Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

EU-Datenschutzgrundverordnung

Veröffentlicht von:Hertha Maurer Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "EU-Datenschutzgrundverordnung"—  Präsentation transkript:

1 EU-Datenschutzgrundverordnung
Travemünde – 12. September 2018

2 Einführung Schutzmechanismen und Risikoperspektiven Entwicklungen im Beschäftigtendatenschutz Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz Datenschutzrelevante Situationen im Arbeitsverhältnis Datenschutzbeauftragter Betriebsrat und Datenschutz

3 I. Einführung auch Änderungsvertrag, befristet Änderungen

4 Von Unsicherheit, Hysterie und Wahnsinn – der 25. Mai 2018
Der Arbeitnehmer erscheint am in der Personalabteilung und widerspricht der Verwendung sämtlicher über seine Person gespeicherten Daten. Er verlangt sofortige Löschung. Der Arbeitnehmer erscheint am am Arbeitsplatz und verweigert die Ausführung bestimmter Arbeiten, weil er der Ansicht ist, nach der DSGVO sei die von ihm durchzuführende Datenverarbeitung so überhaupt nicht mehr zulässig.

5 Warum ist (Beschäftigten-)Datenschutz eher unbeliebt?
unübersichtliche Rechtsmaterie zwischen BDSG und Landesdatenschutzgesetzen (jetzt: verschlimmert!) Expertenwissen mit Hang zum Besserwissertum gefühlte Bremse auf dem Weg in die Digitalisierung teilweise drastisches Auseinanderklaffen von Datenschutzempfindlichkeit und eigenverantwortlicher Hergabe von Daten Universaleinwand „Datenschutzbedenken“

6 Auftragsdaten-verarbeitung
Datenschutzrelevante Bereiche im Betrieb Kundendaten Lieferantendaten Auftragsdaten-verarbeitung Beschäftigtendaten

7 Daten von Mitarbeitern im aktiven Arbeitsverhältnis
Beschäftigtendaten Bewerberdaten Daten von Mitarbeitern im aktiven Arbeitsverhältnis Daten betreffend gekündigte Mitarbeiter während des Kündigungsschutzprozesses oder im Nachlauf Betriebsrentner Beispiel: Monatsbestenlisten im Vertrieb personenbezogene oder personenbeziehbare Daten ǂ anonyme Daten

8 II. Schutzmechanismen und Risikoperspektiven
auch Änderungsvertrag, befristet Änderungen

9 Schutzmechanismen zugunsten des Arbeitnehmers
Schutz des allgemeinen Persönlichkeitsrechts Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG Schutz vor nachteiligen Beweissituationen Ausgleich des strukturellen Ungleichgewichts auch in technischer Hinsicht Informationspflichten, Auskunftsrecht, Berichtigungsanspruch, Löschungsrecht, Datenportabilität

10 Risikoperspektiven des Arbeitgebers
ordnungs- und bußgeldrechtliche Verantwortlichkeit Entschädigungsperspektiven gegenüber Arbeitnehmern Beweisrechtlich nachteilige Situationen im arbeitsgerichtlichen Verfahren Prangerwirkung bei Publizität von Datenschutzverstößen

11 Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern
Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

12 Ordnungs- und bußgeldrechtliche Verantwortlichkeit
Art. 83 Abs. 5 DSGVO: Bußgeld bis 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes derzeit noch nicht absehbare Handhabungspraxis der Aufsichtsbehörden

13 Datenschutzaufsicht durch Datenschutzbeauftragte der Länder
(präventive) Prüfverfahren größere Handlungsspielräume bei Bußgeldern Beanstandungsmöglichkeit (ggf. mit Veröffentlichung) nur teilweise vergrößerte Personalkörper Umfassende Nachweispflicht des Verantwortlichen – Art. 24 Abs. 1 DSGVO

14 Entschädigungsperspektiven gegenüber Arbeitnehmern
aus datenschutzwidrigem Verhalten Haftung auf Schadensersatz und Schmerzensgeld (Art. 82 DSGVO) Vergangenheitsbeispiele: Schmerzensgeld für unzulässige Videoüberwachung Schmerzensgeld für unzulässigen Detektiveinsatz Schmerzensgeld für unberechtigte Datenweitergabe

15 Schmerzensgeld für durchgehende Videoüberwachung –
LAG Hessen Urt. v – 7 Sa 1586/09 Montage („spätestens“)  Klage unstreitig zur Überwachung des Eingangsbereichs Klägerin aber ebenfalls dauerhaft im Bild Ausmaß der Überwachung streitig Schmerzensgeld: Euro Nichtzulassungsbeschwerde zurückgewiesen

