TTDSG und 3G am Arbeitsplatz - Was muss ich als Arbeitgeber beachten?
Datenschutz und Cookies reloaded - Das TTDSG
Ab dem 1. Dezember 2021 findet in Deutschland ein neues Gesetz Anwendung.
Das Gesetz mit dem knackigen Namen Telekommunikation-Telemedien-Datenschutz-Gesetz (kurz “TTDSG”) beinhaltet u.a. Regelungen zu Cookies - ändert die nach der Datenschutz-Grundverordnung (kurz “DSGVO”) ohnehin geltenden Maßstäbe aber nur geringfügig ab.
Das TTDSG stellt klar, dass das Setzen von Cookies - wie bisher - die Einwilligung der Seitenbesucher fordert. Eine Einwilligung ist nur entbehrlich, wenn Cookies oder Identifier unbedingt zur Bereitstellung des Web-Angebots erforderlich sind, z.B. für den Warenkorb, Session-Cookies, für Nutzerpräferenzen, z.B. Sprach- und Bildschirmeinstellungen und zur Gewährleistung technischer Sicherheit des Webangebots.
Das TTDSG erweitert die bisher für die DSGVO geltende Einwilligungspflicht für die Erhebung von personenbezogenen Daten auf alle Informationen. Aufgrund der weiten Definition personenbezogener Daten dürfte diese Änderung für Betreiber von Websites und Apps aber kaum Bedeutung haben.
Insgesamt ist die Einführung des Gesetzes aber eine gute Gelegenheit, zu prüfen, ob Cookie-Banner funktionieren. Es ist davon auszugehen, dass die Zahl der Abmahnungen ab dem 1.12. zunehmen wird.
Perspektivisch ermöglicht das Gesetz Internetnutzern, Präferenzen zu Cookies & Co. in sogenannten "Personal Information Management Systems" (PIMS) zu hinterlegen. Besucht ein Nutzer eine Website, ruft diese aus dem PIMS die Präferenz (z.B. “nicht notwendige Cookies ablehnen”) ab. Websitebetreiber werden diese Präferenz umsetzen müssen. Aktuell steht jedoch noch eine Umsetzungsregelung aus, die erst die an diese Systeme angelegten Maßstäbe konkretisieren muss. Deshalb gibt es für Anbieter von Webangeboten zum 1.12. noch keinen Handlungsbedarf.
Impfstatus von MitarbeiterInnen
Die Corona-Lage verschärft sich. Wir drücken die Daumen, dass unsere Kunden und ihre Mitarbeiter gesund bleiben und der Betrieb der Unternehmen weitestgehend unbeeinträchtigt ist.Eine logische Folge der Lage ist, dass uns viele Anfragen erreichen, bei denen es um die Verarbeitung des Impfstatuses von Mitarbeitern geht. Deshalb an dieser Stelle eine Zusammenfassung: Mittlerweile gilt flächendeckend 3G am Arbeitsplatz - Arbeitgeber sind verpflichtet, täglich zu kontrollieren, ob Mitarbeiter im Betrieb geimpft, genesen oder getestet sind. Der Arbeitgeber darf dafür die folgenden Daten in einer Tabelle erfassen: Name, Vorname, Nachweisart (Schnelltest, PCR-Test, Impf- oder Genesenennachweis) und Gültigkeitsdauer. Die Gültigkeitsdauer ist insbesondere für Impfnachweise wichtig. Ein bereits bekannter Impfstatus muss also nicht täglich neu abgefragt werden.Einen Grund, das Impfzertifikat oder den Testnachweis zu scannen, gibt es nicht. Möglich ist jedoch, dass Mitarbeiter ihr Impfzertifikat freiwillig dem Arbeitgeber zur Verfügung stellen. Im Falle einer Kontrolle müssen sie es nämlich vorweisen können - und können dann auf den Arbeitgeber verweisen.Ist der Impf- und Teststatus eines Mitarbeiters erhoben, ist er getrennt von der Personalakte zu speichern. Außerdem ist der Zugriff auf die Daten streng zu begrenzen.
Compliance-Newsletter
Abonniere jetzt unseren Newsletter und bleibe informiert über die neuesten Entwicklungen zu Datenschutz, DSGVO, Cybersicherheit und weiteren wichtigen Compliance-Regelungen wie revDSG, NIS 2 und ISO 27001. Erhalte wertvolle Tipps, exklusive Ressourcen und regelmäßigen Zugang zu Webinaren. Verpasse keine wichtigen Neuigkeiten mehr!
Weitere Artikel
AI bei X: Datenschutzbedenken, Verstöße gegen die DSGVO und Fehlinformationen
Der rasante Aufstieg von KI-Technologien wie Grok, dem KI-Modell von X, wirft kritische Bedenken hinsichtlich des Datenschutzes und der Verbreitung von Fehlinformationen auf. Grok wird mit riesigen Mengen an Nutzerdaten von X trainiert, was zu Verstößen gegen die DSGVO führt, da noyb eine Beschwerde gegen X wegen der Nutzung personenbezogener Daten von EU-Nutzern ohne deren Zustimmung eingereicht hat. Gerichtsverfahren in Irland führten zu einer Einstellung der Datenverarbeitung, aber die Transparenz- und Datenschutzpraktiken von X werden weiterhin überprüft. Die Führung von Elon Musk und seine Beteiligung an der Verbreitung von Fehlinformationen tragen zu den ethischen Herausforderungen der Plattform bei, wobei der Datenschutz und die verantwortungsvolle Nutzung von KI entscheidende Themen sind.
Mehr erfahren
KI-Compliance: Ein Leitfaden für Start-ups
Das EU KI-Gesetz verpflichtet Start-ups, KI-Systeme zu dokumentieren, Risiken einzuschätzen und Mitarbeiter:innen zu schulen. Unser Leitfaden erklärt die wichtigsten Schritte – von der Bestandsaufnahme der KI-Systeme bis zur Risikoanalyse. Anhand des Beispiels von CrediScore-AI zeigen wir, wie ein Fintech-Start-up Compliance erfolgreich umsetzt: von der Klassifizierung der Systeme nach Risiko bis zur gezielten Schulung der Teams.
Mehr erfahren
ISO 27001 Zertifizierung: So erreichst du Compliance in wenigen Schritten
ISO 27001 ist ein wesentlicher Standard für das Management der Informationssicherheit, der sicherstellt, dass sensible Daten systematisch behandelt werden. Dieser Blog dient als umfassender Leitfaden für die ISO 27001-Zertifizierung und erläutert die wichtigsten Anforderungen und Vorteile für Unternehmen. Er betont, wie Organisationen jeder Größe den Datenschutz verbessern und ihr Engagement für Cybersicherheit unter Beweis stellen können. Der Artikel stellt ISO 27001 NIS2 gegenüber, untersucht ihre Unterschiede und Gemeinsamkeiten, liefert Beispiele für die Umsetzung in der Praxis und stellt einen Compliance-Rahmen mit Schritten zur Verwendung von Tools wie heyData für eine effektive Umsetzung vor.
Mehr erfahren