Schlagwort-Archive: Datenschutzrecht

Social Media und der digitalisierte Arbeitsplatz – ein arbeitsrechtliches Beitrags-Medley zur #EFARBlogparade

Als ich sah, dass das #EFAR (Expertenforum Arbeitsrecht) zu einer Blogparade zum Thema Umgang mit sozialen Medien am Arbeitsplatz“ aufrief habe ich mich sehr gefreut und sofort gedacht „Da mach ich mit!“. Dann verzweifelte ich aber etwas, raufte mir die Haare und dachte „Ja, aber wie denn!? Soll ich denen meinen Blog schicken?!“. Denn es ist zwar richtig, dass Fragen wie unter anderem

„Ist eine Social-Media-Nutzung eigentlich stets zulässig oder nur, wenn sie zu beruflichen Zwecken erfolgt? Und wann ist sie „privat“, wann „beruflich“? Welche Kriterien können gegebenenfalls für eine solche Unterscheidung herangezogen werden? Und wie sieht es eigentlich aus, wenn neueste Pressemitteilungen oder sonstige Informationen des Unternehmens auf eigenen Seiten der Arbeitnehmer gepostet werden? [Quelle: #EFAR]“

in der arbeitsrechtlichen Literatur dem Grunde nach immer noch ein Schattendasein fristen und darüber hinaus allenfalls stiefmütterlich behandelt werden. Aber in meiner täglichen Arbeit in der Kanzlei, auf diesem Blog sowie und in den von mir regelmäßig unregelmäßig veröffentlichen Gastbeiträgen und Fachartikeln andernorts spielen alle diese Fragen – seit inzwischen sieben Jahren – eine tragende Rolle. [SPOILER: Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist ganz theoretisch immer noch möglich, praktisch jedoch weder umsetzbar noch sinnvoll.].

In dieser Zeit sind 40 Artikel zusammengekommen, die sich mit dem Umgang mit sozialen Medien im bzw. für das Unternehmen und/oder dem digitalisierten Arbeitsplatz befassen. Dabei ist das eine natürlich Voraussetzung für das andere.

Und da ich den geschätzten Kollegen des #EFAR weder einfach 40 Links in die Kommentare setzen wollte, noch sich sinnvoll schnell ein neuer Artikel schreiben lässt, der die Themen und Informationen einmal „kurz“ zusammenfasst (das nennt sich dann wohl eher Buch…), habe ich mich für einen Mittelweg entschieden: Es folgt ein kleines Medley der von mir bislang verfassten Artikel zum Thema Social Media & Digitalisierung am Arbeitsplatz – und Sie können entscheiden, welche Beiträge so verheißungsvoll klingen, dass Sie sie einer näheren Betrachtung durch einen Klick auf den jeweiligen Link unterziehen möchten.

Daneben möge Ihnen der Artikel vielleicht auch ein wenig ein kleiner Orientierungspunkt für das für Sie vielleicht noch recht neue Thema sein. Es würde mich freuen. Weiterlesen

In eigener Sache: Lehrgang „Fachanwalt für Arbeitsrecht“ – der theoretische Teil ist geschafft! | Oder: Was? Die Rechtsanwältin Diercks macht auch Arbeitsrecht?

Vielleicht ist es dem einen oder anderen aufgefallen: Von Mitte September bis kurz vor Weihnachten war es hier, wie auch auf den anderen digitalen Kanälen, relativ ruhig. Das hatte einen handfesten Grund. Nicht nur, dass viel Mandatsarbeit zu erledigen war (ja, das auch), nein, ich hatte vielmehr vergangenes Jahr beschlossen, dass ich den „Fachanwalt für Arbeitsrecht“ erlangen möchte.

