Datenschutz

Datendiebstahl im Betrieb

Cyber-Kriminelle, Schurkenstaaten oder doch die eigenen Mitarbeiter?

Gerade geht das US-Unternehmen Yahoo durch die Presse: dort wurden bereits 2014 die Daten von 500 Millionen Kunden gestohlen. Der Angriff kam von Extern, Hacker verschafften sich Zugang auf die Daten der Yahoo-Kunden. Das Unternehmen verdächtigt einen „ausländischen Staat“. Ob Yahoo den Diebstahl wirklich erst jetzt bemerkt hat, ist unklar. Gestohlen wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten… . Aber auch wenn man zunehmend von Hacker-Attacken auch auf Kundendaten von Unternehmen hört – der Gefahrenherd Nummer eins für die Kundendaten bleiben Mitarbeiter oder Freelancer im Betrieb.

Laut einer aktuellen Studie der Unternehmensberatung KPMG zum Thema „e-Crime“ werden über 50% der kriminellen Handlungen in Unternehmen von internen Tätern begangen. Dabei ist der Diebstahl von Daten wiederum das bei weitem häufigste Verbrechen. Nummer 1 der Risiko-Daten im Unternehmen: die Kundendaten!

Um den Daten-Diebstahl im Unternehmen einzudämmen empfehlen wir Schulungsmaßnahmen im Vorfeld. Vielen überführten Tätern in unserer eigenen Datenschutz-Praxis fehlt hier das Unrechtsbewusstsein. Machen Sie bereits bei der Einstellung klar, dass ein Daten-Diebstahl schwerwiegende Konsequenzen hat. Und: sichern Sie die eigene Kundendatenbank professionell mit Kontrolladressen ab. Die Adreko GmbH (www.adreko.de) hilft Ihnen bei Fragen gern weiter.

Wie Sie sich grundsätzlich vor Datendiebstahl im Betrieb absichern, lesen Sie hier!

Aktuelle EU-Verordnung

Alternative Streitschlichtung – neue EU-Verordnung für elektronisch abrufbare Angebote an Endverbraucher tritt in Kraft


Seit dem 9.1.2016 ist die EU-Verordnung über die Online-Beilegung verbraucherrechtlicher Streitigkeiten in Kraft (Verordnung Nr. 524/2013). Diese Verordnung richtet sich an Unternehmen innerhalb der EU, die über eine Website, beziehungsweise einen anderen digitalen Kanal, Waren oder Dienstleistungen für Endverbraucher anbieten. Allerdings geht es hier eben explizit um Verbraucher – nicht um das B2B-Geschäft.

Was ist zu tun?

Die Verordnung beinhaltet, dass Unternehmen für Endverbraucher einen leicht zugänglichen und einfach zu findenden Link zur von der EU betriebenen Plattform für Online-Streitbelegung (OS-Stelle) platzieren. In Kraft ist die Verordnung wie gesagt seit dem 9.1. – die Plattform selbst soll es ab dem 15.2.2016 sein.

 Diesen Link müssen Sie auf Ihrer Website platzieren

Die Plattform finden Sie hier: http://ec.europa.eu/consumers/odr/. Da es sich um eine EU-Verordnung handelt, ist sie auch sofort wirksam – sie muss nicht in eigenes nationales Gesetz „übersetzt“ werden.

Meine Empfehlung

Sollten Sie es noch nicht getan haben, platzieren Sie den Link – am besten mit einer kleinen Erläuterung – jetzt gleich und dort, wo Verbraucher Geschäfte mit Ihnen elektronisch abwickeln. Am besten unter den AGBs oder im Bereich Kundenservice auf Ihrer Website.
Brandaktuelle Datenschutz-Informationen und wie Sie diese direkt umsetzen, hier!


Datenschutz

Dürfen Mitarbeiterdaten jetzt kraft Betriebsvereinbarung herausgegeben werden?

