Schlagwort-Archive: DSGVO

Fragenkataloge der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO – Teil 11 zur EU-DSGVO

Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.

Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…

Weiterlesen

Compliance ist nicht nur Recht, sondern auch Kommunikation – ein Interview mit der Kommunikationsberaterin Jeanette Wygoda

Gastbeiträge oder Interviews finden sich in diesem Blog äußerst selten. Doch wenn es passt, dann lasse ich natürlich gerne auch einmal andere zu Wort kommen. So wie zum Beispiel den Strafverteidiger Christoph Nebgen, der sich der Strafbarkeit des Cybermobbings annahm. Heute passt es wieder einmal. Und zwar in Sachen Compliance. Zu Compliance unter strafrechtlichen Gesichtspunkten ließe sich natürlich auch eine Menge schreiben. Doch wer mich kennt, der weiß, dass ich doch viel lieber präventiv berate und gestalte als gefallene Kinder aus dem Brunnen zu holen. Darum soll es heute um den – wie ich finde – unglaublich spannenden Aspekt der Compliance-Kommunikation innerhalb des Unternehmens gehen.

Aus meiner Praxis kenne ich Fälle wie den Folgenden zur Genüge:

Ein Recruiting-Prozess wie das Sourcing soll im Unternehmen rechtlich geprüft und auf saubere Füße gestellt werden. Bei der gewünschten „kurzen“ rechtlichen Begutachtung fällt auf, dass dem Unternehmen zwingend erforderliche Dokumente wie eine IT-Richtlinie fehlen. (Wenn Sie wissen möchten, warum etwa eine IT-Richtlinie zwingend erforderlich ist, um „compliant“ zu sein, können Sie gerne einmal hier hineinsehen). Der für das Projekt verantwortliche Personalreferent zuckt an dieser Stelle allerdings zusammen. Denn wenn eine IT-Richtlinie fehlt, bedeutet das, dass nicht nur mit der IT gesprochen werden muss, sondern dass dieses Thema auch noch bei den Leitungen platziert werden muss. Das ist mühsam für den Personalreferenten. Und sehr oft sind solche Themen bei den Leitungen weder gelitten noch willkommen. Das wiederum hat zur Folge, dass sich zum Beispiel der Personalreferent in unserem Fall die Schuhe der Verantwortung nicht überstreifen mag und das Problem mit einem „Das ist nicht meine Aufgabe“ nach dem Verfassen einer kurzen Notiz an den Vorgesetzten, die so geschrieben ist, dass sie sicher untergeht, aussitzt. Sprich, der neue Recruiting-Prozess wird implementiert. An der wichtigen IT-Richtlinie mangelt es jedoch noch immer. Ein Problem. Für das Unternehmen. Und die Compliance-Abteilung.

Und hier kommt jetzt meine heutige Interview-Partnerin ins Spiel. Jeanette Wygoda ist seit gut 20 Jahren in der Kommunikation tätig. Dabei leitete sie lange Jahre die interne Kommunikation eines großen Zeitschriftenverlages, bevor sie schließlich den – nach eigenen Angaben lange überfälligen – Schritt in die Selbstständigkeit ging. Heute berät Jeanette Wygoda DAX-Unternehmen wie Mittelständler darin, Compliance in allen Facetten intern zu kommunizieren und damit Kulturveränderungen im Unternehmen hervorzurufen und zu befördern.

Jeanette Wygoda by Rieka Anscheit

Ich freue mich sehr, dass sich Jeanette zu einem Interview zu diesem spannenden Thema bereit erklärt hat, legen wir doch einfach mal los!

