(Arbeitnehmer)-Datenschutz

Silvana Dzerek

Am 25.05.2018 tritt neben dem neuen Bundesdatenschutzgesetz (im Folgenden: BDSG n.F.) die neue europäische Datenschutz-Grundverordnung (im Folgenden: DS-GVO) mit verbindlicher Geltung in Kraft, um dem Datenschutz in der behördlichen als auch betrieblichen Praxis mehr Geltung zu verschaffen. Die DS-GVO birgt erhebliches Diskussionspotenzial. Sie stärkt die Betroffenen- und damit auch die Arbeitnehmerrechte im Verhältnis zur derzeitigen nationalen Gesetzeslage erheblich, Unternehmen und Arbeitgeber legt sie dabei umfangreiche Pflichten auf, so dass sich insbesondere auch bei Berücksichtigung der vorgesehenen drakonischen Sanktionsmöglichkeiten durchaus die berechtigte Frage stellt, ob eine 100%ige Befolgung sämtlicher Regelungen nicht illusorisch ist. Es empfiehlt sich in jedem Fall eine gründliche wie pragmatische Herangehensweise, bei der wir Sie gerne unterstützen.

Juristische Vertretung von Arbeitgebern, Arbeitnehmern und Betriebsräten bei Fragen zum Datenschutz

Die Fachkanzlei Dzerek deckt das weite Leistungsspektrum im Arbeitsrecht vollumfänglich ab – in Köln, im umgebenden Rheinland und in nicht wenigen Fällen deutschlandweit. Als berufs- und prozesserfahrene Rechtsanwältin und Fachanwältin für Arbeitsrecht vertritt Frau Silvana Dzerek lagerübergreifend Arbeitgeber, Arbeitnehmer und Betriebsräte bei Fragen zum Datenschutz, um diesen einzuführen, geltend zu machen oder durchzusetzen. Aufgrund der lagerübergreifenden Vertretung und der damit verbundenen Fähigkeit, jederzeit einen Perspektivwechsel vornehmen zu können, steht sie für die Interessen ihrer jeweiligen Partei erfolgreich ein.

Die DS-GVO gilt für die automatisierte, computergestützte als auch manuelle Verarbeitung personenbezogener Daten. Nicht umfasst sind Unternehmensdaten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen wie bspw. Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Konto- und Kreditkartennummer, Fahrzeugidentifikationsnummer. Personenbezug liegt demnach bei Informationen über die Beschäftigten vor, so dass die Personalverwaltung dem Regelwerk der DS-GVO unterliegt. Die DS-GVO ist grundsätzlich nicht bei handschriftlichen Notizen und auf die Telekommunikation, mithin bei Telefonaten, Telefaxen und E-Mails – sofern keine Archivierung erfolgt – anwendbar. Die Verarbeitung umfasst als Oberbegriff nun das Erheben, Erfassen, Ordnen, Speichern, Abfragen und die Verwendung von personenbezogenen Daten.

Für die Bestimmung des räumlichen Anwendungsbereichs knüpft die DS-GVO zum einen an das Sitzland- und zum anderen an das Marktortprinzip. Nach dem Sitzlandprinzip findet die DS-GVO dann Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet. Danach findet die DS-GVO Anwendung, wenn sich die Niederlassung eines Unternehmens, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeitet, bspw. in Köln befindet, die Verarbeitung selbst in einem Drittland wie den USA erfolgt, weil dort die Server platziert sind. Nach dem Marktortprinzip findet die DS-GVO Anwendung, wenn sich die betroffene Person, deren personenbezogene Daten verarbeitet werden, in der Union aufhält.

Bei der Datenverarbeitung listet die DS-GVO verschiedene Grundsätze auf, die es zu beachten gilt und die bei der Überprüfung von Verarbeitungsverfahren helfen, Schwachstellen aufzudecken und eine möglichst umfassende Datenschutzkonformität herzustellen.

Der Grundsatz der Transparenz erfordert, dass Daten auf rechtmäßige Weise und für die betroffene Person nachvollziehbar verarbeitet werden.

Dem Grundsatz der Zweckbindung zufolge dürfen Daten nur zu einem vorher festgelegten, eindeutigen und legitimen Zweck erhoben werden, sie dürfen daher nicht zu einem mit dem Ursprungszweck nicht kompatiblen Zweck weiterverarbeitet werden.

Der Grundsatz der Datenminimierung gibt vor, dass Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt werden müssen.

Der Grundsatz der Richtigkeit fordert, dass Daten sachlich richtig und auf dem neuestem Stand sein müssen. Dabei müssen angemessene Maßnahmen zur Löschung und Berichtigung unrichtiger Daten getroffen werden.

Nach dem Grundsatz der Speicherbegrenzung ist die Speicherung nur solange zulässig, wie es für den Verarbeitungszweck erforderlich ist.

Der Grundsatz der Integrität und Vertraulichkeit erfordert eine Verarbeitung, die eine angemessene Sicherheit der Daten gewährleistet.

Der Grundsatz der Rechenschaftspflicht legt dem Verantwortlichen den Nachweis der Einhaltung der vorbenannten Grundsätze auf.

Der in Art. 6 DS-GVO normierte Grundsatz des Verbots der Datenverarbeitung listet zeitgleich sechs alternative Erlaubnistatbestände auf. Die Datenverarbeitung ist im Wesentlichen nicht verboten, wenn eine Einwilligung vorliegt, die Datenverarbeitung zum Zwecke der Vertragsanbahnung und Vertragserfüllung oder zur Erfüllung einer gesetzlichen Verpflichtung erfolgt, ein berechtigtes Interesse oder eine Zweckänderung diese erfordern.

Die Einwilligung muss nach der DS-GVO nicht mehr schriftlich erfolgen, ist aber aufgrund der Rechenschaftspflicht dennoch zu empfehlen. Im Rahmen des Arbeitsverhältnisses normiert § 26 Abs. 2 BDSG n.F. hingegen weiterhin das grundsätzliche Erfordernis Schriftform für Einwilligungen.

Haben Sie Fragen zu der Datenverarbeitung unter Berücksichtigung vorbenannter Grundsätze im Rahmen der Beschäftigung von Arbeitnehmern oder im Rahmen ihres Beschäftigungsverhältnisses, stehen wir Ihnen jederzeit gerne zur Verfügung

Wenn personenbezogene Daten erhoben werden, bestehen gegenüber den betroffenen Personen umfassende Informationspflichten. Die DS-GVO unterscheidet hierbei, ob die Informationspflichten bei dem Betroffenen selbst oder nicht erhoben werden. Erfolgt die Datenerhebung bei dem Betroffenen selbst, richten sich die Informationspflichten nach Art. 13 DS-GVO bzw. 32 BDSG n.F. Die Informationen über die Datenverarbeitung sind der betroffenen Person in dem Fall bei Erhebung der Daten zu erteilen.

Erfolgt die Datenerhebung nicht bei dem Betroffenen selbst, normiert Art. 14 DS-GVO bzw. § 33 BDSG n.F. die entsprechenden Informationspflichten. Danach ist die betroffene Person bei der ersten Kommunikation, spätestens innerhalb eines Monats nach Erhalt der Daten über die Datenverarbeitung und zusätzlich über die Datenarten und Datenquellen zu informieren.