„Wie, Sie machen auch Arbeitsrecht?!“

Weiterlesen

„Aus Raider wird Twix, sonst ändert sich nix“ – Aus Diercks von Dirks & Diercks Rechtsanwälte wird die Anwaltskanzlei Diercks

Na gut. Ganz so ist es auch nicht. Wie dem Titel schon zu entnehmen ist, ändert sich natürlich doch etwas. Vielleicht haben Sie schon in der formellen Ankündigung hier im Blog oder vielleicht an anderen Orten gelesen, dass sich die Dirks & Diercks Rechtsanwälte Partnerschaftsgesellschaft, deren Partnerin ich war, zum 15.09.2016 aufgelöst hat. Manchmal ist es eben Zeit für etwas Neues. Und das sieht in meinem Fall so aus:

screenshot-akd

 

Unter www.anwaltskanzlei-diercks.de bin ich wie gewohnt für Sie zusammen mit meinem bisherigen Team erreichbar. Und wie gewohnt bin ich weiterhin gerne Ihre Ansprechpartnerin für alle Fragen aus dem Bereich des IT-Rechts, des Medienrechts, des Datenschutzrechts und des angrenzenden Arbeitsrechts. Doch damit genug der Worte. Wenn Sie mögen, dann sehen Sie sich doch einfach einmal selbst auf den neuen Seiten um.

Und sonst? Sonst gibt es einen neuen Twitter-Account, den finden Sie unter @kanzleidiercks. Dort wird es ausschließlich juristische Information, also Hinweise auf Blogartikel, Beiträge von Kollegen und Urteile geben. Wenn Sie nicht abgeneigt sind, auch einmal eine persönliche Meinung zu diesem oder jenem oder einfach Mal Nonsense zu lesen, dann können Sie natürlich auch herzlich gerne meinem persönlichen Account @RAinDiercks folgen.

Hinsichtlich dieses Blogs und der Facebook-Seite zum Social Media Recht Blog ändert sich erstmal gar nichts. Erstmal? Ja, erstmal. Wie gesagt, manchmal ist Zeit für was Neues. Aber manchmal braucht das Neue noch etwas… Eines ist allerdings sicher: Das Ziel bleibt, komplexe juristische Sachverhalte verständlich und, wenn möglich, unterhaltsam für Sie aufzubereiten.

In diesem Sinne,

ach, wie immer, auf bald!

Meldung in eigener Sache II: RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Und zum zweiten Mal nutzen wir den Blog heute nicht, um ein rechtliches Problem verständlich zu sezieren, sondern zu einer weiteren Meldung in eigener Sache:

RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Weiterlesen

Der „One Pager“ des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) – Die schnelle und einfache Alternative zur Datenschutzerklärung?

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Das BMJV hat vor gut zwei Wochen, am 19.11.2015, als Ergebnis des diesjährigen IT-Gipfels ein „Muster für Datenschutzhinweise“ auf nur einer DIN-A4-Seite vorgestellt. Dieser sog. „One Pager“ soll nach eigener Aussage nun von Unternehmen genutzt werden können, um ihre Datenverarbeitung gegenüber Verbraucherinnen und Verbrauchern auf einfache Weise im Internet transparent zu machen. Hilfestellungen gibt’s im Rahmen einer Erläuterung für den Verwender des „One Pagers“. Das klingt erstmal nicht schlecht. Haben doch selbst schon einfache Unternehmenswebseiten Datenschutzerklärungen, die gerne vier DIN-A4-Seiten umfassen. Bei etwas komplexeren Telemediendiensten bzw. Geschäftsmodellen können es auch einmal fünfzehn Seiten werden.

Doch wer sich jetzt schon auf das Ende des Leidens (ergo, der umfangreichen Informationspflichten) und eine knackige Lösung zum „Selbermachen“ freut, den müssen wir an dieser Stelle leider enttäuschen. Die gesetzlichen Anforderungen an den Inhalt von Datenschutzerklärungen haben sich nämlich nicht geändert.

Angesichts dieser Tatsache drängt sich  förmlich die Frage auf, wie das BMJV den Regelungsinhalt von fünf bis zehn Seiten auf einer Seite unterbringen kann? Die Antwort führt leider zur nächsten Enttäuschung: Gar nicht.

Denn noch bleibt ein Gedanke: Wenn also weiterhin umfangreich informiert werden muss und das BMJV das irgendwie mit einer DIN-A4-Seite schafft, dann kann ich das als Unternehmen schon lange! Deshalb spar ich mir die „richtige“ Datenschutzerklärung in Zukunft einfach! Oder?

Nun ja, sagen wir es mal so:

Warum der „One Pager“ eine Datenschutzerklärung nicht ersetzt und für wen er dennoch nützlich sein kann, wird im nachfolgenden Beitrag geklärt.

