EUGH: WLAN-Betreiber Haftung/offenes WLAN-Netz

Haftung eines Betreibers eines offenen WLAN-Netzes – Sicherung des Internetanschlusses durch ein Passwort

EuGH, Urteil vom 15.9.2016 – C‑484/14, Tobias Mc Fadden gegen Sony Music Entertainment Germany GmbH

Urteil: http://curia.europa.eu/juris/document/document.jsf?text=&docid=183363&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Wird ein WLAN-Netz der Öffentlichkeit kostenlos zur Verfügung gestellt, stellt dies einen „Dienst der Informationsgesellschaft“ im Sinne des Art. 12 Abs. 1 der Richtlinie 2000/31 dar, sofern der Anbieter diese Leistung zu Werbezwecken für von ihm verkaufte Güter oder Dienstleistungen erbringt. Mit Urteil vom 15.09.2016 verneint der EuGH zwar die Möglichkeit von Schadensersatzansprüchen gegen kommerzielle WLAN-Betreiber, erlässt ihm jedoch nicht jegliche Verpflichtungen. Der EuGH bejaht jedoch die Möglichkeit gerichtlicher Anordnungen, mit denen zur Erschwerung künftiger Urheberrechtsverletzungen die Absicherung eines WLANs begehrt wird, etwa durch ein Passwort.

 

Compliance: Krisenmanagement

Ein perfekt funktionierendes Krisenmanagement für Unternehmen ist unbezahlbar

Unvorhersehbare Ereignisse aber auch berechenbare Risiken sind in das Kalkül jedes Unternehmens einzubeziehen. Letztlich sind gute Vorbereitung und ein Notfallplan die einzig effektiven Mittel.

Organisation

  • Präventionsarbeit erleichtert die Organisation im Ernstfall
  • Ansprechpartner/Abteilungen vorab informieren (IT, HR, Legal etc.)
  • Räumlichkeiten mit entsprechender Ausstattung bereit halten (Kopierer, Internetverbindung, Telefon)
  • Unterschiedliche Standorte und deren Besonderheiten beachten

Krisenkommunikation

  • Absprache mit dem Leiter der Durchsuchung (je nach Einzelfall möglich), dass die Pressestelle der Staatsanwaltschaft keine Mitteilung über die Durchsuchung herausgibt
  • Der Leiter der Presseabteilung ist von Beginn an über den Sachstand zu informieren
  • Externe Anfragen sind zentral von der Pressestelle/Marketingbereich in Absprache mit Geschäftsleitung zu koordinieren
  • ….

Befragung eines Mitarbeiters im Rahmen von internen Ermittlungen: unterliegt nicht den Regeln der StPO

Keine weiteren verbindlichen Regeln, welche die Grundsätze der internen Befragung genau festlegen

Aber: Standards aus der rechtsstaatlichen Ordnung

  1. Konsultation des BR oder eines eigenen Anwalts
  2. Unzulässigkeit von unlauteren Einwirkungen (Einschüchterung/Zwang/Täuschung/Drohung)
  3. Der MA darf nicht dazu gedrängt werden, sich selbst zu belasten oder auf Rechte zu verzichten (Zeuge oder Beschuldigter im Strafverfahren)
  4. Keine Drohung mit arbeitsrechtlichen Konsequenzen
  5. Belehrung, dass Aufzeichnungen ggf. an Behörden weitergegeben werden und dort zu seinem Nachteil verwendet werden können
  • Wichtig zu wissen:

Die Anhörung sollte schriftlich dokumentiert werden.

Im Rahmen von sog. Amnestieprogrammen ist darauf hinzuweisen, dass das Unternehmen selbst keine strafrechtliche Amnestie gewähren kann.

Fragen zu diesen und ähnlichen Themen beantwortet das CAD-Institut. Falls Interesse an einer Schulung hierzu besteht, kontaktieren Sie uns jeder Zeit.

