Sign up to save your podcasts
Or
Share EuGH konkretisiert Datenverarbeitung im Beschäftigungskontext - Datenschutz News KW 02/2025
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
EuGH konkretisiert Datenverarbeitung im Beschäftigungskontext - Datenschutz News KW 02/2025
Was ist in der KW 02 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/eugh-konkretisiert-datenverarbeitung-im-beschaeftigungskontext-datenschutz-news-kw-02-2025/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk. Ihr und ich habe wieder gesiezt.
Das ging schnell. Zweiter Satz, erster Satz.
Ja, nochmal.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Mein Name ist Laura Droschinski und an meiner Seite begrüße ich heute Gregor
Vortberg. Hallo lieber Gregor.
Hallo Laura.
Ja, heute ist Freitag, der 10. Januar 2025. Unser Redaktionsschluss war heute
schon bereits um 9.30 Uhr aus Gründen, denn ein bisschen Insiderwissen,
wir haben immer am ersten Freitag des Monats, wenn es nicht der 2. Januar ist oder 3.
Januar, nein, aber unseren Teamfreitag. Hier ist also heute in Mülheim volles
Haus, aber noch nicht voll genug.
Deshalb der Hinweis, wir haben noch ausgeschriebene Stellen für Datenschutzberater.
Also wer den frischen Wind des neuen Jahres nutzen möchte und Lust auf Veränderungen
hat, ihr seid recht herzlich eingeladen, euch bei uns weiterhin zu bewerben.
Ich dachte, jetzt kommt irgendwas Nettes zu unserem Team. So nochmal unterstützende
Worte, wie viel Spaß es bei uns macht.
Ja, das hast du so schön gesagt. Da gab es eigentlich nichts dazu zu fügen,
aber wir freuen uns auf euch, auf jeden von euch, der sich bei uns meldet.
Genau, richtig. Ja, kommen wir zu unseren wöchentlichen News.
Es ist Anfang des Jahres. Man merkt noch ein ganz klein wenig ruhiger,
aber ich finde, wir haben ein paar schöne Themen rausgesucht.
Was hast du denn heute auf dem Zettel, Gregor?
Ich wollte gerade sagen, die Europäische Gerichtshof ist doch schon recht aktiv gewesen.
Nicht immer so mit Datenschutzbezug haben wir festgestellt in der Vorarbeit,
aber da sind schon in diesem Jahr einige Urteile gesprochen worden.
Und da habe ich auch dazu mitgebracht, im Kontext der Pflicht zur Angabe der
Anrede beim Ticketkauf,
dann muss die EU-Kommission Schadensersatz zahlen wegen einer unzulässigen Datenübermittlung
in die USA und ein Bußgeld aus Frankreich, habe ich auch noch mitgebracht aufgrund
des Kontaktdatenscrapings.
Ich habe auch ein Urteil vom Europäischen Gerichtshof mitgebracht,
zwar vom 19.12., aber auch nicht wenig frisch.
Zum Thema Datenverarbeitung im Beschäftigtenkontext ist ja auch heute unser Top-Thema.
Weiter geht’s mit einer, fand ich, ganz interessanten Studie zum Thema Erfolg
von Phishing Links in Unternehmen.
Und am Ende möchte ich natürlich noch was sagen zum Wechsel des DSK-Vorsitzes
für dieses Jahr. Dann starte doch mal.
Ja, wir sind am Zahn der Zeit. Jetzt sage ich das jetzt einfach mal.
Der Europäische Gerichtshof hat mich am gestrigen 9.
Januar geurteilt, dass die französische Bahngesellschaft SNCF keine Informationen
zur Geschlechteridentität von Fahrgästen bei Kauf einer Fahrkarte als abzugebende
Pflichtinformation erheben darf. Was steckt dahinter?
Der französische Verband Mousse, welcher sich gegen sexuelle Diskriminierung
einsetzt, hatte geklagt, dass die systematische Erhebung der Anrede beim Fahrkartenkauf
gegen die Grundsätze der DSGVO verstoße.
Zunächst hatten die französische Aufsichtsbehörde und diverse Gerichte das nämlich alles abgelehnt.
Und der Europäische Gerichtshof teilt jetzt nun aber diese Ansicht und urteilte,
dass es für den Fahrkartenkauf und somit für die Vertragserfüllung nicht unerlässlich
sei, zu erheben, ob eine Person mit Herr oder Frau angeredet werden möchte.
Und diese Unerlässlichkeit für den Vertragsabschluss sei halt maßgeblich,
auch diese Rechtsgrundlage eben anwenden zu können.
Eine höfliche Kommunikationsform sei eben nicht maßgeblich für das Zustandekommen
eines Vertrages und eine Lösung könne die Kommunikation mit einer allgemeinen
und inklusiven Höflichkeitsformel sein, so heißt es im Urteil.
Ebenso wurde seitens des EuGH abgelehnt, dass ein berechtigtes Interesse zur
höflichen Kommunikation der französischen Bahn für diese Erhebung vorliege.
Und das wurde mit dem Verweis auf das Risiko der Diskriminierung aufgrund der
Geschlechteridentität knapp abgelehnt.
