Persönliche Haftung von Geschäftsführer:innen für mangelnde Compliance-Strukturen
Das OLG Nürnberg hat kürzlich in einem Urteil klargestellt (12 U 1520/19), dass
Geschäftsführer:innen zwar weitreichende Entscheidungsfreiheiten haben und ihnen auch
zugestanden werden muss, dass sie unter Umständen auch Entscheidungen treffen dürfen, die sich
nachteilig für ihr Unternehmen auswirken, ohne direkt nach §43 Abs. 2 GmbHG zu haften.
Allerdings führt das OLG weiter aus, dass dieser eingeräumte Beurteilungsspielraum aber dann
endet, wenn ein „hohes Risiko“ eines Schadens für das Unternehmen unabweisbar ist und keine
„vernünftigen“ geschäftlichen Gründe ersichtlich sind, das Risiko dennoch einzugehen.
Daraus kann geschlussfolgert werden, dass wegen der „Sorgfaltspflicht eines ordentlichen
Geschäftsmannes“ §43 Abs. 1 GmbHG eine interne Organisationsstruktur zu schaffen ist, die die
Rechtmäßigkeit und Effizient ihres Handels gewährleistet. Hierzu sind Überwachungssysteme, mit
denen Risiken für den Unternehmensfortbestand erfasst und kontrolliert werden können,
notwendig.
Handlungsempfehlung für Gastronomen und Veranstalter zur Einhaltung der 5. SARS-CoV-2-EindV Sachsen-Anhalt
Veranstaltungen können nun wieder durchgeführt werden, wenn Veranstalter und Gastronomen folgendes sicherstellen (vgl. § 1 Abs. 6 5. SARS-CoV-2-EindV):
- zwischen den Teilnehmenden wird ein Mindestabstand von 1,5 Metern eingehalten und
- die anwesenden Personen in einer Anwesenheitsliste erfasst werden,
- Personen mit erkennbaren Symptomen einer COVID-19 Erkrankung oder jeglichen Erkältungssymptomen sind auszuschließen;
- Abfrage der Teilnehmenden, ob diese innerhalb der letzten 14 Tage aus demAusland zurückgekehrt sind oder ob sie in Kontakt zu Rückkehrern standen oder Kontakt zu infizierten Personen hatten; diese Personen sind auszuschließen, soweit sie eine der Fragen mit ja beantworten;
- aktive und geeignete Information der Teilnehmenden über allgemeine Schutzmaßnahmen wie Händehygiene, Abstand halten und Husten-und Nies-Etikette.
Für die Gewährleistung von Nr. 3 und 4 müssen Sie als Gastronom und Veranstalter personenbezogene Daten von Ihren Gästen abfragen, erheben und speichern. In diesem Moment unterliegen Sie dem Anforderungs- und Geltungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) und wir wollen Ihnen daher eine Handlungsempfehlung zur datenschutzkonformen Umsetzung an die Hand geben.
Read moreAvast – Kostenloser Virenschutz? Mit Daten bezahlt!
Der Avast Antivirus hat nach eigenen Angaben weltweit 435 Millionen aktive Nutzer und zählt damit zu den am häufigsten installierten Schutz-Programmen. Auch in Deutschland ist die Gratis-Version der Software beliebt und erhielt auch von der Stiftung Warentest schon gute Bewertungen.
Recherchen ergaben nun, dass über den Virenscanner massenhaft Browserdaten von Nutzern gesammelt wurden und über die eigene Tochterfirma Jumpshot gewinnbringend an Kunden verkauft hat. Zu den gesammelten Daten gehören beispielsweise Sucheingaben, Standortdaten, LinkedIn-Besuche oder angeschaute Youtube-Videos. Bereits im Herbst fiel ein Browser-Plugin von Avast auf, das Nutzer vor schädlichen Webseiten warnen sollte und im Hintergrund Daten sammelte.
Übrigens gehört auch das kostenlose AVG Antivirus zu Avast und es ist nicht auszuschließen, dass dieses Programm nicht auch Daten für Jumpshot sammelt.
Wir empfehlen daher sowohl Avast Antivirus als auch AVG Antivirus zu deinstallieren.
Hierfür bietet sich beispielsweise eine zentrale Virenschutz-Software an. Wir beraten Sie hierzu.
Phishing-Mails und Fake-Shops
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW warnen vor aktuell gehäuften Phishing-Mails im Zusammenhang mit Corona.
