Slide Slide Slide Slide Slide Slide Slide Slide

AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

BAG Urteil: Auskunftsbegehren in Form „Kopie des E-Mailverkehrs“ ist zu unbestimmt

Das Bundesarbeitsgericht hat einen Aspekt des Auskunftsrechtes weiter konkretisiert: Das Begehren muss „konkret“ sein (Urteil Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20 ).  weiterlesen

Ein ehemaliger Arbeitnehmer eines Verantwortlichen begehrte Auskunft nach Art.15 DSGVO. Dabei verlangte er Kopie seiner Daten, und zwar in Form der Kopie seines Mail-Verkehrs und Kopie aller Mails, in denen er namentlich genannt ist.

Das BAG hat diesen Anspruch abgelehnt. Das Gericht urteilte, dass ein solches Begehren zu unbestimmt ist. Ein Antrag auf „Überlassung der Kopien von E-Mails“ ist unklar gefasst, weil nicht klar wird, auf welche E-Mails sich der Antrag bezieht. Wenn man ein solches Urteil vollstrecken möchte, ist nicht klar, was das Vollstreckungsverfahren beeinhaltet.

Das Gericht hat ausdrücklich nicht darüber entschieden, ob Kopien von E-Mails überhaupt vom Auskunftsrecht nach Art.15 Abs.3 DSGVO umfasst sind. Die Unklarheit, welche E-Mails gemeint sind und herausgegeben werden sollten, führte bereits dazu, dass der Antrag abgelehnt wurde. Das Gericht formuliert:

„Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben.“

Der Urteilstext ist noch nicht veröffentlicht, hier geht’s zur Pressemitteilung des BAG:

Bußgeld gegen Krankenhaus wegen unzureichendem Zugriffsschutz auf Patientenakten

Die niederländische Datenschutzaufsichtsbehörde hat ein Bußgeld gegen das Amsterdamer Krankenhaus (OLVG) über 440.000 Euro verhängt. Grund hierfür sind unzureichende Schutzmaßnahmen der Patientendaten.weiterlesen

In den Jahren 2018-2020 konnten unbefugte Mitarbeiter auf die Akten zugreifen – der Vorwurf lautet, dies nicht in ausreichendem Maße verhindert zu haben. Laut Aufsichtsbehörde konnten Werkstudenten und andere Mitarbeiter ohne Grund auf die Akten von Patienten zugreifen. Bemängelt wurden strukturelle Defizite: Zum einen war die Kontrolle des Zugriffs zu schwach ausgeprägt. Zwar wurde der Zugriff auf Patientendaten protokolliert, der Zugriff wurde aber nicht überprüft. Zum anderen wurde die Authentifizierung bemängelt: Die vom System vorgegebene Authentifizierung mittels Passwort und Ausweis und die damit dem Stand der Technik entsprechende Zwei-Faktor-Authentifizierung wurde nicht genutzt.

Zur Meldung der niederländischen Behörde

Aktualisierte behördliche Bewertung von Videokonferenzlösungen

Die Berliner Aufsichtsbehörde hat die schon im letzten Jahr durchgeführte Bewertung von Videokonferenzlösungen aktualisiert. Die Bewertung bezieht sich auf so genannte SAAS Lösungen, also der Nutzung der beim Dienstleister betriebenen Software. weiterlesen

In die aktuelle Bewertung sind weitere Anbieter in die Betrachtung aufgenommen worden und es ist eine getrennte Bewertung des rechtlichen Teils und der technischen Umsetzung vorgenommen worden.

Die Behörde kommt weiterhin zum Schluss, dass die dominierenden großen Anbieter Google Meets, Microsoft Teams und Zoom das System nicht datenschutzkonform betreiben. Alle großen Player scheitern aus Sicht der Behörde bereits bei der rechtlichen Bewertung der Vertragsunterlagen. Eine Bewertung der technischen Umsetzung wurde in der Folge nicht mehr durchgeführt.

Die Behörde erwähnt zwar Verbesserungen, bleibt in der Bewertung aber trotzdem beim Urteil „rot“.

Zur Bewertung hier 

Arbeitshilfen für gemeinsame Verantwortung veröffentlicht

Die GDD und die baden-württembergische Aufsichtsbehörde haben Hilfen zur Umsetzung der gemeinsamen Verantwortung veröffentlicht. Der LDI Baden-Württemberg hat ein Vertragsmuster, in englischer Sprache, veröffentlicht. Die GDD beschreibt in ihrer Praxishilfe, wie Auftragsverarbeitung und Gemeinsame Verantwortung voneinander abgegrenzt werden und erläutert die Punkte. Mit einer Checkliste wird eine Hilfe gegeben, wie die jeweilige Verarbeitung einzuordnen ist.
Die Dokumente sind auf unserer Webseite abrufbar.

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018