E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | UVW | XYZ

 

E-Mail

Bei der allgegenwärtigen E-Mail-Kommunikation wird oft nicht bedacht, dass die Nachrichten grundsätzlich unverschlüsselt über das Internet übertragen werden und dort mitgelesen oder manipuliert werden können (wenngleich ein gezieltes Mitlesen nicht einfach ist). Bildlich gesprochen ist die Vertraulichkeit noch schlechter als bei einer Postkarte. Für sensible Informationen ist daher eine E-Mail-Verschlüsselung (z.B. mit PGP) zu empfehlen. Anderenfalls ist zumindest sicherzustellen, dass der Empfänger mit dem Versand über ungesicherte E-Mail-Kommunikation einverstanden ist.

Eingabekontrolle

Das fünfte Gebot der Datensicherheit: „zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind“ (Ziffer 5 der Anlage zu § 9 S. 1 BDSG).

Die Eingabekontrolle ist letztlich nur durch eine umfassende Protokollierung zu erreichen. Daher sind auch die Anforderungen der Datenschutzbehörden an die Protokollierung der Verarbeitung personenbezogener Daten hoch. Problematisch ist allerdings in der Praxis, dass viele Softwarelösungen eine so umfassende Protokollierung technisch nicht vorsehen. Dann muss im Einzelfall geprüft werden, inwieweit eine Protokollierung unverzichtbar ist und welche alternativen Maßnahmen zur Eingabekontrolle angemessen sind.

Einwilligung

Das deutsche (und europäische) Datenschutzrecht basiert auf dem Konzept der informationellen Selbstbestimmung. Daher ist fast jede Datenverarbeitung zulässig, wenn die Betroffenen darin eingewilligt und so ihr Selbstbestimmungsrecht ausgeübt haben. Die Einwilligung ist allerdings nur wirksam, wenn sie informiert und freiwillig erfolgt. Gerade Einwilligungen, die Arbeitnehmer in Bezug auf die Verarbeitung ihrer Daten durch ihren Arbeitgeber abgeben, werden oft mangels Freiwilligkeit als unwirksam angesehen. Für die Verarbeitung von Mitarbeiterdaten steht die Einwilligung als Rechtfertigungsgrund daher nur sehr eingeschränkt zur Verfügung. Was die Form der Einwilligung angeht, sieht das BDSG grundsätzlich Schriftform vor, lässt aber bei „besonderen Umständen“ auch andere – z.B. elektronische, mündliche oder konkludente – Einwilligungen zu (§ 4a Abs. 1 S. 2 BDSG). Wie so oft ist das Bundesdatenschutzgesetz hier sehr offen formuliert, so dass Unternehmen im Zweifel fachlichen Rat einholen sollten, ob ein Abweichen von der Schriftform im konkreten Fall zulässig ist.

Einwilligung im Arbeitsverhältnis

Lange Zeit war es umstritten, ob Arbeitnehmer gegenüber dem Arbeitgeber eine wirksame Einwilligung erklären können. Aufgrund des Über- Unterordnungsverhältnisses wurde teilweise davon ausgegangen, dass Arbeitnehmer grundsätzlich keine freiwillige und damit wirksame Erklärung der Einwilligung abgeben können. Nach einer Entscheidung des Bundesarbeitsgerichts (Besprechung im Blog) steht nun fest, dass unter gewissen Voraussetzungen eine Einwilligung auch in Arbeitsverhältnissen möglich ist. Der Arbeitgeber muss dafür allerdings sicherstellen, dass der Arbeitnehmer tatsächlich frei von Zwängen des Arbeitsverhältnisses entscheiden kann. In vielen Fällen sollte die Verarbeitung von Personaldaten daher weiter auf eine gesetzliche Ermächtigung gestützt werden.

Elektronische Personalakte

Siehe Arbeitnehmerdatenschutz.

E-Mail und Internetnutzung am Arbeitsplatz

Arbeitgeber stellen E-Mail und Internetzugang bei der Arbeit zur dienstlichen Nutzung zur Verfügung. Darüber hinaus wird die private Nutzung häufig erlaubt oder geduldet. In diesen Fällen wird der Arbeitgeber nach vertretener Ansicht zum Telekommunikationsanbieter für die Bereitstellung von Kommunikationsdiensten zur privaten Nutzung. Dies hat zur Folge, dass er das Telekommunikationsgeheimnis wahren muss und von privaten Kommunikationsinhalten keine Kenntnis nehmen darf. Dies kann sogar dazu führen, dass auch dienstliche Inhalte seinem Zugriff entzogen werden.
Arbeitgeber sollten daher insbesondere prüfen, ob sie handels- und steuerrechtliche Archivierungspflichten erfüllen können, welche Möglichkeiten sie bei missbräuchlicher Nutzung (Filesharing etc.) haben und wie bei unvorhergesehener Abwesenheit von Beschäftigen ein Zugriff auf unternehmenswichtige Informationen sichergestellt werden kann.

