Neuer Beschäftigtendatenschutz nach der EU-DSGVO und BDSG-Reform Hamburg – 21. September 2018

Einführung Schutzmechanismen und Risikoperspektiven Entwicklungen im Beschäftigtendatenschutz Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz Datenschutzrelevante Situationen im Arbeitsverhältnis Datenschutzbeauftragter Betriebsrat und Datenschutz

I. Einführung auch Änderungsvertrag, befristet Änderungen

Von Unsicherheit, Hysterie und Wahnsinn – der 25. Mai 2018 Der Arbeitnehmer erscheint am 25.05.2018 in der Personalabteilung und widerspricht der Verwendung sämtlicher über seine Person gespeicherten Daten. Er verlangt sofortige Löschung. Der Arbeitnehmer erscheint am 25.05.2018 am Arbeitsplatz und verweigert die Ausführung bestimmter Arbeiten, weil er der Ansicht ist, nach der DSGVO sei die von ihm durchzuführende Datenverarbeitung so überhaupt nicht mehr zulässig.

Warum ist (Beschäftigten-)Datenschutz eher unbeliebt? unübersichtliche Rechtsmaterie zwischen BDSG und Landesdatenschutzgesetzen (jetzt: verschlimmert!) Expertenwissen mit Hang zum Besserwissertum gefühlte Bremse auf dem Weg in die Digitalisierung teilweise drastisches Auseinanderklaffen von Datenschutzempfindlichkeit und eigenverantwortlicher Hergabe von Daten Universaleinwand „Datenschutzbedenken“

Auftragsdaten-verarbeitung Datenschutzrelevante Bereiche im Betrieb Kundendaten Lieferantendaten Auftragsdaten-verarbeitung Beschäftigtendaten

Daten von Mitarbeitern im aktiven Arbeitsverhältnis Beschäftigtendaten Bewerberdaten Daten von Mitarbeitern im aktiven Arbeitsverhältnis Daten betreffend gekündigte Mitarbeiter während des Kündigungsschutzprozesses oder im Nachlauf Betriebsrentner Beispiel: Monatsbestenlisten im Vertrieb personenbezogene oder personenbeziehbare Daten ǂ anonyme Daten

II. Schutzmechanismen und Risikoperspektiven auch Änderungsvertrag, befristet Änderungen

Schutzmechanismen zugunsten des Arbeitnehmers Schutz des allgemeinen Persönlichkeitsrechts Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG Schutz vor nachteiligen Beweissituationen Ausgleich des strukturellen Ungleichgewichts auch in technischer Hinsicht Informationspflichten, Auskunftsrecht, Berichtigungsanspruch, Löschungsrecht, Datenportabilität

Risikoperspektiven des Arbeitgebers ordnungs- und bußgeldrechtliche Verantwortlichkeit Entschädigungsperspektiven gegenüber Arbeitnehmern Beweisrechtlich nachteilige Situationen im arbeitsgerichtlichen Verfahren Prangerwirkung bei Publizität von Datenschutzverstößen

Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

Ordnungs- und bußgeldrechtliche Verantwortlichkeit Art. 83 Abs. 5 DSGVO: Bußgeld bis 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes derzeit noch nicht absehbare Handhabungspraxis der Aufsichtsbehörden

Datenschutzaufsicht durch Datenschutzbeauftragte der Länder (präventive) Prüfverfahren größere Handlungsspielräume bei Bußgeldern Beanstandungsmöglichkeit (ggf. mit Veröffentlichung) nur teilweise vergrößerte Personalkörper Umfassende Nachweispflicht des Verantwortlichen – Art. 24 Abs. 1 DSGVO

Entschädigungsperspektiven gegenüber Arbeitnehmern aus datenschutzwidrigem Verhalten Haftung auf Schadensersatz und Schmerzensgeld (Art. 82 DSGVO) Vergangenheitsbeispiele: Schmerzensgeld für unzulässige Videoüberwachung Schmerzensgeld für unzulässigen Detektiveinsatz Schmerzensgeld für unberechtigte Datenweitergabe

Schmerzensgeld für durchgehende Videoüberwachung – LAG Hessen Urt. v. 25.10.2010 – 7 Sa 1586/09 Montage 02.06.2008 („spätestens“)  Klage 13.10.2008 unstreitig zur Überwachung des Eingangsbereichs Klägerin aber ebenfalls dauerhaft im Bild Ausmaß der Überwachung streitig Schmerzensgeld: 7.000 Euro Nichtzulassungsbeschwerde zurückgewiesen