Der Automobilkonzern Daimler hat mit seinem Betriebsrat eine Betriebsvereinbarung geschlossen, die es dem Konzern möglich macht, die Mitarbeiterdaten mit den aktuellen Terrorlisten abzugleichen. Mitarbeiter, die auf einer der Listen auftauchen, werden sofort freigestellt und bekommen kein Geld mehr. Die Wogen schlagen hoch – und die Frage steht im Raum, ob Sie als Betriebsrat überhaupt berechtigt sind, solche Vereinbarungen zu schließen.

Grundsätzlich gilt erst einmal: Kein Gesetz zwingt Unternehmen, die Daten von Mitarbeitern zu erheben, um sie mit Terrorlisten abzugleichen. Ganz im Gegenteil: Daten zu erheben und zu speichern und an Dritte herauszugeben, ist Ihrem Arbeitgeber zunächst einmal sogar untersagt. Es sei denn, er bewegt sich im Rahmen der gesetzlichen Ausnahmeregelungen. Demnach kann er die Daten seiner Beschäftigten dann an Dritte weitergeben, wenn es dazu eine Erlaubnis gibt und der Arbeitgeber die Weitergabe rechtfertigen kann.

Doch wie sieht das bei Terrorlisten aus?
Erstaunlich: Einen Zwang, Daten abzugleichen, gibt es nicht. Aber: Zur Terrorismusbekämpfung – wie sich der Autobauer gegenüber seinen Mitarbeitern rechtfertigt – ist die Herausgabe von Mitarbeiterdaten zulässig. So heißt es im Bundesdatenschutzgesetz (BDSG), dass die Übermittlung von Daten dann gestattet ist, wenn sie der öffentlichen Sicherheit dient – also Gefahren abgewendet werden müssen. Daneben gibt es auch noch die Rechtsakte der Europäischen Union – zum Beispiel die sogenannte „Taliban- Verordnung“. Demnach müssen Gehälter von Personen, die auf einer Terrorliste auftauchen, eingefroren werden. Das macht deutlich: Vor allem international aufgestellte Konzerne stehen unter Zugzwang. Daimlerzählt dazu. Deshalb kann der Konzern mit dem Betriebsrat auch eine entsprechende Vereinbarung treffen beziehungsweise der Betriebsrat mit dem Arbeitgeber. Doch wie sieht es in mittelständischen Betrieben aus? Und welche Rolle kommt Ihnen als Betriebsrat hier beim Datenschutz zu?

Ihre Rolle als Betriebsrat
Als Betriebsrat ist es Ihre Aufgabe zu überwachen, ob Ihr Arbeitgeber den Datenschutz gegenüber Ihren Kollegen wahrt. Zudem spielt der Datenschutz bei der Mitarbeiterüberwachung oft eine entscheidende Rolle. Hier haben Sie ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG).

Daten von Ihnen und Ihren Kollegen
Personenbezogene Daten von Arbeitnehmern, Auszubildenden sowie Bewerbern darf Ihr Arbeitgeber nach dem neuen BDSG nur insoweit erheben und verwerten, als dies für die Entscheidung über den Beginn, die Durchführung oder die Beendigung der Beschäftigung erforderlich ist (§ 32 Abs. 1 Satz 1 BDSG).

Beispiel: Ihr Arbeitgeber darf Krankheitsdaten speichern, wenn er diese benötigt, um die Lohnfortzahlung richtig zu gewähren oder um darauf aufbauend ein Eingliederungsmanagement zu regeln. Auch wenn er die Daten als Basis für eine krankheitsbedingte Kündigung benötigt, darf er sie speichern und verwerten. Aber: Er darf sie nicht nutzen, um eine Liste hinsichtlich der krankheitsbedingten Arbeitsunfähigkeit der Kollegen zu erstellen. Er darf z.B. auch Lohnsteuerklasse und Kontoverbindung speichern, da er die Daten benötigt, um das Gehalt zu überweisen.

