EU-Datenschutzgrundverordnung Travemünde – 12. September 2018

Einführung Schutzmechanismen und Risikoperspektiven Entwicklungen im Beschäftigtendatenschutz Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz Datenschutzrelevante Situationen im Arbeitsverhältnis Datenschutzbeauftragter Betriebsrat und Datenschutz

I. Einführung auch Änderungsvertrag, befristet Änderungen

Von Unsicherheit, Hysterie und Wahnsinn – der 25. Mai 2018 Der Arbeitnehmer erscheint am 25.05.2018 in der Personalabteilung und widerspricht der Verwendung sämtlicher über seine Person gespeicherten Daten. Er verlangt sofortige Löschung. Der Arbeitnehmer erscheint am 25.05.2018 am Arbeitsplatz und verweigert die Ausführung bestimmter Arbeiten, weil er der Ansicht ist, nach der DSGVO sei die von ihm durchzuführende Datenverarbeitung so überhaupt nicht mehr zulässig.

Warum ist (Beschäftigten-)Datenschutz eher unbeliebt? unübersichtliche Rechtsmaterie zwischen BDSG und Landesdatenschutzgesetzen (jetzt: verschlimmert!) Expertenwissen mit Hang zum Besserwissertum gefühlte Bremse auf dem Weg in die Digitalisierung teilweise drastisches Auseinanderklaffen von Datenschutzempfindlichkeit und eigenverantwortlicher Hergabe von Daten Universaleinwand „Datenschutzbedenken“

Auftragsdaten-verarbeitung Datenschutzrelevante Bereiche im Betrieb Kundendaten Lieferantendaten Auftragsdaten-verarbeitung Beschäftigtendaten

Daten von Mitarbeitern im aktiven Arbeitsverhältnis Beschäftigtendaten Bewerberdaten Daten von Mitarbeitern im aktiven Arbeitsverhältnis Daten betreffend gekündigte Mitarbeiter während des Kündigungsschutzprozesses oder im Nachlauf Betriebsrentner Beispiel: Monatsbestenlisten im Vertrieb personenbezogene oder personenbeziehbare Daten ǂ anonyme Daten

II. Schutzmechanismen und Risikoperspektiven auch Änderungsvertrag, befristet Änderungen

Schutzmechanismen zugunsten des Arbeitnehmers Schutz des allgemeinen Persönlichkeitsrechts Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG Schutz vor nachteiligen Beweissituationen Ausgleich des strukturellen Ungleichgewichts auch in technischer Hinsicht Informationspflichten, Auskunftsrecht, Berichtigungsanspruch, Löschungsrecht, Datenportabilität

Risikoperspektiven des Arbeitgebers ordnungs- und bußgeldrechtliche Verantwortlichkeit Entschädigungsperspektiven gegenüber Arbeitnehmern Beweisrechtlich nachteilige Situationen im arbeitsgerichtlichen Verfahren Prangerwirkung bei Publizität von Datenschutzverstößen

Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

Ordnungs- und bußgeldrechtliche Verantwortlichkeit Art. 83 Abs. 5 DSGVO: Bußgeld bis 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes derzeit noch nicht absehbare Handhabungspraxis der Aufsichtsbehörden

Datenschutzaufsicht durch Datenschutzbeauftragte der Länder (präventive) Prüfverfahren größere Handlungsspielräume bei Bußgeldern Beanstandungsmöglichkeit (ggf. mit Veröffentlichung) nur teilweise vergrößerte Personalkörper Umfassende Nachweispflicht des Verantwortlichen – Art. 24 Abs. 1 DSGVO

Entschädigungsperspektiven gegenüber Arbeitnehmern aus datenschutzwidrigem Verhalten Haftung auf Schadensersatz und Schmerzensgeld (Art. 82 DSGVO) Vergangenheitsbeispiele: Schmerzensgeld für unzulässige Videoüberwachung Schmerzensgeld für unzulässigen Detektiveinsatz Schmerzensgeld für unberechtigte Datenweitergabe

Schmerzensgeld für durchgehende Videoüberwachung – LAG Hessen Urt. v. 25.10.2010 – 7 Sa 1586/09 Montage 02.06.2008 („spätestens“)  Klage 13.10.2008 unstreitig zur Überwachung des Eingangsbereichs Klägerin aber ebenfalls dauerhaft im Bild Ausmaß der Überwachung streitig Schmerzensgeld: 7.000 Euro Nichtzulassungsbeschwerde zurückgewiesen