Weiterlesen

Social Media und der digitalisierte Arbeitsplatz – ein arbeitsrechtliches Beitrags-Medley zur #EFARBlogparade

Als ich sah, dass das #EFAR (Expertenforum Arbeitsrecht) zu einer Blogparade zum Thema Umgang mit sozialen Medien am Arbeitsplatz“ aufrief habe ich mich sehr gefreut und sofort gedacht „Da mach ich mit!“. Dann verzweifelte ich aber etwas, raufte mir die Haare und dachte „Ja, aber wie denn!? Soll ich denen meinen Blog schicken?!“. Denn es ist zwar richtig, dass Fragen wie unter anderem

„Ist eine Social-Media-Nutzung eigentlich stets zulässig oder nur, wenn sie zu beruflichen Zwecken erfolgt? Und wann ist sie „privat“, wann „beruflich“? Welche Kriterien können gegebenenfalls für eine solche Unterscheidung herangezogen werden? Und wie sieht es eigentlich aus, wenn neueste Pressemitteilungen oder sonstige Informationen des Unternehmens auf eigenen Seiten der Arbeitnehmer gepostet werden? [Quelle: #EFAR]“

in der arbeitsrechtlichen Literatur dem Grunde nach immer noch ein Schattendasein fristen und darüber hinaus allenfalls stiefmütterlich behandelt werden. Aber in meiner täglichen Arbeit in der Kanzlei, auf diesem Blog sowie und in den von mir regelmäßig unregelmäßig veröffentlichen Gastbeiträgen und Fachartikeln andernorts spielen alle diese Fragen – seit inzwischen sieben Jahren – eine tragende Rolle. [SPOILER: Eine Unterscheidung zwischen dienstlicher und privater Nutzung ist ganz theoretisch immer noch möglich, praktisch jedoch weder umsetzbar noch sinnvoll.].

In dieser Zeit sind 40 Artikel zusammengekommen, die sich mit dem Umgang mit sozialen Medien im bzw. für das Unternehmen und/oder dem digitalisierten Arbeitsplatz befassen. Dabei ist das eine natürlich Voraussetzung für das andere.

Und da ich den geschätzten Kollegen des #EFAR weder einfach 40 Links in die Kommentare setzen wollte, noch sich sinnvoll schnell ein neuer Artikel schreiben lässt, der die Themen und Informationen einmal „kurz“ zusammenfasst (das nennt sich dann wohl eher Buch…), habe ich mich für einen Mittelweg entschieden: Es folgt ein kleines Medley der von mir bislang verfassten Artikel zum Thema Social Media & Digitalisierung am Arbeitsplatz – und Sie können entscheiden, welche Beiträge so verheißungsvoll klingen, dass Sie sie einer näheren Betrachtung durch einen Klick auf den jeweiligen Link unterziehen möchten.

Daneben möge Ihnen der Artikel vielleicht auch ein wenig ein kleiner Orientierungspunkt für das für Sie vielleicht noch recht neue Thema sein. Es würde mich freuen. Weiterlesen

Stirbt Active Sourcing unter der ePrivacy Verordnung? – Active Sourcing und Talent Relationship Management (TRM) unter der Datenschutzgrundverordnung II – Teil 10 zur EU-DSGVO

Fast zwei Monate ist es her, dass hier der Artikel Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO I erschien. Dort erläuterten wir, wie sich die Rechtslage hinsichtlich der Kandidatensuche und der Anlage eines Kandidatenpools ab 2018 gestaltet und welchen (erweiterten) Dokumentations- und Informationspflichten Unternehmen spätestens dann nachkommen müssen.

Nun, ein paar sehr arbeitsintensive Wochen und einen phantastischen – natürlich 😉 viel zu kurzen – Urlaub später geht es heute um die rechtlichen Fragen der Kandidatenansprache im Hinblick auf die Änderungen, die uns 2018 erwarten. Das sind – leider – weder kleine Änderungen noch sehr angenehme und das hat vor allem mit der schon im Titel genannten ePrivacyVO zu tun. Man könnte sagen, es wird eher dunkel.

Doch der Reihe nach.

Weiterlesen

“Silo-Denken“ in Unternehmen ist auch ein Compliance-Problem“ – Interview mit Rechtsanwältin Nina Diercks zum Thema Datenschutz und Compliance veröffentlicht in dem Blog von Jeanette Wygoda

Silo-Denken? Compliance-Probleme? Hat Nina Diercks die Branche gewechselt und macht jetzt Unternehmenskommunikation? – Nein, natürlich nicht! Die Expertin für interne Unternehmenskommunikation ist immer noch Jeanette Wygoda. Mit eben dieser hat die Rechtsanwältin zum Thema Compliance, Recht und ja, auch dem Silo-Denken ein Interview geführt.

