Archiv der Kategorie: Compliance

Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Weiterlesen

Die Datenschutzgrundverordnung macht IT-Richtlinien Feuer unter dem Hintern! (Teil 7) – Oder: Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Symbolbild für: Orr. Diese DSGVO!

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Weiterlesen

Wie läuft das jetzt mit dem Datenschutz ab 2018 in Deutschland? – Oder: DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU)

Das neue Jahr ist da. Hurra! Und wir wenden uns trotzdem gleich wieder einem alten Bekannten zu: dem Datenschutz. Schließlich schreiben wir jetzt 2017 und damit ist es auch auf dem Kalenderblatt nicht mehr weit bis zu 2018. Der geneigte Leser des Blogs weiß, worauf ich hinaus möchte. Ab Mai 2018 wird der Datenschutz in Deutschland und Europa durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Mit den Änderungen, die damit und insbesondere für Unternehmen einhergehen, haben wir uns hier schon eingehend mit unserer – inzwischen sechsteiligen! – Blog-Serie zur DSGVO befasst. (Wenn Sie noch nichts von einer ominösen Datenschutzgrundverordnung gehört haben sollten, aber in Ihrem Unternehmen Verantwortung tragen, dann kann ich Ihnen nur dringend raten einmal einen Blick in die Blog-Serie zuwerfen).

Sinn und Zweck oder Idee der DSGVO ist bekanntermaßen eine europaweite, einheitliche und verbindliche Regelung des Datenschutzes zu schaffen, um den momentan bestehenden „datenschutzrechtlichen Flickenteppich“ eben dort zu beseitigen. Das ist gut.

Doch gemeinhin ist nichts so einfach, wie es auf den ersten Blick scheint. Und so dürfen wir uns hier im Zusammenhang mit der DSGVO – als wäre das nicht alles kompliziert genug –  mit dem nationalen Entwurf des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschäftigen. Dieses Gesetz wird auch Datenschutz-Anpassungs- und -Umsetzungsgesetz EU oder DSAnpUG-EU genannt. Ich gestehe, auch mit den Abkürzungen wird es nicht besser, es bleibt ein Wortungeheuer. Doch es nützt nichts, wer DSGVO sagt, der wird auch DSAnpUG-EU sagen müssen. Was es aber mit diesem Entwurf „Datenschutz-Anpassungsgesetz“ auf sich hat und warum es sich auch für Unternehmen lohnt, diese zugegebenermaßen erst ganz am Anfang stehende Gesetzesentwicklung schon jetzt zu verfolgen, zeigen wir nachfolgend auf. Damit Sie aber nach dieser trockenen Einleitung überhaupt einen Grund haben, weiterzulesen, (Ha! Erwischt! Sie wollten gerade wegklicken!), spoiler ich hier ein wenig und verrate Ihnen, dass es um eine neuen Entwurf eines nationalen Bundesdatenschutzgesetz (Hä? Sollte das nicht gerade durch die DSGVO abgelöst werden? – Ja, das erkläre ich Ihnen gleich!) und unter anderem um diese Themen gehen wird:

  • Grundsatz der Zweckbindung, Verarbeitung über die Zweckbindung hinaus, Verarbeitung von allgemein zugänglichen Daten
  • Beschäftigendatenschutz
  • Videoüberwachungen
  • Big Data, Scoring und Verbraucherkredite
  • Die automatisierte Entscheidung im Einzelfall
  • Informationsrechte und Pflichten (Datenschutzerklärungen…)
  • Bestellung eines Datenschutzbeauftragten
  • Besondere personenbezogene Daten (sensible Daten zur Gesundheit, Sexualität oder Gewerkschaftszugehörigkeit).

Weiterlesen

Was tun bei geschäftsschädigenden Äußerungen von Mitarbeitern in Social Media?

Welch unangenehme Frage. Eine, der sich kaum ein Unternehmen gerne stellen möchte. Und doch sollte das Unternehmen als Arbeitgeber auf eben eine solche vorbereitet sein. Denn natürlich lesen sich Sätze aus der Corporate Communications Strategy wie dieser

Durch die Einbindung der Mitarbeiter in die Markenkommunkation können signifikante Steigerung der positiven Markenidentifikation erreicht werden.

ganz hervorragend und wie der leichte Schlüssel zum Glück. Doch das Unglück beziehungsweise der kommunikative Alptraum liegt nicht fern, wenn die Beiträge von Mitarbeitern in sozialen Netzwerken keinen geschäftsfördernden, sondern geschäftsschädigenden Charakter annehmen.

An dieser Stelle muss sich ein Unternehmen die Frage nach der „richtigen“ Reaktion stellen und den „richtigen“ Weg gehen.