Schmerzensgeld bei Detektiveinsatz – BAG Urt. v. 19.02.2015 – 8 AZR 1007/13 auf Tatsachen beruhender konkreter Verdacht einer Pflichtverletzung erforderlich AU-Bescheinigungen unterschiedlicher Ärzte für sich nicht verdachtsbegründend 1.000 Euro bei viertägiger Überwachung angemessen

Schmerzensgeld wegen Weitergabe von Gesundheitsdaten – OLG Köln Urt. v. 30.09.2016 – 20 U 83/16 Kläger streitet mit Versicherung um Leistungen aus einer Berufsunfähigkeitsversicherung und legt dazu Gesundheitsdaten dar Beklagte (Konzernunternehmen des Arbeitgebers) gibt Urteil an Arbeitgeber weiter keine Berechtigung zur Datenweitergabe  Haftung bislang nur Zwischenurteil ohne Betragsfestlegung

Herausgabepflicht eines Laptops mit Kundendaten – ArbG Lübeck Beschl. v. 29.08.2018 – 4 Ga 18/18 im Kleinbetrieb ordentlich gekündigte Arbeitnehmerin gibt Laptop mit Kundendaten nicht heraus Kündigung erst zum 31.10.2018, aber unwiderrufliche Freistellung Arbeitnehmerin droht mit Verwendung der Daten Auswirkungen Datenschutz auf das Eilbedürfnis = Verfügungsgrund?

Beweisrechtlich nachteilige Situation Beweiswertungsverbote Sachverwertungsverbote

Beweisverwertungsverbot Kündigung und verdeckte Videoüberwachung BAG Urt. v. 20.10.2016 – 2 AZR 395/15 Verdacht des Diebstahls, begründet auf Inventurdifferenzen im Kfz-Teilelager Videoüberwachung muss einzig verbleibende Aufklärungsmöglichkeit sein schwere Verfehlung des MA erforderlich Sachverwertungsverbot ist denkbar Beweisverwertungsverbot

Sachverwertungsverbot Überwachung mittels Keylogger - Verwertungsverbot – BAG Urt. v. 27.07.2017 – 2 AZR 681/16 AG setzt mit Kenntnis des AN sog. Keylogger ein AN geht während der Arbeitszeit in erheblichem Umfang privaten Tätigkeiten nach, wie die Auswertung der Keylogger-Daten ergibt schwerer Eingriff in allg. Persönlichkeitsrecht des AN keine Maßnahmen „ins blaue hinein“ zulässig Sachverwertungsverbot

Folgerungen aus der Keylogger-Entscheidung: Selbst weitreichende Technik-Eingriffe mit Mitteln wie Keylogger nicht per se unzulässig Ermittlungen nach § 32 Abs. 1 BDSG (a.F.) erfordern keinen Straftatverdacht, Pflichtverletzungen reichen aus Verletzung der datenschutzrechtlichen Eingriffsvoraussetzungen indiziert eine Unverwertbarkeit der gewonnenen Informationen Sachverwertungsverbot bei gegen das Recht auf informationelle Selbstbestimmung erlangten Informationen Beispiel: Monatsbestenlisten im Vertrieb

Beweisverwertungsverbot Sachverwertungsverbot setzt Bestreiten voraus sonst Sachvortrag unstreitig dann keine Beweiserhebung notwendig setzt kein Bestreiten voraus Gericht berücksichtigt von Amts wegen (!) selbst wenn Vortrag eingebracht und nicht bestritten ist

Folgeproblem: Fernwirkungsverbot „Fruits-of-the-Forbitten-Tree“ Beispiel: Geständnis vor Zeugen nach Vorhalt rechtswidrig erlangter Beweismittel, z.B. Videosequenz keine Klärung durch Keylogger-Entscheidung, aber zum Schutz des Rechts auf informationelle Selbstbestimmung (Grundrecht!) denkbar und konsequent Beispiel: Monatsbestenlisten im Vertrieb

Prangerwirkung bei Datenschutzverstößen bedenke: Facebook-Effekt wegen Trump-Wahlkampf viele mögliche „Durchstecher“ und Veröffentlichungswege (z.B. Social Media) Beispiel: Monatsbestenlisten im Vertrieb

Risiko durch (gewerbsmäßige) Abmahnungen im Beschäftigtendatenschutz? neuer Datenschutz – neue Abmahngründe Wettbewerbsrechtliche Anknüpfung bei (internen) Beschäftigtendaten (UWG)? Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs (u.a. Deckelung des Streitwerts auf 1.000 Euro, strengere Anforderungen an Wettbewerbsverhältnis und Verbandsstruktur)