Weiterlesen

Aus, aus, aus! Safe Harbor ist aus! – Zur Entscheidung des EuGH C-362/14 – Schrems

Alea iacta est. Der Gerichtshof der europäischen Union (EuGH) hat die Entscheidung der Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten („Safe Harbor“ ), für ungültig erklärt.

Es rummst gerade und zwar gewaltig.

Die wenigsten haben bis jetzt die Urteilsgründe der Entscheidung EuGH C-362/14 gelesen (ich auch noch nicht habe es bislang auch nur überflogen). Und so bleibt zunächst einmal abzuwarten, was eine Analyse desselben ergibt bzw. welche Konsequenzen das Urteil im Einzelnen letztlich tatsächlich haben wird. Fest steht jedoch schon jetzt: Es werden nicht keine sein.

Nach der Pressemitteilung des EuGH genügt das Safe Harbour insoweit nicht europäischen Datenschutzstandards, als dieses Abkommen (ungerechtfertigte) Eingriffe in die Grundrechte von Personen seitens von Behörden (insb. NSA & Co) ermöglicht und vor allem, weil dem Betroffenen keine Rechtsbehelfe gegen derartige Eingriffe zur Verfügung stehen. Folglich sei die Entscheidung der Kommission, dass „dass die USA ein angemessenes Schutzniveau gewährleistet“ ungültig. Und damit steht Safe Harbor vor dem aus.

Das ist die sehr verkürzte Darstellung der ebenfalls bereits die Urteilsgründe stark vereinfachenden Pressemitteilung des EuGH, aber so im Wesentlichen die Begründung.

Diese Entscheidung hat nicht nur für amerikanische, sondern vor allem auch für europäische und damit deutsche Unternehmen Brisanz. Hier trifft es wiederum ganz besonders solche, die auf Dienstleistungen von US-Unternehmen angewiesen sind (Gretchenfrage: Wer ist das nicht?!) und/oder die selbst etwa übergreifende (personenbezogene) Big Data Analysen, CRMs (Customer-Relationship-Management-Tools) oder Webmonitoring nutzen oder anbieten.

Das Ende der (Daten-)Welt?

Und jetzt? Das Ende der Welt? Facebook und Twitter down? Apple vor dem aus?  Wohl kaum. Die EU und USA müssen sich jetzt unmittelbar an ein neues Abkommen setzen, das wissen beide Seiten. Doch bis hier etwas steht, werden noch ein paar Tage *hust ins Land gehen. Und es gibt – neben Safe Harbor – durchaus Möglichkeiten datenschutzkonform Datentransfer zwischen den USA und Europa zu betreiben.

Schließlich war es schon immer so gewesen, dass nach § 4c Abs. 1 Nr. 3 BDSG die Übermittlung an andere Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, zulässig ist, sofern

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].

Das heißt, wenn der betroffene seine konkrete, bewusste und ausdrückliche Einwilligung gemäß der Anforderungen von § 4a BDSG gegeben hat, ist (fast) alles möglich. (Es ist aber durchaus nicht ganz einfach hier den Anforderungen zu genügen).

Ferner dürfen zur Vertragserfüllung weiterhin Daten ausgetauscht werden. Da dieses „Problem“ nun auch wahrlich kein Einzelfall ist, hält die EU Standard-Vertragsklauseln vor, nach bzw. mit denen der Transfer von personenbezogenen Daten zwischen den Parteien rechtskonform geregelt werden kann.

Last but not least, es gibt weiter die Möglichkeit für international aufgestellte Konzerne sich „betriebseigene“ verbindliche Regelungen zum Umgang mit personenbezogenen Daten – auf Basis von EU-Vorgaben – zu schaffen, diese Regelungen werden zumeist unter dem Schlagwort „Binding Corperate Rules“ abgehandelt (klingt ja auch gleich viel besser!). Auch hier steht der Konzern nicht alleine dar, die EU, bzw. konkret die Artikel 29 Datenschutzgruppe gibt hier mit dem Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen freundlicher Weise eine Handreichung (Obacht! Aus 2008. Im Zweifel mal genauer hingucken!).