Am übertragen auf den einen oder anderen Onlineshop oder Newsletter dürfte diese
Entscheidung dann auch in Deutschland durchaus interessant sein,
weil da sehen wir ja dann doch sehr, sehr regelmäßig, dass eben diese Informationen
abgerufen und abgefragt werden.
In einem LTO-Artikel hieß es, dass bei der Deutschen Bahn es übrigens möglich
sei, auch die Anrede neutral aussieht.
Ja, am Ende ist es wahrscheinlich dann wiederum die Entscheidungsgewalt des
Betroffenen, die hier vielleicht manchmal auch den Ausschlag geben kann oder
eben es nicht als Pflichtfeld zu deklarieren.
Ja, aber dass man sich mit den berechtigten Interessen beim Thema Höflichkeit
auseinandersetzt, ich glaube, das habe ich auch noch nicht gehört.
Jedenfalls nicht auf dieser Ebene.
Aber cool. Ja, der EuGH stärkt den Datenschutz am Arbeitsplatz und nach seinen
Aussagen sollen oder müssen nationale Regeln und Betriebsvereinbarungen höchsten
Anforderungen genügen.
Der Europäische Gerichtshof hat mit einem Urteil vom 19.
Dezember 2024 klargestellt, dass nationale Gesetze und Betriebsvereinbarungen
zur Verarbeitung von Beschäftigte-Daten den strengen Vorgaben der DSGVO entsprechen müssen.
Dieses Urteil wurde im Rahmen eines Verabentscheidungsersuchens des Bundesarbeitsgerichts
gesprochen und zum zugrunde liegenden Fall,
also Hintergrund des Urteils war ein Fall, in dem ein Unternehmen mithilfe von
der SAP Software oder einer SAP Software Daten seiner Mitarbeiter verarbeitete
und anschließend seine Muttergesellschaft in den USA übermittelte.
Eine bestehende Betriebsvereinbarung schränkte die Nutzung personenbezogener
Daten jedoch ein und regelte explizit, welche Kategorien verarbeitet werden
dürfen und welche nicht.
Ein Mitarbeiter klagte, da er eine Verletzung dieser Vereinbarung vermutete,
woraufhin der EuGH eingeschaltet wurde.
Kommen wir zur Entscheidung des Europäischen Gerichtshofs und zwar nach Artikel 88 DSGVO.
Können spezifische Regeln zur Verarbeitung von Beschäftigtendaten durch nationale
Gesetze oder Betriebsvereinbarung festgelegt werden? Das ist ja nichts Neues.
Und der EuGH stellte infolgedessen klar, dass solche Regelungen keinesfalls
die allgemeinen Datenschutzgrundsätze der DSGVO umgehen dürfen.
Insbesondere sind die Anforderungen laut seinen Aussagen aus Artikel 5,
6 und 9 zu beachten, welche die
Verarbeitung aus sensibler Daten nur unter strengen Bedingungen zulassen.
Zudem betonte der Gerichtshof, dass der Ermessensspielraum bei der Ausarbeitung
von Kollektivvereinbarungen nicht die gerichtliche Überprüfung ausschließt.
Also nationale Gesetze und Betriebsvereinbarungen werden vom EuGH dabei als
gleichwertige Instrumente angesehen, die jedoch immer den hohen Datenschutzstandards genügen müssen.
Auch das, wir packen das mal hier in die Shownotes, das ist ein bisschen umfangreicheres
Urteil, das war jetzt so die Kernessenz daraus.
Wer sich dafür interessiert, sei das auf jeden Fall ans Herz gelegt,
denn wie gesagt, dieses Urteil betrifft nochmal die Wichtigkeit der Unternehmen,
ihre datenschutzrechtlichen Prozesse eben im beschäftigten Kontext genau zu
prüfen und dass eben Betriebsvereinbarungen und nationale Gesetze im Einklang
mit der DSGVO auch in Gänze eingehalten werden müssen,
um eben den Schutz der Mitarbeitenden zu gewährleisten.
Dann ist ja immer wieder so ein Thema Betriebsvereinbarung alleine,
wie detailliert muss die sein oder auch eben nicht und finde ich jetzt hier
schon mal eine ganz schöne Konkretisierung vom Europäischen Gerichtshof.
Die EU-Kommission, ausgerechnet die EU-Kommission, ist aufgrund einer unzulässigen
Übermittlung personenbezogener Daten in die USA zur Zahlung eines Schadensersatzes
in Höhe von 400 Euro verpflichtet worden.
Hintergrund ist die Klage eines deutschen Unternehmers, welche eine Webseite
der Kommission aufgerufen hatte.
Es ist übrigens nicht die Hauptwebseite, sondern eine Unterseite.
Es war futureu.europa.eu, ist mittlerweile auch nicht mehr aufrufbar.
Ich habe es zumindest nicht geschafft. In diesem Zuge sei eine Übermittlung
personenbezogener Daten in die USA erfolgt.
Der Zugriff erfolgte passenderweise im Zeitraum zwischen dem Ende des Privacy
Shield Abkommens und dem neuen Data Privacy Frameworks.
In diesem Zeitraum erfolgte die Datenübermittlung dann aufgrund der Einbindung
des Sign-in-with-Facebook-Buttons auf der Webseite.
Durch das Einbinden des Buttons sei die Datenverarbeitung dann auch dem Webseitenbetreiber zuzuordnen.
