Inhalt:

• Deutschland, Östereich: Datenschutz bei Arbeitnehmern mit gefährlichen Infektionskrankheiten
• Dauerbrenner Cyberattacken
• Gilt die DSGVO auch im Privatbereich?
• EU: Datenschutz-NGOs beklagen Untätigkeit nationaler Datenschutzbehörden

 

 

Deutschland, Östereich: Datenschutz bei Arbeitnehmern mit gefährlichen Infektionskrankheiten

Wie funktioniert der Datenschutz von Mitarbeiter eines Unternehmens, die z.B. an COVID-19 erkranken oder bei denen wenigstens der Verdacht besteht?

Die DSGVO ermöglicht den Arbeitgebern einen sinnvollen Umgang mit Gesundheitsdaten von Arbeitnehmern, die an einer gefährlichen und ansteckenden Infektion leiden. Der Arbeitgeber darf entsprechende Gesundheitsdaten seines Arbeitnehmers erheben und verarbeiten. Das Recht dazu gründet sich auf die Fürsorgepflicht, die der Arbeitgeber gegenüber den nicht erkrankten Mitarbeitern hat.

Bei der Bekanntgabe des Namens der erkrankten Person innerhalb des Unternehmens ist allerdings Diskretion erforderlich. Das heißt, dass nur gegenüber jenen Kollegen, die mit der erkrankten Person in direktem Kontakt standen, deren Identität bekanntgegeben werden darf. Bei kleineren Betrieben wird wohl davon auszugehen sein, dass zwangsläufig alle Firmenangehörigen zu informieren sind.

Gegenüber den Behörden besteht für Unternehmen grundsätzlich nur dann eine Meldepflicht, wenn es sich um Gesundheitsbetriebe handelt (also z.B. Arzt-Ordinationen), die ohnehin kraft geltenden Rechts Meldungen abgeben müssen. Alle anderen Unternehmen können darauf vertrauen, dass der behandelnde Arzt die erforderliche Meldung erstattet. In Österreich kann allerdings auf Anfrage eine Auskunftspflicht des Unternehmens gegenüber den Bezirksverwaltungsbehörden bestehen. Bei einem konkreten Anlass empfiehlt es sich, vor der Weitergabe von Daten eine Rechtsauskunft einzuholen.

Quellen:
https://www.haerting.de/neuigkeit/faq-covid-19-und-datenschutz#eins
(28.4.2020)
https://www.dsb.gv.at/informationen-zum-coronavirus-covid-19-
(28.4.2020)
https://www.datenschutzkonferenz-online.de/
(29.4.2020)

 

 

Dauerbrenner Cyberattacken

Ausgiebig praktiziertes Home-Office ist ein bequemes Einfallstor für Cyberattacken. Gibt es dafür einfache Abhilfe? Leider achten nur wenige Unternehmen darauf, dass die Mitarbeiter auch zu Hause ein Minimum an Sicherheitsmaßnahmen einhalten bzw. einhalten können. Gesicherte und verschlüsselte Zugänge zum Firmennetzwerk wären schon ein erster Schritt.

Untersuchungen haben allerdings gezeigt, dass technische Maßnahmen keinesfalls ausreichen, um ein Unternehmen vor Schaden zu bewahren. Der wirksamste Schutz sind nach wie vor aufmerksame Mitarbeiter, die kritisch prüfen, auf welche Links sie klicken. Dazu gehört auch, dass Anweisungen, die angeblich von Vorgesetzten abgeschickt wurden, durch eine Rückfrage vor der Umsetzung bestätigt werden. CEO-fraud ist nämlich ebenso eine beliebte Betrugstechnik.

Dass auch Spezialisten diesbezüglich geschult werden müssen, zeigt das kürzlich veröffentlichte Ergebnis eines unangekündigten Tests, den das IT-Unternehmen GitLab unter seinen Mitarbeitern anstellte: Rund ein Fünftel von ihnen klickte bedenkenlos auf einen verdächtigen Link, der bei genauer Betrachtung auffällig war.

Wirksamer Schutz - darin sind sich Fachleute einig - setzt regelmäßiges Training der Mitarbeiter voraus. Dazu gibt es geeignete Software, mit der Cyberattacken gefahrlos simuliert und die Reaktionen dokumentiert werden können. Mit geringem Aufwand kann auf diese Weise spielerisch das richtige Verhalten geübt und massiver Schaden von einem Unternehmen abgewendet werden.