Das Thema Compliance ist im Blog natürlich immer wieder ein Thema. Bedeutet Compliance doch nichts anderes als Rechtskonformität. (Während ersteres aber eher zum Wegdösen der Geschäftsführung führt, bedeutet letzteres regelmäßig sofort einen hellwachen Vorstand).

In letzter Zeit ist das Wort „Compliance“ hier sehr häufig im Zusammenhang mit der DSGVO (EU-Datenschutzgrundverordnung) gefallen, die ab Mai 2018 dafür sorgt, dass ein datenschutzrechtlicher Compliance-Verstoß wahrlich kein Kavaliersdelikt mehr ist.

[Wenn Sie mehr zur DSGVO und den Folgen für Unternehmen wissen möchten, dann werfen Sie doch einen Blick in unsere 9-teilige Serie dazu, die von einem Blick auf die grundlegenden datenschutzrechtlichen Rechten und Pflichten der Unternehmen bis hin zu konkreten Themen wie  Actice Sourcing und das Talent Relationship Management reicht].

Jeanette Wygoda und Rechtanwältin Nina Diercks beleuchten in dem Interview unter dem Titel „“Silo-Denken“ in Unternehmen ist auch ein Compliance-Problem“ einen weiteren Aspekt, nämlich den der internen Kommunikation. Dabei geht es vor allem darum, wie das klassische „Silo-Denken“ (also das Denken in rein bereichs- bzw. abteilungsbezogenen Verantwortlichkeiten) insbesondere in Bezug auf die Datenschutz-Compliance zu einer äußerst unangenehmen Falle werden kann.

Hier geht es zum vollständigen Artikel

“Silo-Denken“ in Unternehmen ist auch ein Compliance-Problem

Wir wünschen viel Spaß beim Lesen!

Ihre Kathrin Meyer

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Mitautor: Christian Frerix

Viele Unternehmensverantwortliche wissen um die Pflicht zur Bestellung einer/s Datenschutzbeauftragten (DSB; die im Folgenden verwendete männliche Form gilt für Personen beiderlei Geschlechts gleichermaßen). Dennoch führt die „Spezies“ der Datenschutzbeauftragten in der unternehmerischen Wahrnehmung oftmals noch ein Schattendasein. Und ebenso so oft scheint es so zu sein, als habe derjenige den Hut des internen DSB auf, der schlicht den Kopf nicht schnell genug weggezogen hat. Ein Grund dafür mag darin liegen, dass die Beschäftigung mit diesem Thema häufig mehr Fragen aufwirft, als sie beantwortet. Brauche ich einen DSB? Was macht dieser überhaupt? Wer darf es überhaupt sein sein? Und ist dieser dann echt unkündbar? Und überhaupt, was muss denn noch alles beachtet werden?

Sollten auch Sie zu denjenigen gehören, die sich Tag und Nacht  (okay, okay, hin und wieder, eben wenn Sie denken „Da war doch noch was….?“) mit diesen Fragen beschäftigen, dann sollten Sie mit den folgenden Zeilen Ihre Antworten finden.

Und auch wenn Sie bereits einen DSB beschäftigen oder selbst einer sind,  lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) bis 2018 nicht um dieses Thema herum. Weiterlesen

Der Entwurf zur E-Privacy-Verordnung, das Verhältnis zur DSGVO und seine Bedeutung für die Praxis

Mitautor: Christian Frerix

Es dürfte sich mittlerweile herumgesprochen haben, dass die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 für die Regelung des Datenschutzes in ganz Europa maßgeblich sein wird. Unternehmen beschäftigen sich daher intensiv mit den bevorstehenden Änderungen und Neuerungen, die diese mit sich bringt. Oder sollten sich zumindest damit beschäftigen, da es ja nun nicht mehr lange hin ist, bis diese gelten. Aber das wissen unsere treuen Blogleser(innen) ja alles schon aus der – bereits siebenteiligen – Beitragsserie zur DSGVO hier im Blog. Als wäre diese Umstellung nicht schon herausfordernd genug, hat die EU-Kommission im Januar 2017 den Entwurf einer weiteren Verordnung zur Regelung des Datenschutzes in Europa veröffentlicht. Konkret geht es dabei um die „Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG“ (kurz: E-Privacy-Verordnung oder hier einfach nur „Entwurf“). Was es damit auf sich hat und wie Unternehmen damit umgehen sollten, erläutern wir in den folgenden Zeilen.

