Stichwortverzeichnis



Abmahnungen sind ein rechtliches Instrument des Wettbewerbsrechts.
Abmahnberechtigte können mit dieser formalen Aufforderung die Unterlassung von Wettbewerbsverstößen fordern. Abmahnberechtigt sind nach § 8 Abs. 3 Nr. 1 - 4 UWG , Mitbewerber und rechtsfähige Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben. Unternehmer sind nach § 2 UWG Unternehmer“ jede natürliche oder juristische Person, die geschäftliche Handlungen im Rahmen ihrer gewerblichen, handwerklichen oder beruflichen Tätigkeit vornimmt, und jede Person, die im Namen oder Auftrag einer solchen Person handelt. Darunter fallen ggf. auch kirchliche Einrichtungen, wie z. B. die Caritasverbände mit ihren Diensten.
Mit der Abmahnung fordert der Abmahnberechtigte oder sein Anwalt dazu auf, eine Handlung die er als Wettbewerbsverstoß betrachtet zu unterlassen. Außerdem soll sich regelmäßig derjenige, der den Verstoß (angeblich) begangen hat, durch Abgabe einer strafbewährten Unterlassungserklärung dazu verpflichten, solche Verstöße in Zukunft zu unterlassen. Bei der Weigerung eine solche Unterlassungserklärung zu unterzeichnen, wird sich der Antrag an das Gericht auf Erlass einer einstweiligen Verfügung anschließen und ggf. ein Hauptsacheverfahren eingeleitet.
Die Kosten der Abmahnung trägt derjenige, der zu Recht abgemahnt worden ist. Beim ersten Abmahnungsschreiben sind das die Rechtsanwaltskosten. Diese erhöhen sich im gerichtlichen Verfahren. Die Gerichtskosten kommen dann dazu. Die genaue Höhe kann hier nicht benannt werden, da diese sich nach dem Streitwert richtet. Für die Abmahnung gibt es keine Formvorschriften.
Die Abmahnung gilt als das zunächst mildere Mittel vor der Klageerhebung, der Abgemahnte trägt die Beweislast, wenn er geltend machen will, die Abmahnung nicht erhalten zu haben.
Beispiel für ein abmahnfähiges Verhalten: Verstoß gegen die Impressumspflicht.


In Sekretariaten oder anderen für Mitarbeiter zugänglichen Stellen finden sich gelegentlich Abwesenheitskalender. Diese geben Auskunft darüber, welche Mitarbeiter sich an welchen Tagen nicht in der Einrichtung befinden. Soweit ist ein solcher Abwesenheitskalender nicht zu beanstanden, da gegenüber Dritten die Auskunft erteilt werden kann, wann sie den abwesenden Mitarbeiter wieder persönlich erreichen können. Häufig enthalten diese Kalender aber auch den Grund für die Abwesenheit (Krankheit, Fortbildung, Urlaub u. ä.). Die Angabe von Gründen in Verbindung mit dem Namen stellt aber ein personenbezogenes Datum dar, dessen Veröffentlichung nicht erforderlich und somit unzulässig ist. Selbst eine Einwilligung des Mitarbeiters in die Bekanntgabe des Grundes seiner Abwesenheit dürfte unzulässig sein, da eine solche Veröffentlichung nicht zweckmäßig ist und gegen den Grundsatz der Datensparsamkeit verstößt.

siehe auch unter G -> Gruppenkalender


Veröffentlichung von Mitarbeiterdaten im Amtsblatt, Internet und Schematismus

Eine solche Veröffentlichung ist zulässig, auch wenn eine diesbezügliche Einwilligung der/des Betroffenen nicht vorliegt und die Veröffentlichung der Daten zur ordnungsgemäßen Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist. Dies ist insbesondere bei Mitarbeitern/innen zu bejahen, die ein Leitungsamt innehaben oder ein Amt mit Außenwirkung. Solche Amtsträger, zu denen auch die Mitarbeiter einer Kirchenverwaltung gehören, können sich dann und soweit nicht auf das Recht der informationellen Selbstbestimmung berufen, soweit sie als für die Kirche handelnde Personen im Rahmen einer nach außen gerichteten Aufgabe tätig werden.
Angaben, die im Zusammenhang mit einer nach außen gerichteten Tätigkeit als Amtsträger stehen, sind Name, Vorname, Funktion sowie dienstliche Erreichbarkeit und Dienstort. Diese Daten können ohne Einwilligung des/der Betroffenen oder eine Rechtsgrundlage an Dritte übermittelt werden.
Dies gilt im Umkehrschluss nicht für solche Mitarbeiter, die lediglich innere Dienste versehen, wie Pförtner, Buchhalter usw. .

Darüber hinausgehende Mitteilungen wie Angaben zu privater Wohnung und Erreichbarkeit sowie zu Ausbildungswegen, Ausbildungsabschlüssen und Stationen der beruflichen Tätigkeit, dürfen ohne Einwilligung des Amtsinhabers nicht veröffentlicht werden.

Beispiel:
Die Angabe, eine Gemeindereferentin (w/m) sei von ihrem Dienst entpflichtet worden, darf im Amtsblatt veröffentlicht werden.

Gemeindereferentin Maria Musterfrau wird vom Dienst in der Kirchengemeinde A entpflichtet und ab .... in der Kirchengemeinde B eingesetzt.

Der Grund der Entpflichtung jedoch darf in der Regel nicht mitgeteilt werden, da damit weitere persönliche Daten bekannt gegeben werden.
z. B. ”...wird entpflichtet, weil sie in die Altersrente geht..." oder ”...wird entpflichtet, weil sie sich der Erziehung ihrer Kinder widmen möchte..." o.ä.
Für die Bekanntgabe derartiger persönlicher Daten bedarf es einer Einwilligung des/der Betroffenen.


Nach § 5 Abs. 1 S. 2 EntgeltfortzahlungsG hat der Dienstnehmer dem Dienstgeber eine ärztliche Bescheinigung über das Bestehen und die voraussichtliche Dauer der Arbeitsunfähigkeit vorzulegen, wenn die Arbeitsunfähigkeit über den dritten Tag hinaus andauert. Bei der ärztlichen Arbeitsunfähigkeitsbescheinigung handelt es sich um Gesundheitsdaten. Nicht zuletzt deshalb, weil sich aus der Bescheinigung durch den Stempel des Arztes dessen Fachrichtung ergibt und somit Schlüsse auf die Art der Erkrankung möglich sind. Es handelt sich dabei um eine besondere Art von personenbezogenen Daten im Sinne von § 4 Abs. 2 KDG. Der Umgang mit diesen Daten verlangt einen besonderen Schutz. Es verstößt deshalb grundsätzlich gegen den Datenschutz, wenn gefordert wird, dass eine solche Bescheinigung anderen Mitarbeitern als denen der Personalabteilung vorgelegt wird. Die Anfertigung einer Kopie der Arbeitsunfähigkeitsbescheinigung stellt ein Verarbeiten von Daten i. S. v. § 4 Abs. 3 KDG dar. Dies ist nach § 6 Abs. 1 KDG nur zulässig, wenn eine diesbezügliche Rechtsvorschrift das erlaubt oder der Betroffene eingewilligt hat. Eine solche Rechtsvorschrift, die ein Kopieren erlaubt, besteht nicht. Auch eine Einwilligung dazu liegt regelmäßig nicht vor. Diese müsste schriftlich, freiwillig und konkret vorliegen. Aber selbst im Falle einer Genehmigung dürfte eine Kopie stets gem. § 7 Abs.1 lit. c unzulässig sein, da die Verarbeitung derartiger Daten nicht zweckmäßig und erforderlich ist. Die Personalabteilung hat den Dienstvorgesetzten zu unterrichten, dass der Dienstnehmer krank ist und wie lange die Krankheit voraussichtlich dauert. Weitere Aussagen sind zu unterlassen.



Charakteristisch für die Auftragsdatenverwaltung ist, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dienstleisters für die Durchführung bestimmter Datenverarbeitungsvorgänge bedient. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der beauftragenden Stelle. Der Auftragnehmer verfährt lediglich entsprechend den Weisungen des Auftraggebers mit den von ihm überlassenen und für ihn zu verarbeitenden Daten. Das Serviceunternehmen fungiert gleichsam als ausgelagerte Abteilung des weiterhin datenschutzrechtlich verantwortlichen Auftraggebers, der als „Herr der Daten“ die volle Verfügungsgewalt über diese behält und damit auch alleine über deren Erhebung, Verarbeitung oder Nutzung bestimmt und den Auftragnehmer wie eigene Mitarbeiter bei der Datenverarbeitung zu beaufsichtigen hat.

Beschluss der Konferenz der Diözesandatenschutzbeauftragten:
Verträge zur Auftragsdatenverarbeitung mit externen Unternehmen


Praxishilfe:
Praxishilfe 4: Auftragsverarbeitung nach dem KDG

Formulierungshilfen zum KDG:
Fernwartungsverträge



Bestellung eines betrieblichen Datenschutzbeauftragten

Nach der neuen Regelung sind alle Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nach der KDO war dies erst ab einer Mitarbeiterzahl von mehr als zehn Mitarbeitern erforderlich. Dieses Quorum ist an dieser Stelle entfallen.
Andere Einrichtungen (z. B. solche der Caritas) müssen einen betrieblichen Datenschutzbeauftragten bestellen, wenn dort mindestens zehn Personen (früher mehr als zehn Personen) mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch ist die Bestellpflicht jetzt unabhängig davon, ob die Verarbeitung mit elektronischen oder analogen Mitteln geschieht.
Auch wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind besteht jetzt eine Bestellpflicht wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht.
Damit wird die bislang bestehende Regelung zum Ausnahmefall. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist in fast allen Einrichtungen erforderlich.

Beschlüsse der Diözesandatenschutzbeauftragten:
Haftung des betrieblichen Datenschutzbeauftragten
Muster zur Bestellung von betrieblichen Datenschutzbeauftragten
Fachkunde für bDSD in der katholischen Kirche


Praxishilfe:
Praxishilfe 2: Betrieblicher Datenschutzbeauftragter nach dem KDG


Die Erhebung und Verarbeitung der Daten ist zulässig, wenn dies zur Begründung des Beschäftigungsverhältnisses erforderlich ist. Es dürfen nur solche Fragen gestellt werden, an deren wahrheitsgemäßer Beantwortung der Arbeitgeber ein berechtigtes und schutzwürdiges Interesse hat, aufgrund dessen die Belange der Bewerberinnen und Bewerber zurücktreten müssen. Dabei kommt es auch darauf an, in welchem Bewerbungsstadium sich die Bewerberin oder der Bewerber befindet. „Billigenswert“ und „schutzwürdig“ ist ein Arbeitgeberinteresse nur dann, wenn es für die Funktionsfähigkeit des Unternehmens maßgeblich ist.
Im Bewerbungsverfahren selbst sind deshalb zunächst nur die Fragen zulässig, die für die Entscheidung notwendig sind, ob die Betroffenen überhaupt geeignet sind, um in die nähere Auswahl zu gelangen. An der Beantwortung von Fragen persönlicher Art, die mit der ausgeübten Tätigkeit nichts zu tun haben, wie etwa Hobbys oder eine Mitgliedschaft im Verein ”š(im Hinblick auf familiäre Verhältnisse sind ggf. die Besonderheiten des kirchlichen Arbeitsrechts zu berücksichtigen), hat der Arbeitgeber zu keinem Zeitpunkt ein berechtigtes Interesse. Solche Fragen sind mithin unzulässig. Insbesondere unterliegen Daten über die Gesundheit, Erkrankungen bzw. etwaige Behinderungen einem besonderen Schutz. Der Arbeitgeber hat bezüglich dieser Daten nur dann einen Informationsanspruch, wenn sie Voraussetzung für die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche sind. Nach dem Allgemeinen Gleichbehandlungsgesetz sind Nachfragen zu gesundheitlichen Einschränkungen erlaubt, wenn diese konkrete Auswirkungen auf die Tätigkeit haben bzw. diese unmöglich machen. Keinesfalls darf der Arbeitgeber Krankheitsdaten losgelöst von der zu besetzenden Stelle erheben.
Nach § 53 Abs. 1 KDG (§ 32 Abs. 2 BDSG) dürfen personenbezogene Fragen eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben verarbeitet oder genutzt werden. Gem. § 4 Abs. 24 lit. i KDG (§ 26 Abs. 8 BDSG) gelten Bewerber als Beschäftigte bzw. werden diesen gleichgestellt. Das gilt gem. § 53 Abs. 3 KDG (§ 32 Abs. 7 BDSG) auch für den Fall, dass die Angaben nicht in automatisierten Dateien verarbeitet werden. Zu beachten ist hierbei auch, dass in einem Streitfall in dem sich der Bewerber auf eine Diskriminierung beruft, die Beweislasterleichterung des § 22 Allgemeines Gleichstellungsgesetz (AGG) greift. Danach muss der Bewerber nur Indizien vortragen, die eine Benachteiligung vermuten lassen. Der Arbeitgeber muss dann beweisen, dass kein Verstoß bestand.


Immer wieder nachgefragt wird, wie mit Bewerbungsunterlagen zu verfahren ist und wann diese zu löschen sind.
Personenbezogene Daten eines Bewerbers, der sich auf eine bestimmte ausgeschriebene Stelle bewirbt, dürfen zunächst für den Auswahlprozess herangezogen werden. Dabei dürfen alle Daten verwendet werden, die für die Auswahl des Bewerbers erforderlich sind.
Die Bewerbungsunterlagen dürfen aber, nachdem die Auswahlentscheidung getroffen worden ist, nicht mehr verwendet werden. D. h., diese sind zunächst zu sperren gem. § 14 Abs. 3 KDO, bis die Frist für die Einreichung einer Klage (insbes. einer solcher nach dem Allgemeinen Gleichstellungsgesetz, AGG) von abgelehnten Bewerbern abgelaufen ist. Nach § 15 Abs. 4 AGG sind Ansprüche wegen Diskriminierung innerhalb von zwei Monaten ab Zugang der Ablehnung schriftlich geltend zu machen. Nach § 61b Arbeitsgerichtsgesetz (ArbGG) muss Klage zur Durchsetzung der fristgemäß geltend gemachten Entschädigungsansprüche innerhalb von drei Monaten beim zuständigen Arbeitsgericht erhoben werden. Dementsprechend ist eine Aufbewahrung der Bewerbungsunterlagen spätestens nach sechs Monaten nicht mehr erforderlich.
Bewerbungsunterlagen sind an den Bewerber zurückzusenden, wenn es sich um eine Bewerbung auf eine vom Dienstgeber veranlasste Stellenausschreibung handelt. Handelt es sich um eine „Blindbewerbung“ oder „Initiativbewerbung“, ist eine Rücksendung nicht vorgeschrieben. Die Bewerbungsunterlagen können dann vernichtet werden.
Es dürfte für das Image der Einrichtung deutlich förderlicher sein, die Bewerbungsunterlagen zurück zu senden. Außerdem ist auf diese Weise eine ordnungsgemäße Löschung der Daten sichergestellt.
Bei Online-Bewerbungen sind die Daten einschließlich aller Kopien zu löschen.

Das Bewerbungsanschreiben sowie das Absageschreiben (bzw. dessen Kopie) gelten jedoch als Handelsbriefe i. S. d. § 257 Abs. 1 Nr. 2 u. 3 HGB und unterliegen deshalb einer Aufbewahrungspflicht von sechs Jahren.

