Neuer Beschäftigtendatenschutz nach der EU-DSGVO und BDSG-Reform

Präsentation zum Thema: "Neuer Beschäftigtendatenschutz nach der EU-DSGVO und BDSG-Reform"—  Präsentation transkript:

1 Neuer Beschäftigtendatenschutz nach der EU-DSGVO und BDSG-Reform
Hamburg – 21. September 2018

2 Einführung Schutzmechanismen und Risikoperspektiven Entwicklungen im Beschäftigtendatenschutz Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz Datenschutzrelevante Situationen im Arbeitsverhältnis Datenschutzbeauftragter Betriebsrat und Datenschutz

3 I. Einführung auch Änderungsvertrag, befristet Änderungen

4 Von Unsicherheit, Hysterie und Wahnsinn – der 25. Mai 2018
Der Arbeitnehmer erscheint am in der Personalabteilung und widerspricht der Verwendung sämtlicher über seine Person gespeicherten Daten. Er verlangt sofortige Löschung. Der Arbeitnehmer erscheint am am Arbeitsplatz und verweigert die Ausführung bestimmter Arbeiten, weil er der Ansicht ist, nach der DSGVO sei die von ihm durchzuführende Datenverarbeitung so überhaupt nicht mehr zulässig.

5 Warum ist (Beschäftigten-)Datenschutz eher unbeliebt?
unübersichtliche Rechtsmaterie zwischen BDSG und Landesdatenschutzgesetzen (jetzt: verschlimmert!) Expertenwissen mit Hang zum Besserwissertum gefühlte Bremse auf dem Weg in die Digitalisierung teilweise drastisches Auseinanderklaffen von Datenschutzempfindlichkeit und eigenverantwortlicher Hergabe von Daten Universaleinwand „Datenschutzbedenken“

6 Auftragsdaten-verarbeitung
Datenschutzrelevante Bereiche im Betrieb Kundendaten Lieferantendaten Auftragsdaten-verarbeitung Beschäftigtendaten

7 Daten von Mitarbeitern im aktiven Arbeitsverhältnis
Beschäftigtendaten Bewerberdaten Daten von Mitarbeitern im aktiven Arbeitsverhältnis Daten betreffend gekündigte Mitarbeiter während des Kündigungsschutzprozesses oder im Nachlauf Betriebsrentner Beispiel: Monatsbestenlisten im Vertrieb personenbezogene oder personenbeziehbare Daten ǂ anonyme Daten

8 II. Schutzmechanismen und Risikoperspektiven
auch Änderungsvertrag, befristet Änderungen

9 Schutzmechanismen zugunsten des Arbeitnehmers
Schutz des allgemeinen Persönlichkeitsrechts Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG Schutz vor nachteiligen Beweissituationen Ausgleich des strukturellen Ungleichgewichts auch in technischer Hinsicht Informationspflichten, Auskunftsrecht, Berichtigungsanspruch, Löschungsrecht, Datenportabilität

10 Risikoperspektiven des Arbeitgebers
ordnungs- und bußgeldrechtliche Verantwortlichkeit Entschädigungsperspektiven gegenüber Arbeitnehmern Beweisrechtlich nachteilige Situationen im arbeitsgerichtlichen Verfahren Prangerwirkung bei Publizität von Datenschutzverstößen

11 Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern
Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

12 Ordnungs- und bußgeldrechtliche Verantwortlichkeit
Art. 83 Abs. 5 DSGVO: Bußgeld bis 20 Mio. Euro oder 4 % des weltweit erzielten Jahresumsatzes derzeit noch nicht absehbare Handhabungspraxis der Aufsichtsbehörden

13 Datenschutzaufsicht durch Datenschutzbeauftragte der Länder
(präventive) Prüfverfahren größere Handlungsspielräume bei Bußgeldern Beanstandungsmöglichkeit (ggf. mit Veröffentlichung) nur teilweise vergrößerte Personalkörper Umfassende Nachweispflicht des Verantwortlichen – Art. 24 Abs. 1 DSGVO

14 Entschädigungsperspektiven gegenüber Arbeitnehmern
aus datenschutzwidrigem Verhalten Haftung auf Schadensersatz und Schmerzensgeld (Art. 82 DSGVO) Vergangenheitsbeispiele: Schmerzensgeld für unzulässige Videoüberwachung Schmerzensgeld für unzulässigen Detektiveinsatz Schmerzensgeld für unberechtigte Datenweitergabe