Oh je…noch eine EU-Verordnung zum Thema Datenschutz!?

Weiterlesen

Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Weiterlesen

Die Datenschutzgrundverordnung macht IT-Richtlinien Feuer unter dem Hintern! (Teil 7) – Oder: Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Symbolbild für: Orr. Diese DSGVO!

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Weiterlesen

Wie läuft das jetzt mit dem Datenschutz ab 2018 in Deutschland? – Oder: DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU)

Das neue Jahr ist da. Hurra! Und wir wenden uns trotzdem gleich wieder einem alten Bekannten zu: dem Datenschutz. Schließlich schreiben wir jetzt 2017 und damit ist es auch auf dem Kalenderblatt nicht mehr weit bis zu 2018. Der geneigte Leser des Blogs weiß, worauf ich hinaus möchte. Ab Mai 2018 wird der Datenschutz in Deutschland und Europa durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Mit den Änderungen, die damit und insbesondere für Unternehmen einhergehen, haben wir uns hier schon eingehend mit unserer – inzwischen sechsteiligen! – Blog-Serie zur DSGVO befasst. (Wenn Sie noch nichts von einer ominösen Datenschutzgrundverordnung gehört haben sollten, aber in Ihrem Unternehmen Verantwortung tragen, dann kann ich Ihnen nur dringend raten einmal einen Blick in die Blog-Serie zuwerfen).

Sinn und Zweck oder Idee der DSGVO ist bekanntermaßen eine europaweite, einheitliche und verbindliche Regelung des Datenschutzes zu schaffen, um den momentan bestehenden „datenschutzrechtlichen Flickenteppich“ eben dort zu beseitigen. Das ist gut.

Doch gemeinhin ist nichts so einfach, wie es auf den ersten Blick scheint. Und so dürfen wir uns hier im Zusammenhang mit der DSGVO – als wäre das nicht alles kompliziert genug –  mit dem nationalen Entwurf des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschäftigen. Dieses Gesetz wird auch Datenschutz-Anpassungs- und -Umsetzungsgesetz EU oder DSAnpUG-EU genannt. Ich gestehe, auch mit den Abkürzungen wird es nicht besser, es bleibt ein Wortungeheuer. Doch es nützt nichts, wer DSGVO sagt, der wird auch DSAnpUG-EU sagen müssen. Was es aber mit diesem Entwurf „Datenschutz-Anpassungsgesetz“ auf sich hat und warum es sich auch für Unternehmen lohnt, diese zugegebenermaßen erst ganz am Anfang stehende Gesetzesentwicklung schon jetzt zu verfolgen, zeigen wir nachfolgend auf. Damit Sie aber nach dieser trockenen Einleitung überhaupt einen Grund haben, weiterzulesen, (Ha! Erwischt! Sie wollten gerade wegklicken!), spoiler ich hier ein wenig und verrate Ihnen, dass es um eine neuen Entwurf eines nationalen Bundesdatenschutzgesetz (Hä? Sollte das nicht gerade durch die DSGVO abgelöst werden? – Ja, das erkläre ich Ihnen gleich!) und unter anderem um diese Themen gehen wird:

  • Grundsatz der Zweckbindung, Verarbeitung über die Zweckbindung hinaus, Verarbeitung von allgemein zugänglichen Daten
  • Beschäftigendatenschutz
  • Videoüberwachungen
  • Big Data, Scoring und Verbraucherkredite
  • Die automatisierte Entscheidung im Einzelfall
  • Informationsrechte und Pflichten (Datenschutzerklärungen…)
  • Bestellung eines Datenschutzbeauftragten
  • Besondere personenbezogene Daten (sensible Daten zur Gesundheit, Sexualität oder Gewerkschaftszugehörigkeit).

Weiterlesen