III. Entwicklungen im Beschäftigtendatenschutz auch Änderungsvertrag, befristet Änderungen

§ 32 BDSG (a.F.) Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses Neuregelung bereits zum 01.09.2009 Reaktion auf damalige Datenschutzverstöße durch Arbeitgeber (Schlecker, Lidl, Deutsche Bahn, Daimler) zentrales Merkmal: Erforderlichkeit (vorher § 28 BDSG a.F.: „dienen“)

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

Merkmal der Erforderlichkeit: Müssen für diesen Zweck überhaupt Daten erhoben werden? Müssen gerade diese Daten erhoben werden? nur Gewährung für ein Mindestergebnis objektiver Maßstab teilweise erhebliche praktische Anwendungsschwierigkeiten Beispiel: Monatsbestenlisten im Vertrieb

Elektronische Überwachung des Heimarbeitsplatzes – LAG Köln Urt. v. 29.09.2014 – 2 Sa 181/14 Speichern des Bearbeiters und des letzten Änderungsdatums einer Datei verstößt nicht gegen das BDSG Eingabeüberprüfung in Online-Datenbank zur Überprüfung von Fehleingaben erforderlich Daten zur Überführung von Arbeitszeitbetrug am Heimarbeitsplatz verwertbar 15,76 Stunden Zeitbetrug kein Bagatellfall

Heimliche Spindkontrolle als Datenerhebung – BAG Urt. v. 20.06.2013 – 2 AZR 546/12 visuelle Spindkontrolle ist Datenerhebung heimliche Kontrolle ist nicht erforderlich/verhältnismäßig AG hätte Arbeitnehmer hinzuziehen müssen

EU-Datenschutzrichtlinie 1995 Landesdatenschutz-gesetze Europarechtliche Struktur des Datenschutzrechts bis 24.05.2018 EU-Datenschutzrichtlinie 1995 Umsetzung in nationales Recht BDSG Landesdatenschutz-gesetze

Landesdatenschutz-gesetze Europarechtliche Struktur des Datenschutzrechts ab 25.05.2018 EU-DSGVO 2016 JI-Richtlinie unmittelbare Geltung ggf. nationale Sonderregelungen BDSG Landesdatenschutz-gesetze

Der Weg zur DSGVO und zum neuen BDSG Verabschiedung DSGVO 25.05.2016 Inkrafttreten DSGVO 25.05.2018 Inkrafttreten BDSG neu 25.05.2016 (DSAanpUG-EU) mit Regelung zum Beschäftigtendatenschutz (§ 26 BDSG neu) Gesetzentwurf zum 2. DSAanpUG-EU 05.09.2018 ohne Regelungen zum Beschäftigtendatenschutz

IV. Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz auch Änderungsvertrag, befristet Änderungen

Struktur des Beschäftigtendatenschutzes ab 25.05.2018 EU-DSGVO Art. 88 nationale Sonderregelungen „DV im Beschäftigungskontext“ BDSG § 26 „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ (ähnlich wie zuvor § 32 BDSG a.F.)

Folgen für den Beschäftigtendatenschutz DSGVO schafft Grundstruktur § 26 BDSG nutzt Ausnahme für nationale Sonderregelungen im Beschäftigtendatenschutz teilweise erhebliche Abgrenzungsfragen und dazu, wie weit der nationale Gesetzgeber abweichen durfte

Reichweite der Ausnahme des Art. 88 DSGVO „hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext“ erfasst nicht Arbeitnehmerdaten außerhalb der eigentlichen Beschäftigung = unmittelbaren Datenverwendung (z.B. Due Diligance, § 613 a BGB) Folge:  Erlaubnistatbestand nach Art. 6 DSGVO notwendig

Querschnittsverpflichtungen für Arbeitgeber, auch mit Bezug zum Beschäftigtendatenschutz Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO Datenschutz-Folgenabschätzung – Art. 35 DSGVO

Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO ex-Verfahrensverzeichnis umfangreicher Inhaltskatalog Beschreibung nach Verarbeitungsschritten, nicht nach Softwareprodukten o.ä.

