NEWSLETTER – HK2 – Der Rote Faden 11/2019 – Überwachung von ArbeitnehmerIinnen, Haftung für IT-Sicherheit, Standard-Datenschutzmodell 2.0, CoC für Pseudonymisierung
|
<![if !mso]>
|
<![endif]>
<![if !mso]>
<![endif]>
|
<![if !mso]>
Sehr geehrter Herr Drescher, es hält sich hartnäckig das Gerücht, dass viele unserer Leserinnen und Leser den Roten Faden am Ende zu lesen beginnen. Beim HK2 #Mix. Das kann ich natürlich verstehen, aber heute bitte mal der Reihe nach. Spannungsbogen und so; Sie wissen schon. Wir beginnen mit der Überwachung der Rechner von Arbeitnehmern durch ihre Arbeitgeber und was das Bundesarbeitsgericht dazu sagt (Notiz an mich selbst: Permanent record weiterlesen!). Dann lesen Sie, was IT-Verträge mit Reinigungsverträgen gemein haben. Und wie es um die Haftung für schlechte IT-Sicherheit bestellt ist. Eine rechtliche Großbaustelle der Zukunft. Wenn Sie unser Dunkelrot verdaut, die Comtection-Kolumne durchgearbeitet und die News triagiert haben, dürfen Sie endlich auch unseren „social“ #Mix durchstöbern. Apropos social: Kennen Sie schon WT Social alias WikiTribune? Das neue „soziale Netzwerk“ möchte nicht weniger als die Social-media-Landschaft aufräumen. Als Wiki-basierte _Nachrichten_Plattform. Mmh. Ziel ist die Bekämpfung von Fake News. Gut! Das soll dadurch geschehen, dass die Nutzer ihre Texte gegenseitig ändern, also korrigieren können. Okay… bin ich der Einzige, dem da Zweifel kommen? Viel Spaß bei der Lektüre! Ihr/ Euer
Karsten U. Bartels |
<![endif]>
|
<![if !mso]>
Regeln für die Überwachung von Arbeitnehmern Datenschutz spielt in Arbeitsverhältnissen zunehmend eine größere Rolle. Das BAG musste sich mit der Frage auseinandersetzen, unter welchen Voraussetzungen ein Arbeitgeber heimlich Daten von Arbeitnehmern auf PCs überwachen darf. Hier hat der Arbeitgeber nun die Wahl: Klärt er den Arbeitnehmer im Vorfeld über seine Überwachungsmaßnahmen auf und räumt er ihm die Möglichkeit ein, Informationen in als „privat“ gekennzeichneten Dateiordnern von einer Einsichtnahme ohne Anlass auszuschließen, kann er mit den übrigen Daten weitgehend machen, was er will. Denn Arbeitnehmer müssen mit einem jederzeitigen Zugriff auf dienstliche Daten rechnen. |
<![endif]>
|
<![if !mso]>
Bei außerordentlicher Kündigung kann der Schaden 3 Jahre verlangt werdenEin Reinigungsvertrag, das physische Pendant zum IT-Wartungsvertrag, war u. a. wegen diversen Mängeln aus wichtigem Grund gekündigt worden. Das Land Berlin verlangte die Mehrkosten des Nachunternehmers als Schadensersatz und ließ sich mehr als 2 Jahre Zeit mit der Klage. Kein Problem, meint der BGH. Zwar handele es sich um einen Werkvertrag und Mängel, für die eine kürzere Verjährung gilt, seien mit Grund für die Kündigung der Klägerin gewesen. Bei einer Kündigung aus wichtigem Grund ginge es aber um mehr, nämlich um die Unzumutbarkeit der Vertragsfortführung, die sich aus dem Zusammenspiel mangelbezogener und nicht mangelbezogener Kündigungsgründe ergeben könne. Deshalb könne der Auftraggeber die Mehrkosten auch noch 3 Jahre ab Kenntnis des Anspruchs verlangen. Beim Werkvertrag kann man seit kurzem auch ganz offiziell außerordentlich kündigen (§ 648a BGB). Soweit vorhanden, sollte man nicht nur die Mängel als Grund für die Kündigung nennen – dann besteht mehr Zeit zur Klage. |
<![endif]>
|
<![if !mso]>
Wer haftet gegenüber dem Anwender für IT-Sicherheit? Nicht zuletzt durch die bußgeldbewehrten Anforderungen der DSGVO an die IT-Sicherheit stellt sich zunehmend die Frage, wer für schlechte IT-Sicherheit haftet. Konkret: Haftet ein Verkäufer, der nicht Hersteller ist, gegenüber dem Käufer, der nicht Wiederverkäufer ist? Und bejahendenfalls, inwieweit? Ist über Sicherheitslücken wenigstens zu informieren, oder sind sie auch zu schließen? Wann ist Schadenersatz zu leisten? Diese Fragen sind rechtlich komplex und wirtschaftlich hoch brisant – weswegen der Gesetzgeber leicht propofoliert wirkt. Immerhin stellte das OLG Köln jüngst fest, dass die Information über Sicherheitslücken eines Smartphone-Betriebssystems zum Zeitpunkt des Gerätekaufs für einen Verbraucher von großer Bedeutung, aber nicht wesentlich sei. Aha. Schließlich gäbe es immer Lücken und dem Verkäufer sei etwas anderes auch nicht zumutbar. Man stelle sich diese Begründung einmal bei Produkten vor, die nicht Security, sondern Safety betreffen! Und dann: Gleiches gelte auch für den Umstand, dass es keine Sicherheits-Updates seitens des Herstellers mehr geben werde. Differenzierung verpasst – Revision nicht zugelassen. |
<![endif]>
|
<![if !mso]>