16 Schmerzensgeld bei Detektiveinsatz –
BAG Urt. v – 8 AZR 1007/13 auf Tatsachen beruhender konkreter Verdacht einer Pflichtverletzung erforderlich AU-Bescheinigungen unterschiedlicher Ärzte für sich nicht verdachtsbegründend 1.000 Euro bei viertägiger Überwachung angemessen

17 Schmerzensgeld wegen Weitergabe von Gesundheitsdaten –
OLG Köln Urt. v – 20 U 83/16 Kläger streitet mit Versicherung um Leistungen aus einer Berufsunfähigkeitsversicherung und legt dazu Gesundheitsdaten dar Beklagte (Konzernunternehmen des Arbeitgebers) gibt Urteil an Arbeitgeber weiter keine Berechtigung zur Datenweitergabe  Haftung bislang nur Zwischenurteil ohne Betragsfestlegung

18 Herausgabepflicht eines Laptops mit Kundendaten –
ArbG Lübeck Beschl. v – 4 Ga 18/18 im Kleinbetrieb ordentlich gekündigte Arbeitnehmerin gibt Laptop mit Kundendaten nicht heraus Kündigung erst zum , aber unwiderrufliche Freistellung Arbeitnehmerin droht mit Verwendung der Daten Auswirkungen Datenschutz auf das Eilbedürfnis = Verfügungsgrund?

19 Beweisrechtlich nachteilige Situation
Beweiswertungsverbote Sachverwertungsverbote

20 Beweisverwertungsverbot
Kündigung und verdeckte Videoüberwachung BAG Urt. v – 2 AZR 395/15 Videoüberwachung muss einzig verbleibende Aufklärungsmöglichkeit sein schwere Verfehlung des MA erforderlich Sachverwertungsverbot ist denkbar Beweisverwertungsverbot

21 Sachverwertungsverbot
Überwachung mittels Keylogger - Verwertungsverbot – BAG Urt. v – 2 AZR 681/16 AG setzt mit Kenntnis des AN sog. Keylogger ein AN geht während der Arbeitszeit in erheblichem Umfang privaten Tätigkeiten nach, wie die Auswertung der Keylogger-Daten ergibt schwerer Eingriff in allg. Persönlichkeitsrecht des AN Sachverwertungsverbot

22 III. Entwicklungen im Beschäftigtendatenschutz
auch Änderungsvertrag, befristet Änderungen

23 EU-Datenschutzrichtlinie 1995 Landesdatenschutz-gesetze
Europarechtliche Struktur des Datenschutzrechts bis EU-Datenschutzrichtlinie 1995 Umsetzung in nationales Recht BDSG Landesdatenschutz-gesetze

24 Landesdatenschutz-gesetze
Europarechtliche Struktur des Datenschutzrechts ab EU-DSGVO 2016 JI-Richtlinie unmittelbare Geltung ggf. nationale Sonderregelungen BDSG Landesdatenschutz-gesetze

25 IV. Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz
auch Änderungsvertrag, befristet Änderungen

26 Struktur des Beschäftigtendatenschutzes ab 25.05.2018
EU-DSGVO Art. 88 nationale Sonderregelungen „DV im Beschäftigungskontext“ BDSG § 26 „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ (ähnlich wie zuvor § 32 BDSG a.F.)

27 Folgen für den Beschäftigtendatenschutz
DSGVO schafft Grundstruktur § 26 BDSG nutzt Ausnahme für nationale Sonderregelungen im Beschäftigtendatenschutz teilweise erhebliche Abgrenzungsfragen und dazu, wie weit der nationale Gesetzgeber abweichen durfte

28 Beschäftigtendatenschutz nach BDSG
§ 26 BDSG neu (zuvor § 32 BDSG) wenig materielle Änderungen zahlreiche streitige Einzelfragen, Lösungen rechtsprechungsabhängig

29 § 26 Abs. 1 BDSG Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

30 Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

31 Weitere Regelungen des § 26 BDSG (nach Absätzen)
besondere Anforderungen an die Einwilligung (Abs. 2) Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO (Abs. 3) Verarbeitung auf Grundlage von Kollektiv-vereinbarungen im Rahmen von Art. 88 Abs. 2 DSGVO (Abs. 4) Beachtung der Verarbeitungsgrundsätze des Art. 5 DSGVO (Abs. 5)

32 Rechte der Interessenvertretung (Abs. 6)
Geltung auch für manuelle Verarbeitung (Abs. 7) Definition des Beschäftigtenbegriffs (Abs. 8)

