DS-GVO – Auskunftsanspruch

17. März 2023

Sprechen wir über Compliance!

10.000 Euro Schadensersatz wegen Verletzung des DS-GVO-Auskunftsanspruchs

Unternehmer aufgepasst:

Ein Unternehmen wurde vom Arbeitsgericht Oldenburg verurteilt, einem ehemaligen Mitarbeiter aufgrund der Verletzung seines Auskunftsanspruchs gemäß Art. 15 Abs. 1 DS-GVO einen immateriellen Schadensersatz in Höhe von 10.000 EUR zu zahlen.

Anders als das Bundesarbeitsgericht, welches in einem ähnlichen Fall einen Schadensersatz in Höhe von 1.000 EUR als ausreichend erachtete, ist das ArbG hier der Ansicht, dass aufgrund des deutlich höheren Auskunftsinteresses des Klägers sowie des langen Zeitraums der Nichterfüllung der Auskunftspflicht ein Schadensersatz in Höhe von 10.000 EUR gerechtfertigt ist.

Die Nichterfüllung des Auskunftsanspruchs stellt bereits eine Verletzung der DS-GVO dar und führt zu einem auszugleichenden immateriellen Schaden, für den eine detaillierte Darlegung nicht erforderlich ist.

Unternehmen müssen sicherstellen, dass sie Auskunftspflichten gemäß Art. 12 Abs. 3 DS-GVO innerhalb eines Monats erfüllen.

Mehr erfahren

Für die Beantwortung Ihrer Fragen stehe Ihnen sehr gerne zur Verfügung.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.


Sprechen wir über Compliance!

Zum Newsletter anmelden

Ihre Einwilligung in den Versand ist jederzeit widerruflich
(z. B. per E-Mail an die im Impressum angegebenen Kontaktdaten).
Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

So schützen Sie Ihre Daten vor Cyber-Kriminalität

17. Februar 2023

Sprechen wir über Compliance!

Passwortsicherheit

Passwörter begleiten uns täglich und trotzdem oder gerade deshalb greifen viele Menschen bei der Wahl ihrer Passwörter auf einfache Zahlenabfolgen oder Namen und Orte in Kombination mit Zahlen oder Sonderzeichen zurück. Diese sind zwar leicht zu merken, können aber ebenso leicht von Cyber-Kriminellen geknackt werden.

Bei einem Cyber-Angriff sind nicht nur persönliche Daten und sensible Informationen in Gefahr. Cyber-Kriminelle können die gehackten Accounts auch für kriminelle Machenschaften und illegale Geschäfte nutzen.

Um das zu verhindern, muss ein Passwort bestimmte Anforderungen erfüllen und darf immer nur für einen Zugang genutzt werden.

Als sicheres Passwort verwenden Sie immer ein komplexes Passwort.

Ein komplexes Passwort …

  • ist mindestens zehn Zeichen lang.
  • besteht aus vier verschiedenen Zeichenarten.
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen werden willkürlich aneinandergereiht.

Um Accounts und Daten zu schützen, müssen Sie außerdem folgende Tipps beherzigen.

👍‍ Generell gilt:

  • Ein individuelles Passwort pro Account!
  • Alle verfügbaren Zeichen nutzen inklusive Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…).
  • Das vollständige Passwort sollte nicht im Wörterbuch vorkommen.

👎‍ Zu vermeiden:

  • Namen von Familienmitgliedern, Haustieren, Geburtsdaten etc.
  • Einfache oder bekannte Wiederholungs- bzw. Tastaturmuster wie „asdfgh“ oder „1234abcd“ oder „1234567879“
  • Ziffern oder Sonderzeichen an den Anfang oder ans Ende eines ansonsten einfachen Passwortes.
  • Dasselbe Passwort bei mehr als einem Account.

Nutzen Sie bitte „Das sichere Passwort-Merkblatt des BSI“: https://t1p.de/sqet5

Das sichere Passwort-Merkblatt -<br /> Alle Accounts im Blick

Gilt nicht nur für Ihr Unternehmen, sondern ist auch in Ihrem Privatbereich empfehlenswert: Prüfen Sie regelmäßig, ob Ihre E-Mail oder Ihr Telefon von einer Datenschutzverletzung betroffen ist: https://haveibeenpwned.com/

Zögern Sie bitte nicht, bei allen Fragen zum Datenschutz – auch zu Passwörtern, Ihren Datenschutzbeauftragten zu kontaktieren.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.


Sprechen wir über Compliance!

Zum Newsletter anmelden

Ihre Einwilligung in den Versand ist jederzeit widerruflich
(z. B. per E-Mail an die im Impressum angegebenen Kontaktdaten).
Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

bEM benötigt Datenschutz

24. Januar 2023

Sprechen wir über Compliance!

Arbeitsunfähigkeit verhindern | betriebliches Eingliederungsmanagement | BEM

Bei der Anwendung eines bEM-Verfahrens werden in der Regel viele sensible Daten des Beschäftigten erfasst, insbesondere Daten zur Gesundheit. Daher spielt der Datenschutz eine essenzielle Rolle.