Weiterlesen

Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO) – Teil 6 zur EU-DSGVO

Ab Mai 2018 wird der Datenschutz in Deutschland und Europa überwiegend durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Was die DSGVO eigentlich ist (Teil 1), welche neuen Begriffe verwendet werden (Teil 2), wann eine Datenverarbeitung künftig zulässig sein wird (Teil 3) und welche Pflichten mit der DSGVO auf Unternehmen zukommen (Teil 4 und Teil 5), haben wir bereits in einer mehrteiligen Beitragsreihe erörtert. Was fehlt – und das holen wir nun nach – sind einige Worte zu den Fragen, welche Änderungen die DSGVO im Bereich „Big Data“ mit sich bringt und was das für die tägliche Arbeit der Unternehmen bedeutet.

Nachfolgend gehen wir dazu einmal kurz auf die Frage ein, was Big Data denn im vorliegenden Kontext nun eigentlich heißen soll, wie sich das Ganze unter dem BDSG „gestaltete“ (*hust – eigentlich gar nicht) und ob es die DSGVO denn nun besser macht, für all die Geschäftsmodelle, die eben auf solchen Data-Analysen basieren (Spoiler: Leider nicht so sehr).

Weiterlesen

Kündigung wegen Äußerungen in Social Media – Gleiches Spiel, anderes Ergebnis: Das Urteil des Arbeitsgericht Herne (Az. 5 Ca 2806/15)

Es ist noch gar nicht so lange her, da haben wir anhand eines Urteils des Arbeitgerichts Mannheim, (Az. 6 Ca 190/15) hier im Blog den Fall eines Arbeitnehmers besprochen, dem auf Grund der Verbreitung menschenverachtender Äußerungen auf Facebook außerordentlich gekündigt wurde. In Mannheim entschied das Gericht, dass die Kündigung unwirksam war.

Soweit so gut. Der Vollständigkeit halber müssen wir uns aber auch mit einem ähnlichen Fall des Arbeitsgerichts Herne (Az. 5 Ca 2806/15) beschäftigen, in dem es um die außerordentliche Kündigung eines Arbeitnehmers wegen der Verbreitung volksverhetzender Äußerungen auf Facebook geht. Soweit so ähnlich? Ja. Aber in diesem Fall wurde – nun auch rechtskräftig – entschieden, dass die Kündigung rechtmäßig und damit wirksam ist.

Wie kommt es nun, dass die Gerichte zwei inhaltlich auf den ersten Blick vergleichbare Fälle unterschiedlich bewerten?

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Weiterlesen

Die Verträge (in) der Medien- und IT-Branche – Teil 2: Vom agilen Projektvertrag, Software-Entwicklungsvertrag, SaaS-Vertrag, Internet-Systemvertrag und vielen mehr

Im ersten Teil haben wir uns mit den Grundlagen der Vertragsgestaltung befasst und verdeutlicht, warum der Abschluss „vernünftig“ ausgearbeiteter Verträge auch und gerade im IT- und Medienbereich – egal ob bei kleinen oder großen Projekten – sehr empfehlenswert ist. In diesem Teil stellen wir nun exemplarisch einige Vertragsformen vor, die durchs Medien- und IT-Universum geistern. Alle dieses Verträge regeln „moderne“ Sachverhalte. Trotzdem finden auch hier die guten (nun ja…) jedenfalls „alten“ Regelungen des BGB Anwendung. Und da es nun einmal keinen Software-as-a-Service-Entwicklungsvertrag im BGB gibt, müssen wir uns einmal ansehen, welche Regelungen des BGB hier einschlägig sein könnten bzw. als was und wie diese Verträge in der Praxis einsortiert werden und/oder ob sich nicht aus der Praxis „Verträge eigener Art“ entwickelt haben.

Ob das nicht unwichtig ist? – Nein, das können wir vorweg nehmen. Unwichtig ist es keinesfalls um was für einen Vertragstyp es sich handelt, denn es ergeben sich ganz unterschiedliche Rechte und Pflichten der Vertragsparteien, je nach dem welcher Vertragstyp vorliegt. Dazu haben wir schon eine Menge in Teil 1 geschrieben, aber hier zur Erinnerung noch ein einfaches Beispiel: Miete ich einen Server, muss ich diesen nach Ende der Mietzeit zurückgeben und für die vereinbarte Zeit die Miete zahlen. Kaufe ich den Server, zahle ich den Kaufpreis und kann mit dem Server machen was ich will. Miete und Kauf bieten gänzlich andere Voraussetzungen, Pflichten und Rechtsfolgen auf. Von daher sollte man

  1. wissen, ob es sich bei dem Projekt um ein Rechtsgeschäft handelt, dass einem der Vertragstypen des BGB entspricht – denn nur dann weiß ich, welche Rechte etwa bei Mängeln mir oder der Gegenseite zustehen und/oder ob ich mir nicht vertraglich günstigere Regelungen einräumen lassen möchte.
  2. erkennen können, ob es sich um ein Rechtsgeschäft handelt, bei dem sehr viele Vertragsarten eine Rolle spielen und schon deswegen geraten ist, sich näher mit einer Konkretisierung zu befassen, was eigentlich wer wem wie schuldet.

Doch fangen wir einmal ganz von vorne an. Nämlich dabei, wie so ein „Projekt“ tatsächlich oft beginnt.

