Sind Sie vom Hinweisgeberschutzgesetz betroffen? Die/Der DSB kann helfen!

Wenn Ihr Unternehmen mehr als 50 Mitarbeiterinnen und/oder Mitarbeiter hat, dann sollten Sie weiterlesen.
Am 02.06.2023 war es soweit. Es wurde das Hinweisgeberschutzgesetz im Bundesgesetzblatt veröffentlicht.
Ok. Und nun?
Unternehmen mit mehr als 250 Mitarbeiterinnen und/oder Mitarbeiter müssen ab dem 02.07.2023 ein solches System
eingerichtet haben. Das ist sehr sportlich, wenn Ihr Unternehmen in diese Gruppe fällt, aber Sie noch nichts unternommen
haben.
Unternehmen mit mehr als 50, aber weniger als 250 Mitarbeiterinnen und/oder Mitarbeiter, haben noch bis Ende des Jahres
Zeit. Aber auch hier sollten Sie dringend in die Planung einsteigen. Die Sommerferien stehen bspw. vor der Tür.
Aus Sicht des Datenschutzes müssen Punkte, wie eine Datenschutzfolgenabschätzung (DSFA), die Umsetzung der
Betroffenenrechte, beachtet und geprüft werden. Auch wichtig ist die Informationspflicht gem. Art. 13 DSGVO oder
schlichtweg die Umsetzung aller Prozesse. Ihre Mitarbeiterinnen und/oder Mitarbeiter müssen zudem informiert werdeen.
Fazit?
Nicht warten. Handeln! Sprechen Sie Ihre DSB bzw. Ihren DSB an, die/der als neutrale Person die Meldestelle übernehmen
kann.
Verdeckte Videoüberwachung am Arbeitsplatz
Zwischen Arbeitgeber und Arbeitnehmer besteht häufig ein Machtverhältnis, wenn es um die Datenerhebung geht. Und es
gibt immer wieder Fälle, bei denen der Arbeitgeber meint, seine Mitarbeiterinnen und/oder Mitarbeiter überwachen zu
müssen. Und am „besten“ noch heimlich. Risiko!
Aber ist eine heimliche Videoüberwachung am Arbeitsplatz überhaupt erlaubt?
Grundsätzlich ist jede Überwachung ein massiver Eingriff in die Persönlichkeitsrechte.
Gem. der DSK (Datenschutzkonferenz) müssen die allgemeinen Voraussetzungen an eine (offene) Videoüberwachung
erfüllt sein:
• Der Verdacht muss begründet sein, dass die zu überwachende Person im Beschäftigungsverhältnis eine Straftat
begangen hat.
• Selbstverständlich muss der Verdacht vorliegen, bevor die Videoüberwachung beginnt.
• Die Videoüberwachung muss erforderlich sein und das schutzwürdige Interesse der/des Betroffenen darf nicht
überwiegen.
• Der Arbeitgeber muss vorab andere Maßnahmen durchgeführt haben, welche erfolglos waren. Es müssen mildere
Mittel geprüft werden.
• Da es sich dann um eine heimliche Maßnahme handelt, muss außerdem ein Ausnahmefall von Art. 13 DSGVO
(Informationspflicht) vorliegen.
Aber ja, auch müssen natürlich die Interessen des Arbeitgebers mit in die Bewertung einfließen.
Es gibt klare Bewertungsunterschiede, ob der Arbeitgeber monatliche Schäden im Wert von bspw. mehreren Tausend
Euros hat oder lediglich nur geringwertige Schäden vorliegen.
Videoüberwachung ist rechtswidrig?
Die betroffene Person kann aufgrund der Persönlichkeitsrechtsverletzung Schadensersatzansprüche geltend machen.
Auch sind, wen wundert es, Bußgelder ein Thema. Gerade bei diesem Thema sind oftmals beide Zahlungen fällig.
Hinzukommt der gesamte „Stress“ mit Anwälten und Aufsichtsbehörden.
Fazit?
Verdeckte Videoüberwachung am Arbeitsplatz ist nur in den seltentesten Fällen zulässig.
