Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

wir hoffen, dass Sie gut in das neue Jahr gestartet sind! Das vergangene Jahr hat zahlreiche Veränderungen und Neuigkeiten im Datenschutzrecht mit sich gebracht. Das aktuelle Jahr wird - vor allem aufgrund der Änderungen durch die Datenschutz-Grundverordnung (DSGVO) - eine noch größere Bedeutung für den Datenschutz haben.

Selbstverständlich werden wir Sie auch in diesem Jahr weiter mit unserem Newsletter begleiten und wie gewohnt monatlich über neue Entwicklungen im Datenschutzrecht, insbesondere über die Aktivitäten der Gerichte und Aufsichtsbehörden berichten.

Unser Schwerpunktthema in diesem Monat befasst sich mit den neuen gesetzlichen Anforderungen der DSGVO an Datenschutzerklärungen. Anlass für dieses Schwerpunktthema war die Vielzahl der Anfragen zu diesem Thema, die uns in den letzten Wochen vor dem Jahreswechsel erreicht haben.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzerklärung unter der DSGVO

Auf nahezu allen Homepages europäischer Unternehmen finden sich Datenschutzerklärungen, in denen Nutzer über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Bei der Erstellung der Datenschutzerklärungen stellt sich Unternehmen oftmals die Frage, über welche Datenverarbeitungsprozesse informiert werden muss und wie die Informationspflichten konkret umgesetzt werden können.

Während diese Fragen zum geltenden Datenschutz- und Telemedienrecht weitgehend geklärt sind, ergeben sich durch die DSGVO ab dem 25. Mai diesen Jahres verschiedene rechtliche Änderungen, die auch die Pflicht zur Erstellung von Datenschutzerklärungen betreffen.

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch ausführliche Informationen zu den neuen inhaltlichen und formellen Anforderungen an Datenschutzerklärungen durch die DSGVO.

LAG Hessen: Fristlose Kündigung eines Arbeitnehmers, der Personalgespräch heimlich aufzeichnet

Ein Arbeitnehmer, der ein Personalgespräch mit seinen Vorgesetzten heimlich mit seinem Smartphone aufzeichnet, kann fristlos gekündigt werden. Dies hat das Hessische Landesarbeitsgericht (LAG) entschieden (Urteil vom 23.08.2017, Az. 6 Sa 137/17).

Dem Arbeitgeber war vorgeworfen worden, er habe in der Vergangenheit verschiedene Kollegen beleidigt und eine Kollegin verbal bedroht. Er wurde deswegen zu einem Personalgespräch mit dem Vorgesetzten und dem Betriebsrat eingeladen. Dieses Gespräch nahm er heimlich mit seinem Smartphone auf, das er während des Gesprächs offen auf den Tisch gelegt hatte. Als die Arbeitgeberin einige Zeit später von der Aufnahme erfuhr, sprach sie eine fristlose außerordentliche Kündigung aus. Der Arbeitnehmer erhob Kündigungsschutzklage und verwies darauf, er habe nicht gewusst, dass eine Ton-Aufnahme verboten sei.

Bereits in erster Instanz wurde die Kündigungsschutzklage abgewiesen (ArbG Frankfurt, Urt. v. 22.11.2016 - 18 Ca 4002/16).

Das LAG Hessen hat diese Entscheidung der Vorinstanz am 23.08.2017 bestätigt, wie aus einer erst vor wenigen Tagen veröffentlichten Pressemitteilung des Gerichts hervorgeht.

Nach Ansicht des LAG Hessen verletze das heimliche Mitschneiden des Personalgesprächs das allgemeine Persönlichkeitsrecht der Gesprächsteilnehmer aus Art. 2 Abs. 1 und Art. 1 Abs. 2 Grundgesetz. Dies gewährleiste auch das Recht auf Wahrung der Unbefangenheit des gesprochenen Worts, nämlich selbst zu bestimmen, ob Erklärungen nur den Gesprächspartnern, einem bestimmten Kreis oder der Öffentlichkeit zugänglich sein sollten.