Quellen:
https://www.derstandard.at/story/2000117680134/gitlab-testet-mitarbeiter-mit-phishing-angriff-ein-fuenftel-faellt-herein
(25.5.2020)
https://orf.at/stories/3167168/
(26.5.2020)
Raberger, Gianluca: Social Engineering. Das Phishen nach Informationen. St. Pölten (Diplomarbeit), 2019.

 

 

Gilt die DSGVO auch im Privatbereich?

Bisher bestand kein Zweifel: Im Privatbereich ist die DSGVO nicht anzuwenden. Artikel 2 Abs. 2 lit. c DSGVO schließt das ausdrücklich aus:

"[...] Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten [...] durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten [...]".

Ein erklärungsbedürftiger BBC-Bericht sowie ein darauf aufbauender Bericht im "Standard" könnten aber so verstanden werden, dass ein Gericht in den Niederlanden die DSGVO möglicherweise auch auf den Privatbereich angewandt hat. Sollte das der Fall gewesen sein, wären Rechtsmittel gegen das Urteil mit hoher Wahrscheinlichkeit erfolgreich.

Was war passiert? Unter Berufung auf einen Bericht der BBC meldete die Tageszeitung "Der Standard", dass eine Großmutter in den Niederlanden zu einer Geldbuße verurteilt worden wäre. Die Frau hätte trotz Ersuchens der Mutter ihrer Enkel Fotos der Kinder auf ihrem privaten (?) Facebook-Account nicht gelöscht. Laut BBC stellte sich der Richter auf den Standpunkt, dass die Causa in den Bereich der DSGVO falle - was in dieser schlichten Form zumindest erklärungsbedürftig wäre. Ein "Experte" befand, so die BBC weiter, dass das Urteil die Position wiederspiegelte, die der EuGH jahrelang vertreten hatte. Sofern die Großmutter jedoch eine private Facebook-Seite betrieben hätte, würde eine Begründung des Urteils mit Bestimmungen der DSGVO der Rechtsgrundlage entbehren und dem Grundsatz widersprechen, dass Verurteilungen nur auf Basis eines Gesetzes erfolgen dürfen, das auf den Sachverhalt anwendbar ist.

Wie selbst der BBC-Bericht richtig einräumt, ist die Verarbeitung von Daten im privaten Rahmen nicht von der DSGVO erfasst. Richtig ist ebenso, dass mit dem Hochladen von Fotos auf Facebook nach den juristisch umstrittenen Nutzungsbedingungen des Netzwerkes sämtliche Bildrechte unwiderruflich an Facebook und seine Nutzer abgetreten werden. Wer also Fotos dritter Personen ohne Erlaubnis der Betroffenen auf Facebook oder in anderen Netzwerken, die ähnliche Nutzungsbedingungen formulieren, postet, trifft unwiderrufliche Entscheidungen über andere Menschen. Kinderschutz ist in diesem Zusammenhang ein wichtiges Thema. Trotzdem: Selbst wenn auf Facebook hochgeladene Fotos eine schier unbegrenzte Öffentlicheit erreichen können, bleibt die Veröffentlichung Privatsache, sofern die Publikation von einer privaten Facebookseite aus erfolgt.

Auch die Datenverarbeitung durch Privatanwender im familiären Bereich ist kein rechtsfreier Raum. Abgesehen von der DSGVO, die für Wirtschaftsunternehmen gilt, schützen nationale Gesetze in allen Mitgliedsländern der EU die Rechte der Betroffenen. Mit der Veröffentlichung auf ihrem (mutmaßlich) privaten Facebook-Account hätte die Großmutter des BBC-Berichtes daher keinen Verstoß gegen die DSGVO, sondern eine Verletzung nationaler, niederländischer Vorschriften zu verantworten. Diese Vorschriften könnten der DSGVO zwar ähnlich sein, wären aber zweifelsfrei gänzlich anderer Rechtsnatur.