Die Zustimmung der Sorgeberechtigten einzuholen hat Tücken: woran können diese erkannt werden, und wie viele Daten müssen dazu erhoben werden? Sobald der Jugendliche einwilligungsfähig wird, ist dann seine eigene Entscheidung einzuholen.Verweigert mindestens ein Sorgeberechtigter die Zustimmung hat der Datenschutz gewonnen – oder der Jugendliche meldet sich mit falschen Daten an. Wenn die Polizei einen des Mordes verdächtigen 15-Jährigen lieber ohne dessen Mutter und ohne Anwalt verhören möchte, dann reicht dafür die Einwilligung des verschüchterten Kindes. Das Geständnis darf zur Verurteilung verwertet werden. Darum gibt es im Gefängnis auch kein Smartphone, denn zur Einwilligung in unseren Newsletter ist der 15-Jährige noch nicht reif genug.
dunkelrot
Gefängnis ja – Newsletter nein Jugendliche sind unbegreiflich. Sie regen sich auf, wenn ihre Welt zerstört wird und wollen trotzdem die Welt sehen! Das ist wohl der Grund, weshalb das Alter zur Einwilligung nach der DSGVO so schwer zu bestimmen war, dass dies den Mitgliedstaaten überlassen bleiben musste. Der europäische einheitliche Datenschutzraum gilt also gerade nicht für die digital Natives. In Deutschland ist ein Jugendlicher erst ab 16 in der Lage zu umreißen, was tiktok ist. Das spart auch die Kosten für eine entsprechende Bildung der Medienkompetenz. Ob über 30-Jährige das verstehen, lässt der Gesetzgeber wohlweislich ungeregelt. |
<![endif]>
<![if !mso]>
<![endif]>
|
|
<![if !mso]>
Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden. ![]()
Senior Consultant der HK2 Comtection GmbH, zertifizierte Datenschutzbeauftragte (TÜV)
SDM 2.0: Die DSGVOals Nacherzählung In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem (Obacht!) roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM. |
<![endif]>
<![if !mso]>
<![endif]>
|
<![if !mso]>
Werbung auf Facebook für Bitcoin-Fake
Facebook muss betrügerische Facebook Werbung für Bitcoin mit Namen und Bild von John de Mol, einem führenden europäischen Medienunternehmer, auf seiner Plattform verhindern. Facebook soll auch das zukünftige erscheinen solcher Anzeigen verhindern und kann sich nicht auf die „Safe Harbour“ Regelung der E-Commerce Richtline berufen, entschied das niederländische Gericht. (SIS)
|
<![endif]>
|
<![if !mso]>
Presseartikel als getarnte Werbung
Entspricht ein Presseartikel fast wörtlich der Pressemitteilung eines Unternehmens, handelt es sich nicht um einen redaktionellen Beitrag, sondern um wettbewerbswidrige Schleichwerbung so das OLG Frankfurt a.M. Für den Verbraucher wird bei einem Presseartikel nicht ersichtlich, dass in Wahrheit Werbeinteressen des Unternehmens verfolgt werden. (SIS)
|
<![endif]>
|
<![if !mso]>
Meinungsfreitheit vs. Sperrung Twitter Account
Die Sperrung eines Twitter Accounts wegen einer scherzhaften Äußerung ist unzulässig. Damit bestätigt das LG Dresden seinen Beschluss vom 21. Juni 2019. Betreiber einer Plattform dürfen ihr „virtuelles Hausrecht“ nicht schrankenlos ausüben, sondern sind mittelbar an die Grundrechte (hier: Meinungsfreiheit) gebunden. (SIS)
|
<![endif]>
|
<![if !mso]>
Elektronische Daten sind keine Sachen
Elektronischen Daten fehlt es an einer Sacheigenschaft im Sinne von § 90 BGB, hat das OLG Brandenburg entschieden. Auch eine analoge Anwendung der Vorschriften zum Besitzschutz kommt nicht in Betracht, da Sachen und Daten nicht vergleichbar sind. Daten können u. a. mangels Körperlichkeit nicht abgenutzt werden oder altern und können ohne besonderen finanziellen Aufwand beliebig häufig kopiert werden. (SIS) |
<![endif]>
|
<![if !mso]>
Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
In der Juli Ausgabe unseres Newsletters haben wir über die beschlossene Änderung von § 38 Bundesdatenschutzgesetz (BDSG) und die damit verbundene Anhebung des Schwellenwertes zur Benennung von Datenschutzbeauftragten von 10 auf 20 dauerhaft datenverarbeitende Personen berichtet. Das BDSG und über 100 weitere Bundesgesetze wurden mit dem seit langem erwarteten Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) an die Vorgaben der EU-Datenschutzgrundverordnung 2016/679 angepasst sowie die Vorgaben der EU-Richtlinie 2016/680 in deutsches Bundesrecht umgesetzt. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet und trat in weiten Teilen am 26.11.2019 in Kraft. (JOS)
|
<![endif]>
|
<![if !mso]>
|
<![endif]>
|
<![if !mso]>
Vorträge
und Seminare Am 28.11.2019 hält Dr. Johanna Schmidt-Bens einen Vortrag zum Thema „Das neue Geschäftsgeheimnisschutzgesetz“ auf der TeleTrust-Konferenz 2019 in Berlin. Philip Koch hält im Rahmen des Gründerwettbewerbs der VDI/VDE-IT GmbH für die Preisträger des Gründerwettbewerbs am 03.12.2019 einen Vortrag zum Thema „Vom Pitch zum Deal: Auf dem Weg zum passenden Investment„. |
<![endif]>
|
<![if !mso]>
![]() Karsten U. Bartels LL. M.