Grundsätzlich ist der betroffenen Person im Rahmen der Informationspflichten der Name und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten anzugeben. Die betroffene Person ist weitergehend über die Zwecke, die Rechtsgrundlagen und bei berechtigtem Interesse auch über die verfolgten Interessen der Datenverarbeitung sowie ggf. über Empfänger der Daten zu informieren. Sofern eine Datenübermittlung in ein Drittland beabsichtigt ist, muss die betroffene Person auch hierüber informiert werden. Werden die Daten nicht bei der betroffenen Person erhoben, muss diese ergänzend über die Kategorien der Daten, die verarbeitet werden, informiert werden.

Um eine faire und transparente Verarbeitung der Daten zu gewährleisten, sind der betroffenen Person die Speicherdauer, zumindest aber die Kriterien für die Speicherdauer anzugeben. Weitergehend ist die betroffene Person über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, das Widerspruchsrecht und die Datenportabilität zu informieren. Auch ist über die jederzeitige Widerruflichkeit von Einwilligungen und das Beschwerderecht bei der Datenschutzaufsichtsbehörde zu informieren.

Zu dem Gegenstand der Informationspflicht gehört auch die Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder zum Vertragsschluss erforderlich ist und welche Folgen eine Nichtbereitstellung der Daten hat. Sofern eine automatisierte Entscheidungsfindung erfolgt, ist auch hierüber zu informieren.

Die betroffene Person ist auch über eine bestehende Absicht, die Daten für einen anderen Zweck zu verarbeiten als zum Zecke zu dem sie erhoben wurden, zu informieren.

Ausnahmen von der Informationspflicht liegen vor, wenn der Betroffene bereits über die Informationen verfügt oder bei Beeinträchtigung der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche. Sind die Daten nicht bei der betroffenen Person erhoben worden, dann muss auch dann nicht informiert werden, wenn Unmöglichkeit oder ein unverhältnismäßiger Aufwand vorliegt.

Die Informationen sind der betroffenen Person in klarer, einfacher Sprache, präzise, transparent, verständlich und leicht zugänglich schriftlich -wobei die Textform ausreicht – oder elektronisch zu erteilen.

Gerne helfen wir Ihnen bei der Formulierung der Informationen für Ihre Arbeitnehmer bzw. prüfen, ob Ihr Arbeitgeber den Informationspflichten gerecht wird.

Das neue Datenschutzrecht gibt den Betroffenen neben der Informationspflicht des Verantwortlichen, mehrere Rechte an die Hand. So können sie Auskunft (Art. 15 DS-GVO, § 34 BDSG n.F.), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO, § 35 BDSG n.F.), Einschränkung der Verarbeitung (Art. 18 DS-GVO), Datenportabilität (Art. 20 DS-GVO) verlangen und der Datenverarbeitung widersprechen (Art. 21 DS-GVO).

Die betroffene Person kann zunächst eine Bestätigung von dem Verantwortlichen darüber verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, kann die betroffene Person Auskunft über diese personenbezogenen Daten verlangen. Bevor die Auskunft erteilt wird, empfiehlt es sich für den Verantwortlichen, die Identität der betroffenen Person sicherzustellen und eine sichere Übermittlung der Auskunft zu gewährleisten. Der Verantwortliche hat der betroffenen Person eine Kopie der verarbeitenden Daten zur Verfügung zu stellen. Darüber hinausgehend muss der Verantwortliche der betroffenen Person Auskunft über den Verarbeitungszweck, die Datenkategorien und die Speicherdauer geben. Der Verantwortliche muss die betroffene Person zudem über das Recht der Berichtigung, der Löschung, der Sperre, des Widerspruchs und des Beschwerderechts informieren. Sofern die Daten nicht bei der betroffenen Person erhoben wurden, muss der Verantwortliche der betroffenen Person alle verfügbaren Informationen über die Datenherkunft liefern.

Der Gesetzgeber hat Ausnahmen von der Auskunftspflicht vorgesehen, wenn bspw. in Erfüllung derselbigen andere beeinträchtigt werden oder durch die Offenlegung die Geltendmachung von Ansprüchen beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit verpflichtet den Verantwortlichen zur Übermittlung der vom Betroffenen bereit gestellten Daten in elektronischer, strukturierter, gängiger und maschinenlesbarer Form. Auf Weisung des Betroffenen muss der Verantwortliche diese Daten unmittelbar an einen anderen Verantwortlichen senden. Auch in diesem Zusammenhang ist die Identität des betroffenen durch den Verantwortlichen zwingend sicherzustellen.

Das Vergessenwerden erfolgt durch das Recht auf Löschung, wobei der Begriff des Löschens nicht definiert ist. Unverzüglich sind Daten zu löschen, sofern sie für den Zweck, für den sie erhoben wurden, nicht mehr nötig sind. Widerruft die betroffene Person ihre Einwilligung zur Datenverarbeitung, muss ebenfalls eine Löschung durchgeführt werden, sofern keine andere Rechtsgrundlage die Datenverarbeitung rechtfertigt. Ebenso muss unverzüglich gelöscht werden, wenn der Betroffene der Datenverarbeitung widerspricht oder die Datenverarbeitung per se ohne Rechtsgrundlage erfolgt ist.

Das Recht auf Löschung wird durch verschiedene Ausnahmen beschränkt. Ist die Verarbeitung der Daten zur Ausübung der Meinungsfreiheit und Information erforderlich, muss eine Löschung nicht erfolgen. Ebenso wenig kann das Recht auf Löschung durchgesetzt werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, schutzwürdige Interessen anderer Personen oder satzungsmäßige oder vertragliche Aufbewahrungsfristen der Löschung entgegenstehen.

Die DS-GVO bietet dem Betroffenen ein uneingeschränktes Widerspruchsrecht bei Direktwerbung. Ein eingeschränktes Widerspruchsrecht ist gegeben, wenn die Datenverarbeitung auf Grund berechtigten Interesses oder zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken erfolgt. Dann müssen Gründe für den Widerspruch in der besonderen Situation des Betroffenen liegen. Kann der Verantwortliche aber zwingende Gründe für die Datenverarbeitung nachweisen oder dient die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, scheidet ein Widerspruchsrecht des Betroffenen aus.

Das neue Datenschutzrecht gibt den Betroffenen neben der Informationspflicht des Verantwortlichen, mehrere Rechte an die Hand. So können sie Auskunft (Art. 15 DS-GVO, § 34 BDSG n.F.), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO, § 35 BDSG n.F.), Einschränkung der Verarbeitung (Art. 18 DS-GVO), Datenportabilität (Art. 20 DS-GVO) verlangen und der Datenverarbeitung widersprechen (Art. 21 DS-GVO).

Die betroffene Person kann zunächst eine Bestätigung von dem Verantwortlichen darüber verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, kann die betroffene Person Auskunft über diese personenbezogenen Daten verlangen. Bevor die Auskunft erteilt wird, empfiehlt es sich für den Verantwortlichen, die Identität der betroffenen Person sicherzustellen und eine sichere Übermittlung der Auskunft zu gewährleisten. Der Verantwortliche hat der betroffenen Person eine Kopie der verarbeitenden Daten zur Verfügung zu stellen. Darüber hinausgehend muss der Verantwortliche der betroffenen Person Auskunft über den Verarbeitungszweck, die Datenkategorien und die Speicherdauer geben. Der Verantwortliche muss die betroffene Person zudem über das Recht der Berichtigung, der Löschung, der Sperre, des Widerspruchs und des Beschwerderechts informieren. Sofern die Daten nicht bei der betroffenen Person erhoben wurden, muss der Verantwortliche der betroffenen Person alle verfügbaren Informationen über die Datenherkunft liefern.