Datenschutz-Folgenabschätzung – Art. 35 DSGVO bei hohem Risiko für Rechte und Freiheiten für natürliche Personen inhaltliche Beschreibung u.a. von Verfahren, Bewertung und Risikoabschätzung in der Personalarbeit insbesondere relevante bei Einsatz von Algorithmen, Analyse-Tool und Künstlicher Intelligenz

Beschäftigtendatenschutz nach BDSG § 26 BDSG neu (zuvor § 32 BDSG) wenig materielle Änderungen zahlreiche streitige Einzelfragen, Lösungen rechtsprechungsabhängig immer noch keine (allgemeine) Lösung zur Konzerndatenverarbeitung

§ 26 Abs. 1 BDSG Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

„Erforderlich“ bedeutet Verhältnismäßigkeitsprüfung: Geeignetheit Erforderlichkeit Verhältnismäßigkeit i.e.S  streitig Beispiel: Monatsbestenlisten im Vertrieb

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Straftataufklärung nach § 26 Abs. 1 S. 2 BDSG: Anfangsverdacht ausreichend Dokumentationspflicht (unlogisch!) keine Sperrwirkung ggü. S. 1 („einfache“ Pflichtenverstöße) besondere Verhältnismäßigkeitsprüfung Beispiel: Monatsbestenlisten im Vertrieb

Weitere Regelungen des § 26 BDSG (nach Absätzen) besondere Anforderungen an die Einwilligung (Abs. 2) Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO (Abs. 3) Verarbeitung auf Grundlage von Kollektiv-vereinbarungen im Rahmen von Art. 88 Abs. 2 DSGVO (Abs. 4) Beachtung der Verarbeitungsgrundsätze des Art. 5 DSGVO (Abs. 5)

Rechte der Interessenvertretung (Abs. 6) Geltung auch für manuelle Verarbeitung (Abs. 7) (z.B. Mitarbeiterbefragung, Torkontrollen, Bewertungsbögen in Papier) Definition des Beschäftigtenbegriffs (Abs. 8)

Sonderfall besonderer Datenkategorien: Gesundheitsdaten Gesundheitsdaten sind besondere Datenkategorien damit besonderer Schutz nach Art. 9 DSGVO aber: Verarbeitung „zur Erfüllung gesetzlicher Pflichten aus dem Arbeitsrecht“ zulässig (§ 26 Abs. 3 BDSG) Beispiel: AU-Zeiten zur Dokumentation für BEM

Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

Allgemeine Grundstrukturen der DSGVO Art. 5 – Grundsätze für die Datenverarbeitung (z.B. Zweckbindung, Datensparsamkeit u.s.w.) Art. 6 – Rechtmäßigkeit der Verarbeitung (Verbotsgesetz mit Erlaubnisvorbehalt) Art. 9 – Verarbeitung besonderer Datenkategorien Art. 12 - 14 – Transparenz und Information

Grundsätze für die Datenverarbeitung – Art. 5 DSGVO Transparenzgebot Zweckbindung Datenminimierung Richtigkeit der Daten Begrenzung der Speicherdauer Integrität und Vertraulichkeit Rechenschaftspflicht (Abs. 2)

Folgen der Grundsätze des Art. 5 DSGVO für das Arbeitsverhältnis Transparenzgebot Arbeitnehmer müssen informiert werden, welche Daten zu welchem Zweck mittels welchen Systemen über sie verarbeitet werden u.U. erheblicher Verwaltungsaufwand auch bei Bewerbern kein Schutz von Altfällen – Aktualisierungspflicht kein zwingendes Schriftformerfordernis

Transparenzgebot und Informationspflichten mit Kenntnisnahmequittung durch AN Einwilligung in Verarbeitung von eigenen Beschäftigtendaten (§ 26 Abs. 1 S. 1 BDSG!)

Zweckbindung Korrelation mit Transparenzgebot = Verwendung nur für den im Rahmen des Transparenzgebots vorher festgelegten Zwecke (Dokumentation) in der Praxis häufig überschritten/verletzt häufig in Betriebsvereinbarungen geregelt Berücksichtigung der Zweckbindung bei erweiterter Verwendung im arbeitsgerichtlichen Verfahren? (s.o. LAG Köln – Verwendung der Metadaten falls Fehleingaben)

§ 24 BDSG – Verarbeitung zu anderen Zwecken (1) Die Verarbeitung … zu einem anderen Zweck … ist zulässig, wenn … sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Datenminimierung Beschränkung auf für Vertragsdurchführung relevante Daten keine Vorratsdatenspeicherung für (noch) nicht absehbare Eventualzwecke Kontrollüberlegung: Welche Daten brauchen wir wirklich?

Richtigkeit der Daten hierfür Auskunfts-, Berichtigungs- und Löschungsansprüche der Betroffenen kein vorgegebener Modus bei Streit über Richtigkeit der Daten

Begrenzung der Speicherdauer Bindung an Verarbeitungszweck in der Praxis häufig Tendenz zu überlanger Speicherdauer keine Regelfristen Kontrollüberlegung: Wie lange brauchen wir die Daten tatsächlich noch für diesen Verwendungszweck?