Das Gericht war der Ansicht, dass auch die im vorliegenden Fall lange Betriebszugehörigkeit von 25 Jahren einer Kündigung nicht im Wege steht. Die Heimlichkeit der Aufnahme sei nicht zu rechtfertigen. Vielmehr hätte der Arbeitnehmer darauf hinweisen müssen, dass die Aufnahmefunktion aktiviert ist. Es sei zudem zu berücksichtigen gewesen, dass das Arbeitsverhältnis bereits durch die Beleidigung der Kollegen beeinträchtigt gewesen sei.

Aufsichtsbehörde Niedersachsen überprüft Logistikzentrum von Amazon

Recherchen des NDR Politmagazins Panorama hatten ergeben, dass im Logistikzentrum von Amazon in Winsen eine Vielzahl von Überwachungskameras installiert sind und zudem von den Mitarbeitern elektronische Scanner verwendet werden, mit denen zumindest theoretisch eine Leistungsüberwachung der Mitarbeiter stattfinden kann. Auch in den Umkleide- bzw. Spindräumen seien Kameras installiert. Die datenschutzrechtliche Aufsichtsbehörde in Niedersachen hat den Bericht des NDR zum Anlass genommen, einen Fragenkatalog an Amazon zu übersenden, in dem die diesbezügliche Datenverarbeitung dargelegt werden soll. Ursprünglich war dem Unternehmen eine Frist zur Beantwortung der Fragen bis zum 13. Dezember gestellt worden. Auf Antrag von Amazon wurde diese Frist bis zum 19. Januar verlängert.

Das Thema Videoüberwachung ist eines der Themenfelder, die immer wieder von den Aufsichtsbehörden aufgegriffen und überprüft werden. Alle Unternehmen sollten die Tätigkeiten der Aufsichtsbehörde in Niedersachsen zum Anlass nehmen, den eigenen Einsatz von Überwachungskameras kritisch zu überprüfen.

Sicherheitslücken in CPUs

Zahlreiche Mikroprozessoren des Chip-Herstellers Intel haben eine Sicherheitslücke, die auf verschiedene Arten von Angreifern ausgenutzt werden kann. Die Schwachstelle resultiert aus der Konstruktion der Prozessoren, durch die Angreifer unbefugt Daten von den Prozessoren auslesen können. Intel hat eine Liste der betroffenen Prozessoren veröffentlicht. Nach Berichten des US-Konzerns Google sind von der Sicherheitslücke neben den CPUs von Intel auch die Prozessoren der Chip-Hersteller AMD und ARM betroffen.

Microsoft hat bereits ein Windows-Update veröffentlicht, mit dem zumindest bestimmte Angriffsszenarien ausgeschlossen werden können. Teilweise berichten Nutzer aber von Problemen mit dem Update.

Alle Unternehmen, die von der Sicherheitslücke betroffene CPUs verwenden, sollten die weiteren Entwicklungen zu diesem Thema berücksichtigen und sich über neue Sicherheitsupdates informieren.

Bundeskartellamt: Vorläufige Einschätzung im Facebook-Verfahren

Das Sammeln und Verwerten von Daten aus Drittquellen außerhalb der Facebook Homepage ist nach einer vorläufigen Einschätzung des Bundeskartellamts rechtswidrig. Zu dieser Einschätzung kommt das Bundeskartellamt nach einer intensiven Prüfung der verschiedenen Wege, auf denen Facebook Daten akquiriert. Das Sammeln von Daten auf der eigenen Homepage sei nicht Gegenstand des laufenden Verfahrens. Kritisiert wird vielmehr die Datensammlung von Facebook auf anderen Homepages, beispielsweise über den "Gefällt-mir"-Button, bei dessen Einsatz Daten von Nutzern an Facebook übermittelt werden, ohne dass diese den Button überhaupt anklicken oder über ein Nutzerkonto bei Facebook verfügen müssen.