Der Gesetzgeber hat Ausnahmen von der Auskunftspflicht vorgesehen, wenn bspw. in Erfüllung derselbigen andere beeinträchtigt werden oder durch die Offenlegung die Geltendmachung von Ansprüchen beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit verpflichtet den Verantwortlichen zur Übermittlung der vom Betroffenen bereit gestellten Daten in elektronischer, strukturierter, gängiger und maschinenlesbarer Form. Auf Weisung des Betroffenen muss der Verantwortliche diese Daten unmittelbar an einen anderen Verantwortlichen senden. Auch in diesem Zusammenhang ist die Identität des betroffenen durch den Verantwortlichen zwingend sicherzustellen.

Das Vergessenwerden erfolgt durch das Recht auf Löschung, wobei der Begriff des Löschens nicht definiert ist. Unverzüglich sind Daten zu löschen, sofern sie für den Zweck, für den sie erhoben wurden, nicht mehr nötig sind. Widerruft die betroffene Person ihre Einwilligung zur Datenverarbeitung, muss ebenfalls eine Löschung durchgeführt werden, sofern keine andere Rechtsgrundlage die Datenverarbeitung rechtfertigt. Ebenso muss unverzüglich gelöscht werden, wenn der Betroffene der Datenverarbeitung widerspricht oder die Datenverarbeitung per se ohne Rechtsgrundlage erfolgt ist.

Das Recht auf Löschung wird durch verschiedene Ausnahmen beschränkt. Ist die Verarbeitung der Daten zur Ausübung der Meinungsfreiheit und Information erforderlich, muss eine Löschung nicht erfolgen. Ebenso wenig kann das Recht auf Löschung durchgesetzt werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, schutzwürdige Interessen anderer Personen oder satzungsmäßige oder vertragliche Aufbewahrungsfristen der Löschung entgegenstehen.

Die DS-GVO bietet dem Betroffenen ein uneingeschränktes Widerspruchsrecht bei Direktwerbung. Ein eingeschränktes Widerspruchsrecht ist gegeben, wenn die Datenverarbeitung auf Grund berechtigten Interesses oder zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken erfolgt. Dann müssen Gründe für den Widerspruch in der besonderen Situation des Betroffenen liegen. Kann der Verantwortliche aber zwingende Gründe für die Datenverarbeitung nachweisen oder dient die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, scheidet ein Widerspruchsrecht des Betroffenen aus.

Zur Umsetzung der Anforderungen der DS-GVO muss unter Umständen ein Datenschutzbeauftragter bestellt und gegenüber der Aufsichtsbehörde benannt werden. Ein Datenschutzbeauftragter muss immer dann bestellt werden, wenn Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Es kommt hierbei maßgeblich auf die Kopfzahl an, so dass hierunter Voll- und Teilzeitkräfte, freie Mitarbeiter, Studenten, Auszubildende gleichermaßen zählen.

Ein Datenschutzbeauftragter muss auch bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, ihres Umfangs und/oder ihre Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO oder über die strafrechtliche Verurteilungen und Straftaten besteht.

Bei dem Datenschutzbeauftragten kann es sich um einen Externen oder einen internen Mitarbeiter handeln. Bei der Bestellung eines externen Datenschutzbeauftragten sollte auf die Vertragslaufzeit ein besonderes Augenmerk gerichtet werden. Bei der Bestellung eines internen Datenschutzbeauftragten muss eine Interessenkollision ausgeschlossen sein. Danach eignen sich Geschäftsführer, Bereichsleiter der Abteilungen IT, Recht, Revision des jeweiligen Unternehmens, Verwandte nicht als Datenschutzbeauftragte. Sofern der Datenschutzbeauftragte Arbeitnehmer ist, genießt er besonderen Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG n.F..

Der Datenschutzbeauftragte ist der Geschäftsleitung organisatorisch unmittelbar unterstellt und agiert bei der Ausübung seines Amtes weisungsfrei. Er unterliegt besonderen Geheimhaltungspflichten nach § 203 StGB, § 28 i.V.m. § 6 BDSG n.F.. Dem Datenschutzbeauftragten muss die Möglichkeit der Fortbildung gegeben werden, ihm müssen die notwendigen Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind, zur Verfügung gestellt werden.

Der Datenschutzbeauftragte hat die Aufgabe, das Unternehmen und somit den Arbeitgeber und die Mitarbeiter zum Datenschutz zu beraten. Er hat die Einhaltung der Datenschutzvorschriften sowie Mitarbeiterschulungen zum Datenschutz zu überwachen. Er dient der jeweiligen Aufsichtsbehörde als Ansprechpartner und arbeitet mit dieser zusammen.

Zur Umsetzung der Anforderungen der DS-GVO muss unter Umständen ein Datenschutzbeauftragter bestellt und gegenüber der Aufsichtsbehörde benannt werden. Ein Datenschutzbeauftragter muss immer dann bestellt werden, wenn Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Es kommt hierbei maßgeblich auf die Kopfzahl an, so dass hierunter Voll- und Teilzeitkräfte, freie Mitarbeiter, Studenten, Auszubildende gleichermaßen zählen.

Ein Datenschutzbeauftragter muss auch bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, ihres Umfangs und/oder ihre Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO oder über die strafrechtliche Verurteilungen und Straftaten besteht.

Bei dem Datenschutzbeauftragten kann es sich um einen Externen oder einen internen Mitarbeiter handeln. Bei der Bestellung eines externen Datenschutzbeauftragten sollte auf die Vertragslaufzeit ein besonderes Augenmerk gerichtet werden. Bei der Bestellung eines internen Datenschutzbeauftragten muss eine Interessenkollision ausgeschlossen sein. Danach eignen sich Geschäftsführer, Bereichsleiter der Abteilungen IT, Recht, Revision des jeweiligen Unternehmens, Verwandte nicht als Datenschutzbeauftragte. Sofern der Datenschutzbeauftragte Arbeitnehmer ist, genießt er besonderen Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG n.F..

Der Datenschutzbeauftragte ist der Geschäftsleitung organisatorisch unmittelbar unterstellt und agiert bei der Ausübung seines Amtes weisungsfrei. Er unterliegt besonderen Geheimhaltungspflichten nach § 203 StGB, § 28 i.V.m. § 6 BDSG n.F.. Dem Datenschutzbeauftragten muss die Möglichkeit der Fortbildung gegeben werden, ihm müssen die notwendigen Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind, zur Verfügung gestellt werden.

Der Datenschutzbeauftragte hat die Aufgabe, das Unternehmen und somit den Arbeitgeber und die Mitarbeiter zum Datenschutz zu beraten. Er hat die Einhaltung der Datenschutzvorschriften sowie Mitarbeiterschulungen zum Datenschutz zu überwachen. Er dient der jeweiligen Aufsichtsbehörde als Ansprechpartner und arbeitet mit dieser zusammen.

