Datenschutz in der Personalarbeit und anderen Bereichen

Slides:

Advertisements

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Advertisements

Wesentliche arbeitsgerichtliche Entscheidungen – 1. Halbjahr 2011 Reinbek – 30. Juni 2011.

Agenda Einleitung Risiken und Gefahren Vorbeugung

Datenschutz am Mittag Videoüberwachung

16. SAP-/Neue Technologien-Konferenz für Betriebs- und Personalräte 04

Private - und Internetnutzung am Arbeitsplatz RA Marcus Sonnenschein – Fachanwalt für Arbeitsrecht RA Kai Bodensiek.

Kapitel der Vorlesung Datenschutz und Informationelle Selbstbestimmung

Datenschutz-Unterweisung

Arbeitszeitregeln./. Flexibilität. aa) Welche Regeln muss sie beachten? bb) Wie ist die Rechtslage, wenn die Arbeitgeberin die von ihr zu beachtenden.

40. DFN Betriebstagung Forum Recht

Grundbegriffe des Arbeitsrechts

Datenschutz? Unwissenheit schützt vor Strafe nicht!

Hochschulen Online Rechtliche Fallbeispiele und ihre grundsätzliche Bedeutung Kassel, 19. Februar 2001 Joachim Lehnhardt.

Datenschutz in der Social-Media-Nutzung durch öffentliche Verwaltungen

Datenschutz 19. November Lena Metz Behördliche Datenschutzbeauftragte

Partizipation, Arbeit und volle Arbeitnehmerrechte Fachforum der Tagung „Die UN-Konvention über die Rechte von Menschen mit Behinderungen zwischen Alltag.

Besser recherchieren - Recherche und Recht - 5

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Leitfäden zum Datenschutz im DRK

Datenschutz- Einführung und Prinzipien

Datenschutz in the small

Datenschutz als Grundrecht

Akademie für Lehrerfortbildung und Personalführung Johannes Philipp, cc-by-nc 2012 Datenschutz in der Schule.

Die neue europäische Datenschutzverordnung

Ringvorlesung Softwareentwicklung in der industriellen Praxis Fakultät für Informatik TU Dresden Wintersemester 2011/2012 ©DID 2011.

FORBIT-Tagung am Workshop Internetüberwachung – Kommunikation im Fadenkreuz Exkurs: ips - internet privacy standards -

Datenschutz und Datensicherheit

Zweck des Datenschutzgesetzes

Datenschutz?!?!.

Die EDV und damit verbundene Gefahren

Datenschutz als Grundrecht

Das neue Beschäftigtendatenschutzrecht Hamburg März 2011.

Datenschutz im Arbeitsverhältnis

Betriebsvereinbarungen

Dialogmarketing - rechtliche Stolperfallen in der Praxis -

Ein kurzer Blick ins das SGB IX Marc-Patrick Homuth, Arbg Elmshorn

Soziale Netzwerke am Arbeitsplatz Reinbek – 13. März 2013.

BEM aus Datenschutzsicht

FORBIT-Tagung am Workshop Internetüberwachung – Kommunikation im Fadenkreuz Exkurs: Rechtliche Grundlagen zur Erhebung von Daten im Internet.

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

Datenschutzrechtliche Anforderungen an medizinische Portallösungen

Datenschutz und Datensicherheit

Datenschutz und Standesregeln in der Markt- und Sozialforschung

ONLINERECHT Thema: Datenschutz

Datenschutz - Datensicherheit

Datenverarbeitung, Informations- und Kommunikationstechniken

Dr. Reimann GmbH Datenschutzschulung Dr. Grit Reimann Martin Assiner

Bundesdatenschutzgesetz (BDSG)

, HEC Consulting. All Rights reserved. 27. März 2000 _________________________________________________________________ Datenschutz beim E-Commerce.

Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?

Rechtliche Rahmenfaktoren der Netzwerksicherheit

HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.

Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 Vertrauen – SS Vertrauenssicherung - IuKDG Vertrauen ein ökonomisches.

Betriebliches Eingliederungsmanagement

Rechte der Bürger bezüglich des Umgangs mit personenbezogenen Daten

Datenschutz in der Praxis Datenschutz im Gesundheitsbereich Aufgaben des Datenschutzbeauftragten Andrea Gruber Direktion Technologie und Informatik Stv.