Die Aufbewahrung der Bewerbungsunterlagen für eine evtl. später frei werdende Stelle ist ohne die Einwilligung des Bewerbers unzulässig.


Nutzung von Skype verboten

Lädt ein Arbeitgeber Bewerber zu einem Bewerbungsgespräch ein, hat er die dabei für den Bewerber entstehenden Kosten zu tragen. (Dieser Anspruch die der h. M entspricht, wird aus dem Auftragsrecht abgeleitet. §§ 662–670 BGB; BAG 29.6.88 – 5 AZR 433/87, NZA 89, 468)
Ein Dienstgeber hat angefragt, ob er das Bewerbungsgespräch per Skype, also per Ton- und Bildübertragung via Internet führen dürfe, um Kosten zu sparen.
Hierbei werden aber personenbezogene Daten der Bewerber erhoben, die über die Erforderlichkeit hinausgehen, insbesondere Sprach- und Bildaufzeichnungen.
Nach den Nutzungsbedingungen von Skype werden Chat-Protokolle auf den Servern von Microsoft in den USA bis zu 90 Tagen zwischengespeichert. Es findet hierbei also eine Datenübermittlung in ein außereuropäisches Land statt, dessen Datenschutzniveau dem der Europäischen Union nicht vergleichbar ist. Auch aus diesem Grund verbietet die geltende Regelung in der KDG bzw. der noch fortgeltenden KDO Durchführungsverordnung eine Nutzung für dienstliche Zwecke.
Diese Ausführungen lassen sich auch dadurch nicht umgehen, dass der Bewerber um Einwilligung zur Nutzung von Skype gebeten wird. Im Rahmen eines Bewerbungsverfahrens besteht eine Drucksituation für den Bewerber, bei der von einer Freiwilligkeit in diesem Zusammenhang nicht wirklich ausgegangen werden kann. Videointerviews sind demnach rechtswidrig.


In neuerer Zeit verwenden zunehmend mehr Unternehmen biometrische Daten um den Zugang in ihre Einrichtung zu kontrollieren oder um Zeiterfassungssysteme betrugssicher auszugestalten.
Ob Mitarbeiterdaten erhoben werden dürfen, richtet sich nach § 26 BDSG. Hiernach ist relevant, ob die Erfassung der jeweiligen personenbezogenen Daten erforderlich sind zur Durchführung des Beschäftigungsverhältnisses. Zunächst ist sowohl die Zugangskontrolle als auch die Arbeitszeitkontrolle ein legitimes Interesse des Arbeitgebers. Beim Einsatz von technischen Geräten ist aber im Rahmen der Erforderlichkeitsprüfung eine Abwägung der beteiligten Interessen durchzuführen.1 Es ist entscheidend, ob ein solches System selbst bei geringer Eingriffstiefe erforderlich ist und die Arbeitgeberinteressen den Schutz der Persönlichkeitsinteressen des Betroffenen übersteigen. Bei der Verwendung von Fingerabdrücken oder Iriserkennung u. ä. handelt es sich um biometrische Daten i. S. v. Art. 4 Nr. 14 DSGVO. Gem. Art. 9 Abs. 1 ist die Verarbeitung solcher personenbezogener Daten besonderer Kategorie untersagt, wenn nicht eine der in Abs. 2 genannten Ausnahmen eingreift.
Als erste Ausnahme ist das Vorliegen einer Einwilligung zu prüfen. Für die Tragfähigkeit einer solchen Einwilligung ist es erforderlich, dass diese freiwillig abgegeben sein muss. Nach § 26 Abs. 2 BDSG ist dabei insbesondere das im Beschäftigungsverhältnis bestehende Ungleichgewicht zwischen den Vertragspartnern zu berücksichtigen. Wenn dem Beschäftigten keine nachteilsfreie Alternative zur Erfassung seiner biometrischen Daten angeboten wird, ist von einer Drucksituation auf den Beschäftigten auszugehen, der eine Freiwilligkeit ausschließt. 2
Für die Verwendung solcher Daten im Zusammenhang mit der Arbeitszeiterfassung ist einer Erforderlichkeit in keinem Fall zu erkennen.
Für die Erfassung derart sensibler Daten ist die Erforderlichkeit nur dann zu bejahen, wenn es sich um Branchen handelt, bei denen Sicherheitsaspekte eine besonders große Rolle für den Zugang zur Einrichtung oder bestimmten Teilen davon spielen, insbesondere bezogen auf Leib und Leben wie in einem Hochsicherheitslabor oder auf besonders hohe Wertbeträge wie im Tresorbereich.
Wenn der Zweck auch mit Chipkarte oder Passwort erreichbar ist, scheitert die Verwendung biometrischer Zugangssysteme an der Erforderlichkeit.

__________________________________
1,2) 13./14. TB LfD Sachsen-Anhalt S. 104


Ist ein lizenzfreies Nahbereichsfunkverfahren zur kabellosen Sprach- und Datenkommunikation zwischen IT-Geräten. Mit Bluetooth können mobile Endgeräte über eine Funkschnittstelle schnell und einfach miteinander verbunden werden. Dies erspart im privaten, wie im beruflichen Alltag häufig die Verwendung von lästigen Kabeln, z. B. beim Betrieb von Kopfhörern, Lautsprechern oder der Computermaus. Rechner werden per Bluetooth mit dem Drucker verbunden oder Smartphones mit der Freisprechanlage im Auto.

Die Reichweite hängt neben der verwendeten Bluetoothklasse auch von äußeren Bedingungen ab und beträgt bis zu 100 Meter. Trotz der kurzen Reichweite der Bluetoothverbindungen sind diese nicht uneingeschränkt sicher vor dem Zugriff von Dritten. Folgende Sicherheitshinweise sind deshalb zu beachten:

  • Wenn eine Verbindung beendet ist, ist Bluetooth auszuschalten
  • Ein Zusammenschluss zweier Geräte via Bluetooth (Paarung Paring) sollte nur erfolgen, wenn es keine Möglichkeit gibt, unbeobachtet per Bluetooth von außen in diese Verbindung einzudringen.
  • Die Paarung sollte nur mit vertrauenswürdigen Geräten stattfinden.


Ein Botnetz (abgeleitet von Robots o. Bots)ist ein verteiltes Netz mit vielen an das Internet angeschlossenen Computern auf denen Robots laufen. Die Robots eines Botnetzes werden von einer zentralen Stelle aus kontrolliert und aktiviert. Ein Ansatz für Botnetze liegt im Cybercrime, der Internetkriminalität. Bei den Botnetzen geht es darum viele Computer zu bündeln und gemeinsam ein Zielsystem so zu attackieren, dass es seinen Dienst versagt. Für dieses Ziel werden in Botnetzen viele Personal Computer ohne Wissen der Benutzer mit Malware infiziert und vom Botnetz-Betreiber zu einem großen Netzverbund zusammengefügt. Die Kontrolle umfasst den Abruf der Daten der Bots und die Übermittlung neuer Anweisungen. Solche Botnetz-Dienste werden häufig von Cyberkriminellen geordert und können einzelne Rechner, ganze Rechnersysteme, Netzwerke von Unternehmen und ganze Stadtnetze fluten, ohne dass Gegenmaßnahmen ergriffen werden können.

Ein Schutz bei E-Mail Bots ist auch hier wieder das nicht öffnen der Dateianhänge.
Quelle: ITWissen


BYOD benennt die Situation, wenn Mitarbeiter ihre eigenen Endgeräte (Laptops, Tablets, Smartphones o. ä.) für dienstliche Zwecke nutzen, also dienstliche Daten auf privaten Geräten verarbeiten.
Nach der KDO-DVO Kapitel 5 § 20 ist die Nutzung privater Datenverarbeitungssysteme zu dienstlichen Zwecken grundsätzlich unzulässig!
Ausnahmen hiervon sind durch den Dienststellenleiter unter schriftlicher Nennung der Gründe zu genehmigen. Gem. IT-Richtlinie zur Umsetzung der genannten Vorschrift sind diejenigen, die ausnahmsweise private Datenverarbeitungssysteme dienstlich nutzen dürfen, schriftlich auf die IT-Richtlinie zu verpflichten. Weiterhin muss sich der Verwender verpflichten, personenbezogene Daten durch die Dienststelle und auf deren Anforderung löschen zu lassen. Außerdem ist der Dienststelle das Recht einzuräumen, die gespeicherten dienstlichen Daten auch ohne Einwilligung des Nutzers zu löschen. Die Löschungsbefugnis bezieht sich auch auf private Daten, die sich auf dem Endgerät des Nutzers befinden, wenn dies im Zuge der Löschung dienstlicher Daten unumgänglich ist.

Der Beauftragten für den Datenschutz der Evangelischen Kirche Deutschland hat ein Muster einer Dienstvereinbarung über die Nutzung privater Smartphones und Tablets für dienstliche Zwecke veröffentlicht.



siehe Arbeitshilfe:
Cloud


Cookies sind kleine Dateien, die sich beim Besuch einer Internetseite auf dem PC ablegen. Sie helfen den Rechner beziehungsweise Nutzer „wiederzuerkennen": So findet man schnell eine vertraute Internet-Umgebung wieder und muss einmal eingegebene Angaben nicht wiederholen. Damit kann man etwa auf den Seiten eines Online-Shops den Warenkorb füllen und sich anschließend weiterbewegen - ohne die getroffene Vorauswahl zu verlieren. Diese sogenannten „Session Cookies" sind unproblematisch: In der Regel verschwinden sie nach dem Schließen des Browsers.

Andere die sogenannten persistenten Cookies: Sie nisten sich im PC ein und spähen gezielt Daten aus. Sperren Sie deshalb persistente Cookies über die Browsereinstellung.
Quelle: Bundesregierung, „Sicher im Netz unterwegs"

Beschluss der Konferenz der Diözesandatenschutzbeauftragten: Hinweise zur Verwendung von Cookies



Der Button dient der schnelleren Nachbestellung eines bestimmten Produktes von zuhause aus.
Dabei wird eine Bestellung über den Button und der dazugehörigen App an den Versandhandel übermittelt.
Die App ist mit einem eingerichteten Kundenkonto vernetzt. In Deutschland sind diese Geräte aus Wettbewerbsgründen rechtlich umstritten, da der Endverbraucher bei der Bestellung keinen aktuellen Verkaufspreise sehen kann.


Eine Dashcam ist eine Kamera, die hinter der Windschutzscheibe von Autos oder an der Lenkstange von Motorrädern angebracht wird (engl., Begriff aus „dashboard“ Armaturenbrett und „camera“ ). Die Kameras können während der Fahrt die Straße in ihrem Sichtfeld filmen. Sie erfassen andere Autofahrer ebenso wie umstehende Personen, Autokennzeichen u. ä. Hierbei handelt es sich um personenbezogene Daten. Seit einer Entscheidung des Bundesverfassungsgerichts aus dem 1983 (BVerfGE, 65,1 [45]) gibt es keine belanglosen personenbezogenen Daten mehr. Die Feststellung wann sich wer, an welchem Ort aufgehalten hat, ist ein personenbezogenes Datum. Für die Erhebung solcher Daten bedürfte es einer gesetzlichen Grundlage oder der Einwilligung der Betroffenen, da eine Datenverarbeitung ohne Erlaubnis per se unrechtmäßig ist. Zustimmungen der Betroffenen liegen nicht vor und können in der Praxis aufgrund der vielen Personen und der schnellen Fortbewegung auch nicht beschafft werden. Eine gesetzliche Grundlage besteht ebenfalls derzeit nicht. Die permanente anlasslose Überwachung des Straßenverkehrs durch eine im PKW installierte Kamera verstößt gegen §52 Abs. 1 KDG (§ 6b Abs. 1 BDSG) und verletzt die Betroffenen in ihrem Recht auf informationelle Selbstbestimmung. Diese Ansicht wird auch durch den BGH im Verfahren um die Verwertbarkeit von Dashcam-Aufnahmen im Unfallhaftpflichtprozess bestätigt. (BGH, Urt. v. 15.05.2018 VI 7R 233/17)
Der BGH lässt im entschiedenen Fall aber ausdrücklich als rechtswidrig bezeichnete Beweismittel zu. Dies entspricht der Zivilprozessordnung, der ein entsprechendes generelles Beweisverwertungsverbot nicht vorsieht. Auch nach Anordnung des BGH stellen permanente und anlasslose Videoüberwachungen einen Rechtsverstoß dar. Im Ergebnis auch OLG Nürnberg Beschluss vom 10.08.2017 (Az.: 13 U 851/17)


Nach dem Mindestlohngesetz (MiLog) haben Arbeitgeber den festgelegten Mindestlohn an ihre Arbeitnehmer zu bezahlen. Darüber hinaus handelt nach diesem Gesetz ordnungswidrig wer Werk- oder Dienstleistungen in erheblichem Umfang ausführen lässt, indem er als Unternehmer einen anderen Unternehmer beauftragt, von dem er weiß oder fahrlässig nicht weiß, dass dieser bei der
Erfüllung dieses Auftrags
1. entgegen § 20 das dort genannte Arbeitsentgelt nicht oder nicht rechtzeitig zahlt oder
2. einen Nachunternehmer einsetzt oder zulässt, dass ein Nachunternehmer tätig wird, der entgegen § 20 das dort genannte
Arbeitsentgelt nicht oder nicht rechtzeitig zahlt.

Dazu kommt eine verschuldensunabhängige Haftung des Arbeitgebers, als Generalunternehmer für Auftrag nehmende Unternehmen oder Nachunternehmer, wenn diese nicht den Mindestlohn zahlen. Ggf. droht ein Ausschluss von der Vergabe öffentlicher Aufträge. Vor diesem Hintergrund begehren Arbeitgeber immer wieder Einblick in die Personalakten oder Gehaltsabrechnungen der Arbeitnehmer ihrer Subunternehmer. Für eine solche Einsichtnahme besteht aber trotz des Haftungsrisikos des Arbeitgebers keine gesetzliche Grundlage.
Eine solche Einsichtnahme ist auch nicht erforderlich, da dem Arbeitgeber andere Möglichkeiten zur Verfügung stehen, sein Haftungsrisiko auszuschließen (z. B. Vertragsstrafen oder Bürgschaften). Deshalb ist eine Einsichtnahme in die Personalakten oder Gehaltsabrechnungen von Arbeitnehmern der Subunternehmer unzulässig.


Eine Datenschutz-Folgenabschätzung (DSFA) ist für bestimmte, risikobehaftete Verfahren durchzuführen. § 35 Abs. 1 KDG legt grundsätzlich die Fälle fest, bei denen eine DSFA durchgeführt werden muss.