15 Schmerzensgeld für durchgehende Videoüberwachung –
LAG Hessen Urt. v – 7 Sa 1586/09 Montage („spätestens“)  Klage unstreitig zur Überwachung des Eingangsbereichs Klägerin aber ebenfalls dauerhaft im Bild Ausmaß der Überwachung streitig Schmerzensgeld: Euro Nichtzulassungsbeschwerde zurückgewiesen

16 Schmerzensgeld bei Detektiveinsatz –
BAG Urt. v – 8 AZR 1007/13 auf Tatsachen beruhender konkreter Verdacht einer Pflichtverletzung erforderlich AU-Bescheinigungen unterschiedlicher Ärzte für sich nicht verdachtsbegründend 1.000 Euro bei viertägiger Überwachung angemessen

17 Schmerzensgeld wegen Weitergabe von Gesundheitsdaten –
OLG Köln Urt. v – 20 U 83/16 Kläger streitet mit Versicherung um Leistungen aus einer Berufsunfähigkeitsversicherung und legt dazu Gesundheitsdaten dar Beklagte (Konzernunternehmen des Arbeitgebers) gibt Urteil an Arbeitgeber weiter keine Berechtigung zur Datenweitergabe  Haftung bislang nur Zwischenurteil ohne Betragsfestlegung

18 Herausgabepflicht eines Laptops mit Kundendaten –
ArbG Lübeck Beschl. v – 4 Ga 18/18 im Kleinbetrieb ordentlich gekündigte Arbeitnehmerin gibt Laptop mit Kundendaten nicht heraus Kündigung erst zum , aber unwiderrufliche Freistellung Arbeitnehmerin droht mit Verwendung der Daten Auswirkungen Datenschutz auf das Eilbedürfnis = Verfügungsgrund?

19 Beweisrechtlich nachteilige Situation
Beweiswertungsverbote Sachverwertungsverbote

20 Beweisverwertungsverbot
Kündigung und verdeckte Videoüberwachung BAG Urt. v – 2 AZR 395/15 Verdacht des Diebstahls, begründet auf Inventurdifferenzen im Kfz-Teilelager Videoüberwachung muss einzig verbleibende Aufklärungsmöglichkeit sein schwere Verfehlung des MA erforderlich Sachverwertungsverbot ist denkbar Beweisverwertungsverbot

21 Sachverwertungsverbot
Überwachung mittels Keylogger - Verwertungsverbot – BAG Urt. v – 2 AZR 681/16 AG setzt mit Kenntnis des AN sog. Keylogger ein AN geht während der Arbeitszeit in erheblichem Umfang privaten Tätigkeiten nach, wie die Auswertung der Keylogger-Daten ergibt schwerer Eingriff in allg. Persönlichkeitsrecht des AN keine Maßnahmen „ins blaue hinein“ zulässig Sachverwertungsverbot

22 Folgerungen aus der Keylogger-Entscheidung:
Selbst weitreichende Technik-Eingriffe mit Mitteln wie Keylogger nicht per se unzulässig Ermittlungen nach § 32 Abs. 1 BDSG (a.F.) erfordern keinen Straftatverdacht, Pflichtverletzungen reichen aus Verletzung der datenschutzrechtlichen Eingriffsvoraussetzungen indiziert eine Unverwertbarkeit der gewonnenen Informationen Sachverwertungsverbot bei gegen das Recht auf informationelle Selbstbestimmung erlangten Informationen Beispiel: Monatsbestenlisten im Vertrieb

23 Beweisverwertungsverbot Sachverwertungsverbot
setzt Bestreiten voraus sonst Sachvortrag unstreitig dann keine Beweiserhebung notwendig setzt kein Bestreiten voraus Gericht berücksichtigt von Amts wegen (!) selbst wenn Vortrag eingebracht und nicht bestritten ist

24 Folgeproblem: Fernwirkungsverbot „Fruits-of-the-Forbitten-Tree“
Beispiel: Geständnis vor Zeugen nach Vorhalt rechtswidrig erlangter Beweismittel, z.B. Videosequenz keine Klärung durch Keylogger-Entscheidung, aber zum Schutz des Rechts auf informationelle Selbstbestimmung (Grundrecht!) denkbar und konsequent Beispiel: Monatsbestenlisten im Vertrieb