Schmerzensgeld bei Detektiveinsatz – BAG Urt. v. 19.02.2015 – 8 AZR 1007/13 auf Tatsachen beruhender konkreter Verdacht einer Pflichtverletzung erforderlich AU-Bescheinigungen unterschiedlicher Ärzte für sich nicht verdachtsbegründend 1.000 Euro bei viertägiger Überwachung angemessen

Schmerzensgeld wegen Weitergabe von Gesundheitsdaten – OLG Köln Urt. v. 30.09.2016 – 20 U 83/16 Kläger streitet mit Versicherung um Leistungen aus einer Berufsunfähigkeitsversicherung und legt dazu Gesundheitsdaten dar Beklagte (Konzernunternehmen des Arbeitgebers) gibt Urteil an Arbeitgeber weiter keine Berechtigung zur Datenweitergabe  Haftung bislang nur Zwischenurteil ohne Betragsfestlegung

Herausgabepflicht eines Laptops mit Kundendaten – ArbG Lübeck Beschl. v. 29.08.2018 – 4 Ga 18/18 im Kleinbetrieb ordentlich gekündigte Arbeitnehmerin gibt Laptop mit Kundendaten nicht heraus Kündigung erst zum 31.10.2018, aber unwiderrufliche Freistellung Arbeitnehmerin droht mit Verwendung der Daten Auswirkungen Datenschutz auf das Eilbedürfnis = Verfügungsgrund?

Beweisrechtlich nachteilige Situation Beweiswertungsverbote Sachverwertungsverbote

Beweisverwertungsverbot Kündigung und verdeckte Videoüberwachung BAG Urt. v. 20.10.2016 – 2 AZR 395/15 Videoüberwachung muss einzig verbleibende Aufklärungsmöglichkeit sein schwere Verfehlung des MA erforderlich Sachverwertungsverbot ist denkbar Beweisverwertungsverbot

Sachverwertungsverbot Überwachung mittels Keylogger - Verwertungsverbot – BAG Urt. v. 27.07.2017 – 2 AZR 681/16 AG setzt mit Kenntnis des AN sog. Keylogger ein AN geht während der Arbeitszeit in erheblichem Umfang privaten Tätigkeiten nach, wie die Auswertung der Keylogger-Daten ergibt schwerer Eingriff in allg. Persönlichkeitsrecht des AN Sachverwertungsverbot

III. Entwicklungen im Beschäftigtendatenschutz auch Änderungsvertrag, befristet Änderungen

EU-Datenschutzrichtlinie 1995 Landesdatenschutz-gesetze Europarechtliche Struktur des Datenschutzrechts bis 24.05.2018 EU-Datenschutzrichtlinie 1995 Umsetzung in nationales Recht BDSG Landesdatenschutz-gesetze

Landesdatenschutz-gesetze Europarechtliche Struktur des Datenschutzrechts ab 25.05.2018 EU-DSGVO 2016 JI-Richtlinie unmittelbare Geltung ggf. nationale Sonderregelungen BDSG Landesdatenschutz-gesetze

IV. Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz auch Änderungsvertrag, befristet Änderungen

Struktur des Beschäftigtendatenschutzes ab 25.05.2018 EU-DSGVO Art. 88 nationale Sonderregelungen „DV im Beschäftigungskontext“ BDSG § 26 „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ (ähnlich wie zuvor § 32 BDSG a.F.)

Folgen für den Beschäftigtendatenschutz DSGVO schafft Grundstruktur § 26 BDSG nutzt Ausnahme für nationale Sonderregelungen im Beschäftigtendatenschutz teilweise erhebliche Abgrenzungsfragen und dazu, wie weit der nationale Gesetzgeber abweichen durfte

Beschäftigtendatenschutz nach BDSG § 26 BDSG neu (zuvor § 32 BDSG) wenig materielle Änderungen zahlreiche streitige Einzelfragen, Lösungen rechtsprechungsabhängig