Und darüber hinaus habe zwischen der EU-Kommission und Meta,
dem Facebook-Mutterkonzern, keine Vereinbarung zur Datenübermittlung vorgelegen.
Sprich, keine geeigneten Garantien, wie zum Beispiel Standardvertragsklausel.
Erinnert einen so ein bisschen an das Fashion-ID-Urteil vor einigen Jahren.
Die Einbindung sei daher ein, Zitat, hinreichend qualifizierter Verstoß der
EU-Kommission gegen Artikel 46 DSGVO,
welcher eben die Datenübermittlung vorbehaltlich der geeigneten Garantien regelt
und folglich sei für den Kläger unklar gewesen,
wie unter anderem seine IP-Adresse denn nun verarbeitet werde.
Ja, was nehmen wir daraus mit? Ich glaube, für Unternehmen gilt es dann weiterhin
auch nochmal zu prüfen, an welcher Stelle personenbezogene Daten,
Zum Beispiel auf der Webseite an dritte Unternehmen übermittelt werden und dann
natürlich auch sicherzustellen, dass diese vertraglich auch korrekt angebunden
sind, um halt auch eine datenschutzkonforme Übermittlung dann auch zu ermöglichen und sicherzustellen.
Insbesondere sollte man natürlich aber auch beobachten, ob sich Rahmenbedingungen
ändern, wie jetzt zum Beispiel das Abkommen, das Ende eines Abkommens oder Angemessenheitsbeschlusses.
Genau, so ist es. Also da halt immer wieder das auch im Hinterkopf haben,
dass das mit dem einmaligen Abhaken zu Beginn der Datenverarbeitung nicht getan
ist, sondern auch immer wieder hier schauen, greifen da denn noch die entsprechenden Garantien.
Ja, momentan ist es in den USA recht ruhig, aber es kann sich jederzeit auch wieder ändern.
Richtig. Mitarbeiter in Unternehmen sind 2024 fast dreimal so häufig auf Phishing-Links
hereingefallen wie noch im Vorjahr.
So berichtet Heise diese Woche
und bezieht sich auf eine Analyse des Sicherheitsunternehmens Netscope.
Besonders betroffen waren Cloud-Speicherdienste, die sich wohl als wertvolle
Angriffsziele für Cyberkriminelle etabliert haben.
Jetzt kann man sich die Frage stellen, warum die Zunahme? Denn ja,
trotz regelmäßiger Schulung im Umgang mit Phishing sehen Experten die Ursache
für die gestiegenen Zahlen in zwei Faktoren,
nämlich zum einen der kognitiven Ermüdung durch die enorme Menge an Phishing
versuchen und dann wiederum die zunehmende Kreativität der Angreifer.
Denn ja, wie wir jetzt eine täuschend echte Nachahmung von Webseiten machen
es immer schwieriger, echte von gefälschten Seiten beispielsweise zu unterscheiden.
Zudem stand ein Großteil der Phishing-Links mittlerweile nicht mehr aus E-Mails,
sondern aus alternativen Quellen wie Suchmaschinen, Werbeanzeigen oder auch
Kommentaren auf Webseiten.
Fast 20% aller Phishing Links führten von Suchmaschinen aus auf manipulierte
Seiten und Cyberkriminelle nutzten dabei bezahlte Anzeigen oder Suchmaschinenoptimierung,
um ihre falschen Webseiten prominent zu platzieren.
Zehn Prozent der Klicks empfehlen auf Links von Shopping-Seiten.
Weitere stammten von Technologie-, Unterhaltungs- und Business-Seiten,
oft versteckt in Anzeigen oder Kommentaren.
Ganz besonders kritisch muss man halt sehen, dass halt auch viele Links zu gefälschten
Login-Seiten von Cloud-Diensten führen.
Also besonders oft waren hierbei Microsoft-Dienste wohl betroffen,
aber auch die von Adobe Cloud oder DocuSign machten einen Großteil aus.
Für Angreifer sind diese Zugangsdaten Gold wert, denn sie haben dadurch nicht
nur Zugriff auf Unternehmensdaten gegebenenfalls, sondern es erleichtert halt
auch weitere Angriffe um ein Vielfaches.
Und was halt auch nochmal in dieser Studie klar wurde, ein zusätzliches Risiko,
und das kriegen wir in der Praxis halt auch immer mal wieder mit,
ist das sogenannte Schatten-IT-Thema.
Also Mitarbeitende nutzen persönliche Cloud-Dienste und laden dort regelmäßig
Daten hoch, teils bewusst, teils unabsichtlich, etwa durch automatische Backups.
In 94 Prozent der Unternehmen kamen zudem generative KI-Anwendungen zum Einsatz,
die ja nicht immer genehmigt waren.
Und ja, was ist die Folge daraus? Dass eben halt auch sehr, sehr viele Unternehmen
einfach grundsätzlich das verbieten, was natürlich für die Zukunft auch nicht
so erfolgsversprechend ist und dann eben dazu führt, dass die Mitarbeiter dies
heimlich tun. Ja, was ist zu unterstreichen?
Das ist halt eben, wie wichtig ist es, umfassende Schutzmaßnahmen zu haben.
Also neben dem klassischen Data Loss Protection setzen Unternehmen ja zunehmend
auch auf Coaching-Tools.