Fazit (vorerst)

Safe Harbor ist aus. Das Spiel aber natürlich nicht. Es gab und gibt Wege legal mitzuspielen. Nur sind die jetzt etwas umständlicher geworden. Den Datenschutz schlicht zu ignorieren (ja, das tun immer noch relativ viele Unternehmen relativ ungeniert) wird immer ungemütlicher. Zumal die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Update (06.10.2015, 15:28): Ja, die Aufsichtsbehörden fühlen sich gestärkt. Der Hamburgische Beauftragte für Datenschutz: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).

Also, es bleibt spannend.

So auch die Frage: Was ist mit all den hübschen Social-PlugIns? Bedarf es nun Overlayer allerorten, mit denen die audrückliche Einwilligung der Nutzer eingeholt wird? Und genügt eine Einwilligung, die wie ein – lästiger – Cookie-Hinweis schlicht achtlos weggeklickt wird? Fragen über Fragen. Die Antworten kommen sicher. Beizeiten.

In diesem Sinne,

so schnell geht die Welt nicht unter, auch wenn sie sich gerade mächtig am ändern ist.

 

Truffls – Tinder für Jobs. Klingt cool. Kann das rechtlich sauber gehen?

Nicht nur in der täglichen Mandatsarbeit haben wir ständig mit Apps und deren rechtlichen Gegebenheiten zu tun, auch hier auf dem Blog haben wir das zunehmend wichtig werdenden Thema  vermehrt auf die Agenda gehoben. Erst im September hatten wir anhand von Tinder & Co einmal grundlegend den datenschutzrechtlichen  Rahmen von Apps vorgestellt. Und im Juli beschäftigten wir uns mit der „Hot or not“-App für Kollegen namens Knozen befasst.

Letztere ist in der rechtlichen Bewertung nicht so gut weggekommen, insbesondere nicht, wenn man aus der Brille des Personalers auf Knozen guckt (die mehr oder minder ausführliche rechtliche Einschätzung findet sich im Recrutainment Blog, im unteren Abschnitt des Artikels  Knozen: Mitarbeiter bewerten Kollegen per iPhone-App -´Crowdsourced Personality Profile´ oder schlicht ´der Kollege, der mich anschwärzt´?).

Nun gibt es etwas Neues: Truffls. Truffls ist Tinder für Jobs. Als der Name dieser App in meiner Timeline auftauchte, dachte ich zunächst „Ja, ja, schon wieder so ein Murks aus den USA, bei dem wahrscheinlich erstmal die Seele verkauft werden muss….“. Irgendwo hieß es dann aber, dass die App aus Deutschland kommt. Aus Deutschland? So was Innovatives? Na, das musste ich mir trotz aller derzeit vorhandener Arbeitsbelastung dann doch angucken.

Truffls funktioniert wie Tinder. Nur für Jobs.

Weiterlesen

Facebook Profil-Scans im Recruiting-Prozess? – Da gibt es nicht nur rechtliche Bedenken….

In der letzten Woche ging es quer durch die Blätter mit Aussagen wie „Facebook-Profil-Scans aussagekräftiger als Online-Assessments in Bezug auf die spätere Arbeitsleistung“. So als ob der geneigte Recruiter demnächst nur noch die Facebook-Profile der Kandidaten durchsehen, eine lässige Facebook-Nachricht versenden müsste und schon den perfekten Arbeitnehmer rekrutieren könnte. Da auch Annette Mattgey von der LEAD Digital dieses Thema aufgriff, war das für mich doch Anlass genug, endlich mal wieder etwas für die LEAD Digital zu schreiben – verknüpfen sich hier doch so schön die spannenden Themen Recruiting, Recht und Eignungsdiagnostik. Und das Buzzword Big Data kann man in dem Zusammenhang auch noch prima unterbringen. ;=)

In meinem Artikel erkläre ich, warum es rechtlich nicht so weit mit der Analyse der Facebook-Profile her ist. Die Stichworte lauten hier: Persönlichkeitsrecht des Bewerbers, Datenschutz, Compliance, Betriebsräte.

Darüber hinaus frage ich mich, in wie weit den dort genannten Studien und deren Aussagegehalt eigentlich zu trauen ist. Und ich da von Recht & Recruiting einigermaßen Ahnung (Hamburger Unterstatement *hust) habe, von Eignungsdiagnostik und Bewerberauswahlverfahren jedoch nur sehr bedingt, habe ich mir Joachim Diercks von der CYQUEST GmbH geschnappt (wozu bin ich denn sonst mit jemanden verheiratet, der sich den lieben langen Tag mit Auswahlverfahren beschäftigt, mhm?) und habe ihn nach seiner eignungsdiagnostischen Sicht der Dinge befragt.