Arbeitgeber sollten genau überlegen in welchem Verhältnis das Ganze bzgl. des Risikos steht bzw. welche Risken
vorhanden sind. Auch eine Möglichkeit ist, dass die Aufsichtsbehörde mit in die Entscheidungsphase einbezogen wird.
Da grundsätzlich die Videoüberwachung seit jeher ein strittiges Thema ist, sollte grundsätzlich die Umsetzung vorab genau
durchdacht sein.
DSMS? ISMS? Datenschutz und Datensicherheit?
Der Begriff DSMS ist vielen Unternehmen mittlerweile bekannt: DSMS = Datenschutzmanagementsystem. Dieses wird
gem. der DSGVO gefordert.
Und was ist nun ISMS? Informationssicherheitsmanagementsystem. Das (Haupt)-Ziel ist das Gleiche. Die Stärkung der
Sicherheit des Unternehmens. Welche Vorteile bringt ein ISMS?
• Erhöhung der Sicherheit für ein Unternehmen
• Den Notfall souverän meistern, da die Prozesse bekannt sind
• Abgrenzung vom Wettbewerb
• Zufriedenere Kunden und Mitarbeitermotivation
• Verantwortlichkeiten definieren und dokumentieren
• Synergien nutzen
• Compliance erhöhen → PDCA (Plan Do Check Act), der Verbesserungsprozess
• Transparente und bessere Beurteilung von Technologien und Dienstleistern
Fazit?
Sie sehen, ein ISMS bietet Unternehmen einige Vorteile. Bis dato haben vorrangig Kritis-Unternehmen die Pflicht ein
solches System zu haben.
(Definition gem. Bundesportal:
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche
Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen
der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“)
Aber jedes Unternehmen kann aus einem ISMS Vorteile ziehen.
Cyberattacken aus Mai 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
• Vertriebswerk
Online-Plattform von Vodafone-Vertriebspartner gehackt
• Deutsche Leasing
Leasingverband der Sparkassen nach Cyberangriff handlungsunfähig
• Verlagsgesellschaft Vogelsberg
Diebstahl von Kundendaten nach Cyberangriff
• Bad Homburger Inkasso
Abschaltung der Systeme nach Cyberangriff
• Hellweger Anzeiger
Nachrichtenbildschirme lassen sich aufgrund eines Cyberangriffs nicht aktualisieren
Europäische Bußgelder im Mai 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Meta: Übertragung von personenbezogenen Daten in Drittländer
Behörde: Data Protection Commission (DPC)
Branche: Social-Media-Plattform
Verstoß: Art. 46 Abs. 1 DSGVO
Bußgeld: 1.200.000.000 Euro
• Mangelnde Transparenz bei der DKB
Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Branche: Finanzdienstleister
Verstoß: Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO
Bußgeld: 300.000 Euro
• Aldi Unganr: Beim Kauf von alkoholischen Getränken wurde das Geburtsdatum in die Kasse eingespeichert
Behörde: Nemzeti Adatvédelmi és Információszabadság Hatóság
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. c, Art. 12, Art. 13, Art. 6, Art. 32 Abs. 1 u. 4 DSGVO
Bußgeld: 253.000 Euro
• Clear View AI: Mangelnde Kooperation
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Künstliche Intelligenz
Verstoß: Art. 6, Art. 12, Art. 15, Art. 17, Art. 31 DSGVO
Bußgeld: 5.200.000 Euro
• Verbreitung von Bankkarten-Kopien
Behörde: Agencija za zaštitu osobnih podataka
Branche: Wettanbieter
Verstoß: Art. 6 Abs. 1, Art. 13 Abs. 1 u. 2, Art. 25 Abs. 1 u. 2, Art. 32 Abs. 1 lit. a, d DSGVO
Bußgeld: 380.000 Euro
Fazit?
Die Erde dreht sich weiter … Der Datenschutz bzw. die Datensicherheit muss stetig geprüft werden.
Sich zurückzulehnen bedeutet „aufgeben“ oder auch unnötig Risiken einzugehen.
Eine stetige Kommunikation zwischen dem Unternehmen und der/dem Datenschutzbeauftragten und der/dem ITSicherheitsbeauftragten, sofern vorhanden, ist wichtig.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!