Das sei halt empfehlenswert, die halt eben Mitarbeitende waren.
Wenn sensible Daten in unsichere Anwendungen geladen werden.
Aber gleichzeitig entwickeln wohl auch Browser-Anbieter KI-basierte Technologien,
um vor Phishing-Seiten zu schützen.
Also weiterhin Phishing ein riesen, riesen Problem in der Weiterentwicklung
ja auch der Angriffsstrategien.
Und ja, wie gerade schon gesagt, Präventionsmaßnahmen als Unternehmen ist glaube
ich hier das A und O und irgendwie versuchen die Mitarbeitenden bei Laune zu halten.
Dass sie so nicht resignieren an irgendeiner Stelle und einfach das Bewusstsein
schaffen, was halt auch eben alternative Phishingquellen angeht.
Sensibilisierung ist da wirklich das A und O.
Richtig.
Blicke zurück nach Frankreich. Die französische Datenschutzaufsichtsbehörde
KNIL hat gegen das Unternehmen Casper ein Bußgeld in Höhe von 240.000 Euro ausgesprochen.
Das Unternehmen ist Anbieter eines Tools, genau genommen eines Google Chrome
Plugins, welches das Scraping, also das automatische Sammeln von Kontaktdaten
von LinkedIn-Nutzern, deren Profil man besucht hat und von anderen Webseiten ermöglicht.
Die auf diese Weise gewonnene Daten können dann zum Beispiel später genutzt
werden, um eine werbliche Ansprache durchzuführen.
In der auf diese Weise vom Unternehmen erstellten Datenbank finden sich schlanke
160 Millionen Kontakte.
Muss man auch erstmal schaffen. Insbesondere Kern des Bußgeldes sind Verstöße
gegen die Rechtmäßigkeit der Verarbeitung, Transparenzpflichten und das Auskunftsrecht.
Die KNIL verpflichtete das Unternehmen neben dem Bußgeld auch innerhalb von
drei Monaten die von betroffenen Personen eingereichten Widersprüche umzusetzen
und entsprechende Daten zu löschen und grundsätzlich, und das finde ich besonders interessant,
alle betroffenen Personen zu informieren und das in einer geeigneten Sprache
und auf Wunsch auch über die Datenquelle,
das innerhalb von sechs Monaten. Also da haben sie ein bisschen was zu tun.
Finde ich aber besonders interessant, dass es halt auch und hervorhebenswert,
dass es halt nicht immer nur bei Bußgeldern bleibt, sondern es auch andere Sanktionsmöglichkeiten
gibt, die regelmäßig ausgesprochen werden.
Zudem soll auch einfach grundsätzlich durch das Bußgeld die Aufmerksamkeit der
betroffenen Personen gewonnen werden, um halt auch ihre Rechte geltend machen zu können.
Kommen wir zu unserer letzten Nachricht für heute, denn die Berliner Beauftragte
für Datenschutz und Informationsfreiheit, Maike Kamp, hat den Vorsitz der Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz DSK,
für das Jahr 2025 übernommen.
Das teilte sie in einer Pressemitteilung vom 8. Januar mit.
Im Zentrum ihres Vorsitzes stehen zukunftsweisende Themen wie Anonymisierung
und Pseudonymisierung personenbezogener Daten und zudem wird sie die Wechselwirkungen
zwischen der DSGVO und den europäischen Digitalrechtsakten,
etwa dem Data Act oder dem Data Governance Act, als zentralen Schwerpunkt sehen.
Und ein weiteres Ziel hat sie sich vorgenommen, nämlich die Standardisierung
von Prüfkriterien der Datenschutzaufsichtsbehörden.
Ich finde ein ganz interessantes Programm, was sie sich da vorgenommen hat.
Ich glaube, wir wünschen ihr an dieser Stelle viel Erfolg für diese neue sehr
wichtige Aufgabe. Ja, ich persönlich habe so ein bisschen den Wunsch,
vielleicht sie auch dieses Jahr in unserer Silvester-Show begrüßen zu dürfen,
damit sie uns ein wenig was über ihre Arbeit erzählt.
Vielleicht an dieser Stelle natürlich auch der Hinweis, wer sie noch nicht gehört
hat, was ja durchaus durch Weihnachts- und Januar-Urlaub sein kann.
Unsere Silvester-Folge ist ja online seit Ende des Jahres.
Und wir würden uns natürlich sehr freuen, wenn ihr auch hier reinhört,
wenn noch nicht geschehen oder uns sogar zuseht.
Denn auf YouTube findet ihr in unserem Kanal natürlich auch die ganze Folge als Video. Punkt.
Punkt.
Sind wir am Ende angekommen. Lieber Gregor, möchtest du noch was sagen?
Ich freue mich aufs Jahr 2025.
Ich auch. Ja, das wird cool. dann danke ich dir erstmal soweit für die heutige Folge,
hat sehr viel Spaß gemacht Danke auch Ihr lieben Zuhörerinnen und Zuhörer,
schön, dass ihr auch wieder mit dabei wart Wir wünschen euch ein schönes Wochenende
und verabschieden uns bis nächste Woche Bis dahin, bis bald, tschüss.