EU-Datenschutzrichtlinie

Mit der Richtlinie 95/46/EG wurde das Datenschutzrecht in der europäischen Union weitgehend harmonisiert. Die Richtlinie ist damit auch die Grundlage der meisten Regelungen des Bundesdatenschutzgesetzes (BDSG). Bei der Anwendung ist dies durch eine „richtlinienkonforme Auslegung“ der Vorschriften des BDSG zu berücksichtigen. Hilfreich dabei sind die Stellungnahmen der durch die Richtlinie geschaffenen Art.-29-Gruppe, die sich zu vielen wichtigen Auslegungsfragen zum EU-Datenschutzrecht geäußert hat. In der Praxis bisher kaum beachtet wird, dass die Datenschutzrichtlinie nach der Rechtsprechung des EuGH sogar auf eine „Vollharmonisierung“ des Datenschutzrechts in den Mitgliedstaaten abzielt, also nicht nur eine Untergrenze für das Datenschutzniveau vorgibt, sondern auch einen weitergehenden Datenschutz prinizipiell nicht zulässt – und so die berechtigten Interessen z.B. der Wirtschaft an der Datenverarbeitung schützt. Da das BDSG auch aus historischen Gründen verschiedentlich sowohl regelungstechnisch als auch inhaltlich von der Richtlinie abweicht, müsste in der Anwendung eigentlich stets geprüft werden, ob ggf. bestehende Abweichungen von der Richtlinie zulässig sind.

Für den Bereich elektronischer Kommunikation wird die Richtlinie 95/46/EG durch die sog. „ePrivacy“-Richtlinie (2002/58/EG) ergänzt. Zukünftig soll die Datenschutzrichtlinie durch eine bereits im (EU-)Gesetzgebungsverfahren befindliche EU-Verordnung ersetzt werden, die dann unmittelbar in allen EU-Mitgliedstaaten gilt.

EU-Datenschutz-Grundverordnung

Die EU-Datenschutzgrundverordnung wird das Datenschutzrecht in der Europäischen Union vereinheitlichen und die bisherige Datenschutzrichtlinie ablösen. Nach umfangreichen Verhandlungen haben sich EU-Parlament, Rat und Kommission im sogenannten Trilog auf die Inhalte der Verordnung geeinigt. Das Europäischen Parlament hat die Verordnung im April 2016 verabschiedet. Eine Synopse zur Datenschutzgrundverordnung mit den Entwürfen und dem finalen Stand findet sich auf der Website der bayerischen Landesamtes für Datenschutzaufsicht.

EU-Standardvertragsklauseln

Für Datenübermittlungen in unsichere Drittstaaten muss die verantwortliche Stelle ein angemessenes Datenschutzniveau beim Datenempfänger sicherstellen (siehe Internationaler Datenschutz). Zu diesem Zweck hat die EU-Kommission standardisierte Vertragswerke geschaffen, die EU-Standardvertragsklauseln. Die EU-Standardvertragsklauseln gibt es für zwei Anwendungsszenarien; die Beauftragung von Dienstleistern als Auftragsdatenverarbeiter und die Übermittlung an andere verantwortliche Stellen.

Werden die EU-Standardvertragsklauseln ohne bzw. nur mit den vorgesehenen Anpassungen verwendet, entfällt das Erfordernis der individuellen Genehmigung durch die Aufsichtsbehörde. EU-Standardvertragsklausel sind daher das meistgenutzte Instrument zur Herstellung angemessener Datenschutzstandards bei internationalen Datentransfers.

Externer Datenschutzbeauftragter

Verantwortliche Stellen, die zur Bestellung eines Datenschutzbeauftragten verpflichtet sind (siehe Bestellpflicht), können alternativ zur Bestellung eines internen Datenschutzbeauftragten einen externen Datenschutzbeauftragten bestellen. Externer Datenschutzbeauftragter kann jede Person werden, die fachkundig und unabhängig ist.

Externer Datenschutzbeauftragter können nach ganz überwiegender Auffassung nur natürliche Personen sein. Die Bestellung einer juristischen Person oder einer Personenmehrheit zum (externen) Datenschutzbeauftragten ist nicht möglich; jedenfalls aber mit einem rechtlichen Risiko für die verantwortliche Stelle verbunden. Eine zulässige Gestaltung bei der Beauftragung von Rechtsanwaltskanzleien oder Beratungsgesellschaften ist der Abschluss eines Dienstvertrags mit der Gesellschaft und die separate Bestellung der Person, die tatsächlich die Aufgaben des Datenschutzbeauftragten übernimmt.

Bei der Entscheidung über die Bestellung eines externen Datenschutzbeauftragten sollten verantwortliche Stellen berücksichtigen, dass dieser Unterstützung braucht, um interne Prozesse, Zuständigkeiten und Strukturen zu verstehen. Dies kann durch interne Ansprechpartner und die Einbindung des externen Datenschutzbeauftragten in interne Prozesse meist ohne großen Aufwand erreicht werden. Der externe Datenschutzbeauftragte kann dann sein großes Erfahrungswissen aus anderen Mandaten einbringen und für die Datenschutzorganisation nutzbar machen.