Integrität und Vertraulichkeit angemessenes technisches Sicherheitsniveau aktuelle Hard- und Softwareausstattung Schutz vor unbefugten Zugriffen (intern und extern) Schutz auch vor Veränderung und Zerstörung von Daten

Verbotsgesetz mit Erlaubnisvorbehalt – Art. 6 DSGVO prinzipielles Verbot der Datenverarbeitung (entgegen allen Gerüchten) eher breiter Ausnahmekatalog in Art. 6 Abs. 1 DSGVO besondere Ausnahme für Beschäftigtendaten in § 26 Abs. 1 BDSG („erforderlich“)

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,

c) die auf Anfrage der betroffenen Person erfolgen; die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Einwilligung als Verarbeitungsgestattung Bedingungen für die Einwilligung – Art. 7 DSGVO besondere Beurteilung der Freiwilligkeit der Einwilligung im Arbeitsverhältnis – § 26 Abs. 2 BDSG Beurteilung in § 26 Abs. 2 BDSG nach: Abhängigkeit, Abgabeumstände und rechtlichem und wirtschaftlichem Vorteil für Arbeitnehmer

Vertragserfüllung als Verarbeitungsgestattung Arbeitsvertrag ist komplexes Rechtsverhältnis viele Schnittstellen zu Dritten, z.B. Steuerberater, Sozialversicherungsträger, Berufsgenossenschaft (Achtung! Auftragsdatenverarbeitung, Art. 28 f. DSGVO) zahlreiche Notwendigkeiten einer Datenverarbeitung, auch durch neue betriebliche Situationen (Achtung! Transparenzgebot und Zweckbindung)

Arbeitnehmerrechte aus der DSGVO Auskunftsrecht – Art. 15 DSGVO Recht auf Berichtigung – Art. 16 DSGVO Recht auf Löschung – Art. 17 DSGVO („Recht auf Vergessenwerden“) Recht auf Einschränkung der Verarbeitung – Art. 19 DSGVO Recht auf Datenübertragbarkeit – Art. 20 DSGVO

V. Datenschutzrelevante Situationen im Arbeitsverhältnis (Auswahl) auch Änderungsvertrag, befristet Änderungen

Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

Folgen von Datenschutzverstößen für den Arbeitnehmer Abmahnung/ Kündigung Prozessuale Folgen Arbeitnehmerhaftung

Typischer Prüfungsablauf des BAG Maßnahme des Arbeitgebers (z.B. Videoüberwachung) Prüfung anhand § 32 BDSG alt „erforderlich“ oder ggf. speziellere DS-Norm Ergebnis „erforderlich“ wird nach Fallgruppen ausgefüllt

Bewerbungsverfahren

Datenschutzrechtliche Kernprobleme im Bewerbungsverfahren Rechtsgrundlage der Datenverarbeitung – Art. 6 DSGVO insbesondere: Pre-Employment-Screening Aufbewahrungsfristen

Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren „erforderlich“ § 26 BDSG Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren Einwilligung – Art. 6 Abs. 1 a) DSGVO Vertragserfüllung – Art. 6 Abs. 1 b) DSGVO? berechtigte Interessen – Art. 6 Abs. 1 f) DSGVO ? konkludent? Initiativbewerbung

Aufbewahrungsfristen solange rechtlich erforderlich – Folge aus Art. 5 Abs. 1 e) DSGVO bei Absage an sich sofortige Löschung Ausnahme z.B. § 15 Abs 4 AGG (Geltendmachungsfrist)

Videoüberwachung

Offene Videoüberwachung – Verwertungsverbot – BAG Urt. v. 23.08.2018 – 2 AZR 133/18 keine Unzulässigkeit der Auswertung einer offenen Videoüberwachung nur durch Zeitablauf (Februar auf August 2016) kein Verwertungsverbot sofern Überwachung rechtmäßig erfolgt Videoüberwachung einer Lottoannahmestelle (Schutz vor Eigentumsdelikten durch Kunden und Mitarbeiter) Entscheidung zu § 32 BDSG alt

Umstand der Beobachtung – Piktogramm, Kamerasymbol Identität des für die Videoüberwachung Verantwortlichen (Art. 13 Abs. 1 a) DSGVO) Kontaktdaten des betrieblichen Datenschutzbeauftragten (Art. 13 Abs. 1 b) DSGVO) Verarbeitungszwecke und Rechtsgrundlage in Schlagworten (Art. 13 Abs. 1 c) DSGVO) Angabe des berechtigten Interesses (Art. 13 Abs. 1 d) DSGVO) Dauer der Speicherung (Art. 13 Abs. 2 a) DSGVO) Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DSGVO

