung in die Dokumentationspflichten gemäß DSGVO
Der Gesetzgeber greift eine Forderung der Art. 29-Gruppe aus 2010 auf, indem er mit Art. 5 Abs. 2 DSGVO die „Rechenschaftspflicht“ für Unternehmen, Behörden, Vereine usw. einführt. Die Kombination aus Rechenschaftspflicht und Nachweispflicht wirkt ähnlich einer Beweislastumkehr, d.h. Unternehmen müssen ihre „Unschuld“ gegenüber der Aufsichtsbehörde beweisen (können). Für die Aufsichtsbehörde entfällt die Notwendigkeit, die „Schuld“ zu beweisen, d.h. es kommt zukünftig auf die Fähigkeit, den „Unschuldsnachweis“ führen zu können, an. Die Frage, ob ein weitergehender Verstoß wie bspw. eine unzulässige Datenverarbeitung tatsächlich begangen wurde, kann dahinter zurücktreten.
Niels Lepperhoff: Einführung in die Dokumentationspflichten gemäß DSGVO. Erschienen in: BVD-News 2/2016, S. 13-16.
Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung
Peter Gola, Niels Lepperhoff (2016): Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung. In: Zeitschrift für Datenschutz (ZD) 1/2016, S. 9-12.
Umsetzung der Cookie-Richtlinie – Status Quo
Die Nutzung von Cookies stellt Webseitenbetreiber oft vor unerwartete Schwierigkeiten. Die sich aus europäischem und deutschem Recht ergebenden Anforderungen stoßen in der Praxis auf Umsetzungshürden, wie z. B. die Pflicht zur Protokollierung von Einwilligungen. Auch die technische Umsetzung von obligatorischen Widerspruchsmöglichkeiten birgt juristische Stolpersteine. Für internationale Webseiten kommt erschwerend hinzu, dass es keine einheitliche Rechtslage innerhalb der EU gibt. Für ausgewählte Länder werden die nationalen Umsetzungen der Richtlinie 2009/136/EG („Cookie-Richtlinie“) vorgestellt.
Niels Lepperhoff, Mareike Papendorf (2016): Umsetzung der Cookie-Richtlinie – Status Quo. In: BvD-News 1/2016, S. 30-38.
Bedeutung des EuGH-Urteils zu Safe Harbor
Niels Lepperhoff, Thomas Müthlein (2015): Bedeutung des EuGH-Urteils zu Safe Harbor. In: Lohn+Gehalt Dezember 2015, S. 40 – 49.
Messenger im Unternehmen
Die Nutzung von Instant Messengern berührt verschiedene Datenschutzfragen vom Schutz vor unbefugtem Lesen oder Verändern bis hin zu Zulässigkeit der Verwendung. Dieser Beitrag beschäftigt sich mit ausgewählten Aspekten der Zulässigkeit und konzentriert sich auf eine ausschließlich dienstliche Nutzung.
Niels Lepperhoff, Mareike Papendorf (2015): Messenger im Unternehmen. In: RDV 6/2015, S. 309 – 315.
Outsourcing – auch der Verantwortung?
Thomas Müthlein, Niels Lepperhoff (2015): Outsourcing – auch der Verantwortung? In: Lohn & Gehalt, April 2015, S. 27-31.
Neuer Datenschutzstandard DS-BvD-GDD-01 mit passendem Gütesiegel
Die jüngsten Skandale haben das Thema Datenschutz noch stärker in den Blick der Öffentlichkeit gerückt als bisher. Dazu kommen Datenpannen in Unternehmen, die bei den betroffenen Unternehmen nicht nur zu einem Imageverlust, sondern im Zweifelsfall auch zu Vertragsstrafen oder Regressansprüchen führen — und zu Unsicherheiten bei den Verbrauchern. Unternehmen, die vertrauenswürdige Partner suchen, stehen deshalb verstärkt vor der Frage: Ist das potenzielle Partnerunternehmen in Sachen Datenschutz zuverlässig?
Erschienen in: MMR Multimedia und Recht 2013, 617.