Zum Nachweis einer DS-GVO konformen Datenverarbeitung sieht Art. 30 DS-GVO grundsätzlich für jeden Verantwortlichen und Auftragsverarbeiter die Führung eines internen Verzeichnisses aller Verarbeitungstätigkeiten vor. Das Verarbeitungsverzeichnis stellt einen Grundpfeiler der Dokumentationspflicht nach der DS-GVO dar. Auf Anforderung der Aufsichtsbehörden muss der Arbeitgeber als Verantwortlicher jederzeit in der Lage sein, durch Vorlage eines Verarbeitungsverzeichnisses zu belegen, welche Verarbeitungsprozesse zu welchem Zeitpunkt aktiv waren.

Lediglich Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ausgenommen, wenn deren Datenverarbeitung kumulativ kein Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet, nur gelegentlich Datenverarbeitungen durchgeführt werden und keine besonderen Kategorien von Daten, die in Art 9 Abs. 1 DS-GVO normiert sind, verarbeitet werden.

Das Verarbeitungsverzeichnis kann papier-, word-, excel-, oder toolbasiert geführt werden, wobei ein bestimmter Aufbau gesetzlich nicht vorgeschrieben ist. Das Verzeichnis muss inhaltlich alle Verarbeitungstätigkeiten beschreiben und regelmäßig überprüft und aktualisiert werden. Als Verarbeitungstätigkeiten gelten bspw. Bewerbungs- und Einstellungsverfahren, Personalverwaltung, Personalakten, Mitarbeiterregister, Urlaubslisten, E-Mail Verkehr, Videoüberwachung, Buchhaltung, Rechnungswesen, Empfangs-, Fuhrpark- und Reisemanagement, betriebliches Intranet, Websites der Unternehmen und Arbeitgeber sowie Unternehmensseiten auf sozialen Netzwerken.

Das Verzeichnis muss die Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, den Zweck der Verarbeitung, die Kategorien der betroffenen Personen, der personenbezogenen Daten und der Datenempfänger, Angaben zur Übermittlung in ein Drittland, Löschfristen der verschiedenen Datenkategorien und die technischen und organisatorischen Maßnahmen beinhalten.

Im Falle von Datenpannen muss sowohl die Aufsichtsbehörde innerhalb von 72 Stunden als auch die betroffene Person unverzüglich informiert werden. Sowohl an die Aufsichtsbehörde als auch an die betroffene Person muss die Art der Datenschutzverletzung gemeldet sowie der Name des Datenschutzbeauftragten angezeigt werden. Die wahrscheinlichen Verletzungsfolgen, die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung sowie die Abmilderung möglicher Auswirkungen müssen beschrieben werden. Sowohl Datenschutzverletzung als auch sämtliche Fakten, Auswirkungen und Abhilfemaßnahmen sind zu dokumentieren.

Anwendbarkeit DS-GVO

Die DS-GVO gilt für die automatisierte, computergestützte als auch manuelle Verarbeitung personenbezogener Daten. Nicht umfasst sind Unternehmensdaten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen wie bspw. Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Konto- und Kreditkartennummer, Fahrzeugidentifikationsnummer. Personenbezug liegt demnach bei Informationen über die Beschäftigten vor, so dass die Personalverwaltung dem Regelwerk der DS-GVO unterliegt. Die DS-GVO ist grundsätzlich nicht bei handschriftlichen Notizen und auf die Telekommunikation, mithin bei Telefonaten, Telefaxen und E-Mails – sofern keine Archivierung erfolgt – anwendbar. Die Verarbeitung umfasst als Oberbegriff nun das Erheben, Erfassen, Ordnen, Speichern, Abfragen und die Verwendung von personenbezogenen Daten.

Für die Bestimmung des räumlichen Anwendungsbereichs knüpft die DS-GVO zum einen an das Sitzland- und zum anderen an das Marktortprinzip. Nach dem Sitzlandprinzip findet die DS-GVO dann Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet. Danach findet die DS-GVO Anwendung, wenn sich die Niederlassung eines Unternehmens, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeitet, bspw. in Köln befindet, die Verarbeitung selbst in einem Drittland wie den USA erfolgt, weil dort die Server platziert sind. Nach dem Marktortprinzip findet die DS-GVO Anwendung, wenn sich die betroffene Person, deren personenbezogene Daten verarbeitet werden, in der Union aufhält.

Grundsätze der Datenverarbeitung

Bei der Datenverarbeitung listet die DS-GVO verschiedene Grundsätze auf, die es zu beachten gilt und die bei der Überprüfung von Verarbeitungsverfahren helfen, Schwachstellen aufzudecken und eine möglichst umfassende Datenschutzkonformität herzustellen.

Der Grundsatz der Transparenz erfordert, dass Daten auf rechtmäßige Weise und für die betroffene Person nachvollziehbar verarbeitet werden.

Dem Grundsatz der Zweckbindung zufolge dürfen Daten nur zu einem vorher festgelegten, eindeutigen und legitimen Zweck erhoben werden, sie dürfen daher nicht zu einem mit dem Ursprungszweck nicht kompatiblen Zweck weiterverarbeitet werden.

Der Grundsatz der Datenminimierung gibt vor, dass Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt werden müssen.

Der Grundsatz der Richtigkeit fordert, dass Daten sachlich richtig und auf dem neuestem Stand sein müssen. Dabei müssen angemessene Maßnahmen zur Löschung und Berichtigung unrichtiger Daten getroffen werden.

Nach dem Grundsatz der Speicherbegrenzung ist die Speicherung nur solange zulässig, wie es für den Verarbeitungszweck erforderlich ist.

Der Grundsatz der Integrität und Vertraulichkeit erfordert eine Verarbeitung, die eine angemessene Sicherheit der Daten gewährleistet.

Der Grundsatz der Rechenschaftspflicht legt dem Verantwortlichen den Nachweis der Einhaltung der vorbenannten Grundsätze auf.

Der in Art. 6 DS-GVO normierte Grundsatz des Verbots der Datenverarbeitung listet zeitgleich sechs alternative Erlaubnistatbestände auf. Die Datenverarbeitung ist im Wesentlichen nicht verboten, wenn eine Einwilligung vorliegt, die Datenverarbeitung zum Zwecke der Vertragsanbahnung und Vertragserfüllung oder zur Erfüllung einer gesetzlichen Verpflichtung erfolgt, ein berechtigtes Interesse oder eine Zweckänderung diese erfordern.

Die Einwilligung muss nach der DS-GVO nicht mehr schriftlich erfolgen, ist aber aufgrund der Rechenschaftspflicht dennoch zu empfehlen. Im Rahmen des Arbeitsverhältnisses normiert § 26 Abs. 2 BDSG n.F. hingegen weiterhin das grundsätzliche Erfordernis Schriftform für Einwilligungen.

Haben Sie Fragen zu der Datenverarbeitung unter Berücksichtigung vorbenannter Grundsätze im Rahmen der Beschäftigung von Arbeitnehmern oder im Rahmen ihres Beschäftigungsverhältnisses, stehen wir Ihnen jederzeit gerne zur Verfügung

Informationspflichten

Wenn personenbezogene Daten erhoben werden, bestehen gegenüber den betroffenen Personen umfassende Informationspflichten. Die DS-GVO unterscheidet hierbei, ob die Informationspflichten bei dem Betroffenen selbst oder nicht erhoben werden. Erfolgt die Datenerhebung bei dem Betroffenen selbst, richten sich die Informationspflichten nach Art. 13 DS-GVO bzw. 32 BDSG n.F. Die Informationen über die Datenverarbeitung sind der betroffenen Person in dem Fall bei Erhebung der Daten zu erteilen.