So kursiert eine E-Mail, in der Sparkassen ihre Kunden darauf hinweisen, dass kleinere Filialen auf Grund von Corona geschlossen werden und man daher seine Kontaktdaten überprüfen und ggf. aktualisieren soll. Der Link führt jedoch zu gefälschten Seiten. Geben Nutzer dort Ihre Daten ein, landen diese bei Betrügern.
Allgemein sollte man jedoch bei allen E-Mails mit dem Kontext Corona vorsicht walten lassen. Die aktuellen Phishing-Mails sind sprachlich sehr gut und emotional adressiert. Dies ist eine neue Qualität und unterscheidet sich von bisherigen Phishing-Mails.
Aber auch Fake-Shops versuchen Kunden mit dem Thema Corona zu locken. Viele Fake-Angebote versuchen Kunden nun mit vermeintlich günstigen Artikeln, wie Desinfektionsmittel oder Atemmasken, in die Falle zu locken. Prüfen Sie daher, ob die Shops ein Impressum haben und telefonisch erreichbar sind. Achten Sie darauf, ob eine SSL-Verschlüsselung (Vorhängeschloss-Symbol in der Adressleiste) vorhanden ist. Mit einem Klick auf das Symbol können Sie sich weitere Daten zum Anbieter abrufen. Betrüger nutzen in der Regel keine SSL-Verschlüsselung. Suchen Sie nach Erfahrungsberichten anderer Nutzer im Internet. Achten Sie auf Gütesiegel und überprüfen Sie diese. Wenn Sie auf ein Gütesiegel klicken, öffnet sich eine Webseite, die über die Gültigkeit des Zertifikates und den Anbieter informiert. Ist das Gütesiegel nicht anklickbar, ist Vorsicht geboten. Zahlen Sie nicht per Vorkasse, wenn Sie den Anbieter nicht kennen.
Zur Filterung von Spam-, Phishing- und Viren-Mails bieten wir einen Mailfilter an, der nahtlos in ihre bestehende Infrastruktur integriert werden kann. Sprechen Sie uns hierzu an.
Online-Meetings mit Zoom
Die aktuelle Lage bringt es mit sich, dass auch wir uns nach Möglichkeiten umschauen weiterhin Beratungen durchzuführen und dennoch das Kontaktverbot oder Social Distancing einzuhalten. In diesem Zusammenhang nutzen wir nun für Meetings den US-Anbieter “zoom”, der Online-Meetings mit bis zu 100 Teilnehmern ermöglicht. In der kostenfreien Basic-Variante sind die Meetings auf 40 Minuten begrenzt, in der Pro-Version für 13 € im Monat ist die Begrenzung auf 24 Stunden angehoben – aber wer will schon so lange Meetings abhalten.
Wichtig für uns ist, “zoom” kann in Europa datenschutzkonform eingesetzt werden – so geht’s.
Vertrag zur Auftragsverarbeitung abschließen
- Auf der Seite https://zoom.us/data-processing den “Data Processing Addendum” herunterladen.
- Das Dokument auf Seite 7 unterzeichnen.
- In den Exhibits A-C ist der Gegenstand der Datenverarbeitung sowie die technisch-organisatorischen Maßnahmen definiert.
- In Exhibit C befinden sich die EU-Standardvertragsklauseln, die zusätzlich zum EU-US-Privacy-Shield ein angemessenes Datenschutzniveau garantieren sollen.
Hier sind nun auf Seite 17 die eigenen Unternehmensdaten anzugeben als Datenexporteur und auf Seite 24 zu unterzeichnen. - Auf Seite 26 ist der Name des Daten-Exporteurs und die Unterschrift eines Vertretungsberechtigten erforderlich.
- Der Vertrag ist nun fertig unterzeichnet und muss an “zoom” zurück gesendet werden. Hierfür ist die “zoom”-Account-Nummer notwendig, die im persönliche Meeting-ID.
- Vertrag unter Angabe der Meeting-ID per E-Mail an dpa@zoom.us senden.
Mit Eingang des Vertrags bei “zoom” ist dieser gültig.