Verwertung der unzulässigen Videoüberwachung – BAG Urt. v. 21.06.2012 – 2 AZR 153/11 verdeckte Videoüberwachung öffentlicher Plätze Verstoß gegen § 6 b BDSG führt nicht per se zur Unverwertbarkeit einer Videoüberwachung Interesse an einer funktionstüchtigen Rechtspflege ./. Persönlichkeitsrechte bei Verdacht einer Straftat oder schweren Vertragspflichtverletzung

Verwertung der von Zufallsfunden bei Videoüberw. – BAG Urt. v. 22.09.2016 – 2 AZR 848/15 Verdacht auf Diebstähle im Bereich „Zigaretten und Non-Food“ verdeckte Videoüberwachung (mit Zustimmung des BR) deckt Pfandbonbetrug auf Zufallsfund ist grundsätzlich verwertbar, wenn Eingriff in allgemeines Persönlichkeitsrecht des AN nicht zu schwer wiegt

Anforderungen an die heimliche Videoüberwachung begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein

Videoüberwachung öffentlich zugänglicher Räume § 4 BDSG neu Videoüberwachung öffentlich zugänglicher Räume  gilt nicht für Beschäftigte! § 26 Abs. 1 S. 1, 2 BDSG Kunden, Lieferanten, sonstige Dritte Mitarbeiter

Detektivüberwachung

Grundregeln zum Detektiveinsatz keine anlassunabhängige Überwachung Maß und Dauer der Überwachung maßgeblich (auch für Kostenerstattungsanspruch des Arbeitgebers)

Anforderungen an die Detektivüberwachung begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein Verhältnismäßigkeit der konkreten Überwachungsmaßnahmen

E-Mail-Screening/Festplatten-Auswertung

Überwachung der E-Mail-Kommunikation des Arbeitnehmers – EGMR Urt. v. 05.09.2017 – 61496/08 (Barbulescu) AG muss Überwachung der – verbotenen – privaten E-Mail-Kommunikation und deren Umfang vorher ankündigen berechtigtes Arbeitgeberinteresse erforderlich kein milderes Mittel darf verfügbar sein Schutzmaßnahmen zugunsten des AN müssen bestehen

Überwachung privater Daten des Arbeitnehmers auf Dienst-PC – EGMR Urt. v. 22.02.2018 – 588/13 (Libert) Schutz der Privatsphäre des Arbeitnehmers nach Art. 8 EMRK grundsätzlich auch bei Einsichtnahme in Daten berührt, die nicht als privat zu erkennen sind aber kein Schutz, wenn nicht ausdrücklich als „privat“ gekennzeichnet Kennzeichnung als „persönlich“ reicht nicht aus an sich Verbot, aber tw. Tolerierung des AG

Überwachung mittels Keylogger - Browserverlauf – BAG Urt. v. 27.07.2017 – 2 AZR 681/16 stichprobenartige Auswertung des Browserverlaufs zur Kontrolle von privaten Verwendungsverboten grundsätzlich zulässig

Arbeitgeber kein Diensteanbieter nach TKG – LAG Berlin-B. Urt. v. 14.01.2016 – 5 Sa 657/15 private Dauernutzung des Internets während der Arbeitszeit Nachweis durch Auswertung des Browserverlaufs private Nutzung in Pausen war gestattet kein Beweisverwertungsverbot, da AG nicht Diensteanbieter nach § 88 Abs. 3 TKG Vergleich der Parteien vor dem BAG  Rechtsstandpunkt des BAG weiter offen

Automatisierte Entscheidungen

Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung a) für … den Abschluss oder die Erfüllung eines Vertrags … erforderlich ist, … oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

§ 6 a BDSG alt – Automatisierte Einzelentscheidung (1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.

Cloud-Speicherung

Safe Harbor Entscheidung der EU-Kommission ungültig – EuGH Urt. v. 06.10.2015 – C-362/14 Personendaten von EU-Bürgern auf amerikanischen Servern nicht hinreichend geschützt keine Kompetenz der EU-Kommission zur Beschränkung von Rechten nationaler Datenschutzbehörden fehlende Rechtsschutzmöglichkeiten betreffend US-Speicherung bewirken schwerwiegenden Grundrechtseingriff

Nachfolgeregelung zu Safe Harbor: Privacy Shield-Abkommen EU-USA 12.07.2016 von EU-Kommission anerkannt durch Angemessenheitsentscheidung Klagen hiergegen weiterhin anhängig Funktionsweise ähnlich Safe Harbor, aber deutlich verschärft u.a. im Rechtsschutz

“Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.” Executive Order des US-Präsidenten vom 25.01.2017 (Section 14)

Fotos und Bilder

Widerruf der Verwendung von Mitarbeiterbildern – BAG Urt. v. 11.12.2014 – 8 AZR 1010/13 Verwendung von Mitarbeiterbildern (Fotos und Videos) setzt i.d.R. deren Einwilligung voraus (§ 22 KunstUrhG) kein freies Widerrufsrecht des Arbeitnehmers besondere Begründung erforderlich, abhängig von Einzelfall

Mitarbeiterbilder nach der DSGVO Rechtsgrundlage bleibt Beschäftigtendatenschutz (§ 26 Abs. 1 BDSG neu) keine abweichende Beurteilung nach DSGVO u.U. besondere Umstände der Einwilligung beachten

Keine Verletzung des Rechts am eigenen Bild bei datenschutzrechtlich zulässiger Detektivüberwachung – BAG Urt. v. 29.06.2017 – 2 AZR … Verdacht auf Konkurrenztätigkeit und Efz-Betrug Wenn datenschutzrechtlich zulässig (hier noch nach § 32 Abs. 1 S. 2 BDSG a.F.)  keine Verletzung des Rechts am eigenen Bild bzw. des Rechts auf informationelle Selbstbestimmung keine Sperrwirkung zwischen S. 1 und 2

WhatsApp

Praxisprobleme bei Nutzung von WhatsApp Mitarbeiter ordnen sich in WhatsApp-Gruppen und kommunizieren dort zu sämtlichen dienstlichen und privaten Themen Organisation sämtlicher Team-Angelegenheiten über WhatsApp WhatsApp als Beweismittel im Arbeitsgerichtsprozess

Rechtskonformer Einsatz von WhatsApp im Betrieb kaum möglich: Leitung der Nachrichtenströme über amerikanische Server (Cloud-Speicher-Problematik) Hochladen des Adressbuchs des Smartphones an WhatsApp zur Sicherung der Grundfunktionalität des Dienstes (datenschutzrechtliche Zulässigkeit?) Nutzung nur privat oder mit Genehmigung gewerblich möglich (Compliance-Verstöße?)

Erhebung und Erfassung der privaten Mobilfunknummer des Arbeitnehmers unzulässig – LAG Thürigen Urt. v. 16.05.2018 – … Sa … grundsätzlich nur mit Einwilligung des Arbeitnehmers möglich datenschutzrechtlich ohne Einwilligung nur möglich, wenn Arbeitsaufgabe schon nach Einstellungsbedingungen nicht oder nicht vollständig ohne Verarbeitung der Rufnummer nicht erledig werden kann hier: „risikobehaftete Arbeitsorganisation“

Exkurs: Risikoperspektiven des Arbeitnehmers Steigerung der Intensität der Pflichtwidrigkeit bei Datenschutzverstößen durch Arbeitnehmer? Verschiebung des Haftungsmaßstabs der Arbeitnehmerhaftung bei DS-Verstößen (nach ordnungsgemäßer Belehrung, § 53 BDSG neu)?

Vertraulichkeit im Arbeitsverhältnis: ungeschriebene vertragliche Nebenpflicht des Arbeitnehmers gesetzliche Verschwiegenheitspflichten: §§ 17, 18, 20 UWG § 13 Nr. 6 BBiG § 24 ArbeitnehmererfindungsG § 5 BDSG § 79 BetrVG

Verstoß gegen Verschwiegenheitspflichten: Vertragspflichtverletzung Kündigungsperspektive Abmahnungserfordernis? fristlose Kündigung bei Wettbewerbsnutzung

VI. Datenschutzbeauftragter auch Änderungsvertrag, befristet Änderungen

Datenschutzbeauftragte nichtöffentlicher Stellen Kernregelung jetzt in Art. 37 ff. DSGVO Bestellungspflicht modifiziert in § 38 BDSG (mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt) interne wie externe Bestellung weiter zulässig Benennungsmöglichkeit im Konzern – Art. 37 Abs. 2 DSGVO

Aufgaben des Datenschutzbeauftragten – Art. 39 Abs. 1 DSGVO Unterrichtung und Beratung des Verantwortlichen Überwachung der Einhaltung der DSGVO Beratung im Zusammenhang mit der Datenschutz- Folgeabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

Schutz und Haftung des Datenschutzbeauftragten Diskriminierungsverbot – Art. 38 Abs. 3 S. 2 DSGVO weiterhin: Sonderkündigungsschutz über § 6 Abs. 4 BDSG – nur fristlose Kündigung möglich keine Haftung, keine Aufwertung zum „Verantwortlichen“ gem. 82 Abs. 2 DSGVO