Der Beitrag EuGH konkretisiert Datenverarbeitung im Beschäftigungskontext – Datenschutz News KW 02/2025 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 02 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/eugh-konkretisiert-datenverarbeitung-im-beschaeftigungskontext-datenschutz-news-kw-02-2025/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk. Ihr und ich habe wieder gesiezt.
Das ging schnell. Zweiter Satz, erster Satz.
Ja, nochmal.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Mein Name ist Laura Droschinski und an meiner Seite begrüße ich heute Gregor
Vortberg. Hallo lieber Gregor.
Hallo Laura.
Ja, heute ist Freitag, der 10. Januar 2025. Unser Redaktionsschluss war heute
schon bereits um 9.30 Uhr aus Gründen, denn ein bisschen Insiderwissen,
wir haben immer am ersten Freitag des Monats, wenn es nicht der 2. Januar ist oder 3.
Januar, nein, aber unseren Teamfreitag. Hier ist also heute in Mülheim volles
Haus, aber noch nicht voll genug.
Deshalb der Hinweis, wir haben noch ausgeschriebene Stellen für Datenschutzberater.
Also wer den frischen Wind des neuen Jahres nutzen möchte und Lust auf Veränderungen
hat, ihr seid recht herzlich eingeladen, euch bei uns weiterhin zu bewerben.
Ich dachte, jetzt kommt irgendwas Nettes zu unserem Team. So nochmal unterstützende
Worte, wie viel Spaß es bei uns macht.
Ja, das hast du so schön gesagt. Da gab es eigentlich nichts dazu zu fügen,
aber wir freuen uns auf euch, auf jeden von euch, der sich bei uns meldet.
Genau, richtig. Ja, kommen wir zu unseren wöchentlichen News.
Es ist Anfang des Jahres. Man merkt noch ein ganz klein wenig ruhiger,
aber ich finde, wir haben ein paar schöne Themen rausgesucht.
Was hast du denn heute auf dem Zettel, Gregor?
Ich wollte gerade sagen, die Europäische Gerichtshof ist doch schon recht aktiv gewesen.
Nicht immer so mit Datenschutzbezug haben wir festgestellt in der Vorarbeit,
aber da sind schon in diesem Jahr einige Urteile gesprochen worden.
Und da habe ich auch dazu mitgebracht, im Kontext der Pflicht zur Angabe der
Anrede beim Ticketkauf,
dann muss die EU-Kommission Schadensersatz zahlen wegen einer unzulässigen Datenübermittlung
in die USA und ein Bußgeld aus Frankreich, habe ich auch noch mitgebracht aufgrund
des Kontaktdatenscrapings.
Ich habe auch ein Urteil vom Europäischen Gerichtshof mitgebracht,
zwar vom 19.12., aber auch nicht wenig frisch.
Zum Thema Datenverarbeitung im Beschäftigtenkontext ist ja auch heute unser Top-Thema.
Weiter geht’s mit einer, fand ich, ganz interessanten Studie zum Thema Erfolg
von Phishing Links in Unternehmen.
Und am Ende möchte ich natürlich noch was sagen zum Wechsel des DSK-Vorsitzes
für dieses Jahr. Dann starte doch mal.
Ja, wir sind am Zahn der Zeit. Jetzt sage ich das jetzt einfach mal.
Der Europäische Gerichtshof hat mich am gestrigen 9.
Januar geurteilt, dass die französische Bahngesellschaft SNCF keine Informationen
zur Geschlechteridentität von Fahrgästen bei Kauf einer Fahrkarte als abzugebende
Pflichtinformation erheben darf. Was steckt dahinter?
Der französische Verband Mousse, welcher sich gegen sexuelle Diskriminierung
einsetzt, hatte geklagt, dass die systematische Erhebung der Anrede beim Fahrkartenkauf
gegen die Grundsätze der DSGVO verstoße.
Zunächst hatten die französische Aufsichtsbehörde und diverse Gerichte das nämlich alles abgelehnt.
Und der Europäische Gerichtshof teilt jetzt nun aber diese Ansicht und urteilte,
dass es für den Fahrkartenkauf und somit für die Vertragserfüllung nicht unerlässlich
sei, zu erheben, ob eine Person mit Herr oder Frau angeredet werden möchte.
Und diese Unerlässlichkeit für den Vertragsabschluss sei halt maßgeblich,
auch diese Rechtsgrundlage eben anwenden zu können.
Eine höfliche Kommunikationsform sei eben nicht maßgeblich für das Zustandekommen
eines Vertrages und eine Lösung könne die Kommunikation mit einer allgemeinen
und inklusiven Höflichkeitsformel sein, so heißt es im Urteil.
Ebenso wurde seitens des EuGH abgelehnt, dass ein berechtigtes Interesse zur
höflichen Kommunikation der französischen Bahn für diese Erhebung vorliege.
Und das wurde mit dem Verweis auf das Risiko der Diskriminierung aufgrund der
Geschlechteridentität knapp abgelehnt.
Am übertragen auf den einen oder anderen Onlineshop oder Newsletter dürfte diese
Entscheidung dann auch in Deutschland durchaus interessant sein,
weil da sehen wir ja dann doch sehr, sehr regelmäßig, dass eben diese Informationen
abgerufen und abgefragt werden.
In einem LTO-Artikel hieß es, dass bei der Deutschen Bahn es übrigens möglich
sei, auch die Anrede neutral aussieht.