Beschlüsse der Diözesandatenschutzbeauftragten:
Liste von Verarbeitungsvorgängen nach § 35 Abs. 5 KDG, für die eine DSFA durchzuführen ist


Praxishilfe:
Praxishilfe 11: Datenschutz-Folgenabschätzung


Gemäß § 13 Abs. 1 § Telemediengesetz muss ein Diensteanbieter den Nutzer des Telemediums (z.B. den Besucher der Homepage) zu Beginn des Nutzungsvorganges über Art, Umfang, Ort und Zwecke der Erhebung und Verwendung seiner personenbezogenen Daten in allgemein verständlicher Form unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
Analyse-Tools wie Google Analytics oder Piwik dürfen eingesetzt werden, wenn die ermittelten IP-Adressen anonymisiert werden. Hinzu kommt, dass nach Auffassung der Aufsichtsbehörden für den Datenschutz der Einsatz von Google Analytics oder Piwik einen Fall der Auftragsdatenverarbeitung vorliegt, der nach den Vorschriften des BDSG und dem § 29 KDG einen schriftlichen Vertrag zwischen dem Seitenbetreiber und dem des Analyse-Tools zwingend vorsieht. Wer also alles richtig machen will, lädt den von Datenschutzbehörden und Google ausgearbeiteten Vertrag zur Auftragsdatenverarbeitung herunter und geht einen solchen mit Google ein.


Daten sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern es soll mit ihnen sparsam umgegangen werden. Das bedeutet, dass sie zu löschen sind, wenn sie nicht mehr gebraucht werden. Dabei gibt es natürlich für unterschiedliche Datenkategorien unterschiedlich lange Aufbewahrungsfristen.
Im Grundsatz heißt es daher: So kurz wie möglich, so lange wie nötig.

Themen:
Datensparsamkeit im Arbeitsverhältnis



Drohnen sind ferngesteuerte Flugobjekte, die Datenschutzrechtlich relevant werden, wenn sie mit einer Kamera ausgerüstet sind.

Dabei gilt nach der Dohnen-Verordnung:

  • bei Drohnen oder Modellflugzeugen mit einem Gewicht von mehr als 0,25 Kilogramm muss eine Plakette mit Name und Adresse des Besitzers angebracht werden.
  • bei Drohnen oder Modellflugzeugen mit einem Gewicht von mehr als 2,0 Kilogramm muss eine Plakette mit Name und Adresse des Besitzers angebracht werden. Darüber hinaus müssen die Besitzer besondere Kenntnisse nachweisen. Der Nachweis wird entweder nach Prüfung durch eine vom Luftfahrt-Bundesamt anerkannte Stelle erteilt oder bei Modellflugzeugen durch einen Luftsportverband nach einer Einweisung ausgestellt.
  • bei Drohnen oder Modellflugzeugen mit einem Gewicht von mehr als 5,0 Kilogramm benötigt man zusätzlich eine Aufstiegserlaubnis, die von den Landesluftfahrtbehörden erteilt wird.


Drohnen dürfen generell nur in Sichtweite geflogen werden und nicht höher als hundert Meter aufsteigen (Ausnahmegenehmigungen kann die Landesluftfahrtbehörde erteilen, wenn ein entsprechender Befähigungsnachweis vorliegt).

Der Betrieb einer Drohne in und über sensiblen Bereichen wie Einsatzorten von Polizei und Rettungskräften, Menschenansammlungen, Hauptverkehrswegen, An- und Abflugbereichen von Flugplätzen, ist verboten.

Der Betrieb einer Drohne mit einem Gewicht von mehr als 0,25 Kilogramm über Wohngrundstücken ist verboten. Das Gleiche gilt, wenn das Flugobjekt (unabhängig von seinem Gewicht) in der Lage ist, optische, akustische oder Funksignale zu empfangen, zu übertragen oder aufzuzeichnen.

Zu beachten sind ferner die Vorschriften des Urhebergesetzes, wenn mit Hilfe der Drohne Gebäude fotografiert oder gefilmt werden. Grundsätzlich ist das Fotografieren und anschließende Verbreiten der Aufnahmen von Gebäuden und öffentlichen Kunstwerken im Rahmen der sogenannten Panoramafreiheit erlaubt. Dies setzt aber voraus, dass die Aufnahmen von öffentlich zugänglichen Plätzen gemacht worden sind. Dies ist bei Drohnen nicht der Fall. Weiterhin zu beachten ist die Vorschrift des § 22 Kunsturhebergesetz (KUG). Danach dürfen Bildnisse von Personen grundsätzlich nur mit Zustimmung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Außerdem macht sich nach § 201a StGB derjenige strafbar, der Bildnisse von einer Person erstellt, die sich in einer Wohnung oder einem gegen Einblicke besonders geschützten Raum aufhält.

Hier gilt die Aufforderung grundsätzlich niemanden ohne dessen Einwilligung zu filmen und die Privatsphäre Dritter zu respektieren. Vor einer Veröffentlichung der Aufnahmen sollten diese stets genau darauf untersucht werden, ob Rechte Dritter durch die Aufnahmen beeinträchtigt werden.

siehe auch unter Themen-> Drohnenverordnung


Siehe F -> Fotokopiergeräte



Die Nutzung von ausländischen E-Mail-Konten führt zu einer Übertragung personenbezogener Daten an eine Stelle außerhalb des Geltungsbereiches des BDSG. Eine solche Übertragung ist nach der KDO-DVO unzulässig.

Hinzu kommt, dass die unverschlüsselte Übertragung personenbezogener Daten über das Medium E-Mail einen Bruch der Vertraulichkeit darstellt, gegen § 5 Abs. 2 Nr. 1 BDSG verstößt und möglicherweise sogar als Verletzung des Amtsgeheimnisses strafbar ist (§ 203 Abs. 2 StGB). Die datenverarbeitenden Stellen haben Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind zu gewährleisten, dass diese Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Eine solche Maßnahme ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die Verschlüsselung zur Gewährleistung der Vertraulichkeit, Integrität und Authentizität von E-Mails, die nicht offenkundige Daten enthalten.
Werden E-Mails zur Übermittlung personenbezogener Daten genutzt, so sind diese grundsätzlich zu verschlüsseln.

Folgende E-Mail-Anbieter sind für die dienstliche Nutzung nicht zugelassen: one.com, SIMBmail, SPL.at, Luxweb,1email.eu, Yadex, Yahoo! Mail, mail.ru, AOL, Gmail, Hotmail, Outlook.com, Rediff, Lycos, Slucia, X-Mail, k.street, TechEMail, Hushmail, canineworld.com, Sify, Softhome

Folgende E-Mail-Anbieter sind für dienstliche Nutzung zugelassen: GMX, T-Online, Compu-Freemail, Web.de, mcFree, freenet, freemail-24.com


siehe unter W->Werbung


siehe unter F-> Framing


Die Einwilligung gem. § 3 Abs. 2 KDO, § 4a BDSG

Im deutschen Datenschutzrecht gilt der Grundsatz, des Verbots mit Erlaubnisvorbehalt. Das heißt, Datenerhebungen, -nutzungen und -verarbeitungen sind rechtswidrig, wenn nicht ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt, oder der Betroffene eingewilligt hat .
Soweit eine Verwendung der personenbezogenen Daten nicht bereits durch eine gesetzliche Vorschrift gem. § 4 BDSG erlaubt ist, kann die Legitimation dazu durch die Einwilligung gem. § 4a BDSG erfolgen. Die Einwilligung ist die vorher erklärte Zustimmung gem. § 183 BGB. Die Erhebung und Verwendung personenbezogener Daten, die gesetzlich ausdrücklich verboten ist, kann dabei aber durch eine Einwilligung nicht legitimiert werden (§134 BGB) Bei der Einwilligung kommt es auf die Geschäftsfähigkeit nicht an, sondern ausschließlich darauf, ob der Betroffene die Konsequenzen seines Handelns übersehen konnte. Damit kann eine wirksame Einwilligungserklärung grundsätzlich auch von Minderjährigen abgegeben werden, wenn und soweit eine Einsichtsfähigkeit besteht . Eine Stellvertretung scheidet aufgrund des höchstpersönlichen Charakters der Einwilligung aus. Im Gegensatz zur Genehmigung hat die Einwilligung vor der Verwendung zu erfolgen. Eine spätere Legitimation ist nicht möglich, schließt aber ggf. die Geltendmachung von Schadenersatzansprüchen aus. Gem. § 4a Abs.1 S. 3 BDSG hat die Einwilligung grundsätzlich schriftlich zu erfolgen. Gem. § 126 BGB ist dafür die eigenhändige Unterschrift erforderlich. Zwar entsprechen Fax und E-Mail der Textform des § 126b BGB, diese ist der Schriftform jedoch nicht gleichgestellt und in § 4a Abs. 1 S. 3 nicht erwähnt, so dass diese Form nicht ausreichend ist. Die Einwilligung muss erkennen lassen, welche Daten zu welchem Zweck vom wem verwendet werden sollen. Pauschale Einwilligungen, die dies nicht erkennen lassen, sind unzulässig. Der Betroffene kann in einem Fall pauschaler Zustimmung zur Verwendung persönlicher Daten nicht den Zweck der Verwendung erkennen. Damit fehlt ihm die Beurteilungsgrundlage für eine Einwilligung. Widerruf der Einwilligung. Eine einmal erteilte Einwilligung kann unter denselben Bedingungen, wie sie erteilt wurde auch widerrufen werden. Es ist mithin eine höchstpersönliche schriftliche oder in elektronischer Form abzugebende Erklärung erforderlich. Einigkeit besteht auch darin, dass der Widerruf der Einwilligungserklärung nur mit Wirkung für die Zukunft ausgesprochen werden kann. Ab dem Zeitpunkt des Widerrufszuganges ist die weitere Verwendung der Daten für die erhebende Stelle unzulässig. Diese wird durch den Widerruf verpflichtet, die Daten gem. §§ 20 Abs. 2 Nr. 1, 35 Abs. 2 Nr. 1 zu löschen. Unstreitig ist auch, dass eine Einwilligung befristet erteilt werden kann. Dies ergibt sich bereits aus der Freiwilligkeit einer Einwilligung und der Möglichkeit von deren Widerruf. Eine einmal erteilte zeitlich nicht beschränkte Einwilligung bedeutet im Grundsatz nicht, dass sie unwiderruflich erteilt worden wäre. Allerdings deutet ein Umkehrschluss aus § 28 Abs. 3a S. 1 a. E. darauf hin, dass eine einmal erteilte Einwilligung nicht generell jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Es ist ”...im Rahmen der Rücksichtnahme auf die Interessen der anderen Seite § 241 II BGB eine Abwägung im Einzelfall vorzunehmen. Einwilligung im Arbeitsverhältnis Die Einwilligung muss freiwillig erfolgen. Im Rahmen des Arbeitsverhältnisses wurde dieser Erlaubnistatbestand immer wieder in Frage gestellt. Der BGH hat dazu in einer Frage, die nicht ein Arbeitsverhältnis betraf festgestellt, dass es an der Möglichkeit zur freien Entscheidung fehlen kann, wenn die Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt wird. Simitis hält die Einwilligung im Rahmen eines Abhängigkeitsverhältnisses für problematisch und in der Regel für unzulässig. Dies gelte auch dann schon, wenn sich die Beteiligten nicht auf Augenhöhe begegnen können, also faktisch ein Machtungleichgewicht bestehe. Während nach der Gesetzesbegründung zu § 32 BDSG eine Datenerhebung oder -verwendung auf der Grundlage einer freiwillig erteilten Einwilligung des Arbeitnehmers durch § 32 nicht ausgeschlossen sein soll, ist in dem Gesetzesentwurf der Bundesregierung zum Beschäftigtenschutzgesetz vom 15.12.1010 vorgesehen, dass die Einwilligung in Beschäftigtenverhältnissen keine Erlaubnis für die Verarbeitung von Beschäftigtendaten mehr begründen könne, es sei denn, diese sei in den Vorschriften des Entwurfs ausdrücklich vorgesehen. Ebenfalls ablehnend zur Einwilligungslösung im Rahmen des Arbeitsverhältnisses sprach sich Erwägungsgrund 34 der EU-DSGVO-E aus, der festlegte, dass die Einwilligung keine Verarbeitung personenbezogener Daten gestatte, wenn zwischen den Parteien ein klares Ungleichgewicht bestehe wie es in einem Abhängigkeitsverhältnis üblich sei. Die Unterstellung eine Einwilligung sei stets unfreiwillig, sofern sie im Rahmen eines Abhängigkeitsverhältnisses abgegeben worden sei, kann in dieser Pauschalität nicht gelten. Auch in einem solchen Verhältnis können sich Arbeitnehmer grundsätzlich frei entscheiden, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. ”...Mit der Eingehung des Arbeitsverhältnisses und der Eingliederung in den Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. ”¦ Eine Nebenpflicht aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten -soweit erforderlich- zuzustimmen besteht nicht. Denn aus dem Recht auf informationelle Selbstbestimmung erwächst die Befugnis des einzelnen selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Auch die Freiheit persönliche Daten zu offenbaren ist damit grundgesetzlich geschützt. Durch diese Entscheidung des BAG dürfte der geführte Meinungsstreit zunächst weitgehend entschieden sein. Gleichwohl sind an eine Einwilligung im Rahmen eines Arbeitsverhältnisses besonders hohe Anforderungen zu stellen, wenn geprüft wird, ob eine Freiwilligkeit im konkreten Fall vorliegt. Von einer freien Willensbildung dürfte insbesondere in einer Bewerbungssituation nicht auszugehen sein. Die soziale und wirtschaftliche Abhängigkeit des Bewerbers gegenüber seinem potentiell neuen Arbeitgeber wird den Bewerber regelmäßig veranlassen dem Arbeitgeber die Nutzung seiner Daten auch für andere als die gesetzlich erlaubten Zwecke zu gestatten. Eine Einwilligung ist jedoch dort zuzulassen, wo mit guten Gründen von ihrer Freiwilligkeit ausgegangen werden kann, etwa im bestehenden Beschäftigungsverhältnis, wenn der Beschäftigte ausreichend informiert wurde und genügend Bedenkzeit hatte auch um fachkundigen Rat einzuholen. Thüsing schlägt die Einführung eines neuen § 4a Abs. 2 vor, nach dem die Einwilligung zulässig ist, wenn das Ungleichgewicht im Beschäftigungsverhältnis keinen Einfluss auf die Erklärung hat, was der Fall ist, wenn: - die Einwilligung erst erteilt wird, wenn sich die Parteien verbindlich auf die Begründung eines Beschäftigungsverhältnisses geeinigt haben, - den AN ausreichend Zeit zur Entscheidung gegeben wird, min. drei Tage, - der Beschäftigte die Möglichkeit hat, Rücksprache mit Dritten zu halten, - der Beschäftigte auf diese Möglichkeit hingewiesen wurde. Auch ohne das Bestehen einer derartigen gesetzlichen Regelung erscheint es sinnvoll, die Wirksamkeit einer Einwilligung an diesen Kriterien zu orientieren. Bei Weitergabe von Sozialgeheimnissen. Grundsätzlich wird das Recht auf informationelle Selbstbestimmung bei Vorliegen einer Einwilligung nicht in unzulässiger Weise eingeschränkt. Jedoch sind Sozialgeheimnisse gem. § 67d SGB X besonders geschützt. Nach dieseer Vorschrift ist eine Übermittlung nur gem. der §§ 68 bis 77 SGB X oder einer anderen Rechtsvorschrift des SGB zulässig. In diesen Vorschriften ist von Einwilligung nicht die Rede. Öffentliche Stellen sind nicht befugt, vom Gesetzgeber geschaffene Datenübermittlungsvorschriften beliebig durch Einholung von Einwilligungen zu erweitern, da diese Stellen nicht befugt sind, mehr oder andere Daten als gesetzlich festgelegt, zu verarbeiten. (Simitis § 4a Rn 15)


Es besteht die Möglichkeit von seinem Telekommunikationsanbieter einen Nachweis über die Einzelverbindungen zu erhalten. Aus diesem Nachweis gehen die Telefonnummern hervor die angerufen worden sind und ggf. deren Länge und Kosten. Solche Einzelverbindungsnachweise können sinnvoll sein, wenn ein Anschluss von mehreren Nutzern benutzt wird und die Kosten umgelegt werden sollen, oder wenn den Mitarbeitern die Kosten für private Telefonate in Rechnung gestellt werden sollen.
Die Nutzer dieses Anschlusses müssen vorher darüber informiert werden, dass diese Telefondaten erfasst und vom Anschlussinhaber ausgewertet werden. Ist eine Mitarbeitervertretung vorhanden, ist auch diese zuvor zu beteiligen.
Erfolgt die Abrechnung durch den Telekommunikationsanbieter nicht auf der Grundlage von Anzahl und Dauer der geführten Telefonate, sondern pauschal über eine Flatrate besteht für die Anforderung eines Einzelverbindungsnachweises keine Notwendigkeit. Damit ist eine diesbezügliche Datenerhebung nicht erforderlich und deshalb unzulässig.