25 Prangerwirkung bei Datenschutzverstößen
bedenke: Facebook-Effekt wegen Trump-Wahlkampf viele mögliche „Durchstecher“ und Veröffentlichungswege (z.B. Social Media) Beispiel: Monatsbestenlisten im Vertrieb

26 Risiko durch (gewerbsmäßige) Abmahnungen im Beschäftigtendatenschutz?
neuer Datenschutz – neue Abmahngründe Wettbewerbsrechtliche Anknüpfung bei (internen) Beschäftigtendaten (UWG)? Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs (u.a. Deckelung des Streitwerts auf Euro, strengere Anforderungen an Wettbewerbsverhältnis und Verbandsstruktur)

27 III. Entwicklungen im Beschäftigtendatenschutz
auch Änderungsvertrag, befristet Änderungen

28 § 32 BDSG (a.F.) Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses Neuregelung bereits zum Reaktion auf damalige Datenschutzverstöße durch Arbeitgeber (Schlecker, Lidl, Deutsche Bahn, Daimler) zentrales Merkmal: Erforderlichkeit (vorher § 28 BDSG a.F.: „dienen“)

29 (1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

30 Merkmal der Erforderlichkeit:
Müssen für diesen Zweck überhaupt Daten erhoben werden? Müssen gerade diese Daten erhoben werden? nur Gewährung für ein Mindestergebnis objektiver Maßstab teilweise erhebliche praktische Anwendungsschwierigkeiten Beispiel: Monatsbestenlisten im Vertrieb

31 Elektronische Überwachung des Heimarbeitsplatzes –
LAG Köln Urt. v – 2 Sa 181/14 Speichern des Bearbeiters und des letzten Änderungsdatums einer Datei verstößt nicht gegen das BDSG Eingabeüberprüfung in Online-Datenbank zur Überprüfung von Fehleingaben erforderlich Daten zur Überführung von Arbeitszeitbetrug am Heimarbeitsplatz verwertbar 15,76 Stunden Zeitbetrug kein Bagatellfall

32 Heimliche Spindkontrolle als Datenerhebung –
BAG Urt. v – 2 AZR 546/12 visuelle Spindkontrolle ist Datenerhebung heimliche Kontrolle ist nicht erforderlich/verhältnismäßig AG hätte Arbeitnehmer hinzuziehen müssen

33 EU-Datenschutzrichtlinie 1995 Landesdatenschutz-gesetze
Europarechtliche Struktur des Datenschutzrechts bis EU-Datenschutzrichtlinie 1995 Umsetzung in nationales Recht BDSG Landesdatenschutz-gesetze

34 Landesdatenschutz-gesetze
Europarechtliche Struktur des Datenschutzrechts ab EU-DSGVO 2016 JI-Richtlinie unmittelbare Geltung ggf. nationale Sonderregelungen BDSG Landesdatenschutz-gesetze

35 Der Weg zur DSGVO und zum neuen BDSG
Verabschiedung DSGVO Inkrafttreten DSGVO Inkrafttreten BDSG neu (DSAanpUG-EU) mit Regelung zum Beschäftigtendatenschutz (§ 26 BDSG neu) Gesetzentwurf zum 2. DSAanpUG-EU ohne Regelungen zum Beschäftigtendatenschutz

36 IV. Regelungsstruktur von DSGVO und BDSG in Bezug auf den Beschäftigtendatenschutz
auch Änderungsvertrag, befristet Änderungen

37 Struktur des Beschäftigtendatenschutzes ab 25.05.2018
EU-DSGVO Art. 88 nationale Sonderregelungen „DV im Beschäftigungskontext“ BDSG § 26 „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ (ähnlich wie zuvor § 32 BDSG a.F.)