Erfolgt die Datenerhebung nicht bei dem Betroffenen selbst, normiert Art. 14 DS-GVO bzw. § 33 BDSG n.F. die entsprechenden Informationspflichten. Danach ist die betroffene Person bei der ersten Kommunikation, spätestens innerhalb eines Monats nach Erhalt der Daten über die Datenverarbeitung und zusätzlich über die Datenarten und Datenquellen zu informieren.

Grundsätzlich ist der betroffenen Person im Rahmen der Informationspflichten der Name und die Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten anzugeben. Die betroffene Person ist weitergehend über die Zwecke, die Rechtsgrundlagen und bei berechtigtem Interesse auch über die verfolgten Interessen der Datenverarbeitung sowie ggf. über Empfänger der Daten zu informieren. Sofern eine Datenübermittlung in ein Drittland beabsichtigt ist, muss die betroffene Person auch hierüber informiert werden. Werden die Daten nicht bei der betroffenen Person erhoben, muss diese ergänzend über die Kategorien der Daten, die verarbeitet werden, informiert werden.

Um eine faire und transparente Verarbeitung der Daten zu gewährleisten, sind der betroffenen Person die Speicherdauer, zumindest aber die Kriterien für die Speicherdauer anzugeben. Weitergehend ist die betroffene Person über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, das Widerspruchsrecht und die Datenportabilität zu informieren. Auch ist über die jederzeitige Widerruflichkeit von Einwilligungen und das Beschwerderecht bei der Datenschutzaufsichtsbehörde zu informieren.

Zu dem Gegenstand der Informationspflicht gehört auch die Angabe, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder zum Vertragsschluss erforderlich ist und welche Folgen eine Nichtbereitstellung der Daten hat. Sofern eine automatisierte Entscheidungsfindung erfolgt, ist auch hierüber zu informieren.

Die betroffene Person ist auch über eine bestehende Absicht, die Daten für einen anderen Zweck zu verarbeiten als zum Zecke zu dem sie erhoben wurden, zu informieren.

Ausnahmen von der Informationspflicht liegen vor, wenn der Betroffene bereits über die Informationen verfügt oder bei Beeinträchtigung der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche. Sind die Daten nicht bei der betroffenen Person erhoben worden, dann muss auch dann nicht informiert werden, wenn Unmöglichkeit oder ein unverhältnismäßiger Aufwand vorliegt.

Die Informationen sind der betroffenen Person in klarer, einfacher Sprache, präzise, transparent, verständlich und leicht zugänglich schriftlich -wobei die Textform ausreicht – oder elektronisch zu erteilen.

Gerne helfen wir Ihnen bei der Formulierung der Informationen für Ihre Arbeitnehmer bzw. prüfen, ob Ihr Arbeitgeber den Informationspflichten gerecht wird.

Betroffenenrechte

Das neue Datenschutzrecht gibt den Betroffenen neben der Informationspflicht des Verantwortlichen, mehrere Rechte an die Hand. So können sie Auskunft (Art. 15 DS-GVO, § 34 BDSG n.F.), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO, § 35 BDSG n.F.), Einschränkung der Verarbeitung (Art. 18 DS-GVO), Datenportabilität (Art. 20 DS-GVO) verlangen und der Datenverarbeitung widersprechen (Art. 21 DS-GVO).

Die betroffene Person kann zunächst eine Bestätigung von dem Verantwortlichen darüber verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, kann die betroffene Person Auskunft über diese personenbezogenen Daten verlangen. Bevor die Auskunft erteilt wird, empfiehlt es sich für den Verantwortlichen, die Identität der betroffenen Person sicherzustellen und eine sichere Übermittlung der Auskunft zu gewährleisten. Der Verantwortliche hat der betroffenen Person eine Kopie der verarbeitenden Daten zur Verfügung zu stellen. Darüber hinausgehend muss der Verantwortliche der betroffenen Person Auskunft über den Verarbeitungszweck, die Datenkategorien und die Speicherdauer geben. Der Verantwortliche muss die betroffene Person zudem über das Recht der Berichtigung, der Löschung, der Sperre, des Widerspruchs und des Beschwerderechts informieren. Sofern die Daten nicht bei der betroffenen Person erhoben wurden, muss der Verantwortliche der betroffenen Person alle verfügbaren Informationen über die Datenherkunft liefern.

Der Gesetzgeber hat Ausnahmen von der Auskunftspflicht vorgesehen, wenn bspw. in Erfüllung derselbigen andere beeinträchtigt werden oder durch die Offenlegung die Geltendmachung von Ansprüchen beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit verpflichtet den Verantwortlichen zur Übermittlung der vom Betroffenen bereit gestellten Daten in elektronischer, strukturierter, gängiger und maschinenlesbarer Form. Auf Weisung des Betroffenen muss der Verantwortliche diese Daten unmittelbar an einen anderen Verantwortlichen senden. Auch in diesem Zusammenhang ist die Identität des betroffenen durch den Verantwortlichen zwingend sicherzustellen.

Das Vergessenwerden erfolgt durch das Recht auf Löschung, wobei der Begriff des Löschens nicht definiert ist. Unverzüglich sind Daten zu löschen, sofern sie für den Zweck, für den sie erhoben wurden, nicht mehr nötig sind. Widerruft die betroffene Person ihre Einwilligung zur Datenverarbeitung, muss ebenfalls eine Löschung durchgeführt werden, sofern keine andere Rechtsgrundlage die Datenverarbeitung rechtfertigt. Ebenso muss unverzüglich gelöscht werden, wenn der Betroffene der Datenverarbeitung widerspricht oder die Datenverarbeitung per se ohne Rechtsgrundlage erfolgt ist.

Das Recht auf Löschung wird durch verschiedene Ausnahmen beschränkt. Ist die Verarbeitung der Daten zur Ausübung der Meinungsfreiheit und Information erforderlich, muss eine Löschung nicht erfolgen. Ebenso wenig kann das Recht auf Löschung durchgesetzt werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, schutzwürdige Interessen anderer Personen oder satzungsmäßige oder vertragliche Aufbewahrungsfristen der Löschung entgegenstehen.

Die DS-GVO bietet dem Betroffenen ein uneingeschränktes Widerspruchsrecht bei Direktwerbung. Ein eingeschränktes Widerspruchsrecht ist gegeben, wenn die Datenverarbeitung auf Grund berechtigten Interesses oder zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken erfolgt. Dann müssen Gründe für den Widerspruch in der besonderen Situation des Betroffenen liegen. Kann der Verantwortliche aber zwingende Gründe für die Datenverarbeitung nachweisen oder dient die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, scheidet ein Widerspruchsrecht des Betroffenen aus.

Datenschutzbeauftragte

Das neue Datenschutzrecht gibt den Betroffenen neben der Informationspflicht des Verantwortlichen, mehrere Rechte an die Hand. So können sie Auskunft (Art. 15 DS-GVO, § 34 BDSG n.F.), Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO, § 35 BDSG n.F.), Einschränkung der Verarbeitung (Art. 18 DS-GVO), Datenportabilität (Art. 20 DS-GVO) verlangen und der Datenverarbeitung widersprechen (Art. 21 DS-GVO).

