Microsoft und die DSGVO – Eine Übersicht

Immer wieder taucht Microsoft zurzeit wegen Datenschutzunstimmigkeiten in den Schlagzeilen auf. Seit dem Kippen des Privacy Shield Abkommens in 2020 hat der Konzern mit den Anforderungen der europäischen Datenschützer zu kämpfen; besonders die cloudbasierte Version Microsoft 365 (bis vor kurzem noch Microsoft Office 365). Grund dafür sind die Datenübermittlungen in die USA, die durch die Zugriffsmöglichkeiten der US-Behörden durch den CLOUD Act in ein rechtliches Abseits gerutscht sind. Trotz diverser Versuche von Microsoft, die Sicherheitslücken zu schließen, gibt es von deutschen Datenschutzbehörden kein grünes Licht; M365 bleibt datenschutzwidrig.   Was bisher geschah Oktober 2020: Kurz nach dem Scheitern des Rechtsabkommens Privacy Shield veröffentlicht die Datenschutzkonferenz (DSK) eine Bewertung von Microsofts Office 365 und stuft es aufgrund von Transparenzproblemen als nicht datenschutzkonform ein. Aus der Untersuchung der Datenschutzbestimmungen der Microsoft-Onlinedienste (Data Processing Addendum) und der Online Service Terms (OST) ging nicht eindeutig hervor, welche Daten tatsächlich verarbeitet werden, insbesondere die Daten, die in den USA im eigenen Interesse verarbeitet werden.   September 2022: Seitdem hat Microsoft Veränderungen an deren Datenschutzbestimmungen vorgenommen. Zuletzt aktualisierte Microsoft auch die Fassung des Auftragsverarbeitungsvertrags im September 2022, wobei die Standardvertragsklauseln (SVKs) auf die, vom EuGH bereits im September 2021 veröffentlichten, neuen SVKs aktualisiert. Da die Frist für die alten SVKs am 27. Dezember dieses Jahres auslaufen, wurde es dafür sowieso höchste Zeit. Außerdem präzisierte Microsoft die Angaben, zu welchen Zwecken die Daten genutzt werden. Der US-Konzern erläutert so etwa, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen.   Oktober 2022: Deutsche Datenschutzbehörden bleiben bei ihrer Meinung. Microsofts Office 365 ist und bleibt DSGVO-widrig. Nach wie vor bietet Microsoft nicht genug Transparenz in den Nutzungsbedingungen. Da auch der Behördenzugriff durch den CLOUD Act weiterhin nicht auszuschließen ist, stellt das ein weiteres Sicherheitsrisiko dar. Da Unternehmen deswegen nicht nachweisen können, dass sie die Software datenschutzkonform nutzen, möchte Thüringens Landesschutzbeauftragter Lutz Hasse über die Umsetzung des Beschlusses der DSK reden. Konsequenz könnte sein, dass die Nutzung der Software untersagt wird. Vor allem an Schulen und in öffentlichen Behörden ist die Nutzung eigentlich nicht mehr möglich.   November 2022: Frankreich macht es vor. Wie das IT-Newsportal „Siecle Digital“ berichtet, untersagt der französische Bildungsminister den Einsatz der kostenlosen Office Programme an Schulen. Möglich also, dass wir bald dem Beispiel Frankreichs folgen. Vielleicht wird das Urteil sogar auf Behörden und Unternehmen ausgeweitet.     Du willst mehr darüber erfahren, warum die Nutzung von US-Providern wie Microsoft nicht ohne Weiteres möglich ist? Dann lass Dir auch die folgenden Artikel nicht entgehen: US amerikanische Cloud Anwendungen und die DSGVO Stolperfalle Cloud Collaboration – Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen Die Macht der Tech-Monopole  