38 Folgen für den Beschäftigtendatenschutz
DSGVO schafft Grundstruktur § 26 BDSG nutzt Ausnahme für nationale Sonderregelungen im Beschäftigtendatenschutz teilweise erhebliche Abgrenzungsfragen und dazu, wie weit der nationale Gesetzgeber abweichen durfte

39 Reichweite der Ausnahme des Art. 88 DSGVO
„hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigungskontext“ erfasst nicht Arbeitnehmerdaten außerhalb der eigentlichen Beschäftigung = unmittelbaren Datenverwendung (z.B. Due Diligance, § 613 a BGB) Folge:  Erlaubnistatbestand nach Art. 6 DSGVO notwendig

40 Querschnittsverpflichtungen für Arbeitgeber, auch mit Bezug zum Beschäftigtendatenschutz
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO Datenschutz-Folgenabschätzung – Art. 35 DSGVO

41 Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO
ex-Verfahrensverzeichnis umfangreicher Inhaltskatalog Beschreibung nach Verarbeitungsschritten, nicht nach Softwareprodukten o.ä.

42 Datenschutz-Folgenabschätzung – Art. 35 DSGVO
bei hohem Risiko für Rechte und Freiheiten für natürliche Personen inhaltliche Beschreibung u.a. von Verfahren, Bewertung und Risikoabschätzung in der Personalarbeit insbesondere relevante bei Einsatz von Algorithmen, Analyse-Tool und Künstlicher Intelligenz

43 Beschäftigtendatenschutz nach BDSG
§ 26 BDSG neu (zuvor § 32 BDSG) wenig materielle Änderungen zahlreiche streitige Einzelfragen, Lösungen rechtsprechungsabhängig immer noch keine (allgemeine) Lösung zur Konzerndatenverarbeitung

44 § 26 Abs. 1 BDSG Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

45 „Erforderlich“ bedeutet Verhältnismäßigkeitsprüfung: Geeignetheit
Erforderlichkeit Verhältnismäßigkeit i.e.S  streitig Beispiel: Monatsbestenlisten im Vertrieb

46 Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

47 Straftataufklärung nach § 26 Abs. 1 S. 2 BDSG:
Anfangsverdacht ausreichend Dokumentationspflicht (unlogisch!) keine Sperrwirkung ggü. S. 1 („einfache“ Pflichtenverstöße) besondere Verhältnismäßigkeitsprüfung Beispiel: Monatsbestenlisten im Vertrieb

48 Weitere Regelungen des § 26 BDSG (nach Absätzen)
besondere Anforderungen an die Einwilligung (Abs. 2) Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO (Abs. 3) Verarbeitung auf Grundlage von Kollektiv-vereinbarungen im Rahmen von Art. 88 Abs. 2 DSGVO (Abs. 4) Beachtung der Verarbeitungsgrundsätze des Art. 5 DSGVO (Abs. 5)

49 Rechte der Interessenvertretung (Abs. 6)
Geltung auch für manuelle Verarbeitung (Abs. 7) (z.B. Mitarbeiterbefragung, Torkontrollen, Bewertungsbögen in Papier) Definition des Beschäftigtenbegriffs (Abs. 8)

50 Sonderfall besonderer Datenkategorien: Gesundheitsdaten
Gesundheitsdaten sind besondere Datenkategorien damit besonderer Schutz nach Art. 9 DSGVO aber: Verarbeitung „zur Erfüllung gesetzlicher Pflichten aus dem Arbeitsrecht“ zulässig (§ 26 Abs. 3 BDSG) Beispiel: AU-Zeiten zur Dokumentation für BEM

51 Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

52 Allgemeine Grundstrukturen der DSGVO
Art. 5 – Grundsätze für die Datenverarbeitung (z.B. Zweckbindung, Datensparsamkeit u.s.w.) Art. 6 – Rechtmäßigkeit der Verarbeitung (Verbotsgesetz mit Erlaubnisvorbehalt) Art. 9 – Verarbeitung besonderer Datenkategorien Art – Transparenz und Information

53 Grundsätze für die Datenverarbeitung – Art. 5 DSGVO
Transparenzgebot Zweckbindung Datenminimierung Richtigkeit der Daten Begrenzung der Speicherdauer Integrität und Vertraulichkeit Rechenschaftspflicht (Abs. 2)

54 Folgen der Grundsätze des Art. 5 DSGVO für das Arbeitsverhältnis
Transparenzgebot Arbeitnehmer müssen informiert werden, welche Daten zu welchem Zweck mittels welchen Systemen über sie verarbeitet werden u.U. erheblicher Verwaltungsaufwand auch bei Bewerbern kein Schutz von Altfällen – Aktualisierungspflicht kein zwingendes Schriftformerfordernis

55 Transparenzgebot und Informationspflichten
mit Kenntnisnahmequittung durch AN Einwilligung in Verarbeitung von eigenen Beschäftigtendaten (§ 26 Abs. 1 S. 1 BDSG!)