33 Sonderfall besonderer Datenkategorien: Gesundheitsdaten
Gesundheitsdaten sind besondere Datenkategorie damit besonderer Schutz nach Art. 9 DSGVO aber: Verarbeitung „zur Erfüllung gesetzlicher Pflichten aus dem Arbeitsrecht“ zulässig (§ 26 Abs. 3 BDSG) Beispiel: AU-Zeiten zur Dokumentation für BEM

34 Allgemeine Grundstrukturen der DSGVO
Art. 5 – Grundsätze für die Datenverarbeitung (z.B. Zweckbindung, Datensparsamkeit u.s.w.) Art. 6 – Rechtmäßigkeit der Verarbeitung (Verbotsgesetz mit Erlaubnisvorbehalt) Art. 9 – Verarbeitung besonderer Datenkategorien Art – Transparenz und Information

35 Grundsätze für die Datenverarbeitung – Art. 5 DSGVO
Transparenzgebot Zweckbindung Datenminimierung Richtigkeit der Daten Begrenzung der Speicherdauer Integrität und Vertraulichkeit Rechenschaftspflicht (Abs. 2)

36 Verbotsgesetz mit Erlaubnisvorbehalt – Art. 6 DSGVO
prinzipielles Verbot der Datenverarbeitung (entgegen allen Gerüchten) eher breiter Ausnahmekatalog in Art. 6 Abs. 1 DSGVO besondere Ausnahme für Beschäftigtendaten in § 26 Abs. 1 BDSG („erforderlich“)

37 Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,

38 Arbeitnehmerrechte aus der DSGVO
Auskunftsrecht – Art. 15 DSGVO Recht auf Berichtigung – Art. 16 DSGVO Recht auf Löschung – Art. 17 DSGVO („Recht auf Vergessenwerden“) Recht auf Einschränkung der Verarbeitung – Art. 19 DSGVO Recht auf Datenübertragbarkeit – Art. 20 DSGVO

39 V. Datenschutzrelevante Situationen im Arbeitsverhältnis (Auswahl)
auch Änderungsvertrag, befristet Änderungen

40 Typischer Prüfungsablauf des BAG
Maßnahme des Arbeitgebers (z.B. Videoüberwachung) Prüfung anhand § 32 BDSG alt „erforderlich“ oder ggf. speziellere DS-Norm Ergebnis „erforderlich“ wird nach Fallgruppen ausgefüllt

41 Bewerbungsverfahren

42 Datenschutzrechtliche Kernprobleme im Bewerbungsverfahren
Rechtsgrundlage der Datenverarbeitung – Art. 6 DSGVO insbesondere: Pre-Employment-Screening Aufbewahrungsfristen

43 Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren
„erforderlich“ § 26 BDSG Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren Einwilligung – Art. 6 Abs. 1 a) DSGVO Vertragserfüllung – Art. 6 Abs. 1 b) DSGVO? berechtigte Interessen – Art. 6 Abs. 1 f) DSGVO ? konkludent? Initiativbewerbung

44 Videoüberwachung

45 Offene Videoüberwachung – Verwertungsverbot –
BAG Urt. v – 2 AZR 133/18 keine Unzulässigkeit der Auswertung einer offenen Videoüberwachung nur durch Zeitablauf (Februar auf August 2016) kein Verwertungsverbot sofern Überwachung rechtmäßig erfolgt Videoüberwachung einer Lottoannahmestelle (Schutz vor Eigentumsdelikten durch Kunden und Mitarbeiter) Entscheidung zu § 32 BDSG alt

46 Anforderungen an die heimliche Videoüberwachung
begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein

47 Detektivüberwachung

48 Grundregeln zum Detektiveinsatz
keine anlassunabhängige Überwachung Maß und Dauer der Überwachung maßgeblich (auch für Kostenerstattungsanspruch des Arbeitgebers)

49 Anforderungen an die Detektivüberwachung
begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein Verhältnismäßigkeit der konkreten Überwachungsmaßnahmen

50 -Screening

51 Überwachung der E-Mail-Kommunikation des Arbeitnehmers –
EGMR Urt. v – 61496/08 (Barbulescu) AG muss Überwachung der – verbotenen – privaten -Kommunikation und deren Umfang vorher ankündigen berechtigtes Arbeitgeberinteresse erforderlich kein milderes Mittel darf verfügbar sein Schutzmaßnahmen zugunsten des AN müssen bestehen