Ja, am Ende ist es wahrscheinlich dann wiederum die Entscheidungsgewalt des
Betroffenen, die hier vielleicht manchmal auch den Ausschlag geben kann oder
eben es nicht als Pflichtfeld zu deklarieren.
Ja, aber dass man sich mit den berechtigten Interessen beim Thema Höflichkeit
auseinandersetzt, ich glaube, das habe ich auch noch nicht gehört.
Jedenfalls nicht auf dieser Ebene.
Aber cool. Ja, der EuGH stärkt den Datenschutz am Arbeitsplatz und nach seinen
Aussagen sollen oder müssen nationale Regeln und Betriebsvereinbarungen höchsten
Anforderungen genügen.
Der Europäische Gerichtshof hat mit einem Urteil vom 19.
Dezember 2024 klargestellt, dass nationale Gesetze und Betriebsvereinbarungen
zur Verarbeitung von Beschäftigte-Daten den strengen Vorgaben der DSGVO entsprechen müssen.
Dieses Urteil wurde im Rahmen eines Verabentscheidungsersuchens des Bundesarbeitsgerichts
gesprochen und zum zugrunde liegenden Fall,
also Hintergrund des Urteils war ein Fall, in dem ein Unternehmen mithilfe von
der SAP Software oder einer SAP Software Daten seiner Mitarbeiter verarbeitete
und anschließend seine Muttergesellschaft in den USA übermittelte.
Eine bestehende Betriebsvereinbarung schränkte die Nutzung personenbezogener
Daten jedoch ein und regelte explizit, welche Kategorien verarbeitet werden
dürfen und welche nicht.
Ein Mitarbeiter klagte, da er eine Verletzung dieser Vereinbarung vermutete,
woraufhin der EuGH eingeschaltet wurde.
Kommen wir zur Entscheidung des Europäischen Gerichtshofs und zwar nach Artikel 88 DSGVO.
Können spezifische Regeln zur Verarbeitung von Beschäftigtendaten durch nationale
Gesetze oder Betriebsvereinbarung festgelegt werden? Das ist ja nichts Neues.
Und der EuGH stellte infolgedessen klar, dass solche Regelungen keinesfalls
die allgemeinen Datenschutzgrundsätze der DSGVO umgehen dürfen.
Insbesondere sind die Anforderungen laut seinen Aussagen aus Artikel 5,
6 und 9 zu beachten, welche die
Verarbeitung aus sensibler Daten nur unter strengen Bedingungen zulassen.
Zudem betonte der Gerichtshof, dass der Ermessensspielraum bei der Ausarbeitung
von Kollektivvereinbarungen nicht die gerichtliche Überprüfung ausschließt.
Also nationale Gesetze und Betriebsvereinbarungen werden vom EuGH dabei als
gleichwertige Instrumente angesehen, die jedoch immer den hohen Datenschutzstandards genügen müssen.
Auch das, wir packen das mal hier in die Shownotes, das ist ein bisschen umfangreicheres
Urteil, das war jetzt so die Kernessenz daraus.
Wer sich dafür interessiert, sei das auf jeden Fall ans Herz gelegt,
denn wie gesagt, dieses Urteil betrifft nochmal die Wichtigkeit der Unternehmen,
ihre datenschutzrechtlichen Prozesse eben im beschäftigten Kontext genau zu
prüfen und dass eben Betriebsvereinbarungen und nationale Gesetze im Einklang
mit der DSGVO auch in Gänze eingehalten werden müssen,
um eben den Schutz der Mitarbeitenden zu gewährleisten.
Dann ist ja immer wieder so ein Thema Betriebsvereinbarung alleine,
wie detailliert muss die sein oder auch eben nicht und finde ich jetzt hier
schon mal eine ganz schöne Konkretisierung vom Europäischen Gerichtshof.
Die EU-Kommission, ausgerechnet die EU-Kommission, ist aufgrund einer unzulässigen
Übermittlung personenbezogener Daten in die USA zur Zahlung eines Schadensersatzes
in Höhe von 400 Euro verpflichtet worden.
Hintergrund ist die Klage eines deutschen Unternehmers, welche eine Webseite
der Kommission aufgerufen hatte.
Es ist übrigens nicht die Hauptwebseite, sondern eine Unterseite.
Es war futureu.europa.eu, ist mittlerweile auch nicht mehr aufrufbar.
Ich habe es zumindest nicht geschafft. In diesem Zuge sei eine Übermittlung
personenbezogener Daten in die USA erfolgt.
Der Zugriff erfolgte passenderweise im Zeitraum zwischen dem Ende des Privacy
Shield Abkommens und dem neuen Data Privacy Frameworks.
In diesem Zeitraum erfolgte die Datenübermittlung dann aufgrund der Einbindung
des Sign-in-with-Facebook-Buttons auf der Webseite.
Durch das Einbinden des Buttons sei die Datenverarbeitung dann auch dem Webseitenbetreiber zuzuordnen.
Und darüber hinaus habe zwischen der EU-Kommission und Meta,
dem Facebook-Mutterkonzern, keine Vereinbarung zur Datenübermittlung vorgelegen.
Sprich, keine geeigneten Garantien, wie zum Beispiel Standardvertragsklausel.