[contact-form][contact-field label=“Email“ type=“email“ required=“1″ /][contact-field label=“Comment“ type=“textarea“ required=“1″ /][/contact-form]

 

 

AÜG-Reform

Änderungsantrag präzisiert Vorgaben zur Leiharbeit

Der Ausschuss für Arbeit und Soziales hat einem Gesetzentwurf der Bundesregierung  zur Regulierung von Leiharbeit und Werkverträgen am 19.10.2016 in geänderter Fassung zugestimmt. Der aktuelle Entwurf sieht vor, dass Leiharbeitnehmer künftig nur noch 18 Monate bei einem Entleiher eingesetzt werden dürfen –  Ausnahme: ein Tarifvertrag regelt eine längere Einsatzdauer. Darüber hinaus sollen Leiharbeitnehmer nach einer Frist von neun Monaten den gleichen Lohn wie Stammbeschäftigte erhalten. Für die Zukunft wurde festgelegt, dass das Gesetz im Jahr 2020 zu evaluieren ist und die Definition des Arbeitsvertrages im Bürgerlichen Gesetzbuch präzisiert werden soll. Das Gesetz tritt nun nicht am 1. Januar sondern am 1. April 2017 in Kraft.

Gesetzentwurf: http://dip21.bundestag.de/dip21/btd/18/097/1809787.pdf

Quelle: hib/CHE Nr. 606  – Arbeit und Soziales vom 19.10.2016

 

Compliance im Rahmen der DSGVO

Verzahnung von Compliance und Datenschutz?

Die Bereiche Compliance und Datenschutz rücken nun im Rahmen der DSGVO eng zusammen. Beide Bereiche wurden bisher in der Praxis stark voneinander getrennt – sowohl im Bereich Aufsicht als auch im Rahmen der fachlichen Belange. Dennoch ist faktisch eine enge Verzahnung gegeben:

So kommt Compliance nicht um eine Datenschutzrichtlinie herum und Compliance muss sich selbst im Gegenzug um „konform“ zu bleiben, bei der Erhebung und Auswertung von Daten an die (derzeit noch lokalen) Datenschutzbestimmungen halten. Dies gilt insbesondere im Rahmen von internen Ermittlungen. Fachlich gibt es hiermit enge Vernetzungen, die unumgänglich sind. Dennoch gibt es eine wesentliche Neuerung im Rahmen der DSGVO.

Neu im Rahmen der DSGVO ist, dass eine sog. Datenschutz-Compliance erstmals gesetzlich etabliert wird.

Datenverantwortliche Stellen müssen zukünftig gemäß Art. 24  DSGVO „Datenschutz-Richtlinien“ und geeignete technische und organisatorische Maßnahmen vorhalten, um die Einhaltung der Datenschutzvorschriften belegen zu können. Nach Art. 25 DSGVO ist darauf zu achten, dass sowohl die Systeme, mit denen personenbezogene Daten verarbeitet werden, sowie die entsprechenden Arbeitsabläufe datenschutzfreundlich gestaltet sind. Nach Art. 25 Nr. 3 DSGVO gilt, dass: „Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“ Hiermit kommt erneut durch die sog. Zertifizierung ein Kontrollinstrument als Compliance-Funktion hinzu. Darüber hinaus werden klare Nachweise verlangt, die belegen, dass das unternehmensinterne System konform zur DSGVO ist.

Zusätzlich werden gemäß Art. 40 DSGVO sog. „Verhaltensregeln“ als Mittel zur Einhaltung der Verordnung festgeschrieben. So heißt es in Art. 40 Nr. DSGVO: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“ Das hier angewendete Prinzip ist ähnlich einem sog. Code of Conduct, welcher Verhaltensregeln normiert, und um diese einzuhalten vom Unternehmen selbst ein Kontrollsystem verlangt. Ähnlich wird nun auch hierbei vorgegangen. Selbst wenn in der DSGVO selbst nicht mit dem Wort Compliance gespielt wird, so ist dennoch offensichtlich, dass der Tenor immer wieder betont, der Verantwortliche hat für die Einhaltung der Vorschriften im Sinne der DSGVO Sorge zu tragen. Dies kann nur im Rahmen einer etablierten Datenschutz-Compliance geschehen, um die erhöhten Anforderungen zu erfüllen.

Zuvor bleibt den Unternehmen nur im Rahmen eines Datenschutz-Review Vorsorge zu treffen, um vorbereitet zu sein und rechtzeitig eine Datenschutz-Compliance aufzubauen.

Dies ist letztlich die wesentliche Neuerung für alle Beteiligten und verlangt einen enormen organisatorischen Aufwand.