Die betroffene Person kann zunächst eine Bestätigung von dem Verantwortlichen darüber verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, kann die betroffene Person Auskunft über diese personenbezogenen Daten verlangen. Bevor die Auskunft erteilt wird, empfiehlt es sich für den Verantwortlichen, die Identität der betroffenen Person sicherzustellen und eine sichere Übermittlung der Auskunft zu gewährleisten. Der Verantwortliche hat der betroffenen Person eine Kopie der verarbeitenden Daten zur Verfügung zu stellen. Darüber hinausgehend muss der Verantwortliche der betroffenen Person Auskunft über den Verarbeitungszweck, die Datenkategorien und die Speicherdauer geben. Der Verantwortliche muss die betroffene Person zudem über das Recht der Berichtigung, der Löschung, der Sperre, des Widerspruchs und des Beschwerderechts informieren. Sofern die Daten nicht bei der betroffenen Person erhoben wurden, muss der Verantwortliche der betroffenen Person alle verfügbaren Informationen über die Datenherkunft liefern.

Der Gesetzgeber hat Ausnahmen von der Auskunftspflicht vorgesehen, wenn bspw. in Erfüllung derselbigen andere beeinträchtigt werden oder durch die Offenlegung die Geltendmachung von Ansprüchen beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit verpflichtet den Verantwortlichen zur Übermittlung der vom Betroffenen bereit gestellten Daten in elektronischer, strukturierter, gängiger und maschinenlesbarer Form. Auf Weisung des Betroffenen muss der Verantwortliche diese Daten unmittelbar an einen anderen Verantwortlichen senden. Auch in diesem Zusammenhang ist die Identität des betroffenen durch den Verantwortlichen zwingend sicherzustellen.

Das Vergessenwerden erfolgt durch das Recht auf Löschung, wobei der Begriff des Löschens nicht definiert ist. Unverzüglich sind Daten zu löschen, sofern sie für den Zweck, für den sie erhoben wurden, nicht mehr nötig sind. Widerruft die betroffene Person ihre Einwilligung zur Datenverarbeitung, muss ebenfalls eine Löschung durchgeführt werden, sofern keine andere Rechtsgrundlage die Datenverarbeitung rechtfertigt. Ebenso muss unverzüglich gelöscht werden, wenn der Betroffene der Datenverarbeitung widerspricht oder die Datenverarbeitung per se ohne Rechtsgrundlage erfolgt ist.

Das Recht auf Löschung wird durch verschiedene Ausnahmen beschränkt. Ist die Verarbeitung der Daten zur Ausübung der Meinungsfreiheit und Information erforderlich, muss eine Löschung nicht erfolgen. Ebenso wenig kann das Recht auf Löschung durchgesetzt werden, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, schutzwürdige Interessen anderer Personen oder satzungsmäßige oder vertragliche Aufbewahrungsfristen der Löschung entgegenstehen.

Die DS-GVO bietet dem Betroffenen ein uneingeschränktes Widerspruchsrecht bei Direktwerbung. Ein eingeschränktes Widerspruchsrecht ist gegeben, wenn die Datenverarbeitung auf Grund berechtigten Interesses oder zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken erfolgt. Dann müssen Gründe für den Widerspruch in der besonderen Situation des Betroffenen liegen. Kann der Verantwortliche aber zwingende Gründe für die Datenverarbeitung nachweisen oder dient die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, scheidet ein Widerspruchsrecht des Betroffenen aus.

Datenschutzbeauftragte

Zur Umsetzung der Anforderungen der DS-GVO muss unter Umständen ein Datenschutzbeauftragter bestellt und gegenüber der Aufsichtsbehörde benannt werden. Ein Datenschutzbeauftragter muss immer dann bestellt werden, wenn Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Es kommt hierbei maßgeblich auf die Kopfzahl an, so dass hierunter Voll- und Teilzeitkräfte, freie Mitarbeiter, Studenten, Auszubildende gleichermaßen zählen.

Ein Datenschutzbeauftragter muss auch bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, ihres Umfangs und/oder ihre Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO oder über die strafrechtliche Verurteilungen und Straftaten besteht.

Bei dem Datenschutzbeauftragten kann es sich um einen Externen oder einen internen Mitarbeiter handeln. Bei der Bestellung eines externen Datenschutzbeauftragten sollte auf die Vertragslaufzeit ein besonderes Augenmerk gerichtet werden. Bei der Bestellung eines internen Datenschutzbeauftragten muss eine Interessenkollision ausgeschlossen sein. Danach eignen sich Geschäftsführer, Bereichsleiter der Abteilungen IT, Recht, Revision des jeweiligen Unternehmens, Verwandte nicht als Datenschutzbeauftragte. Sofern der Datenschutzbeauftragte Arbeitnehmer ist, genießt er besonderen Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG n.F..

Der Datenschutzbeauftragte ist der Geschäftsleitung organisatorisch unmittelbar unterstellt und agiert bei der Ausübung seines Amtes weisungsfrei. Er unterliegt besonderen Geheimhaltungspflichten nach § 203 StGB, § 28 i.V.m. § 6 BDSG n.F.. Dem Datenschutzbeauftragten muss die Möglichkeit der Fortbildung gegeben werden, ihm müssen die notwendigen Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind, zur Verfügung gestellt werden.

Der Datenschutzbeauftragte hat die Aufgabe, das Unternehmen und somit den Arbeitgeber und die Mitarbeiter zum Datenschutz zu beraten. Er hat die Einhaltung der Datenschutzvorschriften sowie Mitarbeiterschulungen zum Datenschutz zu überwachen. Er dient der jeweiligen Aufsichtsbehörde als Ansprechpartner und arbeitet mit dieser zusammen.

Verarbeitungsverzeichnisse

Zur Umsetzung der Anforderungen der DS-GVO muss unter Umständen ein Datenschutzbeauftragter bestellt und gegenüber der Aufsichtsbehörde benannt werden. Ein Datenschutzbeauftragter muss immer dann bestellt werden, wenn Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Es kommt hierbei maßgeblich auf die Kopfzahl an, so dass hierunter Voll- und Teilzeitkräfte, freie Mitarbeiter, Studenten, Auszubildende gleichermaßen zählen.

Ein Datenschutzbeauftragter muss auch bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die aufgrund ihrer Art, ihres Umfangs und/oder ihre Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO oder über die strafrechtliche Verurteilungen und Straftaten besteht.

Bei dem Datenschutzbeauftragten kann es sich um einen Externen oder einen internen Mitarbeiter handeln. Bei der Bestellung eines externen Datenschutzbeauftragten sollte auf die Vertragslaufzeit ein besonderes Augenmerk gerichtet werden. Bei der Bestellung eines internen Datenschutzbeauftragten muss eine Interessenkollision ausgeschlossen sein. Danach eignen sich Geschäftsführer, Bereichsleiter der Abteilungen IT, Recht, Revision des jeweiligen Unternehmens, Verwandte nicht als Datenschutzbeauftragte. Sofern der Datenschutzbeauftragte Arbeitnehmer ist, genießt er besonderen Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG n.F..