In-Ears rein. San Glaser an. #kurzePause #PlatzamFenster #dunkleSchokolade ![]() Matthias Hartmann
Überall künstliche Intelligenz und trotzdem regnet es, wenn ich aus dem Zug aussteige #eehh ![]() Jörg Hennig
Am Wochenende The Addams Family gesehen, mich gruselt es immer noch. ![]() Bernhard Kloos
Meine digitale Wiedergeburt fühlt sich noch etwas schmerzhaft an #Backupbeschädigt #letitgo ![]() Philip Koch
Gerade entdecke ich meine Begeisterung für’s Rennradfahren wieder neu ![]() Nadja Marquard
Zwei Kinder = zwei Kitaweihnachtsfeiern! O du fröhliche… ![]() Anika Nadler
Ich finde ja nicht, dass man ein Streber ist, wenn man im November Geschenkeshopping durchgespielt hat und im Dezember lieber weiterarbeitet. #Grinch ![]() Michael Schramm LL.M.
Schön, wenn man feststellt, dass man den Weihnachtsschmuck vom letzten Jahr gar nicht zurück in den Keller gebracht hat. Wieder zwei Wege gesparrt! ![]() Dr. Johanna Schmidt-Bens, LL.M.
Ztesegztuhcssinmiehegstfähcseg #rückwärtsimSchlaf #GeschGehG ![]() Sina Schmiedefeld
Gespannt auf die Fortbildung in Hamburg #internetrecht #socialmedia #industrie4.0 @LUW will auch in Frozen 2! ![]() Lukas Wagner, LL.M.
Der Vorteil einer fast 5-jährigen Tochter: Ungeniert zu Anna und Elsa ins Kino gehen, ohne dass jemand komisch guckt. #endlich #frozen2 #letitgo |
<![endif]>
|
<![if !mso]>
HK2 Rechtsanwälte
Hausvogteiplatz 11 A | 10117 Berlin | Telefon +49 (0)30 27 89 00 – 0 | Telefax +49 (0)30 27 89 00 – 10 mail@hk2.euPartner Karsten U. Bartels LL.M., Rechtsanwalt Deutschland | Matthias Hartmann, Rechtsanwalt Deutschland Jörg Hennig, Rechtsanwalt Deutschland | Bernhard Kloos, Rechtsanwalt Deutschland | Philip Koch, Rechtsanwalt DeutschlandRechtsform Gesellschaft bürgerlichen RechtsSonstige Angaben Alle Rechtsanwälte von HK2 Rechtsanwälte sind in der Bundesrepublik Deutschland zugelassene Rechtsanwälte und Mitglieder der Rechtsanwaltskammer Berlin.Das Berufsrecht der Rechtsanwälte in Deutschland regeln die Vorschriften ■ der Bundesrechtsanwaltsordnung (BRAO) ■ der Berufsordnung für Rechtsanwälte (BORA)
■ der Fachanwaltsordnung (FAO)
■ des Gesetzes über die Tätigkeit europäischer Rechtsanwälte in Deutschland (EuRAG)
■ der Berufsregeln der Rechtsanwälte der Europäischen Union (CCBE-Berufsregeln)
■ der berufsrechtliche Ergänzungen zum Geldwäschebekämpfungsgesetz (GwG).
Die berufsrechtlichen Regelungen für Rechtsanwälte können unter www.brak.de/fuer-anwaelte/berufsrecht/ abgerufen werden. Verantwortlicher für den Inhalt des Newsletters Urheberrechtshinweise Bilder Red Flags: Vorträge – © VTT Alex Kalmbach/Adobestock.com Webinare – © megaflopp/Adobestock.com
|
<![endif]>
|
<![if !mso]>
|
<![endif]>