Warum Schulung jetzt? - Neuer DSB

Datenschutz in Betrieb und Dienststelle von Marc Hessling, Rechtsanwalt in Mülheim an der Ruhr.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Osborneclarke.de 1 Big Data & Co: Daten als Wirtschaftsgut (Datenschutz) Dr. Flemming Moos Passau, 14. April 2016.

Ao. Univ.-Prof. Dr. Wolfgang Brodil

Alles mit rechten Dingen − juristische Fragen rund ums eLearning Impulsreferat lernPause 11. Oktober 2011 Andreas Brennecke (IMT)

zur Datenschutzschulung für Mitarbeitende im Institut für Menschenrechte Herzlich Willkommen.

Datenschutz u. -sicherheit. Datenschutz Die Datenschutzrichtlinien der Europäi- schen Gesellschaft beschäftigt sich mit personenbezogenen Daten. Mit diesen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Datenschutz-grundverordnung

Präsentation transkript:

Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013

Eingangsfall 1: Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten. Was hat A zu befürchten?

Eingangsfall 2: Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A a) Auskunft über alle erfassten Daten b) Berichtigung der Eintragung bei „Zuverlässigkeit“ und c) Löschung aller übrigen Daten mangels Erforderlichkeit Hat M dahingehende Ansprüche?

Eingangsfall 3: Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf. Was haben A, L und M zu befürchten?

I. Datenschutzrechtliche Grundlagen Neufassung des § 32 BDSG Besondere Probleme in der Personalarbeit Folgen von Datenschutzverstößen Beteiligung des Betriebsrats Datenschutzrelevante Phasen im Arbeitsverhältnis Aktuelle Fälle

I. Datenschutzrechtliche Grundlagen

Datenschutz Datensicherheit geschützt: natürliche Person durch Gesetze geschützt: Hard- und Software, Daten durch Verfahren, technische Vorrichtungen, Gesetze

BDSG LDSGe Abgrenzung zwischen BDSG und Landes-DS-Gesetzen: Landesdatenschutzgesetze betreffen öffentliche Dienststellen der Länder Bundesdatenschutzgesetz betrifft - öffentliche Dienststellen des Bundes - private Unternehmen

Europarecht Europarechtliche Grundlagen des Datenschutzes: Richtlinie 95/46/EG vom 24.10.1995 (DSRL) derzeit verhandelt: Entwurf DatenschutzgrundVO

Zentrales Gesetz: BDSG Neuregelung betreffend Beschäftigungsverhältnisse zum 01.09.2009 (§ 32 BDSG) Schutzbereich: personenbezogene Daten natürlicher Personen Datenschutz ist Querschnittsmaterie weitere datenschutzrelevante Gesetze: SGB, BGB, StGB, Telekommunikationsgesetze, HGB, AO, BetrVG

BDSG §§ 27 - 38: Datenverarbeitung der nichtöffentlichen Stellen = Unternehmen der Privatwirtschaft Subsidiarität BDSG nur einschlägig, wenn kein bereichsspezifisches Gesetz einschlägig ist (z.B. TKG)

Datenschutzrechtliche Regelungen außerhalb des BDSG: Telemedien (Internet) § 12 TMG – Grundsätze: (1) Der Dienstanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. …

BDSG Grundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulässigkeit der Datenverarbeitung

BDSG personenbezogene Daten: § 3 BDSG: Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

BDSG Anonymisierte und pseudonymisierte Daten: absolut anonym: kein Personenbezug faktisch anonym: Personenbezug nur mit unverhältnismäßigem Aufwand herstellbar pseudonym: Personenbezug wegen Zuordnungsregel besteht

BDSG Besondere Arten personenbezogener Daten: § 4 a Abs. 3 BDSG (Rasse, politische Meinung, Gesundheit, Sexualleben pp.) besondere Anforderungen, ausdrückliche Einwilligung

BDSG Grundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulässigkeit der Datenverarbeitung

BDSG Erhebung Verarbeitung Speichern Verändern Übermitteln Sperren und Löschen Nutzen

BDSG Grundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulässigkeit der Datenverarbeitung

BDSG Verantwortliche Stelle: funktionale Betrachtung Entscheidungsverantwortlichkeit und Verantwortungsstruktur aktueller Fall: ULD Schleswig-Holstein ./. private Unternehmen Facebook-Fanpages

BDSG Verantwortliche Stelle: „für sich“ –Verarbeitung In-House-Verarbeitung Auftragsverarbeitung, wenn Auftragnehmer weisungsgebunden (§ 11 BDSG)

BDSG Grundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulässigkeit der Datenverarbeitung