 

DSGVO: Der Datenschutz-Review

Checklisten

Analyse – Planung – Durchführung – Kontrolle

Vorgehensweise für einen Review:

  • Festlegung des Prüfumfangs/Sachverhalt
  • Tools: Fragebögen, Interview, Checklisten, Standards, ISO-Normen etc.
  • Interner Check: Anforderungsliste für HR (Verträge, Listen, Akten etc.)
  • Due Diligence: Analyse, Durchsicht und Abgleich
  • Interviews/Befragungen
  • Report inkl. rechtl. Bewertung und Risikoeinschätzung
  • Re-Review mit etwas zeitlichem Abstand
  • Protokollierung

Kernfragen für einen Datenschutz-Review:

  1. Inwieweit werden die neuen Vorgaben nach der DSGVO im Unternehmen bereits umgesetzt?
  2. Sind die Risiken im datenschutzrechtlichen Umfeld bekannt?
  3. Wurden die Ziele zur Erreichung der Vorgaben analysiert? Werden diese Ziele entsprechend projektiert?
  4. Sind Kontrollen und Vorgehensweisen anhand der benannten Ziele definiert worden?
  5. Werden Schulungsmaßnahmen ergriffen?
  6. Handelt und orientiert sich das Unternehmen anhand der neun wichtigsten Prinzipien der DSGVO? Inwieweit ist dieses Verhalten als nachhaltig anzusehen?

 

Hier finden Sie die Grundprinzipien der DSGVO im Überblick.

Die neun wichtigsten Grundprinzipien der DSGVO:

  1. Treu und Glauben: Verhältnismäßigkeit
  2. Rechtmäßigkeit: Verbot mit Erlaubnisvorbehalt
  3. Zweckbindung: keine Speicherung „auf Vorrat
  4. Transparenz: der Betroffene soll Kenntnis haben
  5. Datenminimierung: auf das notwendige Maß beschränkt
  6. Richtigkeit: sachlich richtig, neuester Stand
  7. Speicherbegrenzung: zeitlich am Zweck orientiert
  8. Integrität und Vertraulichkeit: Schutz vor Verlust etc.
  9. Rechenschaftspflicht: Beweislast des Verarbeiters

 

Für die Durchführung eines Reviews steht Ihnen das CAD-Institut für Compliance, Arbeitsrecht und Datenschutz sehr gern zur Verfügung.

Ihr CAD-Team

[contact-form][contact-field label=“Name“ type=“name“ required=“1″ /][contact-field label=“Email“ type=“email“ required=“1″ /][contact-field label=“Comment“ type=“textarea“ required=“1″ /][contact-field label=“Text“ type=“text“ /][/contact-form]

 

HR-Compliance-Review

-Ganzheitliches Risikomanagement-

Ein HR-Compliance-Review verlangt vor allem eine entsprechende Risikoanalyse. Die Analyse unterstützt den Personalbereich dabei Risiken herauszuarbeiten, die dann in einem Review nochmals genauer unter die Lupe genommen werden. Warum gerade HR?

HR nimmt im Gefüge zwischen Compliance, Arbeitsrecht und Datenschutz eine zentrale Rolle ein. Sei es aus der Organisationsstruktur heraus oder auch im Funktionsgefüge des Unternehmens. Zudem liefert die Personalabteilung in zahlreichen Punkten Hilfestellung bei der Umsetzung von Compliance selbst und ist damit wichtiger Tandempartner.

Die HR-Risikofelder sind mannigfaltig und können von steuerrechtlichen bis hin zu komplexen arbeitsrechtlichen Themen reichen.

Ein Review selbst überprüft inhaltlich und praktisch Standards, Richtlinien und Vertragsvorlagen der Personalabteilung sowie Elemente der Management-, Kern- und Unterstützungsprozesse. Ziel ist es der Geschäftsführung und der Personalleitung aufzuzeigen, wo akuter Handlungsbedarf besteht.

Das CAD-Institut für Compliance, Arbeitsrecht und Datenschutz arbeitet genau in und mit diesen  Schnittstellen.

Mehr dazu unter:

www.institut-cad.de

 

 

 

„Loi Macron“: Meldepflichten im Transportgewerbe contra Datenschutz?

Kommentar

Mit dem „Loi Macron“ erweitert Frankreich die Vorschriften für Arbeitnehmerentsendungen auf Transport- und Schifffahrtunternehmen, welche Mitarbeiter (u. a. Fahrer) auf französischem Staatsgebiet einsetzen. Zuvor waren Dienstleistungen nach Frankreich mit einer Dauer von weniger als 8 Tagen von der Meldepflicht ihrer Mitarbeiter bei den französischen Behörden befreit. Seit dem 1.7.2016 gelten für deutsche Transportunternehmen bei der Mitarbeiterentsendung u. a. folgende Verpflichtungen:

Einhaltung des französischen Mindestlohns, Erstellung einer Entsendebescheinigung sowie die Benennung eines Vertreters in Frankreich.