Achtung! In Ausnahmefällen darf Ihr Arbeitgeber nach § 32 Abs. 1 Satz 2 BDSG personenbezogene Daten zur Aufdeckung von Straftaten, die im Arbeitsverhältnis begangen wurden, erheben. Beispiele: Diebstahl, Unterschlagung. Voraussetzung dafür ist allerdings, dass Ihr Arbeitgeber tatsächlich Anhaltspunkte für eine Straftat des Beschäftigten hat und diese dokumentiert. Zudem muss die Erhebung verhältnismäßig sein. Das heißt: Ihr dürfen keine übermäßigen schutzwürdigen Interessen des Beschäftigten entgegenstehen. Nach § 32 Abs. 2 BDSG wird zudem der Anwendungsbereich des 1. Absatzes auch auf die nicht automatisierten Datenerhebungen erweitert. Sogar handschriftliche Aktenvermerke oder Notizen fallen unter diese Grundsatzregelung.

Tipp: Ihre Kolleginnen und Kollegen haben zu jeder Zeit einen Anspruch darauf, ihre Personalakte einzusehen. Wenn Sie dann darin Daten finden, die ohne Rechtfertigung gesammelt worden sind, haben sie immer einen Anspruch darauf, dass diese von Ihrem Arbeitgeber auch wieder gelöscht werden

Auf diese Informationen haben Sie Anspruch

Damit Sie Ihrer Überwachungspflicht und auch der Umsetzung entsprechender Mitbestimmungsrechte nachkommen können, steht Ihnen als Betriebsrat ein umfassendes Informationsrecht zu. Nach § 80 Abs. 2 BetrVG müssen Sie rechtzeitig informiert werden. Ihr Arbeitgeber muss Ihnen als Betriebsrat grundsätzlich alle Unterlagen zur Verfügung stellen, die Sie zur Durchführung Ihrer Aufgaben benötigen.

Das heißt:

    • eine Übersicht aller bestehenden Dateien, in denen personenbezogene Daten der bei Ihnen beschäftigten Arbeitnehmer gespeichert sind, gleichgültig, ob die Speicherung im eigenen Unternehmen oder extern erfolgt.
    • Personenbezogene Daten, die beim Arbeitgeber selbst verarbeitet werden und solche, die an andere Unternehmen vermittelt werden.
    • Maßnahmen, die getroffen werden, um sicherzustellen, dass die an andere Unternehmen übermittelten Daten nur zu den vereinbarten Zwecken verarbeitet werden.
    • Die eingesetzten Programme mit Namen und Kurzbeschreibung.
    • Das Pflichtenheft, den Datenflussplan und die Systembeschreibung. Diese Informationen muss Ihr Arbeitgeber auch dem betrieblichen Datenschutzbeauftragten zur Verfügung stellen (§ 4g Abs. 2 BDSG). Schließen Sie sich also im Zweifel mit diesem kurz.

Fazit: Nutzen Sie Ihr zwingendes Mitbestimmungsrecht
Immer, wenn sich Ihr Arbeitgeber bei der Erhebung von personenbezogenen Daten einer technischen Einrichtung bedient, kommt er nicht an Ihnen vorbei (§ 87 Abs. 1 Nr. 6 BetrVG). Lassen die Daten Rückschlüsse auf das Verhalten und die Leistung Ihrer Kollegen zu, müssen Sie mitbestimmen.

Sorgen Sie für die Einhaltung der Vorschriften
Leider haben Sie nicht die Möglichkeit, die Einhaltung der Vorschriften im Beschlussverfahren durchzusetzen. Sie können sich jedoch bei Verstößen gegen den Datenschutz an die Aufsichtsbehörde und/oder den betrieblichen Datenschutzbeauftragten wenden. Diese müssen dann dafür sorgen, dass Ihr Arbeitgeber Abhilfe schafft.

Schaffen Sie Rechtssicherheit
Kümmert sich Ihr Arbeitgeber Ihrer Meinung nach nicht ausreichend um den Datenschutz, weisen Sie ihn auf seine Pflicht hin. Beruft er sich dabei auf § 28 Abs. 1 Nr. 2 BDSG und stellt sich später heraus, dass er personenbezogene Daten gespeichert oder genutzt hat, ohne dies zu dürfen, hat er eine Ordnungswidrigkeit begangen. Ein solcher Konflikt wird am besten durch eine Betriebsvereinbarung gelöst, ein Muster sende ich Ihnen gerne zu (redaktion@ultimo-verlag.de)
Alles, was Sie zum Thema Mitarbeiter-Datenschutz wissen müssen, hier!