BDSG Zulässigkeit – „Goldene Regeln“: Zulässigkeit / Rechtmäßigkeit Einwilligung Erforderlichkeit Zweckbindung Transparenz Datensicherheit und Kontrolle

BDSG Rechtmäßigkeit nach dem BDSG: Verbot mit Erlaubnisvorbehalt § 4 BDSG: nur zulässig, soweit BDSG selbst oder andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat Erlaubnis im BDSG: § 28

Prüfung der Rechtsmäßigkeit nach dem BDSG: Ist eine bereichsspezifische Sonderregelung einschlägig? Erfolgt die Datenverarbeitung im Rahmen eines Vertragsverhältnisses? Vertragszweck? Wille des Vertragspartners? DV vom Vertragszweck gedeckt? Besteht ein berechtigtes Interesse? Schutzwürdige Belange? Sind die Daten allgemein zugänglich? Liegt eine Einwilligung vor?

BDSG Zulässigkeit – „Goldene Regeln“: Zulässigkeit / Rechtmäßigkeit Einwilligung Erforderlichkeit Zweckbindung Transparenz Datensicherheit und Kontrolle

BDSG Einwilligung: Hervorhebung der Einwilligungserklärung i.d.R. Schriftlichkeit Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking pp.

§ 13 TMG: (2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass […] der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit anrufen kann und der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (3) Der Diensteanbieter hat den Nutzer vor der Erklärung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen.

BDSG Zulässigkeit – „Goldene Regeln“: Zulässigkeit / Rechtmäßigkeit Einwilligung Erforderlichkeit Zweckbindung Transparenz Datensicherheit und Kontrolle

BDSG Grundsätze: Datenvermeidung und Datensparsamkeit offene Erhebung und direkte Erhebung zivilrechtliche Schadensersatzpflicht

Rechte der Betroffenen Benachrichtigung (§ 33 BDSG) Auskunft (§ 34 BDSG) Berichtigung (§ 35 BDSG) Sperrung (§ 35 BDSG) Löschung (§ 35 BDSG) Anrufung der Aufsichtsbehörden (§ 38 BDSG)

Verpflichtung auf das Datengeheimnis (§ 5 BDSG) für Mitarbeiter, die mit personenbezogenen Daten umgehen gilt auch für das Fernmeldegeheimnis Schriftform gilt auch für leitende Angestellte Auswahlrecht des Arbeitgebers

Datenschutzbeauftragter Bestellungspflicht (§§ 4 f, g BDSG): für jede verantwortliche Stelle, die personenbezogene Daten automatisiert erhebt und in der Regel mindestens 10 Personen ständig in der automatisierten DV oder in der Regel mindestens 20 Personen ständig in der konventionellen DV beschäftigt

Datenschutzbeauftragter Aufgabe: Überwachung der Einhaltung von Datenschutzvorschriften kann Angestellter oder Externer sein keine Selbstkontrolle (z.B. IT-Leiter) neu: erweiterter Sonderkündigungsschutz

II. Neufassung des § 32 BDSG

§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zweckes des Beschäftigungsverhältnisses Neuregelung zum 01.09.2009 „Beschäftigte“ zentrales Merkmal: Erforderlichkeit (vorher § 28 BDSG: „dienen“) besondere Regelung bei Straftaten

§ 32 BDSG betrifft Erhebung, Verarbeitung und Nutzung personenbezogener Daten anlässlich Entscheidung über Begründung, für die Durchführung oder die Beendigung von Beschäftigungsverhältnissen

BDSG nur automatisierte DV § 32 BDSG auch manuelle DV

Merkmal der Erforderlichkeit: Müssen für diesen Zweck überhaupt Daten erhoben werden? Müssen gerade diese Daten erhoben werden? Mindestergebnis oder bestes Ergebnis? objektiver oder individueller Maßstab?

Erforderlichkeit immer gegeben bei gesetzlichen Vorgaben oder Folgen gesetzlicher Vorgaben, z.B. : Betriebliches Eingliederungsmanagement Allgemeines Gleichbehandlungsgesetz Unfallverhütungsvorschriften Arbeits- und Gesundheitsschutz Pflegedokumentationen

Fazit: Erforderlichkeitsfeststellung am vom Arbeitgeber verfolgten Zweck breiter Einschätzungsspielraum Ausscheiden nur von schlicht überflüssigen Erhebungen faktisch eine Änderung gegenüber § 28 BDSG