Weiterlesen

Wir verlosen 5 Magazine des Upload Magazin Nr. 38 „Restart“ – inkl. Bonustrack „IT- und Internet-Richtlinien für Unternehmen: Social Media Guidelines sind nur der Anfang“

In der neuesten Ausgabe des Magazin UPLOAD Nr. 38 dreht sich mit dem Themenschwerpunkt „Restart“ , nun, wie der Name schon sagt, alles darum, wie man einen eleganten Neustart oder Relaunch hinlegt. Zwei Artikel beschäftigen sich mit dem Thema Website-Relaunch, außerdem zeigt das Upload Magazin Firmen, die sich immer wieder neu erfunden haben und liefert drei Beispiele für Menschen, die den beruflichen Neuanfang gewagt haben. Dazu gibt es zwei Bonustracks, äh, Artikel: Zum einen, was Unternehmen jetzt über Instagrams neues „Stories“-Feature wissen sollten. Und zum anderen, warum Social-Media-Richtlinien aus rechtlicher Sicht nur ein Anfang sind.

Dass der Upload-Artikel  „IT- und Internet-Richtlinien für Unternehmen: Social Media Guidelines sind nur der Anfang“ aus meiner Feder stammt, war nun vermutlich nicht allzu schwer zu erraten. In der Einleitung dazu heißt es:

Social Media Guidelines sind nicht nur weiterhin wichtig, sondern außerdem nur der Anfang. Denn wenn ein Unternehmen im Social Web aktiv ist, stellen sich zugleich viele rechtliche Fragen. Dieser Artikel von Rechtsanwältin Nina Diercks geht auf die wichtigsten ein. Sie betreffen beispielsweise das Persönlichkeitsrecht der Mitarbeiter im Wettstreit mit den Dokumentationspflichten des Unternehmens. Wem Social-Media-Accounts eigentlich gehören. Ob man Konversationen per Facebook-Messenger aufbewahren muss. Und vieles mehr.

Wenn Sie dazu unmittelbar mehr wissen möchten, dann bitte hier entlang, der Artikel ist seit heute frei zugänglich. (Besten Dank an die Redaktion!)

Wer nun neugierig geworden ist und all die anderen spannenden Beiträge zum Thema „Restart“ lesen, möchte, der kauft sich einfach die Ausgabe Nr. 38 des Upload-Magazins oder schließt gleich an Abonnement ab. Oder… versucht es zunächst einmal mit ein wenig Glück, denn:

Achtung! Wir verlosen 5 aktuelle Ausgaben des Upload Magazins als eBook (eMagazine)!

Fünf eBook Ausgaben der Ausgabe Nr. 38 „Restart“ warten hier darauf gewonnen zu werden. Wer sich das Magazin also ins virtuelle Bücherregal stellen möchte, kann mit ein wenig Glück eine eBook der Ausgabe Nr. 38 in unserer Verlosung gewinnen. Wie das geht? Nun ganz einfach so:

Unter allen Teilnehmern, die bis Freitag, den 09. September 2016, 24.00 Uhr  eine E-Mail mit dem Betreff „Unternehmensrichtlinien“ an unsere Mitarbeiterin Daniela Schulz unter schicken, losen wir am 12. September 2016 die glücklichen fünf Gewinner aus, die sich jeweils über einen e-Code freuen dürfen, den wir anschließend versenden.

Die vollständigen Teilnahmebedingungen  sowie unsere Datenschutzerklärung zu diesem Gewinnspiel können Sie unter den jeweiligen Links abrufen.

Bitte lesen Sie die Teilnahmebedingungen und die Datenschutzerklärung sorgfältig, denn mit der Übersendung der Teilnahme-E-Mail an uns erklären Sie sich mit diesen ausdrücklich einverstanden!

In diesem Sinne,

Viel Glück!

 

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 4

Mitautor: Christian Frerix*

Huch! Da bin ich ja schon wieder, obwohl wir noch gar nicht September haben. Doch wohl an. Diesmal geht es wieder um die EU-Datenschutzgrundverordnung, kurz DSGVO. In Teil 4 geht es um:

Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten 

[Bonustrack: Der Datenschutzbeauftragte unter der DSGVO]

Wir wir schon in Teil 1 „Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung“ sagten, bringt die im Mai 2018 Geltung erlangende und ab dann auch den Datenschutz in Deutschland regelnde europäische Datenschutzgrundverordnung (DSGVO)  jede Menge Änderungen mit sich, auf die sich Unternehmen künftig einstellen müssen. Es ändern sich sowohl die Begrifflichkeiten (siehe dazu Teil 2 „Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt“) als auch etliche Voraussetzungen zur Datenverarbeitung (Teil 3 – „Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen“).

Doch damit nicht genug. Die DSGVO verschärft die Dokumentationspflichten, die Datensicherungspflichten und die Meldepflichten. (Auch die Informations- und Auskunftspflichten, aber dazu wird es einen weiteren Artikel geben…). Das bedeutet, dass alle Unternehmen Ihre datenschutzrechtlichen Strukturen bis 2018 unbedingt auf den Prüfstand stellen sollten.

Weiterlesen