Der Datenschutz kommt dadurch ins Spiel, weil der Mindestlohn sich nach dem Dienstalter und der beruflichen Qualifizierung des Arbeitnehmers richtet. Eine Berechnung erfolgt dann auf Basis eines Koeffizienten entsprechend der Funktion, die der Mitarbeiter ausübt.

Nach der aktuellen Rechtslage (auf Grundlage des BDSG) besteht die Möglichkeit die Datenübermittlung gem. § 32 BDSG für Zwecke des Beschäftigungsverhältnisses als Rechtsgrundlage heranzuziehen. Ob dies jedoch gem. § 32 BDSG zur „Durchführung“ eine wirkliche Anknüpfung finden kann, ist fraglich. Zumindest könnte für den Fall, dass man dies verneint § 28 I Nr. 2 BDSG herangezogen werden: „soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder…“

Ob dies allerdings für den Fall der Fälle wirklich hilfreich ist, bleibt abzuwarten, da die Europäische Kommission bereits am 16.6.2016 beschlossen hat, ein Vertragsverletzungsverfahren gegen das Mindestlohngesetz im Verkehrssektor einzuleiten. Die zweimonatige Frist zur Stellungnahme ist bereits abgelaufen. Es bleibt also spannend.

Für Unternehmen ist es umso wichtiger, um nicht direkt und ohne Vorüberlegung in den Datenschutzverstoß zu gehen, eine sachlich fundierte Vorgehensweise heranzuziehen. Egal welche Rechtsgrundlage als Rechtfertigung für die Datenübermittlung dienen mag, so ist dennoch ein entsprechender Umgang mit den Daten der Mitarbeiter wünschenswert. Der Arbeitgeber sollte die Pseudonymisierung der Arbeitnehmerdaten in Erwägung ziehen, um so auf der sicheren Seite zu stehen.

Eine nicht eindeutige Situation bzw. Rechtslage für Unternehmer, welche ihre Mitarbeiter beschäftigen wollen, aber aktuell nicht genau wissen, wie sie datenschutzrechtlich mit dem Thema verfahren sollen.

Weiterführende Infos zum „Macron-Gesetz“:

https://www.rhein-neckar.ihk24.de/blob/maihk24/international/downloads/3417298/b3ecd18e172427a3bfce1941536f2276/Meldepflichten-Transportgewerbe-data.pdf

 

Update zu Pokémon Go

Sicherheitsrisiken

Um Sicherheitsrisiken in Verbindung mit dem Spiel Pokémon Go geht es in der Antwort der Bundesregierung (18/9607) auf eine Kleine Anfrage der Fraktion Die Linke (18/9464).

Die Bundesregierung legt dar, dass ein mögliches Sicherheitsrisiko für Spieler in der sinkenden Aufmerksamkeit für die Umgebung aufgrund des vertieften Spielens, insbesondere im Straßenverkehr, in der Nähe von Verkehrseinrichtungen und Gefahrenbereichen sowie dem unbefugten Betreten von Militärischen Bereichen beziehungsweise Militärischen Sicherheitsbereichen gesehen wird. Dies bringt die Spielweise von Pokémon Go mit sich, da es sich hierbei um ein positionsbezogenes Spiel handelt, welches seine Spielumgebung nach dem Prinzip der erweiterten Realität (augmented reality) nutzt. D. h. die Bewegung der Spieler in der realen Welt verwendet.

„Darüber hinaus könnte durch mangelnde Aufmerksamkeit für die Umgebung ein gesteigertes Risiko bestehen, Opfer von Kriminalität zu werden“, schreibt die Bundesregierung weiter.

Weitere Risiken könnten den Ausführungen der Bundesregierung zufolge „unter anderem durch die dauerhafte Aktivierung des Standortdienstes, etwa bei Zugriffen Dritter auf die Daten des jeweiligen Smartphones, entstehen“.

Siehe ausführliche Darlegung unter folgenden Links:

Kleine Anfrage

http://dip21.bundestag.de/dip21/btd/18/094/1809464.pdf

Antwort der Bundesregierung

http://dip21.bundestag.de/dip21/btd/18/096/1809607.pdf

 

(Quelle: hib Nr. 523 – 19.09.2016)