Das kolportierte Urteil des niederländischen Gerichts (EUR 50 Bußgeld für jeden Tag, den die Fotos auf der Facebook-Seite der Großmutter online bleiben - bis zu einem Maximum von EUR 1.000) hat den Charakter einer "Beugestrafe". In der Praxis stellt sich die Frage, ob es überhaupt möglich wäre, ein Foto "zurückzuholen", das einmal in einem sozialen Netzwerk publiziert wurde. Nachdem, wie schon erwähnt, ab dem Zeitpunkt der Veröffentlichung weltweit jeder Nutzer unter Berufung auf die Nutzungsbestimmungen in gutem Glauben das Recht auf Download und sogar das Recht auf beliebige Bearbeitung beanspruchen könnte, werden Versuche der Löschung von Fotos vermutlich nie zum vollständigen Erfolg führen. Das unterstreicht die moralische Verantwortung und sollte auch unabhängig von der juristischen Frage bedacht werden.

Abschließend kann man sich als kritischer Leser des Eindrucks nicht erwehren, dass die beiden Medienberichte teilweise in sich widersprüchlich, zumindest aber unvollständig und erklärungsbedürftig sind.

Quellen:
https://www.derstandard.at/story/2000117645388/fotos-von-enkelkindern-veroeffentlicht-oma-muss-bis-zu-1-000
(23.5.2020)
https://www.bbc.com/news/technology-52758787
(21.5.2020)

 

 

 

EU: Datenschutz-NGOs beklagen Untätigkeit nationaler Datenschutzbehörden

Einem Bericht von Radio FM4 zufolge beklagen Datenschutz-NGOs den mangelnden Durchsetzungswillen verschiedener nationaler Datenschutzbehörden. Prominenter Vertreter dieser Anschuldigung ist - so FM4 - der Aktivist Max Schrems. Er hat insbesondere die Irische Datenschutzbehörde im Visier, die seiner Meinung nach von auffälliger Lethargie erfasst wird, wenn es gilt, das geltende Recht gegen den Facebook-Konzern durchzusetzen. Zumindest in einem Punkt ist Schrems zuzustimmen: Es gäbe bereits ausreichende Gerichtsentscheidungen, nicht zuletzt vom EUGH, um zu erzwingen, dass die Praktiken von Facebook an das geltende Recht angepasst werden.

Nur von wenigen Vertretern der Datenschutzbehörden wurde bekannt, dass sie entsprechende Konsequenzen ziehen (wir haben über solche Fälle berichtet). Andere Behörden und offizielle Stellen - ganz zu schweigen von Firmen - betreiben weiterhin ihre "offiziellen" Facebook-Auftritte, präsentieren sich auf Instagram, YouTube, TicToc etc. und scheinen von der damit verbundenen Problematik keine Notiz genommen zu haben. Dass die Datenschutzbehörden dagegen nicht vorgehen, ist wenigstens erklärungsbedürftig.

Bei der Bewertung des Beitrages von FM4 sollte man allerdings drei Dinge berücksichtigen:

1. Mit Inkrafttreten der DSGVO im Mai 2018 ist der Datenschutz erstmalig ins Bewusstsein breiter Bevölkerungsschichten gerückt. Das korrekte Wissen um Rechte und Pflichten von Betroffenen ist noch bescheiden und wird sich hoffentlich im Laufe der Zeit bessern. Damit steigt auch der Druck auf die Behörden, die Durchsetzung zu beschleunigen.

2. Um ein so umfassendes Regelwerk, wie es die DSGVO ist, in der Praxis durchzusetzen, die sich bisher eher am technisch und wirtschaftlich Machbaren zugunsten von weltweit agierenden Großkonzernen orientiert hat, dauert es viele Jahre. Unrealistische Erwartungshaltungen bringen keinen Vorteil. Würden die nationalen Datenschutzbehörden allerdings mehr "Eifer" bei der Verfolgung von Verstößen erkennen lassen, wäre das sicherlich kein Nachteil.

3. "Klappern gehört zum Handwerk". NGOs, die nicht in regelmäßigen Abständen auf sich anbahnende Katastrophen hinweisen, wenn ihr Anliegen nicht berücksichtig wird, geben sich selbst auf und verlieren an gesellschaftlicher Bedeutung. Das sagt zwar nichts darüber aus, ob die Anliegen berechtigt sind. Für unabhängige Beobachter ist aber eine ausgewogene Betrachtungsweise zweckmäßig.

Quelle:
https://fm4.orf.at/stories/3003167/
(01.06.2020)

 

 

Click to print!