Arbeitszeiterfassung ist Pflicht – Alles was Du jetzt wissen musst

Schätzungen zufolge erfasst bereits jeder dritte Arbeitnehmer seine Arbeitszeit. Jetzt soll daraus Jeder werden. Im September dieses Jahres hat das Bundesarbeitsgericht es bereits angekündigt:  Die Arbeitszeiterfassung wird Pflicht. Zu damaligen Zeitpunkt gab es allerdings noch keine konkreten Fakten zur Umsetzung des neuen Gesetzes. Jetzt wurde die Urteilsbegründung veröffentlicht gemeinsam mit genaueren Spezifikationen. Was sind die wichtigsten Punkte des Urteils? Da man in den letzten Monaten noch nicht genau wusste, wie das Urteil ausgelegt wird, wurde u.a. vermutet, dass es lediglich reichen wird, ein System zu Erfassung zur Verfügung zu stellen. Das reicht allerdings nicht aus. Als Arbeitgeber hast Du nun die Arbeitszeit deiner Mitarbeiter zu dokumentieren. Allerdings: der Arbeitgeber darf die Pflicht zur Aufzeichnung an seine Mitarbeiter weiter delegieren. Hierfür muss er ihnen ein geeignetes System zur Verfügung stellen. Auch Vertrauensarbeitszeit ist an sich weiterhin möglich, allerdings mit einem neuen Verständnis des Wortes: Arbeiten mit „freier, eigener Planung der Zeit“ ist möglich, allerdings muss diese trotzdem aufgezeichnet werden.Nicht weiter geklärt ist, inwiefern der Arbeitgeber unter diese Regelung fällt. Gerhard Kronisch, Fachanwalt für Arbeitsrecht, versteht die Begründung so, dass leitende Angestellte wie bisher von der Arbeitszeiterfassung ausgenommen sind.   Welche Anforderungen muss das Sytem erfüllen? Wie genau die Zeit zu erfassen ist, wird nicht weiter spezifiziert. Es reicht also theoretisch auch die Aufzeichnung in Papierform aus. Zu empfehlen ist aber eine modernere Variante. Der Europäische Gerichtshof (EuGH) gab bereits 2019 in seinem Urteil vor, dass die Erfassung verlässlich, objektiv und leicht zugänglich sein muss. Das bedeutet im Klartext: Das genutzte System muss zu jeder Zeit funktionstüchtig sein. Dass etwaige Manipulationen ausgeschlossen werden müssen, liegt auf der Hand. Zudem ist die Verfügbarkeit der Zeiterfassungslösung stets sicherzustellen. Und zwar egal ob ein Mitarbeiter im Büro tätig ist, sich im Homeoffice befindet oder gerade einen geschäftlichen Termin außer Haus wahrnimmt. Arbeitnehmer sollen jederzeit Zugriff auf ihre Aufzeichnungen haben, damit sie diese im Bedarfsfall als Beweismittel einsetzen können. Wichtig ist auch, sämtliche Grundsätze der DSGVO einzuhalten, um die personenbezogenen Daten aller Mitarbeiter zu schützen. Ungünstig daher im Homeoffice-Zeitalter auf Papier- und Bürogebundene Varianten zurückzugreifen.   Was passiert jetzt noch? Noch ist das Arbeitsschutzgesetz nicht angepasst, dies muss jetzt von der Ampelkoalition umgesetzt werden. So gibt es jetzt auch noch keine Regelung zu anfallenden Bußgeldern bei Nichtbeachtung. Dabei können noch weitere Spezifikationen anfallen, wie z.B. die Einschränkung der Gruppe von Mitarbeitern, die die Zeit erfassen müssen. Dabei können nochmal explizit leitende Vorgesetzte oder kleine Betriebe ausgenommen werden.   Wie kam es zu dem Urteil? Angezettelt hat das Ganze ein spanischer Gewerkschaftsdachverband, der Arbeitnehmer vor Überschreitung der Höchstarbeitszeit bei der dortigen Deutschen Bank bewahren möchte. Eigentlich keine schlechte Sache. Das Wohl Ihrer Mitarbeiter hat schließlich höchste Priorität. Da die spanische Gesetzgebung nicht vollständig und zufriedenstellend argumentieren konnte, wandte sich der Verband an die EU, die sich 2019 dem Thema annahm.   Was gibt es bei einem Zeiterfassungssystem zu beachten? Wenn Du jetzt noch kein Zeiterfassungssystem hast, solltest du dich schleunigst drum kümmern. Die Regelungen des Urteils gelten nämlich ab sofort! Eine grundlegende Entscheidung dabei ist: Welche Zeiten sollen wie erfasst werden? Mit dem Tool „Kimai“ bist Du beispielsweise völlig frei und können global aus vier Optionen die passende für dich herausgreifen. Beispielsweise können Kunden und Projekte mit vollständigen Daten und Informationen angelegt werden und den entsprechenden Arbeitszeiten und Mitarbeitern zugeordnet werden. Somit lassen sich sowohl Zeit- als auch monetäre Budgets besser kontrollieren, optimieren und abbilden. Interessant kann zudem auch eine Lösung sein, die Überstunden und das gesamte Urlaubstagemanagement mit einbezieht. Bleibe trotz allem der Devise treu, dich und Deine Kollegen nicht zu überfordern.     Du willst mehr über die Zeiterfassung mit Kimai erfahren? Dann informieren dich jetzt hier.