Datenschutzhinweise für Teilnehmende an “zoom”-Meetings
Die Teilnahme an einem “zoom”-Meeting erfolgt über eine E-Mail, in der ein Einladungslink enthalten ist. Der Einladungstext sollte wie folgt erweitert werden:
“Zur Durchführung von Online-Meetings verwenden wir “zoom”. Hinweise zur Datenverarbeitung finden Sie unter [Link einfügen].”
Ein angepasstes Muster für die Datenschutzhinweise stellen wir Ihnen im Rahmen unserer Tätigkeit als Datenschutzbeauftragte kurzfristig zur Verfügung. Sprechen Sie uns hierzu an.
Erhebung personenbezogener Daten durch den Arbeitgeber/Dienstherren im Zusammenhang mit der Corona-Pandemie
Die Datenschutzkonferenz der Datenschutzbeauftragten der Länder hat sich in einem Schnellbrief zur Erhebung von Gesundheitsdaten im Zusammenhang mit der Corona-Pandemie geäußert.
Auch wenn die Verarbeitung von Gesundheitsdaten entsprechend Art. 9 DSGVO nur restriktiv möglich ist, können verschiedene Maßnahmen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeiter*innen datenschutzkonform Daten erhoben und verarbeitet werden.
Dienste von Microsoft 365 werden eingeschränkt
Microsoft hat den Funktionsumfang seiner Onlinedienste eingeschränkt. Den Anfang machte bereits Office 365, nun sollen weitere folgen. Microsoft kämpft aktuell mit einem Ansturm auf seine Cloud- und Online-Dienste. Bereits in der vergangenen Woche wurden nicht essentielle Funktionen, wie Videoauflösungen oder die Frequenz von Aktivitätsabfragen gesenkt. Am 24. März hat Microsoft weitere Maßnahmen angekündigt. Die OneNote-Integration in Teams wurde in einen Nur-Lese-Modus versetzt sowie die Download-Größe und Synchronisationsintervalle von Dateien geändert. Vollen Funktionsumfang erhalten Anwender nur noch in der Web-Variante.
Für uns ein weiterer Grund unseren Kunden zu empfehlen, den Einsatz unternehmenseigener Cloud-Dienste zu prüfen, bevor man sich in die Abhängigkeit Dritter begibt. Die datenschutzrechtlichen Problemen bei der Nutzung von Microsoft Office 365 bleiben weiterhin bestehen.
Homeoffice – Aber sicher!
Die Entwicklung der Corona-Pandemie in den letzten Wochen hat in allen Unternehmen zur Überlegung geführt, wie Arbeitsprozesse ggf. auch im Homeoffice weitergeführt werden können. Fast alle unsere europäischen Nachbarn haben bereits restriktive Ausgangssperren verhängt und auch in Sachsen-Anhalt sind seit gestern die ersten beiden Gemeinden abgeriegelt. Vor diesem Hintergrund ist der Wunsch von Unternehmen nachvollziehbar, die Arbeitsfähigkeit auch unter diesen erschwerten Bedingungen aufrecht zu erhalten.
Read moreWas kann alles als Datenpanne / Datenschutzverletzung gewertet werden?
Beispiele für eine Datenpanne sind (nicht abschließende Aufzählung):
- Gerät/ mobile Datenträger (Handy, USB-Stick etc.) verloren / gestohlen
- Unterlagen verloren, gestohlen oder an einem unsicheren Platz gelagert
- Versand von personenbezogenen Daten per E-Mail ohne angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung); für Mailserver von Unternehmen ist eine Transportverschlüsselung obligatorisch
- Postsendung verloren oder versehentlich geöffnet
- Hackerangriff, Schadsoftware, Phishing
- nicht datenschutzgerechte Entsorgung von Materialien (z. B. Akten, Bild- oder Tonträger) oder von Geräten (z. B. Festplatten)
- Personenbezogene Daten an falsche Empfänger gesendet
- Versand von E-Mail mit offenem Verteilerkreis
- Einbruch
Was ist eine Datenpanne / Datenschutzverletzung?
Umgangssprachlich wird eine Datenschutzverletzung auch „Datenpanne“ genannt und unterliegt definierten Melde- und Anzeigepflichten. Die Datenschutzgrundverordnung (DSGVO) definiert eine Datenschutzverletzung als „Verletzung des Schutzes personenbezogener Daten“. Diese liegt vor, wenn es sich um
- „eine Verletzung der Sicherheit,
- die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
- die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
handelt (Art. 33 DSGVO und Art 4 Nr. 12 DSGVO).