Kommt mit der DS-GVO ein eigener Arbeitnehmerdatenschutz?

Seit Einführung des Bundesdatenschutzgesetzes steht immer wieder ein eigener Arbeitnehmerdatenschutz im Raum. Dieser könnte mit der neuen Datenschutz-Grundverordnung (DS-GVO) kommen.

Wie umgehen mit den Daten von Arbeitnehmern und den speziellen arbeitsrechtlichen Anforderungen an den Datenschutz? Diese Fragen müssen Unternehmen im Arbeitsalltag häufig beantworten. Immer wieder wurde zudem darauf spekuliert, dass in Deutschland ein eigenes Gesetz zum Schutz von Beschäftigtendaten verabschiedet wird. Mit Hinweis auf die kommende DS-GVO wurde eine nationale Gesetzgebung verschoben.

Arbeitnehmerdatenschutz nicht einheitlich geregelt

Die verabschiedete DS-GVO enthält keine einheitliche Regelung zum arbeitnehmerdatenschutz. Stattdessen enthält der Art. 88 DS-GVO eine sog. Öffnungsklausel, die EU-Mitgliedstaaten die Möglichkeit zur eigenen Regelung einräumt, worauf der Deutsche Anwaltverein (DAV) in einer Stellungnahme aufmerksam macht.

Der entsprechende Referentenentwurf der Bundesregierung zur notwendigen Neufassung des Bundesdatenschutzgesetzes (BDSG) sieht in § 24 BDSG-neu Regelungen vor, die weitestgehend den bestehenden entsprächen. Der DAV kritisiert ferner, dass der Entwurf nicht die Möglichkeit einer datenschutzrechtlichen Sonderregelung für Unternehmensregelung weiter aufgreift.

Begriff der Unternehmensgruppe

Die DS-GVO führt den Begriff der „Unternehmensgruppe“ ein. Dadurch soll die Weitergabe von Arbeitnehmerdaten innerhalb eines Konzerns, bspw. zu Verwaltungszwecken, erleichtert werden. Basis ist hierbei eine gesetzliche Grundlage, i.d.R. der Arbeitsvertrag, und ein „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DS-GVO) des Datenverarbeitenden. In Erwägungsgrund 48 S. 1 DS-GVO wird der konzerninterne Austausch von personenbezogenen Daten (d.h. nicht nur Arbeitnehmerdaten, sondern bspw. auch Kundendaten) ausdrücklich als berechtigtes Interesse privilegiert. Voraussetzung ist aber ein ausreichend hohes Datenschutzniveau innerhalb der Unternehmensgruppe.

Abgesehen von den gesetzlichen Anforderungen wird Unternehmen hier ein Anreiz gesetzt, sich um ein modernes Datenschutzmanagement auf dem Stand der Technik zu bemühen. Letztlich vereinfacht es ihnen die konzerninterne Verarbeitung personenbezogener Daten.

Ob der Entwurf überarbeitet wird und die Sonderreglung für Unternehmensgruppen darin eine Aufnahme findet, bleibt abzuwarten. Hinsichtlich eines Arbeitnehmerdatenschutzes ist nun doch wieder der deutsche Gesetzgeber am Zug.

Was Unternehmen bei Windows 10 beachten sollten

Das Betriebssystem Windows 10 steht seit seinem Erscheinen in der Kritik von Datenschützern – nicht gänzlich zu unrecht. Wir zeigen auf, worauf Unternehmen achten sollten. Denn Windows 10 kann arbeits- und datenschutzrechtliche Probleme verursachen.

Windows 10 steht in der Kritik der Datenschützer. Das System gebe zu viele Informationen über seine Benutzer preis, Verbraucher hätten zu wenige Möglichkeiten, um die Datenweitergabe zu kontrollieren. Stimmt das? Und wenn ja, was bedeutet das für den Einsatz von Windows 10 in Unternehmen?

Windows 10 im Visier von Datenschützern und Sicherheitsspezialisten

Vom Sprachassistenten Cortana über Updates bis hin zur Datenübermittlung finden sich viele Gegenstände der Kritik. Einige sollen näher beleuchtet werden.

Datenübermittlung unsicher

Microsofts Anwendungen arbeiten mittlerweile, wie das Betriebssystem generell, standardmäßig mit Cloud Computing. Zu den Daten, die regelmäßig an andere Server übermittelt werden, zählen u.a. Informationen über Anwendungen, Anfragen an den Sprachassistenten Cortana, besuchte URL, aber auch WLAN-Schlüssel, Passwörter und User-ID. Problematisch ist hierbei nicht nur, dass die Übermittlung voreingestellt ist und nicht abgestellt werden kann. Zum einen bleibt noch unklar, für wie lange Microsoft diese Daten speichert und wie sie genau verwendet werden. Der Konzern spricht lediglich von der Verbesserung des „Benutzererlebnisses“.

Zum anderen verzichtet Microsoft auf ein sog. Zertifikat-Pinning. Der auch „HTTP Public Key Pinning“ genannte Mechanismus sichert das HTTPS-Protokoll gegen Man-in-the-Middle-Angriffe mittels gefälschten Zertifikaten ab. Ein Verzicht darauf macht ein Abgreifen der Daten ohne großen Aufwand möglich. Gerade hier findet sich ein ernstzunehmender Risikofaktor für Unternehmen – nicht zuletzt wegen stetig steigender Fälle von Wirtschaftsspionage.

Windows 10 in Unternehmen – Verstoß gegen Arbeitnehmerrechte?

Der Umfang und die Art der an Microsoft übermittelten Daten können für Unternehmen aber nicht nur hinsichtlich ihrer Geschäftsgeheimnisse problematisch sein. Unter Umständen könnte der Einsatz von Windows 10 in Firmen gegen Arbeitnehmerrechte verstoßen. Das für Microsoft zuständige Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat diesbezügliche bereits eine Prüfung eingeleitet. Womöglich übermittle Windows 10 derart viele Daten und führe sie in einer Weise zusammen, dass die Erstellung eines Nutzerprofils des Arbeitnehmers denkbar ist.

Davon betroffen sind aber nur die Home- und die Pro-Version des aktuellen Betriebssystems. Die Enterprise-Version ermöglicht das völlige Abschalten des fraglichen Datenverkehrs, sodass zum Einsatz dieser Version im Unternehmen geraten werden kann.

Anfälligkeit für Cyber-Kriminalität

Windows 10 ist in einigen relevanten Punkten anfällig für gezielte und professionelle Cyber-Kriminalität. Das oben beschriebene Problem des fehlenden Zertifikat-Pinnings erlaubt das Mitlesen des Passwortes, bspw. beim Anlegen eines neuen Benutzeraccounts.

Zudem übermitteln die Office-Anwendungen von Microsoft faktisch sämtliche Daten: gesamter Pfad, Dateiformate und Benutzer. Die Sicherheitsforscher weisen auf ein durchaus ernstzunehmendes Problem hin. Ab einer kritischen umfangreichen Menge an Daten und dem zusätzlichen Einsatz von den genannten Man-in-the-Middle-Angriffen ist ein sog. (Reverse) Cloud Poisoning möglich. Dabei werden in den Datenverkehr zwischen Benutzer und Rechenzentrum bzw. Cloud falsche Daten eingespielt. Bei diesen Daten kann es sich um infizierte Links und Malware wie Spyware handeln. Cyber-Kriminelle können mit dieser Methode auch Dateien von strafrechtlicher Relevanz auf den Unternehmenscomputern hinterlegen und so massiven Schaden und Reputationsverlust herbeiführen.