Wenn Einzelverbindungsnachweise rechtmäßig angefordert worden sind, dürfen diese nur solange auf bewahrt werden, wie dies zur Zweckerreichung erforderlich ist. Also bis die Abrechnung geprüft ist oder die Kosten umgelegt wurden. Danach sind die Belege ordnungsgemäß zu vernichten. Aus steuerlichen Gründen müssen die Einzelverbindungsnachweise nicht aufbewahrt werden. Dafür reichen die Rechnungen!


Elektronische Türöffnungssysteme

Bei diesen Systemen erhält der Mitarbeiter einen elektronisch gekennzeichneten Schlüssel, meist in Form eines Transponders, der ihn berechtigt, bestimmte Räume zu betreten. Ebenso wie bei einem Schließplan für herkömmliche Schlüssel wird festgelegt, welche Räume betreten werden dürfen.
Sofern die übergebenen elektronischen Schlüssel „Gruppenschlüssel“ sind, bei denen eine Individualisierung nicht möglich ist, kann eine Aufzeichnung der Bewegungen einzelner bestimmter Mitarbeiter nicht erfolgen. Ebenso kann ein Bewegungsprofil nicht erstellt werden, wenn die Öffnungssysteme die verwendeten elektronischen Schlüssel nicht speichern, sondern nur für den Moment der Öffnung lesen und die Berechtigung prüfen.
Werden aber personenbezogene elektronische Schlüssel verwendet und von dem Öffnungssystem aufgezeichnet, ist für eine derartige Verarbeitung von Mitarbeiterdaten eine gesetzliche Grundlage oder eine Einwilligung des Mitarbeiters erforderlich.
Das Erheben personenbezogener Daten ist gem. § 9 KDO zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgabe der verantwortlichen Stelle erforderlich ist. Eine solche Erforderlichkeit besteht regelmäßig nicht. Eine Einwilligung des Mitarbeiters müsste freiwillig, informiert und schriftlich erteilt werden. Im Rahmen eines bestehenden Dienstverhältnisses ist stets fraglich, wie freiwillig die Einwilligung des Mitarbeiters ist. Aufgrund des Abhängigkeitsverhältnisses und eines zumindest häufig gefühlten Gruppendrucks bestehen hier Bedenken. Die Installation elektronischer Türöffnungssysteme mit Aufzeichnung der Mitarbeiterdaten wird in der Regel unzulässig sein.
Sollte ausnahmsweise eine Notwendigkeit bestehen, ist die Einrichtung eines solchen Systems mitbestimmungspflichtig, da die Aufzeichnungen geeignet sind, Mitarbeiter zu überwachen.


siehe unter F-> Framing


Die Übermittlung personenbezogener Daten per E-Mail stellt einen Verstoß gegen geltende Datenschutzbestimmungen dar, § 6 KDO, Anlagen zu § 6 KDO.
Dies gilt in jedem Fall.
Auch wenn eine betroffene Person selber per E-Mail eine Auskunft abfordert, ist darin keine Einwilligung zur Übersendung von personenbezogenen Daten per unverschlüsselter E-Mail zu sehen. Das gilt selbst dann, wenn die betroffene Person ihrerseits in ihrer Anfrage personenbezogene Daten von sich übersendet.
Die verantwortliche Stelle bleibt vielmehr auch in einem solchen Fall verpflichtet, die datenschutzrechtlichen Reglungen einzuhalten. Dem Inhaber der personenbezogenen Daten steht es frei, diese preiszugeben. Dadurch werden sie aber nicht zu öffentlichen Daten. Der Schutz der Privatsphäre darf deshalb nicht von Dritten durch eine weitere Verbreitung zusätzlich gefährdet werden.

Themen:
Einwilligung in unverschlüsselten E-Mail Versand



Facebook-Auftritt des Arbeitgebers - Mitbestimmung der Mitarbeitervertretung
„Ermöglicht der Arbeitgeber auf seiner Facebook-Seite für andere Facebook-Nutzer die Veröffentlichung von sogenannten Besucher-Beiträgen (Postings), die sich nach ihrem Inhalt auf das Verhalten oder die Leistung einzelner Beschäftigter beziehen, unterliegt die Ausgestaltung dieser Funktion der Mitbestimmung des Betriebsrats.“

BAG Pressemitteilung 64/16
Gleiches gilt aufgrund der Regelung des § 36 Abs. 6 Mitarbeitervertretungsordnung (MAVO) für die Mitarbeitervertretungen im kirchlichen Arbeitsrecht.

Themen:
Auswertung von Facebook Profilen von Versicherer


Beschlüsse der Konferenz der Diözesandatenschutzbeauftragten:
Facebook Fanpage

Beschlüsse der Konferenz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder:
Beschluss der DSK zu Facebook Fanpages
Pressemitteilung des Bundesverwaltungsgerichts:
Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen


Nach § 8 Abs. 4 KDO (§ 11 Abs. 5 BDSG) gelten die Vorschriften über die Auftragsdatenverarbeitung entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder der Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
„Wartung“ ist definiert als die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören auch die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware.
Durch das gesetzlich festgeschriebene Kriterium „anderer Stelle“ wird deutlich, dass Prüfungs- oder Wartungsvorgänge hausinterner IT-Verantwortlicher nicht unter Fernwartung fallen.
Der Zugriff auf personenbezogene Daten ist nur dann ausgeschlossen, wenn ein solcher Zugriff technisch unmöglich ist.

Nach § 8 Abs. 2 KDO ist im schriftlichen Vertrag mit der Fremdfirma insbesondere festzulegen:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 6 KDO zu treffenden technischen und organisatorischen Datenschutz- und Datensicherungs-Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber hat die Pflicht, die Weisungen schriftlich und möglichst genau festzulegen. Insbesondere ist eine Beschränkung des Zugriffs festzulegen. Umfang und Art der Wartung (Hard- und System- oder Anwender-Software) sind zu definieren.
Der Auftragnehmer ist verpflichtet, ausschließlich im Rahmen der Weisungen zu handeln.
Der Kreis der Wartungsberechtigten ist zu definieren und auf Geheimhaltung zu verpflichten.
Der Auftragnehmer darf auf die Daten nur unter Aufsicht des Auftraggebers zugreifen (D. h. der Auftraggeber verfolgt am Bildschirm direkt das Handeln des Auftragnehmers.).
Der Auftraggeber muss die Möglichkeit haben, den Zugriff jederzeit abzubrechen. Der Verbindungsaufbau muss in jedem Fall vom Auftraggeber ausgehen. Die Tätigkeit des Auftragnehmers ist vom Auftraggeber zu kontrollieren.
Nach Abschluss der Wartungs-/Prüfungsaufgaben ist die Verbindung wieder zu deaktivieren. Zugriffspasswörter sind für jeden Zugriff neu zu definieren.

Formulierungshilfen zum KDG:
Fernwartungsverträge


Alte Kopiergeräte haben das Kopiergut praktisch abfotografiert und gedruckt.

Neue Geräte sind häufig Multifunktionsgeräte. Auf ihnen werden Faxe gesendet und empfangen, sie werden für das Scannen von Dokumenten benutzt und können als Drucker auch für ganze Abteilungen verwendet werden. Diese Geräte verfügen neben einem Arbeitsspeicher über eine Festplatte auf der die zuvor beim scannen, kopieren oder drucken gespeicherten Daten selbst dann verbleiben, wenn der Netzstrom zwischendurch abgeschaltet wurde. Aus diesem Grund sind die in den Kopierern enthaltenen Festplatten vor eine Ausmusterung des Gerätes datenschutzgerecht zu löschen.

Für derartige Multifunktionsgeräte müssen dieselben Sicherheitsstandards gelten, wie für Arbeitsplatzcomputer (APC). d. h. es muss gewährleistet sein, dass nur Berechtigte einen Kopierer benutzen. Dies ist durch Eingabe eines Benutzercodes sicherzustellen. Dieser Benutzercode ist nach dem erledigten Kopiervorgang zurückzusetzen.

Die Multifunktionsgeräte sind so einzustellen, dass ein Druckauftrag nur dann ausgeführt wird, wenn der Auftraggeber an dem Gerät steht und die gedruckten Seiten sofort in Empfang nehmen kann. Auch dies ist durch Vergabe eines persönlichen Codes sicherzustellen.

Fehlkopien oder Fehldrucke sind vom Kopierer zu entfernen und in einem Schredder oder der Box eines zertifizierten Aktenentsorgungsunternehmens zu entsorgen.



Beim Einbetten, das auch Framing/Embedding heißt, werden Videos, Fotos oder Textnachrichten in eine Webseite eingebettet. Sie können dann auf der Seite direkt angesehen werden. Der eigentliche Inhalt stammt aber weiter von der Webseite, auf der diese Inhalte hochgeladen wurden z. B. You Tube. Wird er dort gelöscht, verschwindet er auch auf den anderen Websites. Nach der Rechtsprechung des BGH und des EuGH gelten für das Framing/Embedding die gleichen Grundsätze wie für die Verlinkung (siehe dort). So gelten für Betreiber die ihre Website im weitesten Sinne in Gewinnerzielungsabsicht betreiben besondere Sorgfaltspflichten. Diese müssen prüfen, ob die eingebetteten Videos urheberrechtskonform auf der Quellseite eingestellt worden sind.




In Einrichtungen werden häufig Geburtstagslisten geführt. Die Art der Listen ist dabei unterschiedlich. Teilweise sind diese in einen öffentlich zugänglichen Outlookkalender eingetragen, teilweise finden sich Eintragungen in einem Kalender in der Teeküche. Eines ist all diesen Auflistungen gemeinsam: Geburtstage in Verbindung mit einem Namen sind personenbezogene Daten. Die Erhebung Verarbeitung oder Nutzung solcher Daten ist nur erlaubt, wenn eine Rechtsvorschrift dies zulässt oder anordnet oder wenn der Betroffene eingewilligt hat. Da es keine Rechtsvorschrift gibt, die die Veröffentlichung einer solchen Liste zulässt, ist eine Veröffentlichung nur zulässig, wenn der Betroffene eingewilligt hat. An die Einwilligung werden in den Tätigkeitsberichten der Landesdatenschutzbeauftragten unterschiedliche Anforderungen gestellt. Während der Bayrische Landesdatenschutzbeauftragte für den nicht öffentlichen Bereich eine Widerspruchsmöglichkeit genügen lässt, fordert der Thüringische Landesbeauftragte eine formelle Einwilligung (2. TB (2014/2015) S. 270). Vor dem Hintergrund des datenschutzrechtlichen Grundsatzes, dass alles verboten ist, was nicht erlaubt ist, ist der Auffassung des thüringischen Landesbeauftragten der Vorzug zu geben. Die Zulässigkeit für die Datenverarbeitung im Arbeitsverhältnis regelt § 53 KDG (§ 26 BDSG). Danach dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Erforderlichkeit ist nur dann gegeben, wenn die Aufgabe, in diesem Fall also die ordnungsgemäße Durchführung des Arbeitsverhältnisses anders nicht erfüllt werden kann. (Frenzel in Paal/Pauly Art. 6 Rn. 9) Das trifft offenkundig auf die Veröffentlichung von Geburtstagen nicht zu. Eine Veröffentlichung von Geburtstagen kann jedoch auf der Grundlage einer Einwilligung erfolgen. Ob eine wirksame Einwilligung im Arbeitsverhältnisses aufgrund des dort bestehenden Über-/Unterordnungsverhältnisses möglich ist, war lange Zeit umstritten. Jedoch schafft die neue gesetzliche Regelung des § 26 Abs. 2 BDSG nunmehr Klarheit, da dort die Möglichkeit einer Einwilligung ausdrücklich geregelt ist. Obwohl eine solche Vorschrift im KDG fehlt, ist wegen der Grundsätzlichkeit eine solche Möglichkeit auch für das KDG anzunehmen. Dabei sind im Hinblick an die Freiwilligkeit der Einwilligung aber besondere Anforderungen zu stellen. Nach dem Gesetzgeber des BDSG soll eine solche aber immer dann anzunehmen sein, wenn mit der Einwilligung gleichgerichtete Interessen verfolgt werden. Dies ist im vorliegenden Fall anzunehmen, da mit der Einwilligung das betriebliche Miteinander zwischen Arbeitgeber und Arbeitnehmer gestärkt werden soll. (BT-Drs. 18/11325, S. 97)



Die Einrichtung eines elektronischen Gruppenkalenders, in den die Mitarbeiter ihre Arbeitszeiten bzw. ihre An-/Abwesenheitszeiten eintragen müssen, unterfällt der Mitbestimmung nach § 36 Abs. 1 Nr. 9 MAVO (§ 87 Abs. 1 Nr. 6 BetrVG). Eine Anweisung des Dienstgebers zur Nutzung eines solchen Gruppenkalenders ohne die vorherige Beteiligung der Mitarbeitervertretung (des Betriebsrates) ist unwirksam. Der Gruppenkalender stellt eine technische Einrichtung i.S. der genannten Vorschriften dar. Er ist darüber hinaus zur Überwachung der Dienstnehmer bestimmt. Eine Überwachung ist ein Vorgang, durch den Informationen über das Verhalten oder die Leistung des Dienstnehmers erhoben und aufgezeichnet werden, um sie einer späteren Wahrnehmung zugänglich zu machen. „Bestimmt“ sind die technischen Einrichtungen dann zur Überwachung, wenn sie objektiv geeignet sind, Verhaltens- und Leistungsinformationen der Dienstnehmer zu erheben und aufzuzeichnen. Auf die subjektive Überwachungsabsicht durch den Dienstgeber kommt es nicht an.