§ 26 Abs. 1 BDSG Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Weitere Regelungen des § 26 BDSG (nach Absätzen) besondere Anforderungen an die Einwilligung (Abs. 2) Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO (Abs. 3) Verarbeitung auf Grundlage von Kollektiv-vereinbarungen im Rahmen von Art. 88 Abs. 2 DSGVO (Abs. 4) Beachtung der Verarbeitungsgrundsätze des Art. 5 DSGVO (Abs. 5)

Rechte der Interessenvertretung (Abs. 6) Geltung auch für manuelle Verarbeitung (Abs. 7) Definition des Beschäftigtenbegriffs (Abs. 8)

Sonderfall besonderer Datenkategorien: Gesundheitsdaten Gesundheitsdaten sind besondere Datenkategorie damit besonderer Schutz nach Art. 9 DSGVO aber: Verarbeitung „zur Erfüllung gesetzlicher Pflichten aus dem Arbeitsrecht“ zulässig (§ 26 Abs. 3 BDSG) Beispiel: AU-Zeiten zur Dokumentation für BEM

Allgemeine Grundstrukturen der DSGVO Art. 5 – Grundsätze für die Datenverarbeitung (z.B. Zweckbindung, Datensparsamkeit u.s.w.) Art. 6 – Rechtmäßigkeit der Verarbeitung (Verbotsgesetz mit Erlaubnisvorbehalt) Art. 9 – Verarbeitung besonderer Datenkategorien Art. 12 - 14 – Transparenz und Information

Grundsätze für die Datenverarbeitung – Art. 5 DSGVO Transparenzgebot Zweckbindung Datenminimierung Richtigkeit der Daten Begrenzung der Speicherdauer Integrität und Vertraulichkeit Rechenschaftspflicht (Abs. 2)

Verbotsgesetz mit Erlaubnisvorbehalt – Art. 6 DSGVO prinzipielles Verbot der Datenverarbeitung (entgegen allen Gerüchten) eher breiter Ausnahmekatalog in Art. 6 Abs. 1 DSGVO besondere Ausnahme für Beschäftigtendaten in § 26 Abs. 1 BDSG („erforderlich“)

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,

Arbeitnehmerrechte aus der DSGVO Auskunftsrecht – Art. 15 DSGVO Recht auf Berichtigung – Art. 16 DSGVO Recht auf Löschung – Art. 17 DSGVO („Recht auf Vergessenwerden“) Recht auf Einschränkung der Verarbeitung – Art. 19 DSGVO Recht auf Datenübertragbarkeit – Art. 20 DSGVO

V. Datenschutzrelevante Situationen im Arbeitsverhältnis (Auswahl) auch Änderungsvertrag, befristet Änderungen

Typischer Prüfungsablauf des BAG Maßnahme des Arbeitgebers (z.B. Videoüberwachung) Prüfung anhand § 32 BDSG alt „erforderlich“ oder ggf. speziellere DS-Norm Ergebnis „erforderlich“ wird nach Fallgruppen ausgefüllt

Bewerbungsverfahren

Datenschutzrechtliche Kernprobleme im Bewerbungsverfahren Rechtsgrundlage der Datenverarbeitung – Art. 6 DSGVO insbesondere: Pre-Employment-Screening Aufbewahrungsfristen

Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren „erforderlich“ § 26 BDSG Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren Einwilligung – Art. 6 Abs. 1 a) DSGVO Vertragserfüllung – Art. 6 Abs. 1 b) DSGVO? berechtigte Interessen – Art. 6 Abs. 1 f) DSGVO ? konkludent? Initiativbewerbung

Videoüberwachung

Offene Videoüberwachung – Verwertungsverbot – BAG Urt. v. 23.08.2018 – 2 AZR 133/18 keine Unzulässigkeit der Auswertung einer offenen Videoüberwachung nur durch Zeitablauf (Februar auf August 2016) kein Verwertungsverbot sofern Überwachung rechtmäßig erfolgt Videoüberwachung einer Lottoannahmestelle (Schutz vor Eigentumsdelikten durch Kunden und Mitarbeiter) Entscheidung zu § 32 BDSG alt

Anforderungen an die heimliche Videoüberwachung begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein

Detektivüberwachung

Grundregeln zum Detektiveinsatz keine anlassunabhängige Überwachung Maß und Dauer der Überwachung maßgeblich (auch für Kostenerstattungsanspruch des Arbeitgebers)