56 Zweckbindung Korrelation mit Transparenzgebot = Verwendung nur für den im Rahmen des Transparenzgebots vorher festgelegten Zwecke (Dokumentation) in der Praxis häufig überschritten/verletzt häufig in Betriebsvereinbarungen geregelt Berücksichtigung der Zweckbindung bei erweiterter Verwendung im arbeitsgerichtlichen Verfahren? (s.o. LAG Köln – Verwendung der Metadaten falls Fehleingaben)

57 § 24 BDSG – Verarbeitung zu anderen Zwecken
(1) Die Verarbeitung … zu einem anderen Zweck … ist zulässig, wenn … sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

58 Datenminimierung Beschränkung auf für Vertragsdurchführung relevante Daten keine Vorratsdatenspeicherung für (noch) nicht absehbare Eventualzwecke Kontrollüberlegung: Welche Daten brauchen wir wirklich?

59 Richtigkeit der Daten hierfür Auskunfts-, Berichtigungs- und Löschungsansprüche der Betroffenen kein vorgegebener Modus bei Streit über Richtigkeit der Daten

60 Begrenzung der Speicherdauer
Bindung an Verarbeitungszweck in der Praxis häufig Tendenz zu überlanger Speicherdauer keine Regelfristen Kontrollüberlegung: Wie lange brauchen wir die Daten tatsächlich noch für diesen Verwendungszweck?

61 Integrität und Vertraulichkeit
angemessenes technisches Sicherheitsniveau aktuelle Hard- und Softwareausstattung Schutz vor unbefugten Zugriffen (intern und extern) Schutz auch vor Veränderung und Zerstörung von Daten

62 Verbotsgesetz mit Erlaubnisvorbehalt – Art. 6 DSGVO
prinzipielles Verbot der Datenverarbeitung (entgegen allen Gerüchten) eher breiter Ausnahmekatalog in Art. 6 Abs. 1 DSGVO besondere Ausnahme für Beschäftigtendaten in § 26 Abs. 1 BDSG („erforderlich“)

63 Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,

64 c) die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

65 f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

66 Einwilligung als Verarbeitungsgestattung
Bedingungen für die Einwilligung – Art. 7 DSGVO besondere Beurteilung der Freiwilligkeit der Einwilligung im Arbeitsverhältnis – § 26 Abs. 2 BDSG Beurteilung in § 26 Abs. 2 BDSG nach: Abhängigkeit, Abgabeumstände und rechtlichem und wirtschaftlichem Vorteil für Arbeitnehmer

67 Vertragserfüllung als Verarbeitungsgestattung
Arbeitsvertrag ist komplexes Rechtsverhältnis viele Schnittstellen zu Dritten, z.B. Steuerberater, Sozialversicherungsträger, Berufsgenossenschaft (Achtung! Auftragsdatenverarbeitung, Art. 28 f. DSGVO) zahlreiche Notwendigkeiten einer Datenverarbeitung, auch durch neue betriebliche Situationen (Achtung! Transparenzgebot und Zweckbindung)

68 Arbeitnehmerrechte aus der DSGVO
Auskunftsrecht – Art. 15 DSGVO Recht auf Berichtigung – Art. 16 DSGVO Recht auf Löschung – Art. 17 DSGVO („Recht auf Vergessenwerden“) Recht auf Einschränkung der Verarbeitung – Art. 19 DSGVO Recht auf Datenübertragbarkeit – Art. 20 DSGVO

69 V. Datenschutzrelevante Situationen im Arbeitsverhältnis (Auswahl)
auch Änderungsvertrag, befristet Änderungen

70 Aufsichtsrechtliche Maßnahmen DSB Haftung ggü. Arbeitnehmern
Folgen von Datenschutzverstößen für den Arbeitgeber Aufsichtsrechtliche Maßnahmen DSB Prozessuale Folgen Haftung ggü. Arbeitnehmern

71 Folgen von Datenschutzverstößen für den Arbeitnehmer
Abmahnung/ Kündigung Prozessuale Folgen Arbeitnehmerhaftung

72 Typischer Prüfungsablauf des BAG
Maßnahme des Arbeitgebers (z.B. Videoüberwachung) Prüfung anhand § 32 BDSG alt „erforderlich“ oder ggf. speziellere DS-Norm Ergebnis „erforderlich“ wird nach Fallgruppen ausgefüllt