Am 24.06.2021 (Az. 10 Ca 7069/20) hat das Arbeitsgericht Köln entschieden, dass ein mangelhafter Datenschutz die Durchführung eines bEM beeinträchtigen kann. Es formulierte:

„[…] Daneben ist ein Hinweis zur Datenerhebung und Datenverwendung erforderlich, der klarstellt, dass nur solche Daten erhoben werden, deren Kenntnis erforderlich ist, um ein zielführendes, der Gesundung und Gesunderhaltung des Betroffenen dienendes bEM durchführen zu können. Dem Arbeitnehmer muss mitgeteilt werden, welche Krankheitsdaten – als sensible Daten iSv. § 3 Abs. 9 BDSG – erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden. Nur bei entsprechender Unterrichtung kann vom Versuch der ordnungsgemäßen Durchführung eines bEM die Rede sein […]“.

Im vorliegenden Fall genügte die Einladung zum bEM nicht diesen Anforderungen. Das Gericht kommt zum Ergebnis, dass die Einladung zum bEM-Gespräch somit nicht ordnungsgemäß erfolgt ist. Daraus resultiert, dass die Kündigung des Beschäftigten ungültig war.

Sollten Sie Fragen haben, so melden Sie sich bei mir.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.


Sprechen wir über Compliance!

Zum Newsletter anmelden

Ihre Einwilligung in den Versand ist jederzeit widerruflich
(z. B. per E-Mail an die im Impressum angegebenen Kontaktdaten).
Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

Microsoft-Onlinedienste

25. November 2022

Wichtiger Hinweis für Nutzer
von Microsoft-Onlinediensten

„… Die DSK [Anm.: Datenschutzkonferenz] stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.

Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden. …“

Stand: 24.11.2022

Quelle: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf

Zur Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung der AG DSK „Microsoft-Onlinedienste“ kommen Sie über den Button.

Link zur DSK (PDF)
Auf der Seite des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden Sie FAQs zu Microsoft 365, darunter auch „Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 denkbar“ und auch Hinweise zu technisch-organisatorischen Maßnahmen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Sie müssen handeln. Denn die Verantwortung liegt nicht nur bei Microsoft, sondern ebenso bei Ihnen, als den Verantwortlichen in den Unternehmen. Sie müssen entscheiden, ob sie Microsoft-Onlinedienste weiterhin nutzen oder nicht.

Bitte stimmen Sie sich unverzüglich mit Ihrem IT-Dienstleister über das weitere Vorgehen ab.

Sollten Sie Fragen haben, so melden Sie sich bitte bei mir.

Ich verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.

FAKE-SHOPS – Vorsicht Falle – Internetbetrug

12. August 2022

VORSICHT - FAKE-WEBSITES - Rasenmäherroboter im Angebot

Aus aktuellem Anlass schildere ich Ihnen dieses Beispiel.

Ein Geschäftsführer eines produzierenden Unternehmens kam aus dem Urlaub zurück. Er hatte seinen Garten einem Gala-Bauer zur Pflege anvertraut. Er war entsetzt, was er bei seiner Rückkehr sah.

Das veranlasste ihn zu der Entscheidung, dass er seinen Rasen zukünftig durch Roboter kurz halten lassen wolle.

Er suchte im Internet, befragte Nachbarn und Freunde und fand schließlich das für ihn passende Modell. Vor Ort war dieses Modell aber leider aktuell nicht vorrätig.

Der Mann setzte sich wieder vor seinen Computer und suchte nach einem passenden Angebot in unterschiedlichsten Online-Shops. Der Preis war ihm in diesem Moment nicht so wichtig. Er wollte das „Spielzeug“ nur bald bei sich wissen, um es mit seinem Cousin programmieren zu können.

Er hatte dann auch recht schnell einen Anbieter gefunden. Die Rasenmäher-Roboter waren in diesem Online-Shop etwas teurer als bei den Geschäften im Bergischen Land. Er prüfte kurz, ob es sich um einen seriösen Anbieter handelt. Er sah das Gütesiegel, bestellte und bezahlte.

Stolz berichtete er seinem Cousin vom Kauf und pries den Online-Shop in höchsten Tönen – so schnell habe eine Bestellung noch nie funktioniert.

Sein Cousin recherchierte während des Telefonats parallel im Internet.

Es stellte sich heraus, dass er einem Betrüger aufgesessen ist und der Online-Shop eine Fake-Site ist. Die Rasenmäher wird der Käufer nie erhalten und das Geld, etwa 800 EUR, ist weg. Sofort hat er Strafanzeige gestellt. Bei der diensthabenden Stelle klärte man ihn auf, dass Internetbetrügereien mit dieser (!) geringen Schadenshöhe (!) in den seltensten Fällen nachhaltig bearbeitet werden.

Er hat sich im Nachhinein die Website noch einmal angesehen; hervorragend gemacht. Da die Domain nicht in Deutschland gehostet ist, kann Deutschland diese auch nicht so einfach sperren. Google rankt die Website immer noch ganz oben.

Lange Rede, kurzer Sinn! Sofern die Datenschutzschulungen in diesem Jahr noch nicht stattgefunden haben, sollten diese kurzfristig – jetzt direkt nach den Sommerferien – angesetzt werden. Und auch der richtige Umgang mit Webseiten und Online-Shops sollte dabei nicht vergessen werden.

Sollten Sie Unterstützung benötigen, so sprechen Sie mich bitte direkt an.

Ich wünsche Ihnen gute Erkenntnisse und verbleibe auf das Herzlichste
Ihr
Hartmut Frenzel

 

PS Die Verbraucherzentrale NRW bietet jetzt auf Ihrer Website einen Fakeshop-Finder an.

 

Diese Information soll Ihnen Hilfestellung bieten und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Information mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.