Anforderungen an die Detektivüberwachung begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein Verhältnismäßigkeit der konkreten Überwachungsmaßnahmen

E-Mail-Screening

Überwachung der E-Mail-Kommunikation des Arbeitnehmers – EGMR Urt. v. 05.09.2017 – 61496/08 (Barbulescu) AG muss Überwachung der – verbotenen – privaten E-Mail-Kommunikation und deren Umfang vorher ankündigen berechtigtes Arbeitgeberinteresse erforderlich kein milderes Mittel darf verfügbar sein Schutzmaßnahmen zugunsten des AN müssen bestehen

VI. Datenschutzbeauftragter auch Änderungsvertrag, befristet Änderungen

Datenschutzbeauftragte nichtöffentlicher Stellen Kernregelung jetzt in Art. 37 ff. DSGVO Bestellungspflicht modifiziert in § 38 BDSG (mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt) interne wie externe Bestellung weiter zulässig Benennungsmöglichkeit im Konzern – Art. 37 Abs. 2 DSGVO

Aufgaben des Datenschutzbeauftragten – Art. 39 Abs. 1 DSGVO Unterrichtung und Beratung des Verantwortlichen Überwachung der Einhaltung der DSGVO Beratung im Zusammenhang mit der Datenschutz- Folgeabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

Schutz und Haftung des Datenschutzbeauftragten Diskriminierungsverbot – Art. 38 Abs. 3 S. 2 DSGVO weiterhin: Sonderkündigungsschutz über § 6 Abs. 4 BDSG – nur fristlose Kündigung möglich keine Haftung, keine Aufwertung zum „Verantwortlichen“ gem. 82 Abs. 2 DSGVO

VII. Betriebsrat und Datenschutz auch Änderungsvertrag, befristet Änderungen

Mitbestimmungsrechte des BR im Datenschutz: direkt nur § 80 Abs. 1 Ziff. 1 BetrVG – Überwachungsrecht § 80 Abs. 2 BetrVG – Informationsrecht indirekt über § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung

Berührte Nebenbereiche der Mitbestimmungsrechte: § 87 Abs. 1 Ziff. 1 BetrVG – Arbeitnehmerverhalten § 90 Abs. 1 BetrVG – Änderungen der Arbeitsumgebung §§ 94, 95 BetrVG – Personalfragebögen, Formulararbeitsverträge, Beurteilungsgrundsätze, Auswahlrichtlinien keine Mitbestimmung bei der Bestellung des Datenschutzbeauftragten (Person, intern oder extern)

§ 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung „echtes“ Mitstimmungsrecht = Zustimmungserfordernis, sonst Einigungsstelle Initiativrecht des Betriebsrats Betriebsräte machen in der Praxis Zustimmung zu neuer Technik von Datenschutzzugeständnissen abhängig

Gesetzesvorrang weitgehend ausgehebelt durch § 26 Abs. 4 BDSG § 87 Abs. 1 Ziff. 6 BetrVG Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen [=zuzustimmen]: … 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; BAG: bestimmt = geeignet Folge: bloßes Überwachungspotenzial bringt Mitbestimmung

zahlreiche Einigungsstellenverfahren, die Digitalisierung nimmt Fahrt auf! häufig eher komplexer Streit um Einführung Hauptbefürchtungen des Betriebsrats: Ausspähen von Mitarbeitern Rationalisierung durch Digitalisierung

Sonderfunktion des BR im Datenschutz: Kollektivvereinbarungen (=Betriebsvereinbarungen) bilden „freihändige“ Verarbeitungsgrundlage im Rahmen des Art. 88 Abs. 2 DSGVO hierdurch weite Handlungsspielräume bei Konsens zwischen Arbeitgeber und Betriebsrat (vor allem auch: Konzerndatenverarbeitung!) kein genereller Revisionsbedarf von bestehenden Betriebsvereinbarungen empfehlenswert: Datenschutz-Rahmen-BV

Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

Betriebsrat als Datenschutzverpflichteter Pflicht zu Einhaltung datenschutzrechtlicher Vorschriften (z.T. bereits geregelt, z.B. § 99 Abs. 1 S. 3 BetrVG) Kontrollmöglichkeiten des Arbeitgebers? Betriebsrat als eigene datenverarbeitende Stelle?