Ohne konkrete Anhaltspunkte für eine bereits begangene oder bevorstehende Urheberrechtsverletzung ist der Inhaber eines Internetanschlusses grundsätzlich nicht verpflichtet, volljährige Mitglieder seiner Wohngemeinschaft oder seine volljährigen Besucher und Gäste, denen er das Passwort für seinen Internetanschluss zur Verfügung stellt, über die Rechtswidrigkeit einer Teilnahme an Tauschbörsen aufzuklären und ihnen die rechtswidrige Nutzung entsprechender Programme zu untersagen.
Es besteht aber eine sekundäre Darlegungslast des Anschlussinhabers. Er hat vorzutragen, ob und ggf. welche anderen Personen Zugang zu seinem Internetanschluss hatten und als Täter einer Rechteverletzung in Betracht kommen. Er ist dabei im Rahmen des Zumutbaren auch zu Nachforschungen verpflichtet. Kommt er dieser Darlegungslast nicht nach, haftet er als Täter. (BGH, Urteil vom 12.05.2016 – I ZR 86/15; CR 2017, 181)

Nunmehr hat der EUGH in seinem Urteil Az: C-149/17 entschieden, dass eine Abwägung zwischen dem Recht des geistigen Eigentums und dem Recht auf Achtung des Privat- und Familienlebens stattfinden muss. Damit reicht es nicht aus, dass eine Person, der ein verbotenes Filesharing vorgeworfen wird sich mit der Behauptung schützt, sein Internetanschluss werde auch von anderen Familienmitgliedern genutzt, deren Identität er wegen des grundgesetzlichen Schutzes der Familie nicht bekannt geben müsse. Nach Ansicht der Richter des EUGH führte ein solcher absoluter Schutz zur Beeinträchtigung des Grundrechts auf geistiges Eigentum.


Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet werden. Hoaxes enthalten Text, der in die Irre führen soll. Wie eine Zeitungsente oder ein Aprilscherz richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmens- und Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten. Die Verteilung erfolgt über E-Mails oder auch über Instant-Messaging oder über Kurznachrichtendienste (SMS).

Quelle: ITWissen


https – Hypertext Transfer Protokoll secure

Internetadressen beginnen meistens mit “www“. Beim genaueren Hinschauen fällt aber auf, dass dort “http“ oder “https“ in der Adresszeile noch davor steht. Diese Abkürzungen stehen für “Hypertext Transfer Protocol“ (http) oder “Hypertext Transfer Protocol Secure“ (https).
Die Protokolle gehören zur Internetprotokoll-Familie und dienen der Übertragung der Daten auf der Anwenderschicht, um Websites aus dem Internet in den Browser zu laden. Die Protokolle helfen somit bei der Kommunikation zwischen dem Webserver (Website) und dem Anwenderrechner (Browser). Bei einer https – Verbindung werden die Daten verschlüsselt übertragen (Transportverschlüsselung). Somit werden Vertraulichkeit und Integrität (Korrektheit der Daten) bei der Datenübertragung erreicht.
Dieser Vorgang läuft wie folgt ab: Bei Kommunikationsstart findet eine geschützte Identifikation und Authentifizierung der Kommunikationspartner statt. Dann wird ein gemeinsamer symmetrischer Schlüssel ausgetauscht, welcher dann für die Nutzdaten verwendet wird.
Der Klartext, welcher vom Webserver gesendet wird, wird mittels eines Schlüssels in einem Geheimtext verschlüsselt, der wiederum mit diesem Schlüssel vom Anwenderbrowser entschlüsselt werden kann.

Vorteile:
• Die Daten werden nicht mehr im Klartext (unverschlüsselt) übertragen
• Mann-in-the-Middle-Angriffe werden schwieriger
(Erklärung Mann-in-the-Middle-Angriff: Angreifer steht sozusagen zwischen dem Webserver und dem Anwenderbrowser und kann dabei den Datenverkehr überwachen.
Der Angreifer täuscht dem Anwender vor der Webserver zu sein und umgekehrt.)
• Die Sicherheit der Daten im WLAN wird erhöht
• Pishing (Abfangen von Daten) wird erschwert



Geregelt in § 5 Telemediengesetz (TMG) unter der Überschrift „Allgemeine Informationspflichten“
Von natürlichen Personen müssen Vor- und Zuname, und die vollständige Postanschrift (Straße, Hausnummer, Postleitzahl, Ort) angegeben werden. Nicht ausreichend ist die Angabe eines Postfachs oder nur einer Email-Adresse. Personengesellschaften und juristische Personen müssen die Firmenbezeichnung im handelsrechtlichen Sinn einschließlich des Rechtsformzusatzes und den Namen des Vertretungsberechtigten neben dem vollständigen Namen und der Anschrift angeben. Als Anschrift ist dabei der Sitz der Gesellschaft zu nennen. Vertretungsberechtigt sind Personen, die rechtlich verbindlich für die Gesellschaft handeln können. Die Informationen müssen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Leichte Auffindbarkeit Die Informationen nach § 6 TMG müssen an gut wahrnehmbarer Stelle, ohne langes Suchen und jederzeit in der Sprache der Webseite auffindbar sein. Weiterhin müssen sie ohne spezielle Hilfsprogramme oder Einstellungen des Rechners (kein JavaScript-Popup) lesbar sein. Leicht erkennbar sind die Informationen, wenn die Möglichkeit einer einfachen und effektiven optischen Wahrnehmung besteht . Als Bezeichnungen haben sich „Impressum“ und „Kontakt“ eingebürgert Unmittelbare Erreichbarkeit ist eine Zugangsmöglichkeit ohne wesentliche Zwischenschritte. Der Aufwand für den Nutzer, der sich durch vier Bildschirmseiten scrollen muss um den einschlägigen Link „Impressum“ zu erreichen, dessen Platzierung am unteren Bildschirmrand zunächst nur vermutet werden kann, ist zu groß. Dabei kommt es nicht darauf an, ob der informierte und verständige Nutzer mit dem Scrollen als gängiger leicht zu bedienender Technik an sich vertraut ist . Viermal klicken ist ebenfalls ein Verstoß gegen die Impressumspflicht Nach Auffassung des OLG Hamburg müssen die Informationen auch bei einer Bildschirmauflösung von 800 x 600 Pixel für den Nutzer ohne vorhergehendes scrollen erreichbar sein. Diese Ansicht wird aber in der Literatur überwiegend als überzogen abgelehnt. Angaben in den AGB reichen nicht aus Ständig verfügbar Solange die Seite online ist, muss auch der Link zum Impressum funktionieren. Ein Fehler wäre es das Impressum nur auf der Startseite zu verlinken. Das Impressum sollte von jeder einzelnen Unterseite aus besucht werden können.



Bei Alters- und Ehejubiläen, Geburten, Sterbefällen, Ordens- und Priesterjubiläen können Namen der Betroffenen und ggf. deren Wohnort (nicht die Straße) sowie der Tag und die Art des Ereignisses in den Publikationsorganen der Pfarreien (Pfarrnachrichten) sowie in den kircheneigenen Printmedien veröffentlicht werden, wenn die Betroffenen der Veröffentlichung nicht schriftlich oder in sonstiger geeigneter Form bei der zuständigen Pfarrei widersprochen haben. Auf das Widerspruchsrecht ist mindestens einmal jährlich in den Publikationsorganen der Pfarreien bzw. in den kircheneigenen Printmedien hinzuweisen. Der Hinweis ist im äußeren Erscheinungsbild von dem Rest des Textes der Veröffentlichung hervorzuheben. Ein bei der Pfarrei eingereichter Widerspruch ist unverzüglich der Meldestelle des Bistums mitzuteilen. Altersjubiläen im Sinne des Satzes 1 sind der 70. Geburtstag, jeder fünfte weitere Geburtstag und ab dem 90. Geburtstag jeder folgende Geburtstag; Ehejubiläen sind das 25., 50. und jedes weitere 5. Ehejubiläum. Soll eine weitere über die genannten Medien hinausgehende Veröffentlichung, insbesondere eine solche im Internet erfolgen, ist die vorherige Zustimmung der Betroffenen einzuholen. Die Meldestelle des Bistums ist berechtigt auf Anfrage einer der genannten Stellen die entsprechenden Daten zu übermitteln. Die Pfarreien sind berechtigt, die entsprechenden Daten an ein kircheneigenes Printmedium zu übermitteln. Die Daten dürfen ausschließlich zu dem Zweck der Veröffentlichung in den genannten Medien verwendet werden.



Ist eine Hard- oder Software, die dazu verwendet wird, sämtliche Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Durch die Tastatureingabe werden auch hochsensible Daten wie Passwörter, PIN´s und Benutzernamen erfasst und gespeichert. Die heimliche oder ohne Zustimmung des Arbeitnehmers vorgenommene Installation eines Keyloggers durch den Arbeitgeber auf dem Rechner eines Arbeitnehmers ist ein massiver Eingriff in das Grundrecht auf informationelle Selbstbestimmung. Die durch eine solche Installation gewonnenen Erkenntnisse unterliegen in einem Kündigungsrechtsstreit einem Beweisverwertungsgebot.

(LAG Hamm, Urteil vom 17.06.2016 - 16 Sa 1711/15; CR 2017, 99)


siehe Arbeitsunfähigkeitsbescheinigung!



siehe unter P -> Pläne



Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig ist oder wenn die Daten nicht mehr erforderlich sind.



Die Kirchen erhalten auf der Grundlage des Bundesmeldegesetzes (BMG) von den staatlichen Meldebehörden die für die Erstellung des Gemeindemitgliederverzeichnisses notwendigen Daten. Welche Daten im Einzelnen übermittelt werden dürfen regelt § 42 Abs. 1 BMG. Auch Daten von den nicht katholischen Angehörigen darf die Meldebehörde den Kirchen übermitteln. Die übergebenen Meldedaten dürfen ausdrücklich nicht für arbeitsrechtliche Zwecke verwendet werden. Auch darüber hinaus dürfen die Daten aus dem Gemeindemitgliederverzeichnis ausschließlich für kirchliche Zwecke, also für in die Zuständigkeit der Gemeinde fallende Aufgaben verwendet werden. Dazu zählen u. a. Hinweis auf die stattfindenden Firmungen und Erstkommunion einschließlich der Vorbereitungskurse, Hinweis auf bestimmte Angebote der Pfarrei für Jugendliche, Senioren und andere Gruppen, Erstellung des Wählerverzeichnisses für die Gremienwahlen u.ä. Auf keinen Fall dürfen die Daten für kommerzielle Gründe weitergegeben werden (z. B. Weitergabe an eine Bank die 10 € Gutscheine an Erstkommunionkinder verteilt, die ein Sparbuch eröffnen. Aber auch nicht zur Abonnentenwerbung für kirchliche Publikationsorgane.) Daten aus dem Gemeindemitgliederverzeichnis dürfen auch nicht zu privaten Zwecken genutzt oder an Dritte übermittelt werden. (z. B. Nachfrage ob der Nachbarsjunge bei den Erstkommunionkindern dabei ist, weil man ihm dann ein Geschenk übergeben möchte)

Daten die ehrenamtliche Mitarbeiter oder hauptamtlich Beschäftigte in dienstlichem Zusammenhang erhalten dürfen ausschließlich für dienstliche Zwecke genutzt werden!


siehe unter P -> Pläne


Beschlüsse der Konferenz der Diözesandatenschutzbeauftragten Beschluss zur Nutzung von Messenger-Diensten

Kriterien zur Beurteilung von Messenger-Diensten


siehe auch unter W -> WhatsApp


siehe unter A ->Amtsblatt


Bei dem heimlichen Mitschnitt eines vertraulichen Personalgesprächs auf einem Smartphone und der anschließenden Verwendung dieser Aufnahme handelt es sich um eine so schwerliegende Verletzung der arbeitsvertraglichen Rücksichtnahmepflicht, dass eine Kündigung auch ohne Abmahnung zulässig sein kann.

Quelle: RDV 2016 S. 334



Bei Namen handelt es sich um personenbezogene Daten. Häufig ist in Arbeitsanweisungen oder ähnlichem zu finden, dass sich Mitarbeiter am Telefon mit Vor- und Nachnamen sowie dem Namen der Einrichtung zu melden haben. Ebenfalls werden an Türschildern und auf Briefköpfen sowohl der Vor- als auch der Nachname benannt. Diese Verfahrensweise wäre datenschutzrechtlich unbedenklich, wenn ein berechtigtes Interesse des Arbeitgebers bestünde, hinter dem das schutzwürdige Interesse des Arbeitnehmers zurückstünde. Ein solches überwiegendes berechtigtes Interesse des Arbeitgebers ist aber nicht zu erkennen. Für den Kontakt mit externen ist es völlig ausreichend, den Nachnamen anzugeben, da es in der geschäftlichen oder behördlichen Kommunikation im Gegensatz zur privaten Kommunikation unüblich ist, den Gesprächspartner mit dessen Vornamen anzureden. Selbst bei Namensdopplungen (Müller) ist es in der Regel ausreichend, den ersten Buchstaben des Vornamens dem Nachnamen hinzuzufügen um eine Unterscheidbarkeit sicher zu stellen. Eine Anordnung, die die Mitarbeiter verpflichtet, Vor- und Nachnamen bekannt zu geben, sollte deshalb unterbleiben.


reply eng. Beantwortung „No reply Mails“ sind automatisch generierte E-Mails über die mit dem Absender kein Kontakt aufgenommen werden kann. Eine Beantwortung der automatisch zugesandten Mail kann also nicht erfolgen. Diese „No reply Mails“ werden in der Regel verwendet um den Eingang von Schreiben zu bestätigen oder bei Website-Registrationen und Kontaktformularen. Für den Verwender solcher „No reply Mails“ ergeben sich rechtliche Probleme, wenn die Mail neben der Bestätigung auch Werbung enthält. Nach Ansicht des Bundesgerichtshofes (BGH) besteht für die Annahme, die Nutzung der elektronischen Post des Betroffenen sei durch die zulässige Bestätigungs-E-Mail insgesamt gerechtfertigt, kein Raum. (BGH Urteil vom 15. 12. 2015 - VI ZR 134/15).



Gem. § 7 Abs. 2 S. 3 UWG ist die Zusendung von Werbe-E-Mails nur nach vorheriger ausdrücklicher Zustimmung des Empfängers erlaubt. D. h. der Empfänger muss selber erklärt haben, dass er mit der Zusendung von Werbung einverstanden ist = opt-in-Verfahren. Es reicht nicht aus, dass der Empfänger die Möglichkeit hatte der Zusendung von Werbung zu widersprechen = opt-out-Verfahren.

Problematisch ist, wenn z. B. Einrichtungen E-Mails mit der Verlinkung für eine News-Letter Bestellung an alle bekannten Nutzer schicken, ohne vorher eine Aufforderung von diesem Nutzer bekommen zu haben. Mit dem double-opt-in-Verfahren soll das ausgeschlossen werden. Bei diesem Verfahren stimmt der Empfänger der Zusendung von Werbung zu und bekommt zunächst eine Bestätigungsmail zugesandt. Erst darin wird er aufgefordert, sein ursprüngliches Einverständnis noch einmal zu bestätigen. Auf diese Weise wird abgeprüft, ob der Zustimmende auch Inhaber der E-Mail-Adresse ist.
Dieses Verfahren ist als Nachweis der Zustimmung von den Gerichten überwiegend anerkannt. (zuletzt OLG Düsseldorf vom 17.03.2016, Az. I - 15 U 64/15)



Das Einsichtnahmerecht in die Patientenakten ist in § 630g Bürgerliches Gesetzbuch (BGB) geregelt.