VII. Betriebsrat und Datenschutz auch Änderungsvertrag, befristet Änderungen

Mitbestimmungsrechte des BR im Datenschutz: direkt nur § 80 Abs. 1 Ziff. 1 BetrVG – Überwachungsrecht § 80 Abs. 2 BetrVG – Informationsrecht indirekt über § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung

Berührte Nebenbereiche der Mitbestimmungsrechte: § 87 Abs. 1 Ziff. 1 BetrVG – Arbeitnehmerverhalten § 90 Abs. 1 BetrVG – Änderungen der Arbeitsumgebung §§ 94, 95 BetrVG – Personalfragebögen, Formulararbeitsverträge, Beurteilungsgrundsätze, Auswahlrichtlinien keine Mitbestimmung bei der Bestellung des Datenschutzbeauftragten (Person, intern oder extern)

§ 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung „echtes“ Mitstimmungsrecht = Zustimmungserfordernis, sonst Einigungsstelle Initiativrecht des Betriebsrats Betriebsräte machen in der Praxis Zustimmung zu neuer Technik von Datenschutzzugeständnissen abhängig

Gesetzesvorrang weitgehend ausgehebelt durch § 26 Abs. 4 BDSG § 87 Abs. 1 Ziff. 6 BetrVG Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen [=zuzustimmen]: … 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; BAG: bestimmt = geeignet Folge: bloßes Überwachungspotenzial bringt Mitbestimmung

zahlreiche Einigungsstellenverfahren, die Digitalisierung nimmt Fahrt auf! häufig eher komplexer Streit um Einführung Hauptbefürchtungen des Betriebsrats: Ausspähen von Mitarbeitern Rationalisierung durch Digitalisierung

Kündigung wegen Nichtteilnahme an einem elektronischen Überwachungssystem – BAG Urt. v. 17.11.2016 – 2 AZR 730/15 außerordentliche Kündigung mit sozialer Auslauffrist zulässige Datenverarbeitung nach § 32 BDSG ist dies Erlaubnistatbestand nach § 4 Abs. 1 BDSG Nichtteilnahme an elektronischem Berichts- und Überwachungssystem rechtfertigt nach Abmahnung Kündigung

Mitbestimmung des BR beim Facebook-Auftritt des AG – BAG Beschl. v. 13.12.2016 – 1 ABR 7/15 Mitbestimmung beim Ermöglichen von Postings, die sich auf Verhalten oder Leistung einzelner Mitarbeiter beziehen Ausgestaltung der Funktion unterliegt der Mitbestimmung unmittelbare Veröffentlichung unterliegt der Mitbestimmung

Belastungserfassung durch Screening-Software – BAG Beschl. v. 25.04.2017 – 1 ABR 46/15 Software zur durchgehenden Erfassung der Belastung von Mitarbeitern verstößt gegen deren allgemeines Persönlichkeitsrecht Unwirksamkeit eines Einigungsstellenspruchs

Sonderfunktion des BR im Datenschutz: Kollektivvereinbarungen (=Betriebsvereinbarungen) bilden „freihändige“ Verarbeitungsgrundlage im Rahmen des Art. 88 Abs. 2 DSGVO (streitig!) hierdurch weite Handlungsspielräume bei Konsens zwischen Arbeitgeber und Betriebsrat (streitig!) (vor allem auch: Konzerndatenverarbeitung!) kein genereller Revisionsbedarf von bestehenden Betriebsvereinbarungen empfehlenswert: Datenschutz-Rahmen-BV

Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

Problemfall: AG und BR schließen eine BV „Zusatzleistungen“, nach der Arbeitnehmer monatlich EUR 45,-- auf einem Bonuskonto gutgeschrieben erhalten. Die Abwicklung übernimmt ein Dienstleister, der die entsprechenden Daten vom AG nach den Regelungen der BV erhält. Beim Dienstleister können Arbeitnehmer vom Bonuskonto verschiedene Prämien einkaufen, die von diesem dann geliefert werden. Arbeitnehmer X ist entrüstet über die Weitergabe seiner Daten an den externen Dienstleister.

Betriebsrat als Datenschutzverpflichteter Pflicht zu Einhaltung datenschutzrechtlicher Vorschriften (z.T. bereits geregelt, z.B. § 99 Abs. 1 S. 3 BetrVG) Kontrollmöglichkeiten des Arbeitgebers? Betriebsrat als eigene datenverarbeitende Stelle?