Der Datenschutzbeauftragte ist der Geschäftsleitung organisatorisch unmittelbar unterstellt und agiert bei der Ausübung seines Amtes weisungsfrei. Er unterliegt besonderen Geheimhaltungspflichten nach § 203 StGB, § 28 i.V.m. § 6 BDSG n.F.. Dem Datenschutzbeauftragten muss die Möglichkeit der Fortbildung gegeben werden, ihm müssen die notwendigen Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind, zur Verfügung gestellt werden.

Der Datenschutzbeauftragte hat die Aufgabe, das Unternehmen und somit den Arbeitgeber und die Mitarbeiter zum Datenschutz zu beraten. Er hat die Einhaltung der Datenschutzvorschriften sowie Mitarbeiterschulungen zum Datenschutz zu überwachen. Er dient der jeweiligen Aufsichtsbehörde als Ansprechpartner und arbeitet mit dieser zusammen.

Verarbeitungsverzeichnisse

Zum Nachweis einer DS-GVO konformen Datenverarbeitung sieht Art. 30 DS-GVO grundsätzlich für jeden Verantwortlichen und Auftragsverarbeiter die Führung eines internen Verzeichnisses aller Verarbeitungstätigkeiten vor. Das Verarbeitungsverzeichnis stellt einen Grundpfeiler der Dokumentationspflicht nach der DS-GVO dar. Auf Anforderung der Aufsichtsbehörden muss der Arbeitgeber als Verantwortlicher jederzeit in der Lage sein, durch Vorlage eines Verarbeitungsverzeichnisses zu belegen, welche Verarbeitungsprozesse zu welchem Zeitpunkt aktiv waren.

Lediglich Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ausgenommen, wenn deren Datenverarbeitung kumulativ kein Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet, nur gelegentlich Datenverarbeitungen durchgeführt werden und keine besonderen Kategorien von Daten, die in Art 9 Abs. 1 DS-GVO normiert sind, verarbeitet werden.

Das Verarbeitungsverzeichnis kann papier-, word-, excel-, oder toolbasiert geführt werden, wobei ein bestimmter Aufbau gesetzlich nicht vorgeschrieben ist. Das Verzeichnis muss inhaltlich alle Verarbeitungstätigkeiten beschreiben und regelmäßig überprüft und aktualisiert werden. Als Verarbeitungstätigkeiten gelten bspw. Bewerbungs- und Einstellungsverfahren, Personalverwaltung, Personalakten, Mitarbeiterregister, Urlaubslisten, E-Mail Verkehr, Videoüberwachung, Buchhaltung, Rechnungswesen, Empfangs-, Fuhrpark- und Reisemanagement, betriebliches Intranet, Websites der Unternehmen und Arbeitgeber sowie Unternehmensseiten auf sozialen Netzwerken.

Das Verzeichnis muss die Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, den Zweck der Verarbeitung, die Kategorien der betroffenen Personen, der personenbezogenen Daten und der Datenempfänger, Angaben zur Übermittlung in ein Drittland, Löschfristen der verschiedenen Datenkategorien und die technischen und organisatorischen Maßnahmen beinhalten.

Datenpannen & Verstoßfolgen

Im Falle von Datenpannen muss sowohl die Aufsichtsbehörde innerhalb von 72 Stunden als auch die betroffene Person unverzüglich informiert werden. Sowohl an die Aufsichtsbehörde als auch an die betroffene Person muss die Art der Datenschutzverletzung gemeldet sowie der Name des Datenschutzbeauftragten angezeigt werden. Die wahrscheinlichen Verletzungsfolgen, die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung sowie die Abmilderung möglicher Auswirkungen müssen beschrieben werden. Sowohl Datenschutzverletzung als auch sämtliche Fakten, Auswirkungen und Abhilfemaßnahmen sind zu dokumentieren.

Beschäftigtendatenschutz

Der Beschäftigtendatenschutz ist in der DS-GVO nicht eigenständig geregelt. Für den Arbeitnehmerdatenschutz finden die Informationspflichten der Art. 13, 14 DS-GVO Anwendung. Werden personenbezogene Daten von Arbeitnehmern verarbeitet, sind diese ebenfalls Betroffene, die ein Recht auf Auskunft, Berichtigung, Löschung, Sperren, Datenportabilität und Widerspruch haben. Insoweit verweisen wir auf unsere vorhergehenden Ausführungen.

Durch die Öffnungsklausel in Art. 88 Abs. 1 DS-GVO ist eine weitergehende Regelungsbefugnis an die Mitgliedsstaaten rückübertragen. Die Bundesregierung hat mit § 26 daher eine zentrale Regelung in das neugefasste BDSG aufgenommen.

Beschäftigte sind nach der Neuregelung des § 26 Abs. 8 BDSG n.F. neben Bewerbern für ein Beschäftigtenverhältnis auch Leiharbeitnehmer im Verhältnis zum Entleiher sowie Freiwillige, die einen Dienst nach dem Bundesfreiwilligengesetz leisten.

So dürfen nach § 26 Abs. 1, S. 1 BDSG n.F. personenbezogene Daten zum Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Unter bestimmten Voraussetzungen, die § 26 Abs. 1 S. 2 BDSG n.F. regelt, dürfen Daten zur Aufdeckung von Straftaten im Arbeitsverhältnis verarbeitet werden. Weitergehend sind die Bestimmungen des Datenschutzes auch dann anzuwenden, wenn die personenbezogenen Daten des Arbeitnehmers nicht in einem Dateisystem gespeichert werden. Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben nach § 26 Abs. 6 BDSG n.F. weiter unberührt. Vorbenannte Regelungsinhalte des § 26 BDSG n.F. sind allesamt nicht neu, vielmehr fanden sie sich bislang in § 32 BDSG a.F. normiert.

Neu hingegen ist, dass personenbezogene Daten auch dann verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. So wird mit der Neuregelung selbst die Verarbeitung von personenbezogenen Daten auf Grundlage eines Gesetzes oder gesetzesähnlicher Regelung ergänzend der Prüfung der Erforderlichkeit unterzogen.

§ 26 Abs. 2 BDSG n.F. erfordert grundsätzlich die Einhaltung der Schriftform bei Erteilung der Einwilligung des Arbeitnehmers zur Datenverarbeitung. Die Einwilligung muss von der Freiwilligkeit getragen sein. Zur Beurteilung der bisher streitigen Frage der Freiwilligkeit sollen die im Beschäftigungsverhältnis bestehende Abhängigkeit des Arbeitnehmers und die Umstände, unter denen die Einwilligung erteilt wurde, berücksichtigt werden. Von einer Freiwilligkeit soll insbesondere dann ausgegangen werden, wenn ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen. Der Arbeitgeber soll weitergehend den Arbeitnehmer über den Zweck der Datenverarbeitung und über das Widerrufsrecht in Textform aufklären.

Der Arbeitgeber kann auf Grundlage des § 26 Abs. 3 BDSG n.F. besondere Kategorien personenbezogener Daten verarbeiten. Besondere Kategorien personenbezogener Daten sind nach Art. 9 DS-GVO Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich verboten. § 26 Abs. 3 BDSG n.F. erlaubt dem Arbeitgeber hingegen die Verarbeitung besonderer Kategorien von Daten, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Auch im Zusammenhang mit der Verarbeitung personenbezogener Daten ist die Einholung einer Einwilligungserklärung des Arbeitnehmers, die sich ausdrücklich auch auf die Verarbeitung personenbezogener Daten bezieht, dringend zu empfehlen.