§ 630g Einsichtnahme in die Patientenakte (1) Dem Patienten ist auf Verlangen unverzüglich Einsicht in die vollständige, ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Die Ablehnung der Einsichtnahme ist zu begründen. § 811 ist entsprechend anzuwenden. (2) Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen. Er hat dem Behandelnden die entstandenen Kosten zu erstatten. (3) Im Fall des Todes des Patienten stehen die Rechte aus den Absätzen 1 und 2 zur Wahrnehmung der vermögensrechtlichen Interessen seinen Erben zu. Gleiches gilt für die nächsten Angehörigen des Patienten, soweit sie immaterielle Interessen geltend machen. Die Rechte sind ausgeschlossen, soweit der Einsichtnahme der ausdrückliche oder mutmaßliche Wille des Patienten entgegensteht.

Danach ist festgelegt, dass zunächst dem Patienten selber ein Einsichtsrecht in seine Akten zu gewähren ist. „Unverzüglich“ heißt gem. § 121 Abs. 1 Satz 1 BGB „ohne schuldhaftes Zögern“. Grundsätzlich gilt die ärztliche Schweigepflicht auch über den Tod des Patienten hinaus. Die o. g. Regelung bestimmt jedoch, dass nach dem Ableben des Patienten auch die Erben zur Wahrnehmung vermögensrechtlicher Interessen, sowie die nächsten Angehörigen bei Geltendmachung eines immateriellen Interesses ein Einsichtsrecht haben. Hat der/die Verstorbene nicht zu Lebzeiten eine entsprechende Erlaubnis festgelegt, tritt an die Stelle der dann nicht mehr möglichen Einwilligung die sog. mutmaßliche Einwilligung. Der Arzt muss für die Frage einer mutmaßlichen Einwilligung prüfen, ob der/die Verstorbene mit der Mitteilung der konkreten Information an die betreffende Person einverstanden gewesen wäre. Dabei ist auch das Anliegen der die Einsicht begehrenden Personen entscheidend zu berücksichtigen. Wird die Einsichtnahme z. B. zur Überprüfung der Testierfähigkeit oder zur Verfolgung möglicher Behandlungsfehler begehrt, wird durch die Rechtsprechung grundsätzlich von einem mutmaßlichen Willen des Patienten ausgegangen. Etwas anderes gilt, wenn der Patient sich zu Lebzeiten ausdrücklich anders geäußert hat. Ohne Äußerung eines solchen Geheimhaltungswunsches kann regelmäßig von einem Akteneinsichtsrecht der Erben und nächsten Angehörigen ausgegangen werden. (VG Freiburg Urteil vom 29.10.2015, Az. 6 K 2245/14; auch vor Einführung des § 630g BGB OLG München Urteil vom 09.10.2008 Az. 1U 2500/08; BGH Urteil vom 31.05.1983 Az. VI 259/81)


Der Personalausweis dient grundsätzlich als Identitätsnachweis und Legitimationspapier. Wenn öffentliche oder nichtöffentliche Stellen eine Kopie des Personalausweises fordern muss auf bestimmte Dinge geachtet werden. Der Ausweis darf nur vom Ausweisinhaber oder mit Zustimmung von diesem abgelichtet werden. Die Kopie muss eindeutig und dauerhaft als Kopie gekennzeichnet werden. Diese darf zudem außer vom Ausweisinhaber nicht an dritte weitergegeben werden. Wenn durch die Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet werden, darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleibt unberührt. Ausweisdaten, die nicht zur Identifizierung benötigt werden, können und sollen auf der Kopie vom Ausweisinhaber geschwärzt werden. Das gilt insbesondere für die auf dem Ausweis aufgedruckte Zugangsnummer sowie die Seriennummer.

Es gibt gesetzlich geregelte Fälle, in den Kopien von Ausweisen erstellt werden dürfen oder müssen:

  • § 8 Absatz 2 Satz 2 des Geldwäschegesetztes
  • § 95 Absatz 4 Satz 2 des Telekommunikationsgesetzes
  • § 64 Absatz 1 Nummer 2 der Fahrerlaubnisverordnung


  • Mit einer Broschüre informiert die Landesbeauftragte anhand von Fallgestaltungen aus der Praxis über die zulässige Nutzung von Ausweisen im Alltag.


    Nach der Definition in § 4 Abs. 1 KDG handelt es sich dabei um persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Durch diese Formulierung soll zum Ausdruck gebracht werden, dass alle Informationen, die etwas über die Bezugsperson aussagen bzw. über die irgendwie ein Personenbezug hergestellt werden kann davon erfasst werden sollen. In seiner Volkszählungsentscheidung hat das Bundesverfassungsgericht (BVerfG) festgestellt, dass es „unter den Bedingungen der automatischen Datenverarbeitung kein belangloses Datum mehr gibt.“ Damit ist ausdrücklich klargestellt, dass sich der Schutz personenbezogener Daten nicht auf die Intims- oder Privatsphäre beschränken lässt oder etwa bestimmte Bereiche wie die berufliche oder geschäftliche Sphäre als weniger sensibel ausgeklammert werden dürfen.

    Beispiele für personenbezogene Daten sind:

    • Name, Alter, Familienstand, Geburtsdatum
    • Anschrift, Telefonnummer, E-Mail-Adresse
    • Konto-, Kreditkartennummer
    • Kraftfahrzeugnummer, Kfz-Kennzeichen
    • Personalausweisnummer, Sozialversicherungsnummer
    • Vorstrafen
    • genetische Daten und Krankendaten
    • Werturteile wie zum Beispiel Zeugnisse



    Geburtsdatum, Passwörter, Kontoverbindungen - das sind lohnende Informationen für Betrüger. Sie versenden gefälschte E-Mails und tarnen sich dabei als seriöse, meist den Nutzern auch bekannten Firmen. In diesen E-Mails fordern sie die Empfänger auf, einem Link zu folgen. Der führt zu einer täuschend echt nachgebauten Internetseite oder einem Formular. Dort soll der Kunde vertrauliche Daten wie Passwörter, Zugangsnummer oder Kreditkartennummer eingeben. Angeblich, weil das das Passwort erneuert werden muss, die Kreditkarte abläuft oder aus Sicherheitsgründen Kontoinformationen zu bestätigen sind.

    Wer eine solche Nachricht bekommt, sollte nicht vorschnell reagieren und stattdessen beim vermeintlichen Absender nachfragen. Eine seriöse Bank etwa fordert ihre Kundschaft niemals per E-Mail auf, persönliche Daten wie PINs (persönliche Identifikationsnummer) und TANs (Transaktionsnummern) oder Kreditkartennummern einzugeben.


    Veröffentlichung von Plänen für Gemeindedienste (Messdiener-, Lektoren-, Kommunionhelferpläne u. ä.)

    Jede Pfarrei ist auf die Mitarbeit Ehrenamtlicher angewiesen. So gibt es Messdiener, Lektoren, Kommunionhelfer und weitere Helfer deren Mitarbeit in Plänen koordiniert werden muss.
    Diese Pläne enthalten personenbezogene Daten.
    Es ist deshalb darauf zu achten, dass die Pläne nur denjenigen zugänglich gemacht werden, die die darin enthaltenen Informationen für ihren Dienst benötigen.
    Für die Veröffentlichung solcher Informationen im Pfarrbrief besteht keine Notwendigkeit und somit auch keine Rechtsgrundlage. Dies trifft umso mehr zu, wenn der Pfarrbrief online gestellt wird und somit über das Internet einer unüberschaubaren Vielzahl von fremden Personen personenbezogene Daten zugänglich gemacht werden. Neben einer postalischen Zustellung der Pläne besteht die Möglichkeit, diese in einen geschützten Bereich auf der Homepage der Pfarrei einzustellen, auf den nur Berechtigte einen Zugriff haben.

    Sollen solche Pläne trotz datenschutzrechtlicher Bedenken im Internet oder im Pfarrbrief veröffentlicht werden, ist die Einwilligung jedes Betroffenen erforderlich. Bei Kindern und Jugendlichen ist neben der Einwilligungserklärung der Eltern auch die der Kinder und Jugendlichen einzuholen, wenn sie über die notwendige Einsichtsfähigkeit verfügen. Dies dürfte spätestens ab dem 14. Lebensjahr der Fall sein.

    Eine Veröffentlichung ohne die erforderliche Einwilligung ist rechtswidrig.


    Eine -in der Regel thematisch geordnete- Zusammenstellung von Artikeln, die zuvor in anderen Presseerzeugnissen einschließlich deren Onlineausgaben veröffentlicht wurden. Pressespiegel werden in verschiedenen Einrichtungen verwendet, um Führungskräfte und Mitarbeiter über die öffentliche Wahrnehmung der Einrichtung zu informieren. Zu prüfen ist, ob die Verwendung von Pressespiegeln unter das Urheberrecht fällt. § 49 UrhG priviligiert grundsätzlich die Herstellung von Pressespiegeln. Zu unterscheiden sind aber interne und externe Pressespiegel. Interne Pressespiegel werden ausschließlich betriebsintern genutzt. Sie sind urheberrechtlich zulässig, auch dann, wenn sie in elektronischer Form erstellt werden.
    Werden Pressespiegel auf die Internetseite gestellt oder an Dritte geschickt, handelt es sich um externe Pressespiegel. Diese unterfallen nicht der Privilegierung des § 49 UrhG. Es müssen in diesem Fall zunächst die Rechte an den Artikeln erworben werden.

    Unabhängig davon, ob die Pressespiegel urheberrechtlich verwendet werden dürfen ist aber die Frage der Vergütung. § 49 UrhG legt ausdrücklich fest, dass eine angemessene Vergütung zu entrichten ist. Den Anspruch kann nur durch eine Verwertungsgesellschaft geltend gemacht werden. (VG Wort)

    Vor der Verwendung eines Pressespiegels sollte deshalb die VG Wort kontaktiert werden.


    Wenn Einrichtungen die private Nutzung von Dienstrechnern erlauben, sollte in einer Betriebs-/Dienstvereinbarung mindestens geregelt werden, dass private Daten als solche gekennzeichnet werden. Besser noch ist eine Regelung die vorschreibt, dass private Daten in einem gesonderten Bereich abzulegen sind.
    Eine Einsichtnahme des Dienst-/Arbeitgebers in private Daten, die besonders gekennzeichnet oder abgelegt sind ist unzulässig. Im Falle eines Ausscheidens des Dienst-/Arbeitnehmers aus der Einrichtung sind ihm die als solche gekennzeichneten privaten Daten zuzuleiten, bzw. vom Mitarbeiter ggf. nach Übertragung zu löschen.

    Um sicher zu stellen, dass die Rechte des ausscheidenden Mitarbeiters gewahrt sind, empfiehlt sich eine abschließende Erklärung von ihm abzufordern.
    Hier ein Muster für eine Erklärung, die der ausscheidende Mitarbeiter unterzeichnen sollte:

    Ich bestätige, dass ich alle privaten Dateien, die ich auf dienstlichen IT-Geräten gespeichert/verarbeitet habe, dort gelöscht habe. Sollten sich dennoch private Dateien auf den Rechnern/Servern der Dienststelle/Einrichtung befinden, erkläre ich meine Zustimmung dazu, dass diese ohne eine vorherige Mitteilung an mich von der Dienststelle/Einrichtung gelöscht werden.

    Soweit die Zuordnung einzelner Daten unklar ist, kann unter Beteiligung des Betriebsrates / der Mitarbeitervertretung und des Datenschutzbeauftragten eine Einsichtnahme durch die Personalabteilung erfolgen. Sobald deutlich wird, dass es sich um private Daten handelt, ist eine weitere Einsichtnahme unzulässig.

    Entzug der Zugriffsmöglichkeiten
    Sobald Mitarbeiter aus der Einrichtung ausscheiden, ist dafür zu sorgen, dass Zugriffsrechte auf den dienstlichen APC sowie auf andere IT-Systeme ausgeschlossen sind.


    Gestattet ein Arbeitgeber den Arbeitnehmern, auf seine Kosten privat zu telefonieren, bezieht sich diese Erlaubnis auch ohne ausdrückliche Einschränkung nicht darauf, auf Kosten des Arbeitgebers bei einer Gewinnspielhotline.

    Quelle: RDV 2016 S. 44


    siehe unter B -> BYOD (Bring your own device)


    "Profiling" ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (EU-DSGVO § 4 Nr. 4) Was steckt hinter dieser Gesetzesformulierung:
    Es handelt sich um ein Verfahren, bei dem das Nutzerverhalten systematisch ausgewertet wird. Grundlage der Auswertung ist die Erfassung der vom Nutzer besuchten Internetseiten, das Ansehen von Werbung, das Bestellen von Büchern oder CD´s oder anderen Produkten. Es wird festgehalten welche Suchbegriffe über entsprechende Suchmaschinen eingegeben worden sind, welche Nachrichten gelesen wurden u. ä. Das Mobiltelefon kann dazu noch Kontakt- und Standortdaten beisteuern. Aus diesen Daten errechnen Algorithmen das wahrscheinliche zukünftige Verhalten des Nutzers. Da diese Algorithmen immer komplexer werden und immer größere Datenmengen auswerten können, wird die Vorhersage des Verhaltens oder die Auskunft über die Interessen des Nutzers immer genauer. Dies gilt umso mehr je mehr Geräte im Zeitalter von „big data“ zusätzlich ausgewertet werden können, z. B. Fahrzeuge, Fitnessarmbänder, Steuerungs-Apps für Haushaltsgeräte oder die gesamte Wohnung. Welche Gefahr ist mit dem Profiling verbunden: Die so gewonnenen Daten werden entsprechend der Ergebnisse an Firmen verkauft, deren Produkte den Nutzer wahrscheinlich interessieren. Er bekommt also relativ passgenaue (targeted) Werbung. Aber durch die Auswertung ist z.B. auch bekannt, welche politischen oder religiös- weltanschaulichen Themen den Nutzer ansprechen. Deshalb bekommt er nur noch solche Nachrichten zugesendet. Sowohl im Hinblick auf die Werbung als auch auf die ausgewählten Informationen kann das zu einer zirkulären Entwicklung führen. Der Nutzer richtet sein Kaufverhalten an den Angeboten aus und kann deshalb immer zielgenauer beworben werden oder er fühlt sich in seiner Meinung zunehmend bestätigt, weil ihm immer wieder Informationen zugeleitet werden, die mit seiner Meinung übereinstimmen. So wird aus Vorhersage dann Vorbestimmung. Ziel eines professionellen Profilings ist deshalb regelmäßig die Manipulation des Nutzers.


    Das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen. Die zusätzlichen Informationen, die erforderlich sind, um die personenbezogenen Daten wieder einer bestimmten oder bestimmbaren Person zuordnen zu können sind durch technisch organisatorische Maßnahmen besonders zu sichern. (§ 4 Abs. 6 KDG , § 4 Nr. 5 EU-DSGVO)



    Als Generalschlüssel werden solche Schlüssel bezeichnet, die innerhalb einer Schließanlage für alle Schließzylinder passen. Nach den datenschutzrechtlichen Vorschriften ist zu gewährleisten, dass Zutritt zu Räumen in denen personenbezogene Daten verarbeitet werden nur solche Personen haben, die mit der Verarbeitung oder Nutzung dieser Daten im Rahmen ihres Beschäftigungsverhältnisses betraut sind. Damit ist klargestellt, dass auch Vorgesetzte nicht zwingend über Generalschlüssel verfügen müssen, die Zutritt z. B. zum Serverraum, den Personalakten oder den Meldedaten erlauben. Es ist erforderlich, einen Schlüsselplan zu erstellen, aus dem hervorgeht, welcher Mitarbeiter einen Zutritt zu welchen Räumen benötigt. Nur für diese Räume hat er dann einen Schlüssel zu erhalten.