Das Bundeskartellamt ermittelt gegen Facebook wegen des Verdachts einer marktbeherrschenden Stellung. Bezüglich der im Rahmen des Verfahrens erforderlichen datenschutzrechtlichen Bewertungen arbeitet es nach eigenen Angaben eng mit den Datenschutzbehörden zusammen.

Das Unternehmen Facebook hat nun Gelegenheit, sich zu der vorläufigen Einschätzung des Bundeskartellamts zu äußern und zu den Vorwürfen Stellung zu nehmen. Eine abschließende Entscheidung in der Sache wird nicht vor dem Sommer 2018 erwartet.

Das Bundeskartellamt hat weitere Hintergrundinformationen zum Verfahren gegen Facebook auf der eigenen Internetseite bereitgestellt.

Die Untersuchung des Bundeskartellamtes läuft parallel zur gerichtlichen Klärung, unter welchen Voraussetzungen Webseitenanbeiter das Social Media Plugin von Facebook ("Gefällt-mir"-Button) einsetzen dürfen. In erster Instanz hatte bereits am 09.03.2016 das LG Düsseldorf entschieden, dass die Verwendung des Plugins zumindest dann wettbewerbswidrig ist, wenn dieses beim Aufruf einer Homepage sofort aktiviert wird und eine Datenübertragung an Facebook herstellt, ohne dass der Kunde widersprechen kann. Aktuell ist das Verfahren weiterhin vor dem EuGH anhängig (wir berichteten), eine abschließende Entscheidung ist noch nicht absehbar. Offen ist ebenfalls die Frage, ob sich an der rechtlichen Wertung durch die DSGVO etwas ändern wird.

Datenschutzrechtlich unproblematischer ist unterdessen wohl die Einbindung des Facebook-Plugins über einen Switch-Button. Bei dieser Gestaltung wird das Plugin erst durch einen obligatorischen Klick auf den Switch-Button aktiviert, sodass erst dann eine Verbindung zu Facebook hergestellt wird.

US-Regierung beschuldigt Nordkorea für Kryptotrojaner WannaCry

Die US-Regierung hat Nordkorea beschuldigt, für den weltweiten Hackerangriff mittels des Kryptotrojaners WannaCry verantwortlich zu sein. Dies geht aus einem Beitrag des Wall Street Journals hervor, der von einem Heimatschutzberater der US-Regierung geschrieben wurde. In dem Beitrag ist die Rede von "Beweisen" für die Verantwortlichkeit Nordkoreas.

Bei dem WannaCry-Hackerangriff waren im Mai 2017 über 200.000 Computer in über 150 Ländern infiziert worden. In Deutschland waren sowohl Privatpersonen als auch Unternehmen wie beispielsweise die Deutsche Bahn betroffen. Die eingesetzte Schadsoftware "Wannacry" nutzte eine Sicherheitslücke im Netzwerkprotokoll von Microsoft und verbreitete sich auf alle erreichbaren vernetzten Rechner in einem Netzwerk und über IP-Anfragen ins Internet. Zwar hatte Microsoft bereits im März 2017 ein kritisches Sicherheitsupdate veröffentlicht, das die Infizierung mit Wannacry verhindert, dennoch konnte sich Wannacry aufgrund der Vielzahl der ungepatchten Systeme massiv und weltweit verbreiten.

Datenschutzaufsichtsbehörde Bayern: Selbsteinschätzung "Weg zur DSGVO"

Die Datenschutzaufsichtsbehörde in Bayern hat auf ihrer Homepage ein Tool zur Selbsteinschätzung verfügbar gemacht, mit dem Unternehmen anhand von 28 Fragen überprüfen können, inwieweit sie die datenschutzrechtlichen Anforderungen der DSGVO erfüllen. Nach Abschluss des kurzen Fragebogens erlangen Nutzer eine Punktzahl und eine Urkunde zum Ausdrucken. Aufgrund des knappen Umfangs des Fragenkatalogs sollten sich Unternehmen zur Selbsteinschätzung allerdings nicht ausschließlich auf das bereitgestellte Tool verlassen.