Datenschutzverstöße im Internet
Auch im fünften Erscheinungsjahr des Xamit Datenschutzbarometers nehmen die Datenschutzverstöße im Internet zu: Bei der Untersuchung von über 3 Mio. deutschen Webseiten wurden durchschnittlich 91 Verstöße pro 100 Webseiten gefunden. Fast doppelt so viele wie im Jahr 2008.
Erschienen in: Datenschutz und Datensicherheit, Nr. 5/2013, S. 301-306.
Datenschutzverstöße und Vollzugsdefizite
Der Trend hin zu mehr Datenschutzverstößen im Internet ist nach wie vor ungebrochen. Für das Datenschutzbarometer 2011 wurden mehr als 3 Mio. Webseiten auf die Einhaltung von Datenschutzbestimmungen hin untersucht. Darüber hinaus dokumentiert die Studie die personelle Ausstattung der Datenschutzaufsichtsbehörden in Deutschland. Ergänzend werden erstmals sowohl deren Kontroll- und Sanktionstätigkeit als auch ausgewählte Erfolge dargestellt.
Erschienen in: Datenschutz und Datensicherheit, Nr. 3/2012, S. 195-199.
Datenschutzbarometer 2011: Ungebrochener Trend zu mehr Datenschutzverstößen
Seit 2008 misst das Xamit Datenschutzbarometer jährlich ausgewählte Datenschutzverstöße im Internet. In diesem Zeitraum nahmen die Verstöße insgesamt um 49% zu.
Erschienen in: BvD-News 1/2012, S. 56-57.
Datenschutzverstöße im Internet – Datenschutzbarometer 2010
Seit der Erstauflage des Datenschutzbarometers im Jahr 2008 sind die Beanstandungen der Webseiten abermals gestiegen. Für die Untersuchung 2010 wurden über zwei Mio. Webseiten auf die Einhaltung ausgewählter Datenschutzbestimmungen hin überprüft. Außerdem dokumentiert die Untersuchung seit 2009 die Personalausstattung der deutschen Aufsichtsbehörden, die nach wie vor eher unzureichend ist.
Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2011.
Vorsicht Falle: Einbindung von Empfehlungen auf die eigene Webseite
Empfehlungen gelten als zuverlässige Umsatzbringer. Deshalb ist es für Unternehmen von Bedeutung, Empfehlungen auch in die Onlinewelt zu übertragen. Ein bekanntes Mittel ist der „Like-“ oder „Gefällt mir-Button“ von Facebook. Für die folgende Analyse beschränken wir uns zwar exemplarisch auf den Facebook Like-Button. Gleichwohl lassen sich die Überlegungen auch auf andere Anbieter ganz oder teilweise übertragen.
Erschienen in: BvD-News 2/2011, S. 28-29.
„Internet-Check“: Mehr Sicherheit im Netz
Kinder wachsen heute in einer von digitalen Medien geprägten Umwelt auf. Deshalb verfügen sie in der Regel über außerschulische Medienerfahrungen, die sie in die Schule mitbringen. Doch diese Erfahrungen bedeuten noch lange nicht, dass die Kinder und Jugendlichen über Internetkompetenz verfügen. Ein verantwortungsbewusster Umgang mit dem Internet ist aber wesentlicher Bestandteil einer zeitgemäßen Medienkompetenz. In der Schule bietet sich die Chance, die Internet-Erfahrungen, die Schülerinnen und Schüler außerhalb der Schule machen, aufzugreifen, das schulische und außerschulische Lernen und Handeln zu verbinden und die Kinder und Jugendlichen so zu einer Reflexion der eigenen Mediennutzung – und vor allem des eigenen Risikoverhaltens – anzuleiten.
Praxisbericht von Meike Frantzmann, Dörte Lepperhoff und Claudia Schuster.
Erschienen in: Jugendhilfe & Schule inform, Mai 2011, S. 27 – 30.
Messung des Datenschutz-Vollzugsdefizits
Auf die Veröffentlichung spektakulärer Datenschutzverstöße folgt üblicherweise reflexartig der Ruf nach einem schärferen Datenschutzrecht. Tatsächlich ist schon heue das Vollzugsdefizit erheblich, wie die wenigen existierenden empirischen Analysen belegen. Der vorliegende Beitrag stellt die Methoden, Ergebnisse und die Aussagekraft von vier Verfahren gegenüber.
Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2010.
Nur ein Vollzugsdefizit? – Parteien vernachlässigen den Datenschutz
Das Thema Datenschutz klettert immer weiter nach oben auf der Agenda der Politik in Deutschland. In den Wahlprogrammen der Parteien zur Bundestagswahl 2009 wird „Datenschutz mit Augenmaß“ verlangt und dass der Bürger darauf vertrauen können muss, „dass seine Daten vor Missbrauch geschützt sind.“ Die Grünen verlangen sogar die Verankerung des Datenschutzes als Bürgerrecht im Grundgesetz. Die Autoren der Studie „Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen“ nahmen die Bundestagswahl 2009 zum Anlass, um zu untersuchen, wie die Parteien selbst mit dem Datenschutz umgehen.
Erschienen in: FIfF-Kommunikation, Nr. 4/2009.
Datenschutz auf Webpräsenzen
Im Jahr 2007 untersuchte Xamit ca. 14.000 Webpräsenzen auf die Existenz von Datenschutzerklärung, die heimliche Nutzung von Google Analytics und die Korrektheit von Kontaktformularen. Die Ergebnisse waren ernüchternd. Im folgenden stellen die Autoren die Ergebnisse einer Folgeuntersuchung mit 26.000 Webpräsenzen vor.
Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2009.
Umgang mit Datenschutzerklärungen im Internet
85 Prozent aller Webpräsenzen, die mittels Dialoginstrumenten personenbezogene Daten erheben, verzichten auf eine Datenschutzerklärung. Unerlaubte Datenverarbeitung und Vertrauensverlust sind die Folgen.
Erschienen in: Datenschutz und Datensicherheit, Nr. 1/2009
Datenschutz bei Webstatistiken – Ergebnisse einer empirischen Analyse
Wer protokolliert das Surfverhalten im World Wide Web? Werden Besucher über eine Datenerhebung informiert? Wer kann technisch Bewegungsprofile mit Namen verknüpfen? Diesen Fragen gingen die Autoren des folgenden Beitrags in einer empirischen Untersuchung von über 14.000 Webpräsenzen von Unternehmen und Gemeinden nach.
Erschienen in: Datenschutz und Datensicherheit, Nr. 4/2008.
Can critical infrastructures rely on the Internet?
Fischer, W.; Lepperhoff, N. (2005): Can critical infrastructures rely on the Internet? Computers & Security, Vol. 24, Nr. 6, S. 485-491.
Internet Monitoring: Einfaches Erkennen von Störungen
Lepperhoff, N. (2004): Internet Monitoring: Einfaches Erkennen von Störungen. Informatik Spektrum 3/04.
Aussagewert der Verkehrsdaten: Aspekte der Sicherheitspolitik, des Datenschutzes und der Wirtschaft
Lepperhoff, N.; Tinnefeld, M.-Th. (2004): Aussagewert der Verkehrsdaten: Aspekte der Sicherheitspolitik, des Datenschutzes und der Wirtschaft. Recht der Datenverarbeitung 1/2004.
Internet under Threat: Simulation of Survivability with INESS
Fischer, W.; Lepperhoff, N.; Volst, A. (2003): Internet under Threat: Simulation of Survivability with INESS. Grimm, R.; Keller, H.B.; Rannenberg, K (Hrsg.): Informatik 2003. Mit Sicherheit Informatik. Lecture Notes in Informatics (LNI), Series of the German Informatics Society (GI). Bonn: Gesellschaft für Informatik e.V. S. 45-56.
SAM – Simulation of Computer-Mediated Negotiations
Lepperhoff, N. (2002): SAM – Simulation of Computer-Mediated Negotiations. Journal for Artificial Societies and Social Simulation (JASSS) 5/4.
Mit unserer Erfahrung sind Sie auf der sicheren Seite.
Xamit
- übernimmt die gesetzlichen Aufgaben als Datenschutzbeauftragter
- ist Ihr persönlicher Ansprechpartner für alle Datenschutzbelange
- begleitet bei Genehmigungsverfahren und meldepflichtigen Vorfällen
- unterstützt bei Datenschutzprüfungen durch Aufsichtsbehörden oder Auftraggeber
- prüft Ihre Datensicherheit