    Ein Generalschlüssel darf kein Statussymbol sein!


    Eine einheitliche Definition für „Scoring“ besteht nicht. Es handelt sich allgemein um ein analytisch statistisches Verfahren, bei dem vorhandene Daten mit Erfahrungswerten abgeglichen und bewertet werden.
    Beispiel:
    Person A ist geschieden, wohnt im Bahnhofsviertel von X.

    Folgende Erfahrungsdaten liegen vor (die Bewertung ist völlig fiktiv und dient nur als Beispiel): Geschiedene Personen sind in der Regel unterhaltspflichtig und damit finanziell weniger leistungsfähig. Gerichtsvollzieher werden im Bahnhofsviertel signifikant häufiger aktiv als in anderen Stadtteilen. Die Daten werden mit den Erfahrungswerten abgeglichen:

    Familienstand:
    > ledig 0 Punkte
    > verheiratet 5 Punkte
    > geschieden -5Punkte
    Wohnort:
    > Bahnhofsviertel -5 Punkte
    > Innenstadt 5 Punkte
    > Gartenstadt 10 Punkte

    Der Scorwert von A beträgt -10 Punkte.

    Der Scorwert wird nur nach Erfahrungswerten vergeben die mit der tatsächlich zu beurteilenden Person nichts zu tun haben müssen. So könnte A nicht unterhaltspflichtig sein und nur deshalb im Bahnhofsviertel wohnen, weil er häufig dienstlich mit der Bahn unterwegs ist. Die tatsächlichen Verhältnisse einer Person haben auf ihren Scorwert, von dem die wenigsten Personen wissen, dass es ihn gibt, keinen Einfluss. Sehr wohl werden aber Entscheidungen die sie betreffen je nach ihrem Scorwert unterschiedlich ausfallen. So führt ein schlechter Scorwert regelmäßig zu höheren Zinsen bei Kreditverträgen, dazu, dass Wohnungen nicht oder gegen eine höhere Kaution vermietet werden. Im Versandhandel wird möglicherweise auf Vorkasse oder Nachnahme bestanden u. ä.

    Der Scorwert ist ein personenbezogenes Datum.

    Gegenüber Auskunfteien wie z. B. der SCHUFA, Bürgel, Avato Infoscore u.a. kann jeder einmal im Jahr unentgeltlich eine schriftliche Auskunft geltend machen um zu erfahren, welche Daten dort über ihn gespeichert sind und um zu überprüfen, ob diese fehlerfrei sind. Auch kann Auskunft über den dort festgestellten aktuelle Scorwert, über die in den letzten 12 Monaten an Dritte übermittelten Scorwerte, Auskunft über die „Dritten“, die zur Berechnung des Scorwertes genutzten Datenarten und das Zustandekommen des Scorwertes einzelfallbezogen und nachvollziehbar verlangt werden.


    Unter Streaming ist das Ansehen von Video-Dateien zu verstehen. Dabei wird aber die Datei nicht auf die Festplatte des Nutzers heruntergeladen. Allerdings erfolgt eine Zwischenspeicherung einzelner Dateisegmente um die Übertragungsqualität zu sichern. Das Streaming kann als Livestreaming erfolgen oder zeitversetzt durch Zugriff z. B. auf eine Mediathek. Rechtlich unproblematisch ist das Streaming dann, wenn es vom Rechteinhaber selber im Netz zur Verfügung gestellt wird (z. B. ZDF und ARD bieten Mediatheken an in denen verpasste Sendungen angesehen werden können). Legt eine Zustimmung des Rechteinhabers nicht vor, bestehen in Literatur und Rechtsprechung zum Thema Urheberrecht und Streaming Meinungsverschiedenheiten, die erhebliche Rechtsunsicherheit hervorbringen. Urheberrechtsverletzungen werden in der Regel dann vorliegen, wenn kostenloses Streaming im Netz angeboten wird, während parallel noch die wirtschaftliche Hauptverwertung z. B. in Kinos oder dem DVD Verkauf läuft.



    1. Es soll bei der Annahme eines Telefonates nicht der Name des Anrufers wiederholt werden.
    2. Es ist sicherzustellen, dass kein Dritter ohne Wissen des Anrufers das Gespräch mithören kann. Der Lautsprecher darf nur genutzt werden, wenn der Anrufer diesem zustimmt und weiß wer sich noch im Raum aufhält. Dies ist auch bei Freisprechanlagen im Auto zu berücksichtigen.
    3. Alle Auskünfte über Abwesende oder nicht erreichbare Personen sind zu unterlassen. Auch dann, wenn es Nachfragen vom Anrufer gibt z.B. wo die Abwesende Person ist. Lediglich kann eine Auskunft gegeben werden, wann der Mitarbeiter wieder erreichbar sein wird.
    4. Es dürfen nur dienstliche Telefonnummern und Kontaktdaten herausgeben werden auch wenn z.B. die private Handynummer des Kollegen vorhanden ist.
    5. Telefonnummern und andere Kontaktdaten die dienstlich bekannt sind, dürfen nur zu dienstlichen Zwecken herausgegeben oder verwendet werden.

    siehe unter W ->Werbung


    Datenschutz endet mit dem Tod

    Aufgabe des Datenschutzes ist es die informationelle Selbstbestimmung zu gewährleisten. Mit dem Tod einer Person endet aber die Selbstbestimmung und damit grundsätzlich auch der Datenschutz. Aus diesem Grunde ist es möglich, ohne zuvor eingeholte Einwilligung des Toten oder einer Einwilligung seiner Angehörigen oder Erben den Tod eines Gemeindemitgliedes öffentlich (Pfarrblatt, Verkündigung von der Kanzel u. ä.) bekannt zu geben.

    Diese Grundregel erfährt aber Ausnahmen, wenn ein Gesetz etwas anderes bestimmt. Zwei dieser Ausnahmeregelungen seien hier genannt:
    1.
    § 203 Abs. 4 StGB regelt ausdrücklich, dass ein fremdes Geheimnis auch nach dem Tod des Betroffenen nicht unbefugt offenbart werden darf. Sofern keine ausdrückliche Einwilligung zu einer solchen Veröffentlichung vorliegt ist diese deshalb zu unterlassen. So ist schon die Tatsache, dass jemand Klient in einer Einrichtung (Drogenberatung, Schuldnerberatung, Eheberatung u. a.) gewesen ist ein schützenswertes Datum. Für die in § 203 StGB genannten Personengruppen gilt die Schweigepflicht über den Tod hinaus fort.
    2.
    Ebenso besteht das Recht am eignen Bild gem. § 22 Abs. 3 des Kunsturhebergesetzes auch nach dem Tod des Verstorbenen fort:
    „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, dass er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablauf von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige im Sinne dieses Gesetzes sind der überlebende Ehegatte oder Lebenspartner und die Kinder des Abgebildeten und, wenn weder ein Ehegatte oder Lebenspartner noch Kinder vorhanden sind, die Eltern des Abgebildeten.“


    Der § 201 StGB stellt die unberechtigte Tonaufnahme des nicht öffentlich gesprochenen Wortes unter Strafe. Nicht „öffentlich gesprochen“ ist ein Wort immer dann, wenn es sich nicht an die Allgemeinheit richtet, sondern an einen persönlich oder sachlich abgrenzbaren Personenkreis. Dadurch sind z. B. heimliche Unterrichtsaufzeichnungen verboten. Aber auch Tonaufzeichnungen von Kindern in Einrichtungen zur Erstellung des Entwicklungsportfolios. Weiterhin verboten ist es durch diese Vorschrift das nicht öffentlich gesprochene Wort mit Hilfe eines Abhörgerätes abzuhören. Die Installation einer Tonüberwachung in Patientenzimmern oder Aufwachräumen ist damit grundsätzlich verboten. Dabei kommt es nicht darauf an, ob es sich bei den Tonaufzeichnungen um ein Gespräch mit mehreren Personen handelt oder um Selbstgespräche. Auch ist es unerheblich ob es sich um unverständliche Töne oder sprachliche Äußerungen handelt.



    Einen weiteren Problembereich im Minenfeld der Fotorechte stellt das Urheberrecht dar. Wer ein Foto erstellt, ist Urheber. Dies kann jede natürliche Person sein. Erforderlich ist weder Volljährigkeit noch Geschäftsfähigkeit. Somit können auch Kinder Urheber sein. Der Urheberschutz beginnt mit der Herstellung des Fotos. Eine Eintragung in ein Urheberverzeichnis ist ebenso wenig erforderlich, wie das Versehen des Werkes mit einem Copyrightvermerk, der dem deutschen Recht fremd ist.
    Das Urheberrecht bleibt stets bei dem Urheber. Es ist vererblich und endet erst 70 Jahre nach dem Tod des Urhebers.
    Der Urheber kann also sein Urheberrecht nicht übertragen, aber Dritten ein Nutzungsrecht an seinem Werk gestatten. Dies kann entgeltlich oder unentgeltlich geschehen. Außerdem kann der Urheber entscheiden, ob er Dritten das ausschließliche oder das einfache Nutzungsrecht übertragen möchte.
    Bei der Übertragung des ausschließlichen Nutzungsrechts ist nur noch der Nutzer berechtigt, das Werk zu nutzen. Er darf dies umfassend ausüben. Selbst der Urheber ist in einem solchen Fall nicht mehr nutzungsberechtigt.
    Im Fall der Übertragung des einfachen Nutzungsrechts darf der Nutzer das Werk nur für den festgelegten Zweck nutzen.
    Ist aus einer Übertragung nicht genau zu ersehen, in welchem Umfang das Nutzungsrecht übertragen worden ist, muss die Auslegung zugunsten des Urhebers ausfallen.
    In jedem Fall kann das Nutzungsrecht nur mit Zustimmung des Nutzers übertragen werden. Wer also Fotos durch einen Fotografen anfertigen lässt, muss vorher die Zwecke für die diese Fotos angefertigt werden eindeutig festlegen. Ohne eine eindeutige Regelung steht dem Fotografen das ausschließliche Recht zu, seine Bilder zu verwerten. Demgegenüber hat die Person, die auf einem Foto abgebildet ist, kein dem Urheber vergleichbares Recht. Der Abgebildete hat also nicht das Recht, das Foto zu einem anderen Zweck zu verwenden als zu dem, zu dem es erstellt worden ist. Beispiel: Jemand verwendet Bewerbungsfotos zur Veröffentlichung auf seiner Homepage.

    Aus der Praxis:
    1. Bei einer Freizeitveranstaltung zum Thema „Licht“ wird einem achtjährigen Kind von der Leiterin deren Fotoapparat überlassen. Tatsächlich gelingt dem Kind eine gute Aufnahme einer Lichtinstallation, die vom Veranstalter veröffentlicht wird. Die Eltern des Kindes machen das Urheberrecht für ihr Kind geltend.
    Die Überlassung des Werkzeuges (Fotoapparat) verhindert ebenso wenig wie das Alter des Kindes das Entstehen der Urheberschaft. Die Eltern können als die Sorgeberechtigten die Rechte ihres Kindes geltend machen.

    2. In einer Pfarrei werden Bilder der ehemaligen Pfarrer in einer Galerie ausgestellt. Eines Tages wird eines der Bilder mit einem kurzen Begleittext im Pfarrbrief, der auch im Internet einzusehen ist, veröffentlicht. Auch wenn der Pfarrer der Veröffentlichung zugestimmt hat, berechtigt dies nicht zur Einschränkung des Urheberrechts. Wenn der Urheber (wie in diesem Fall von ihm behauptet) das Bild nur zur Ausstellung in der Galerie zur Verfügung gestellt hat, ist lediglich ein eingeschränktes Nutzungsrecht übertragen worden. Für eine Veröffentlichung im Pfarrbrief fehlt dann eine Vereinbarung. Behauptet die Pfarrei ihr sei ein weitergehendes Nutzungsrecht übertragen worden, ist sie dafür beweispflichtig.


    USB-Sticks und die Möglichkeit diese in den USB-Port dienstlicher Rechner einzuführen stellt ein erhebliches Sicherheitsrisiko dar. Die Sperrung von USB-Ports auf dienstlichen Rechnern wird deshalb dringend empfohlen. Über ungeprüfte USB-Sticks kann Schadsoftware zum dienstlichen Rechner gelangen und von dort aus auf die IT-Systeme der Einrichtung übergreifen. Jeder PC, jedes Tablet und jedes Smartphone besitzt in der Regel einen USB-Anschluss, der durch entsprechende Gerätschaften wie USB-Sticks oder USB-Festplatten als Einfalltor von Kriminellen missbraucht werden kann. Bei einem Eindringen in das System können alle Dokumente ausgelesen und weitergeleitet werden. Es ist auch möglich, dass durch eine neu installierte Schadsoftware ein ganzer Betrieb lahmgelegt wird. Die kleinen Geräte sind für den schnellen Datenaustausch einfach zu nutzen, bieten aber besonders deshalb eine große Wahrscheinlichkeit des Verlusts. Außerdem können dienstliche personenbezogene Daten mit Hilfe von USB-Sticks annähernd unbemerkt aus der Einrichtung entfernt werden. Eine Erforderlichkeit für frei zugängliche USB-Ports ist demgegenüber nicht ersichtlich. Sollte sich die Notwendigkeit ergeben, den Inhalt eines USB-Sticks auf einen dienstlichen Rechner zu übertragen, ist der Stick dem EDV-Verantwortlichen zu übergeben, der zunächst prüft, ob der Stick unbelastet ist. Die Daten werden dann nur vom EDV-Verantwortlichen auf den Rechner des entsprechenden Mitarbeiters übertragen.



    Begriffsbestimmung
    Im Sinne des KDG bezeichnet der Ausdruck Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie
    - das Erheben
    - das Erfassen
    - die Organisation
    - das Ordnen
    - die Speicherung
    - die Anpassung oder Veränderung
    - das Auslesen
    - das Abfragen
    - die Verwendung
    - die Offenlegung durch Übermittlung
    - Verbreitung oder eine andere Form der Bereitstellung
    - den Abgleich oder die Verknüpfung
    - die Einschränkung
    - das Löschen oder die Vernichtung. (vgl. KDG § 4 Abs.3.)


    Beschlüsse der Konferenz der Diözesandatenschutzbeauftragten
    Liste von Verarbeitungsvorgängen nach §35 Abs. 5. KDG

    Praxishilfe
    Praxishilfe 5: Verzeichnis der Verarbeitungstätigkeiten nach dem KDG

    Formulare
    Verzeichnis für Verarbeitungstätigkeiten nach KDG


    Dieses Buch wird von vielen Unternehmen für die Dokumentation von Arbeitsunfällen verwendet. Diese Pflicht der Dokumentation ist im § 24 Abs. 6 UVV festgeschrieben. Dabei werden besondere personenbezogene Daten (nach § 3 Abs. 9 BDSG) aufgenommen, etwa der Name des Betroffenen, die Art der Verletzung, die Zeit und der Ort sowie die Maßnahmen des Ersthelfers. Diese dürfen nach § 32 Abs.1 S. 1 BDSG im Rahmen des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies zur Erfüllung der Rechte und Pflichten der Verantwortlichen Stelle auf dem Gebiet des Arbeitsrechts notwendig sind. Das Verbandbuch darf dabei nicht an einem für alle Mitarbeiter zugänglichen Ort aufbewahrt werden. Es sollte in einem abgeschlossenen Schrank beim Ersthelfer verwahrt werden. Falls der Ersthelfer nicht im Hause ist, müssen an einem für alle Mitarbeiter zugänglichen Bereich Verbandsbuch-Blanko-Formulare zur Verfügung stehen. Diese können bei einem Unfall vom Mitarbeiter ausgefüllt und in einem verschlossenen Brief an den Ersthelfer (z. B. per Hauspost) zugestellt werden. Dieser kann anschließend den Unfall in das Verbandsbuch nachtragen. Die Dokumentationen müssen solange zur Verfügung stehen, wie sie für arbeitsrechtliche Maßnahmen erforderlich sind, mindestens aber 5 Jahre nach § 24 Abs. 6 UVV.