Wer nun wissen will, was wer von uns wie genau zu Facebook-Analysen im Rekrutierungskontext sagt, der möchte doch einmal auf den folgenden Link klicken:

Warum zu viel Big Data ihrer Arbeitgeber-Marke schadet

In diesem Sinne auf bald,

hüben oder drüben.

Von der Vorratsdatenspeicherung (VDS), Geheimdiensten (NSA & Co) und privaten Datenkraken (Facebook, Google)

Zu Beginn ein wichtiger Hinweis:

Dieser Text könnte Analysen und Meinungen enthalten, die nicht wohlfeil in den digitalen Mainstream passen. Dieser Text könnte gar polarisieren.

Wenn Sie also ganz sicher Ihre Meinung behalten und diese nicht möglicherweise durch Erläuterungen zum Urteil des BVerfG zur Vorratsdatenspeicherung oder durch verfassungsrechtliche Anmerkungen bezüglich der Arbeit von ausländischen Geheimdiensten im eigenen Telefon oder von einer kleinen Streitschrift wider der oligopolartigen Stellung amerikanischer Daten-Großkonzerne beeinflussen lassen wollen, dann hören Sie am besten an dieser Stelle auf zu lesen.

Weiterlesen

Livestream zur Veranstaltung „Prism, Tempora & Co“ des Forum IT-Recht der Leibniz Universität Hannover

Die Nachrichten zu PRSIM, Tempora, Edward Snowden, Überwachungsapparaten auf Botschaften, abgehörten Kanzler-Telefonen und dergleichen reißen nicht ab. Und dass, obwohl das Thema schon lange poffallert wurde. Und zwar ausdrücklich!

Wie schon an meinem Artikel Verschlüsselt doch einfach die Emails! Oder: Das Recht auf informationelle Selbstbestimmung in Zeiten von #PRISM und #TEMPORA aus Juli 2013 ersichtlich, finde ich, dass da gar nichts zu beendet sein hat und vielmehr die Diskussionen im großen gesellschaftsübergreifenden Stil geführt werden müssen.

In Folge dessen habe ich mich auch sehr gefreut, als mich vor einigen Monat der Anruf des Instituts für Rechtsinformatik aus Hannover erreichte und ich gefragt wurde, ob ich bei dem Forum IT-Recht am 11.11.2013 dabei sein und zum Thema Prism, Tempora & Co – Zeitenwende in der Bürgerüberwachung mit

Ulrich Berzen, Leiter Abteilung 3 (Zentrale Fachunterstützung), Bundesamt für Verfassungsschutz, Köln

Gabriele Löwnau, Leiterin Referat Referat V (Polizei, Nachrichtendienste, Strafrecht, europäische und internationale polizeiliche und justizielle Zusammenarbeit) beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Berlin

Christian Horchert, Digitale Gesellschaft, Berlin

Konstantin von Notz, MdB, B90/Die Grünen, Sprecher für Innenpolitik und Netzpolitik, Berlin

Ralf Lesser, Arbeitsgruppe ÖS I 3 (Polizeiliches Informationswesen, BKA-Gesetz, Datenschutz im Sicherheitsbereich) im Bundesministerium des Innern, Berlin

gemeinsam eine Podiumsdiskussion zum oben besagten Thema führen möchte. Die Diskussionsleitung übernimmt RA Arne Nordmeyer, LLM, CMS Hasche Sigle.

Zwar kann man als Zuhörer kostenlos der Diskussion lauschen, doch da der Weg nach Hannover für einige weit ist, sind die Veranstalter nun den vielen Fragen nach einem Livestream nachgekommen. Die (hoffentlich!) spannende Diskussion wird am

11.11.2013 ab 18:00 Uhr 

via Livestream übertragen. Der Livestream wird dann unter www.forum-it-recht.de zu finden sein.

Ich freu mich drauf & bin gespannt, wie es sich so mit Polit-Profis diskutiert…

In diesem Sinne,

bis Montag in Hannover (oder an den Bildschirmen da draußen 😉 )