Erinnert einen so ein bisschen an das Fashion-ID-Urteil vor einigen Jahren.
Die Einbindung sei daher ein, Zitat, hinreichend qualifizierter Verstoß der
EU-Kommission gegen Artikel 46 DSGVO,
welcher eben die Datenübermittlung vorbehaltlich der geeigneten Garantien regelt
und folglich sei für den Kläger unklar gewesen,
wie unter anderem seine IP-Adresse denn nun verarbeitet werde.
Ja, was nehmen wir daraus mit? Ich glaube, für Unternehmen gilt es dann weiterhin
auch nochmal zu prüfen, an welcher Stelle personenbezogene Daten,
Zum Beispiel auf der Webseite an dritte Unternehmen übermittelt werden und dann
natürlich auch sicherzustellen, dass diese vertraglich auch korrekt angebunden
sind, um halt auch eine datenschutzkonforme Übermittlung dann auch zu ermöglichen und sicherzustellen.
Insbesondere sollte man natürlich aber auch beobachten, ob sich Rahmenbedingungen
ändern, wie jetzt zum Beispiel das Abkommen, das Ende eines Abkommens oder Angemessenheitsbeschlusses.
Genau, so ist es. Also da halt immer wieder das auch im Hinterkopf haben,
dass das mit dem einmaligen Abhaken zu Beginn der Datenverarbeitung nicht getan
ist, sondern auch immer wieder hier schauen, greifen da denn noch die entsprechenden Garantien.
Ja, momentan ist es in den USA recht ruhig, aber es kann sich jederzeit auch wieder ändern.
Richtig. Mitarbeiter in Unternehmen sind 2024 fast dreimal so häufig auf Phishing-Links
hereingefallen wie noch im Vorjahr.
So berichtet Heise diese Woche
und bezieht sich auf eine Analyse des Sicherheitsunternehmens Netscope.
Besonders betroffen waren Cloud-Speicherdienste, die sich wohl als wertvolle
Angriffsziele für Cyberkriminelle etabliert haben.
Jetzt kann man sich die Frage stellen, warum die Zunahme? Denn ja,
trotz regelmäßiger Schulung im Umgang mit Phishing sehen Experten die Ursache
für die gestiegenen Zahlen in zwei Faktoren,
nämlich zum einen der kognitiven Ermüdung durch die enorme Menge an Phishing
versuchen und dann wiederum die zunehmende Kreativität der Angreifer.
Denn ja, wie wir jetzt eine täuschend echte Nachahmung von Webseiten machen
es immer schwieriger, echte von gefälschten Seiten beispielsweise zu unterscheiden.
Zudem stand ein Großteil der Phishing-Links mittlerweile nicht mehr aus E-Mails,
sondern aus alternativen Quellen wie Suchmaschinen, Werbeanzeigen oder auch
Kommentaren auf Webseiten.
Fast 20% aller Phishing Links führten von Suchmaschinen aus auf manipulierte
Seiten und Cyberkriminelle nutzten dabei bezahlte Anzeigen oder Suchmaschinenoptimierung,
um ihre falschen Webseiten prominent zu platzieren.
Zehn Prozent der Klicks empfehlen auf Links von Shopping-Seiten.
Weitere stammten von Technologie-, Unterhaltungs- und Business-Seiten,
oft versteckt in Anzeigen oder Kommentaren.
Ganz besonders kritisch muss man halt sehen, dass halt auch viele Links zu gefälschten
Login-Seiten von Cloud-Diensten führen.
Also besonders oft waren hierbei Microsoft-Dienste wohl betroffen,
aber auch die von Adobe Cloud oder DocuSign machten einen Großteil aus.
Für Angreifer sind diese Zugangsdaten Gold wert, denn sie haben dadurch nicht
nur Zugriff auf Unternehmensdaten gegebenenfalls, sondern es erleichtert halt
auch weitere Angriffe um ein Vielfaches.
Und was halt auch nochmal in dieser Studie klar wurde, ein zusätzliches Risiko,
und das kriegen wir in der Praxis halt auch immer mal wieder mit,
ist das sogenannte Schatten-IT-Thema.
Also Mitarbeitende nutzen persönliche Cloud-Dienste und laden dort regelmäßig
Daten hoch, teils bewusst, teils unabsichtlich, etwa durch automatische Backups.
In 94 Prozent der Unternehmen kamen zudem generative KI-Anwendungen zum Einsatz,
die ja nicht immer genehmigt waren.
Und ja, was ist die Folge daraus? Dass eben halt auch sehr, sehr viele Unternehmen
einfach grundsätzlich das verbieten, was natürlich für die Zukunft auch nicht
so erfolgsversprechend ist und dann eben dazu führt, dass die Mitarbeiter dies
heimlich tun. Ja, was ist zu unterstreichen?
Das ist halt eben, wie wichtig ist es, umfassende Schutzmaßnahmen zu haben.
Also neben dem klassischen Data Loss Protection setzen Unternehmen ja zunehmend
auch auf Coaching-Tools.
Das sei halt empfehlenswert, die halt eben Mitarbeitende waren.
Wenn sensible Daten in unsichere Anwendungen geladen werden.
Aber gleichzeitig entwickeln wohl auch Browser-Anbieter KI-basierte Technologien,
um vor Phishing-Seiten zu schützen.