Missglückte Regelung bei Straftaten Vorliegen tatsächlicher Anhaltspunkte diese sind zu dokumentieren kein überwiegend schutzwürdiges Interesse des Beschäftigten am Ausschluss der Datennutzung Verhältnismäßigkeitsprüfung

Konkrete Anhaltspunkte Stichproben (z.B. Arbeitszeitkontrollen)? überflüssige Innenrevision? problematisch insbesondere wegen der Ausdehnung auch auf manuelle DV-Vorgänge Dokumentationspflicht ewige Aufbewahrungspflicht ./. Löschungpflicht

Besondere Probleme des § 32 BDSG keine Regelungen für ausgeschiedene Mitarbeiter ungeklärte Frage der geschäftlichen Email-Überwachung bei gestatteter Privatnutzung Übermittlung von Daten im Konzern

Eingangsfall 1: Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten. Was hat A zu befürchten?

Eingangsfall 2: Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A a) Auskunft über alle erfassten Daten b) Berichtigung der Eintragung bei „Zuverlässigkeit“ und c) Löschung aller übrigen Daten mangels Erforderlichkeit Hat M dahingehende Ansprüche?

III. Besondere Probleme in der Personalarbeit

Nutzung von öffentlich zugänglichen Daten Erfassung von Krankheitsdaten elektronische Personalakte Erfassen von Positionsdaten (GPS)

Nutzung von öffentlich zugänglichen Daten insbesondere im Zuge von Bewerbungsverfahren eher irrelevant für laufendes Arbeitsverhältnis grundsätzlich verwendbar (§ 28 Abs. 1 Nr. 3 BDSG) Löschungspflicht nach Einstellungsentscheidung AGG-veranlasste Aufbewahrung bei Ablehnung

Erfassung von Krankheitsdaten im Rahmen BEM (§ 84 Abs. 2 SGB IX) zulässig weitergehend zulässig mit Einwilligung (§ 4 a BDSG) erforderlich insbesondere bei - Fragen der Eignung für den Arbeitsplatz - Fragen des Gesundheits- und Arbeitsschutzes - Fragen etwaiger krankheitsbedingter Kündigung keine Auskunftspflicht bei Krankenrückkehr und BEM

Elektronische Personalakte jetzt einheitlicher Maßstab wie Papierakte (§ 32 Abs. 2 BDSG) Einwilligung (§ 4 a BDSG) weitergehend möglich Mitbestimmungsfragen insbesondere bei Beurteilungsgrundsätzen (§ 94 BetrVG)

Erfassen von Positionsdaten (GPS) Sonderregelung in § 6 c BDSG Informationspflicht, auch über Funktionsweise Kommunikationswege mit Datenverarbeitung müssen auf dem Gerät erkennbar sein anderenfalls: Verwertungsverbot

IV. Folgen von Datenschutzverstößen

Folgen für den Arbeitgeber Bußgeld- und Strafvorschriften §§ 43, 44 BDSG Untersagungsanordnung evtl. Strafvorschriften nach StGB Haftung auf Schadensersatz und Schmerzensgeld? Presse-Echo

Folgen für den Arbeitnehmer Bußgeld- und Strafvorschriften §§ 43, 44 BDSG Untersagungsanordnung evtl. Strafvorschriften nach StGB Haftung auf Schadensersatz und Schmerzensgeld? Kündigung des Arbeitsverhältnisses

Eingangsfall 3: Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf. Was haben A, L und M zu befürchten?

V. Beteiligung des Betriebsrats

Überwachungsanspruch § 80 Abs. 1 S. 1 BetrVG Auskunftsanspruch § 80 Abs. 2 BetrVG Fragen betrieblicher Ordnung und Arbeitnehmerverhalten § 87 Abs. 1 Nr. 1 BetrVG Technische Überwachungseinrichtungen § 87 Abs. 1 Nr. 6 BetrVG

VI. Datenschutzrelevante Phasen im Arbeitsverhältnis

Laufendes Arbeitsverhältnis Bewerbungsverfahren Laufendes Arbeitsverhältnis Kündigung „Nachlauf“

Bewerbungsverfahren öffentlich zugängliche Informationen Fragerecht und Fragebögen Löschungspflichten AGG und Aufbewahrung

Laufendes Arbeitsverhältnis Mitarbeiterkontrolle Erfassung von Krankheitsdaten Dokumentation von Arbeitsvorgängen individuelle Löschungsbeurteilung

Kündigung

„Nachlauf“ Aufbewahrungsfristen laufende Altersteilzeit betriebliche Altersversorgung