52 VI. Datenschutzbeauftragter
auch Änderungsvertrag, befristet Änderungen

53 Datenschutzbeauftragte nichtöffentlicher Stellen
Kernregelung jetzt in Art. 37 ff. DSGVO Bestellungspflicht modifiziert in § 38 BDSG (mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt) interne wie externe Bestellung weiter zulässig Benennungsmöglichkeit im Konzern – Art. 37 Abs. 2 DSGVO

54 Aufgaben des Datenschutzbeauftragten – Art. 39 Abs. 1 DSGVO
Unterrichtung und Beratung des Verantwortlichen Überwachung der Einhaltung der DSGVO Beratung im Zusammenhang mit der Datenschutz- Folgeabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

55 Schutz und Haftung des Datenschutzbeauftragten
Diskriminierungsverbot – Art. 38 Abs. 3 S. 2 DSGVO weiterhin: Sonderkündigungsschutz über § 6 Abs. 4 BDSG – nur fristlose Kündigung möglich keine Haftung, keine Aufwertung zum „Verantwortlichen“ gem. 82 Abs. 2 DSGVO

56 VII. Betriebsrat und Datenschutz
auch Änderungsvertrag, befristet Änderungen

57 Mitbestimmungsrechte des BR im Datenschutz:
direkt nur § 80 Abs. 1 Ziff. 1 BetrVG – Überwachungsrecht § 80 Abs. 2 BetrVG – Informationsrecht indirekt über § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung

58 Berührte Nebenbereiche der Mitbestimmungsrechte:
§ 87 Abs. 1 Ziff. 1 BetrVG – Arbeitnehmerverhalten § 90 Abs. 1 BetrVG – Änderungen der Arbeitsumgebung §§ 94, 95 BetrVG – Personalfragebögen, Formulararbeitsverträge, Beurteilungsgrundsätze, Auswahlrichtlinien keine Mitbestimmung bei der Bestellung des Datenschutzbeauftragten (Person, intern oder extern)

59 § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung
„echtes“ Mitstimmungsrecht = Zustimmungserfordernis, sonst Einigungsstelle Initiativrecht des Betriebsrats Betriebsräte machen in der Praxis Zustimmung zu neuer Technik von Datenschutzzugeständnissen abhängig

60 Gesetzesvorrang weitgehend ausgehebelt durch § 26 Abs. 4 BDSG
§ 87 Abs. 1 Ziff. 6 BetrVG Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen [=zuzustimmen]: … 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; BAG: bestimmt = geeignet Folge: bloßes Überwachungspotenzial bringt Mitbestimmung

61 zahlreiche Einigungsstellenverfahren, die Digitalisierung nimmt Fahrt auf!
häufig eher komplexer Streit um Einführung Hauptbefürchtungen des Betriebsrats: Ausspähen von Mitarbeitern Rationalisierung durch Digitalisierung

62 Sonderfunktion des BR im Datenschutz:
Kollektivvereinbarungen (=Betriebsvereinbarungen) bilden „freihändige“ Verarbeitungsgrundlage im Rahmen des Art. 88 Abs. 2 DSGVO hierdurch weite Handlungsspielräume bei Konsens zwischen Arbeitgeber und Betriebsrat (vor allem auch: Konzerndatenverarbeitung!) kein genereller Revisionsbedarf von bestehenden Betriebsvereinbarungen empfehlenswert: Datenschutz-Rahmen-BV

63 Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

64 Betriebsrat als Datenschutzverpflichteter
Pflicht zu Einhaltung datenschutzrechtlicher Vorschriften (z.T. bereits geregelt, z.B. § 99 Abs. 1 S. 3 BetrVG) Kontrollmöglichkeiten des Arbeitgebers? Betriebsrat als eigene datenverarbeitende Stelle?

Herunterladen ppt "EU-Datenschutzgrundverordnung"

Ähnliche Präsentationen

Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
Datenschutz als Grundrecht

Datenschutz als Grundrecht
Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis
Betriebsvereinbarungen

Betriebsvereinbarungen
BEM aus Datenschutzsicht

BEM aus Datenschutzsicht
HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, 06.05.2004 Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.

HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
1 Den Berufseinstieg geschlechtergerecht (mit)gestalten Daten und Fakten Berufseinsteigerinnen in Deutschland.

1 Den Berufseinstieg geschlechtergerecht (mit)gestalten Daten und Fakten Berufseinsteigerinnen in Deutschland.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Bilanzanalyse AK Wien Maga Eva Schiessl

Bilanzanalyse AK Wien Maga Eva Schiessl
Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.

Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.
Betriebliches Eingliederungsmanagement (BEM)

Betriebliches Eingliederungsmanagement (BEM)
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Ähnliche Präsentationen

Google-Anzeigen