Also weiterhin Phishing ein riesen, riesen Problem in der Weiterentwicklung
ja auch der Angriffsstrategien.
Und ja, wie gerade schon gesagt, Präventionsmaßnahmen als Unternehmen ist glaube
ich hier das A und O und irgendwie versuchen die Mitarbeitenden bei Laune zu halten.
Dass sie so nicht resignieren an irgendeiner Stelle und einfach das Bewusstsein
schaffen, was halt auch eben alternative Phishingquellen angeht.
Sensibilisierung ist da wirklich das A und O.
Richtig.
Blicke zurück nach Frankreich. Die französische Datenschutzaufsichtsbehörde
KNIL hat gegen das Unternehmen Casper ein Bußgeld in Höhe von 240.000 Euro ausgesprochen.
Das Unternehmen ist Anbieter eines Tools, genau genommen eines Google Chrome
Plugins, welches das Scraping, also das automatische Sammeln von Kontaktdaten
von LinkedIn-Nutzern, deren Profil man besucht hat und von anderen Webseiten ermöglicht.
Die auf diese Weise gewonnene Daten können dann zum Beispiel später genutzt
werden, um eine werbliche Ansprache durchzuführen.
In der auf diese Weise vom Unternehmen erstellten Datenbank finden sich schlanke
160 Millionen Kontakte.
Muss man auch erstmal schaffen. Insbesondere Kern des Bußgeldes sind Verstöße
gegen die Rechtmäßigkeit der Verarbeitung, Transparenzpflichten und das Auskunftsrecht.
Die KNIL verpflichtete das Unternehmen neben dem Bußgeld auch innerhalb von
drei Monaten die von betroffenen Personen eingereichten Widersprüche umzusetzen
und entsprechende Daten zu löschen und grundsätzlich, und das finde ich besonders interessant,
alle betroffenen Personen zu informieren und das in einer geeigneten Sprache
und auf Wunsch auch über die Datenquelle,
das innerhalb von sechs Monaten. Also da haben sie ein bisschen was zu tun.
Finde ich aber besonders interessant, dass es halt auch und hervorhebenswert,
dass es halt nicht immer nur bei Bußgeldern bleibt, sondern es auch andere Sanktionsmöglichkeiten
gibt, die regelmäßig ausgesprochen werden.
Zudem soll auch einfach grundsätzlich durch das Bußgeld die Aufmerksamkeit der
betroffenen Personen gewonnen werden, um halt auch ihre Rechte geltend machen zu können.
Kommen wir zu unserer letzten Nachricht für heute, denn die Berliner Beauftragte
für Datenschutz und Informationsfreiheit, Maike Kamp, hat den Vorsitz der Konferenz
der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz DSK,
für das Jahr 2025 übernommen.
Das teilte sie in einer Pressemitteilung vom 8. Januar mit.
Im Zentrum ihres Vorsitzes stehen zukunftsweisende Themen wie Anonymisierung
und Pseudonymisierung personenbezogener Daten und zudem wird sie die Wechselwirkungen
zwischen der DSGVO und den europäischen Digitalrechtsakten,
etwa dem Data Act oder dem Data Governance Act, als zentralen Schwerpunkt sehen.
Und ein weiteres Ziel hat sie sich vorgenommen, nämlich die Standardisierung
von Prüfkriterien der Datenschutzaufsichtsbehörden.
Ich finde ein ganz interessantes Programm, was sie sich da vorgenommen hat.
Ich glaube, wir wünschen ihr an dieser Stelle viel Erfolg für diese neue sehr
wichtige Aufgabe. Ja, ich persönlich habe so ein bisschen den Wunsch,
vielleicht sie auch dieses Jahr in unserer Silvester-Show begrüßen zu dürfen,
damit sie uns ein wenig was über ihre Arbeit erzählt.
Vielleicht an dieser Stelle natürlich auch der Hinweis, wer sie noch nicht gehört
hat, was ja durchaus durch Weihnachts- und Januar-Urlaub sein kann.
Unsere Silvester-Folge ist ja online seit Ende des Jahres.
Und wir würden uns natürlich sehr freuen, wenn ihr auch hier reinhört,
wenn noch nicht geschehen oder uns sogar zuseht.
Denn auf YouTube findet ihr in unserem Kanal natürlich auch die ganze Folge als Video. Punkt.
Punkt.
Sind wir am Ende angekommen. Lieber Gregor, möchtest du noch was sagen?
Ich freue mich aufs Jahr 2025.
Ich auch. Ja, das wird cool. dann danke ich dir erstmal soweit für die heutige Folge,
hat sehr viel Spaß gemacht Danke auch Ihr lieben Zuhörerinnen und Zuhörer,
schön, dass ihr auch wieder mit dabei wart Wir wünschen euch ein schönes Wochenende
und verabschieden uns bis nächste Woche Bis dahin, bis bald, tschüss.
Der Beitrag EuGH konkretisiert Datenverarbeitung im Beschäftigungskontext – Datenschutz News KW 02/2025 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
9 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
2 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
27 Listeners
Dark Matters – Geheimnisse der Geheimdienste
21 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
9 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
10 Listeners
Passwort - der Podcast von heise security
3 Listeners