Auf der Grundlage von Kollektivvereinbarungen ist die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Arbeitnehmern für Zwecke des Beschäftigungsverhältnisses zulässig. Bislang war dies nach der bisherigen Rechtsprechung zu § 4 BDSG a.F. bereits ebenfalls möglich, was nunmehr ausdrücklich in § 26 Abs. 4 BDSG n.F. geregelt wurde.

Der Arbeitgeber muss als Verantwortlicher geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 DS-GVO dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden, insoweit unterliegt der Arbeitgeber einer Nachweispflicht. Besonders praxisrelevant ist in diesem Zusammenhang die Verpflichtung auf das Datengeheimnis. Bislang oblag dem Arbeitgeber nach § 5 BDSG a.F., die mit der Datenverarbeitung beschäftigte Mitarbeiter auf das Datengeheimnis zu verpflichten. Hierzu findet sich eine ausdrückliche Regelung weder in der DS-GVO noch im BDSG n.F. Durch Bezugnahme auf Art. 5 DS-GVO sind Mitarbeiter mit datenverarbeitender Tätigkeit aber weiterhin förmlich zur Vertraulichkeit und Einhaltung des Datenschutzes nach der DS-GVO zu verpflichten. Denn der Arbeitgeber muss sicherstellen und nachweisen können, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Noch deutlicher wird Art. 24 DS-GVO. Danach muss der Arbeitgeber als Verantwortlicher unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Bei der Formulierung oder Überprüfung der Einwilligungs- und Vertraulichkeitserklärungen auf Grundlage des neuen Datenschutzrechts beraten wir Sie gerne. Fragen Sie hierzu gerne einen persönlichen Termin bei uns an..

Fazit:

Wir stehen Ihnen beim Thema Datenschutz gerne zur Seite, prüfen die Voraussetzungen und Ihre Möglichkeiten und eröffnen Ihnen Wege, um hierauf rechtssicher reagieren zu können. Sofern Sie ihren Wunsch auf Datenschutz durchsetzen möchten, stehen wir Ihnen ebenfalls zur Seite. Kontaktieren Sie uns gerne und fragen Sie einen kurzfristigen, persönlichen Gesprächstermin an.

Hier lesen Sie Bewertungen über die anwaltliche Tätigkeit von Frau Rechtsanwältin Silvana Dzerek:

Die Vergütung unserer Leistungen ist fallabhängig. Sehr gerne geben wir Ihnen zu Ihrer konkreten rechtlichen Angelegenheit eine kostenlose Auskunft über die voraussichtlich anfallenden Gebühren. Sprechen Sie uns hierzu gerne und so früh wie möglich an. Im Rechtsanwaltsvergütungsgesetz wird das anwaltliche Honorar gesetzlich geregelt. Nach dem Rechtsanwaltsvergütungsgesetz ist ein Unterschreiten der gesetzlichen Gebühren im gerichtlichen Verfahren untersagt. Sollten Sie über eine Rechtsschutzversicherung verfügen, werden die gesetzlichen Gebühren durch die Versicherung übernommen. Gerne können wir in Absprache mit Ihnen die Korrespondenz mit Ihrer Rechtsschutzversicherung übernehmen. Bitte beachten Sie, dass auch im Falle einer bestehenden Rechtsschutzversicherung Sie stets als Mandant alleiniger Auftraggeber unserer Tätigkeit bleiben.

Für eine erste Beratung berechnen wir entsprechend den Vorgaben im Rechtsanwaltsvergütungsgesetz eine Erstberatungsgebühr in Höhe von max.190,00 Euro zzgl. Auslagen und Umsatzsteuer ab.

Die Erstberatungsgebühr wird auf eine weitere Tätigkeit in gleicher Sache sodann voll angerechnet. In Abhängigkeit von der Komplexität des einzelnen Mandats treffen wir mit unseren Mandanten individuelle Vergütungsvereinbarungen, um dem erforderlichen Aufwand, der von den Gebühren des Rechtsanwaltsvergütungsgesetzes nicht gedeckt wird, Rechnung zu tragen. Dabei vereinbaren wir insbesondere für Unternehmen, Führungskräfte und Betriebsräte Zeithonorare, die den Vorteil einer transparenten Vergütungsgestaltung bieten. Betriebsräte und Personalräte können uns jederzeit vor Beauftragung und Beschlussfassung zwecks Wahrung notwendiger Formalien hierzu kostenfrei sprechen. Soweit gesetzlich zulässig, bieten wir in Einzelfällen Vereinbarungen auf Grundlage von Pauschalhonoraren an.

Rechtsanwältin Silvana Dzerek wurde 2012 von der Rechtsanwaltskammer Köln der Titel „Fachanwalt für Arbeitsrecht“ verliehen. Rechtsanwältin Dzerek hat zum Einen an einem auf die Fachanwaltsbezeichnung vorbereitenden anwaltsspezifischen Lehrgang teilgenommen und sich erfolgreich Leistungskontrollen unterzogen. Zum Anderen hat Rechtsanwältin Dzerek besondere praktische Erfahrungen in den Bereichen Individualarbeitsrecht (Abschluss und Änderung des Arbeits- und Berufsausbildungsvertrages, Inhalt und Beendigung des Arbeits- und Berufsausbildungsverhältnisses einschließlich Kündigungsschutz, Grundzüge der betrieblichen Altersversorgung, Schutz besonderer Personengruppen, insbesondere der Schwangeren und Mütter, der Schwerbehinderten und Jugendlichen, Grundzüge des Arbeitsförderungsrechts und Sozialversicherungsrechts), des kollektiven Arbeitsrechts (Tarifvertrags-, Personalvertretungs- und Betriebsverfassungsrecht, Grundzüge des Arbeitskampf- und Mitbestimmungsrechts) und Verfahrensrecht nachgewiesen. In vielen Fällen ging es um ordentliche, außerordentliche und fristlose Kündigungen

Die theoretischen Kenntnisse und Erfahrungen übersteigen erheblich das Maß dessen, das üblicherweise durch die berufliche Ausbildung und praktische Erfahrung im Beruf vermittelt wird.

Als Mitglied der Kölner Rechtsanwaltskammer und als langjährig in Köln aktive Fachanwältin für Arbeitsrecht ist Rechtsanwältin Silvana Dzerek Ansprechpartnerin für Arbeitgeber, Geschäftsführer, Führungskräfte, Arbeitnehmer und Betriebsräte in Köln und dem umgebenden Rheinland. Gern können Sie die Fachkanzlei Dzerek aber auch für Beratungen und Betreuungen zum Thema Teilzeitbeschäftigung deutschlandweit anfragen

Falls Sie ein arbeitsrechtliches Anliegen haben, kontaktieren Sie uns telefonisch unter +49 (0)221.29 99 79 42 oder per E-Mail: dzerek@kanzlei-dzerek.de . Wir sind gerne behilflich, fragen Sie einen Termin für eine persönliche erste Beratung in unserem Büro an.

Kontakt zu Rechtsanwältin Silvana Dzerek

Kanzlei Dzerek
Hohenstaufenring 62
50674 Köln

Tel +49 (0) 221.29 99 79 42
Fax +49 (0) 221.29 99 43 18
Mob +49 (0) 176.22 32 56 58

E-Mail: dzerek@kanzlei-dzerek.de oder kontakt@kanzlei-dzerek.de