    Grundsätzlich ist es zulässig, frei zugängliche Websites zu verlinken. Allerdings ist für kommerzielle Nutzer Vorsicht geboten. Zunächst hatte der Bundesgerichtshof (BGH) bereits 2003 in der sogenannten „Paperboy“-Entscheidung entschieden, dass die Verlinkung auf frei zugängliche Quellen im Netz keine urheberrechtliche Nutzung darstellt. Diese Rechtsprechung ist vom Europäischen Gerichtshof (EuGH) im Jahr 2014 in der „Svenson“-Entscheidung bestätigt worden. Der EuGH stellt fest, dass wenn die verlinkte Seite frei zugänglich ist, keine neue Öffentlichkeit geschaffen werde und die Verlinkung bleibt erlaubt. Diese ebenso klare wie weite Rechtsprechung durch den EuGH hat dieser aber mit der „Playboy v. GreenStijl“- Entscheidung verwässert. Danach haftet nicht nur der Betreiber einer Website für Urheberrechtsverletzungen auf seiner eigenen Seite, sondern auch derjenige, der auf diese Seite mit rechtswidrigen Inhalten verlinkt. Dies habe jedenfalls dann zu gelten, wenn es sich bei dem Verlinkenden um einen kommerziellen Website-Betreiber handelt. Auch wenn man unter einem kommerziellen Anbieter einen solchen zu verstehen hat, der in Gewinnerzielungsabsicht im weiteren Sinn handelt, bleibt dieses Abgrenzungskriterium unklar. Zumindest für jeden Freiberufler und jedes Unternehmen ist daraus die Verpflichtung abzuleiten, sich vor einer Verlinkung zu vergewissern, dass die Inhalte der Seite auf die verwiesen wird sämtlich (Fotos, Texte, Videos) urheberrechtskonform sind. Dies ist bestenfalls dadurch zu erreichen, dass man sich eine entsprechende Erklärung vom Betreiber der Seite auf die verwiesen wird abgeben lässt. Auf diese Weise kann man sich gegen den Vorwurf bedingt fahrlässig zu handeln entziehen.
    Diese jüngste Rechtsprechung des EuGH wurde Ende 2016 auch in einer Entscheidung des Landgerichts Hamburg vertreten (Beschl. vom 18.11.2016 Az. 310 O 402/16).

    Insbesondere für Einrichtungen, die nicht direkt zum verfassten Bereich der Kirche gehören, sondern mit anderen Anbietern in Wettbewerb stehen (z. B. Einrichtungen der Caritas oder Bildungseinrichtungen) ergeben sich aus den genannten Urteilen erhöhte Sorgfaltspflichten!


    Vernichtung von Daten

    Maßstab für die Vernichtung von Daten ist DIN 66399. Die Art der Vernichtung hängt danach von der Art der Datenträger ab. Außerdem sollte auch bei der Datenträgervernichtung eine Kosten-Nutzen-Analyse durchgeführt werden. Dies bedeutet, dass die zu ergreifenden Maßnahmen in einem angemessenen Verhältnis zur Schutzbedürftigkeit der Daten stehen müssen. Zunächst müssen die Daten einer Datenschutzklasse zugeordnet werden. (Durchführungsverordnung zur KDO zu § 6 Anlage 2 Punkt 4.0 ff.)

    Datenschutzklassen
    Das Ausmaß der möglichen Gefährdung personenbezogener Daten bestimmt Art und Umfang der Sicherungsmaßnahmen. Zur Erleichterung der Einordnung bedient sich diese Anlage der Definition dreier Datenschutzklassen, die sich aus der Art der zu verarbeitenden Daten ergeben. Dem Dienststellenleiter, der die Einordnung vornimmt, steht es frei, aus Gründen des Einzelfalles die zu verarbeitenden Daten anders einzuordnen als hier vorgesehen. Diese Gründe sollen kurz dokumentiert werden. Bei der Einordnung in die einzelnen Datenschutzklassen ist auf die Daten abzustellen, die vom Benutzer bewusst bearbeitet und gespeichert werden.
    Datenschutzklasse I
    Zur Datenschutzklasse I gehören personenbezogene Daten, deren Missbrauch keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Adressangaben ohne Sperrvermerke, z. B. Berufs-, Branchen- oder Geschäftsbezeichnungen.
    Datenschutzklasse II
    Zur Datenschutzklasse II gehören personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. Hierzu gehören z.B. Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten, usw.
    Datenschutzklasse III
    Zur Datenschutzklasse III gehören personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann. Hierzu gehören z.B. Daten über kirchliche Amtshandlungen, gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen, die Mitgliedschaft in einer Religionsgesellschaft, arbeitsrechtliche Rechtsverhältnisse, Disziplinarentscheidungen, usw. sowie Adressangaben mit Sperrvermerken.

    Innerhalb der Datenschutzklasse muss eine Sicherheitsstufe bestimmt werden.

    Sicherheitsstufe 1
    Allgemeine Daten Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen ohne besondere Hilfsmittel und ohne Fachkenntnisse, jedoch nicht ohne besonderen Zeitaufwand, möglich ist.
    Sicherheitsstufe 2
    Interne Daten (z. B. Richtlinien der Einrichtung, Aushänge und Formulare) Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen mit Hilfsmitteln und nur mit besonderem Zeitaufwand möglich ist.
    Sicherheitsstufe 3
    Sensible Daten (Unterlagen mit vertraulichen Daten, wie sie in jeder Einrichtung anfallen) Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich ist.
    Sicherheitsstufe 4
    Besonders sensible Daten (z. B. Gehaltsabrechnungen, Personaldaten / -akten, Arbeitsverträge, medizinische Berichte, Steuerunterlagen von Personen) Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter Verwendung gewerbeunüblicher Einrichtungen bzw. Sonderkonstruktionen, die im Falle kleiner Auflagen sehr aufwändig sind, möglich ist.
    Sicherheitsstufe 5
    Geheim zu haltende Daten (Datenträger mit geheim zu haltenden Informationen mit existenzieller Wichtigkeit für eine Person oder eine Einrichtung. z. B. Beratungsunterlagen der Sucht-, Drogenberatung, Schuldnerberatung o.ä.) Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass es nach dem Stand der Technik unmöglich ist, auf ihnen wiedergegebene Informationen zu reproduzieren.

    Exemplarisch die Nennung einiger Sicherheitsstufen für ausgewählte Materialien:

    Papier:
    Sicherheitsstufe P-3: ≤ 320 mm² oder Streifenschnitt mit 2 mm Breite
    Sicherheitsstufe P-4: ≤ 160 mm² und bei Partikelschnitt maximal 6 mm breite Partikel
    Sicherheitsstufe P-5: ≤ 30 mm² und bei Partikelschnitt maximal 2mm breite Partikel

    wobei ein Teil der Partikel größer sein dürfen:
    Sicherheitsstufe P-3: 10% ≤ 800 mm²
    Sicherheitsstufe P-4: 10% ≤ 480 mm²
    Sicherheitsstufe P-5: 10% ≤ 90 mm²

    Festplatten:
    Sicherheitsstufe H-3: Datenträger verformt
    Sicherheitsstufe H-4: ≤ 2000 mm²; mit 10% ≤ 3800 mm²
    Sicherheitsstufe H-5 ≤ 320 mm²; mit 10% ≤ 800 mm²

    Elektronische Datenträger:
    Sicherheitsstufe E-3: ≤ 160 mm², mit 10% ≤ 480 mm²
    Sicherheitsstufe E-4: ≤ 30 mm²; mit 10% le; 90 mm²
    Sicherheitsstufe E-5: ≤ 10 mm²; mit 10% ≤ 30 mm²

    In den Sicherheitsstufen E-4 und höher ist das Teilen des eigentlichen Datenträgers, den Chip, gefordert.


    Formulare:
    Mustervertrag für die Vernichtung von Daten


    siehe unter A -> Amtsblatt


    Eine Handreichung des Beauftragten für Datenschutz der Evangelischen Kirche Deutschlands:
    Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen


    VPN – Virtuelles privates Netzwerk

    Eine VPN-Verbindung ist wie ein sicherer Tunnel im Internet.

    Die Funktionsweise lässt sich am folgenden Beispiel erklären:
    Ein Anwender möchte sich mit seinem Heimrechner in das firmeninterne Netzwerk einklinken. Vorausetzung dafür ist, dass auf dem Heimrechner und auf dem Netzwerk der Firma eine VPN-Software installiert ist. Der Heimrechner wird durch das Aktivieren der Software mit dem Firmennetzwerk verbunden, so dass der Anwender direkten Zugriff auf des Firmennetzwerk hat. Der Anwender sitzt jetzt sozusagen an seinem Arbeitsrechner.
    Dabei passiert folgendes: Datenpakete werden vom Heimrechner an den Arbeitsrechner geschickt. Von der VPN-Software wird der Inhalt des Paketes verschlüsselt und das Paket erhält eine neue Adresse, und zwar die des VPN-Anschlusses des Firmennetzwerkes. Die dazwischenliegenden physischen Netze (Heimnetz, Internet) wird als VPN-Gateway (Einfahrt) bezeichnet. Durch diese Direktverbindung wird das Datenpaket geschickt. Am Firmen – VPN angekommen, wird das Paket entpackt und an den Arbeitsrechner gesendet. Wird jetzt vom Heimrechner aus eine Internetseite aufgerufen, so wird diese Anfrage dem Firmennetzwerk zugeordnet und nicht dem Heimrechner.

    Anwendungsbeispiele / Vorteile:
    • Mehrere Geschäftstellen einer Firma können so miteinander verbunden werden
    • Gesicherter zugriff auf das Firmennetzwerk von zu Hause aus
    • Umgehen von Zugriffsbestimmungen in bestimmten Ländern, das VPN Gateway befindet sich in einem anderen Land, von dem aus ein freier Internetzugang möglich ist



    Die Einrichtung einer Weiterleitung von E-Mails ist zu unterlassen. Grund dafür ist, dass E-Mails auch an die abwesende Person persönlich/vertraulich gerichtet sein können. Der Abwesenheitsagent ist so einzustellen, dass dem Absender die Abwesenheit des Bearbeiters mitgeteilt wird, ggf. ein Rückkehrdatum und eine Vertretung genannt werden.
    Beispiel:
    Frau/Herr ... ist momentan nicht anwesend, die Rückkehr erfolgt voraussichtlich am TT.MM.JJ. Eine Bearbeitung oder Weiterleitung Ihrer Mail in der Zeit der Abwesenheit findet nicht statt. In dringenden Fällen setzen Sie sich bitte mit Name (dienstliche) Mailadresse in Verbindung.
    Für schweigepflichtige Personen im Sinne des § 203 StGB kann die automatische Einrichtung einer Weiterleitung strafbar sein!


    Telefonwerbung ohne Einwilligung
    Gem. § 7 Abs. 2 Nr. 2 UWG stellt ein Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung eine unzumutbare Belästigung dar. Für Telefonwerbung gelten die Regelungen der staatlichen Rechtsnormen, insbesondere des UWG. Da Sonderregelungen für kirchliche oder karitative Einrichtungen in diesem Gesetz nicht vorgesehen sind, gelten diese gesetzliche Regelung auch für den kirchlichen Bereich. Dies ist durch Urteil des Oberlandesgerichts Köln 6 U 69/12 (Vorinstanz Landgericht Köln 84 O 236/11) ausdrücklich bestätigt worden. Telefonanrufe zu Werbezwecken sind rechtswidrig und zu unterlassen, sofern eine Einwilligung des Angerufenen nicht besteht.

    E-Mail Werbung
    Gem. § 7 Abs. 2 Nr. 3 Gesetz gegen den unlauteren Wettbewerb ist Werbung mittels elektronischer Post, also E-Mails, verboten. Eine solche Werbung gilt als unzumutbare Belästigung, wenn nicht zuvor die Einwilligung des Betroffenen eingeholt worden ist.

    Werbung per Post
    Ausschließlich Werbung per Briefpost ist zulässig, solange dem Absender vom Empfänger kein diesbezügliches Verbot ausgesprochen worden ist.


    Die Diözesandatenschutzbeauftragten der Katholischen Kirche in Deutschland haben beschlossen:

    „Die Verwendung eines Messenger-Dienstes auf dienstlichen Endgeräten ist untersagt, soweit eine physikalische Datenspeicherung außerhalb des Gebiets des Europäischen Wirtschaftsraumes und der Schweiz stattfindet oder keine Ende-zu-Ende-Verschlüsselung genutzt wird. Das gleiche gilt für die dienstliche Nutzung von privaten Smartphones“

    Mit diesem Beschluss möchte die Konferenz der katholischen Datenschützer Klarheit über eine umstrittene Praxis herbeiführen. Die Teilnehmer gingen bei ihrem Beschluss davon aus, dass in Ländern außerhalb des europäischen Wirtschaftsraumes ein angemessenes Datenschutzniveau häufig nicht besteht. Dies gilt vor allem für den Anbieter von „WhatsApp“, der seinen Sitz bekanntlich in den USA hat und eine den europäischen Datenschutzregelungen vergleichbaren Schutz nicht garantieren kann. So ist z.B. eine Vertraulichkeit der übertragenen Nachrichten trotz der Behauptung des Betreibers nicht sicher gewährleistet.

    Insbesondere für Beratungsdienste, die der besonderen Verschwiegenheitspflicht des § 203 StGB unterliegen, ist diese Weisung unbedingt einzuhalten. Da WhatsApp die Daten, die auf dem Smartphone des Nutzers hinterlegt sind auch an Facebook weitergibt, können über diesen Weg sensible personenbezogene Daten im Internet veröffentlicht werden.

    Außerdem weisen die kirchlichen Datenschutzbeauftragten darauf hin, dass WhatsApp nach seinen Allgemeinen Geschäftsbedingungen nicht für geschäftliche Zwecke genutzt werden darf. Im Falle einer Zuwiderhandlung könnten hier erhebliche Schadenersatzansprüche drohen. Dieses Problem wird auch immer wieder in den Tätigkeitsberichten der staatlichen Datenschutzbeauftragten thematisiert. Mit der Regelung, die die katholische Datenschutzaufsicht für die Einrichtungen der Katholischen Kirche getroffen hat, etabliert sie in diesem Bereich eine klare Regelung, die im öffentlichen Bereich noch fehlt.


    Beschlüsse der Konferenz der Diözesandatenschutzbeauftragten:
    Nutzung von Messengerdiensten

    Amtsgericht Bad Hersfeld Urteil zur Verantwortlichkeit bei der Nutzung von WhatsApp (Beschl. vom 20.03.2017 – F 111/17 EASO)