73 Bewerbungsverfahren

74 Datenschutzrechtliche Kernprobleme im Bewerbungsverfahren
Rechtsgrundlage der Datenverarbeitung – Art. 6 DSGVO insbesondere: Pre-Employment-Screening Aufbewahrungsfristen

75 Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren
„erforderlich“ § 26 BDSG Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren Einwilligung – Art. 6 Abs. 1 a) DSGVO Vertragserfüllung – Art. 6 Abs. 1 b) DSGVO? berechtigte Interessen – Art. 6 Abs. 1 f) DSGVO ? konkludent? Initiativbewerbung

76 Aufbewahrungsfristen
solange rechtlich erforderlich – Folge aus Art. 5 Abs. 1 e) DSGVO bei Absage an sich sofortige Löschung Ausnahme z.B. § 15 Abs 4 AGG (Geltendmachungsfrist)

77 Videoüberwachung

78 Offene Videoüberwachung – Verwertungsverbot –
BAG Urt. v – 2 AZR 133/18 keine Unzulässigkeit der Auswertung einer offenen Videoüberwachung nur durch Zeitablauf (Februar auf August 2016) kein Verwertungsverbot sofern Überwachung rechtmäßig erfolgt Videoüberwachung einer Lottoannahmestelle (Schutz vor Eigentumsdelikten durch Kunden und Mitarbeiter) Entscheidung zu § 32 BDSG alt

79 Umstand der Beobachtung – Piktogramm, Kamerasymbol
Identität des für die Videoüberwachung Verantwortlichen (Art. 13 Abs. 1 a) DSGVO) Kontaktdaten des betrieblichen Datenschutzbeauftragten (Art. 13 Abs. 1 b) DSGVO) Verarbeitungszwecke und Rechtsgrundlage in Schlagworten (Art. 13 Abs. 1 c) DSGVO) Angabe des berechtigten Interesses (Art. 13 Abs. 1 d) DSGVO) Dauer der Speicherung (Art. 13 Abs. 2 a) DSGVO) Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DSGVO

80 Verwertung der unzulässigen Videoüberwachung –
BAG Urt. v – 2 AZR 153/11 verdeckte Videoüberwachung öffentlicher Plätze Verstoß gegen § 6 b BDSG führt nicht per se zur Unverwertbarkeit einer Videoüberwachung Interesse an einer funktionstüchtigen Rechtspflege ./. Persönlichkeitsrechte bei Verdacht einer Straftat oder schweren Vertragspflichtverletzung

81 Verwertung der von Zufallsfunden bei Videoüberw. –
BAG Urt. v – 2 AZR 848/15 Verdacht auf Diebstähle im Bereich „Zigaretten und Non-Food“ verdeckte Videoüberwachung (mit Zustimmung des BR) deckt Pfandbonbetrug auf Zufallsfund ist grundsätzlich verwertbar, wenn Eingriff in allgemeines Persönlichkeitsrecht des AN nicht zu schwer wiegt

82 Anforderungen an die heimliche Videoüberwachung
begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein

83 Videoüberwachung öffentlich zugänglicher Räume
§ 4 BDSG neu Videoüberwachung öffentlich zugänglicher Räume  gilt nicht für Beschäftigte! § 26 Abs. 1 S. 1, 2 BDSG Kunden, Lieferanten, sonstige Dritte Mitarbeiter

84 Detektivüberwachung

85 Grundregeln zum Detektiveinsatz
keine anlassunabhängige Überwachung Maß und Dauer der Überwachung maßgeblich (auch für Kostenerstattungsanspruch des Arbeitgebers)

86 Anforderungen an die Detektivüberwachung
begründeter Verdacht auf schweren Vertragspflichtenverstoß oder Straftat (im Arbeitsverhältnis) falls Straftat, zuvor Dokumentation der tatsächlichen Anhaltspunkte (§ 26 Abs. 1 S. 2 BDSG) alle anderen weniger einschneidenden Aufklärungsmöglichkeiten müssen ausgeschöpft sein Verhältnismäßigkeit der konkreten Überwachungsmaßnahmen

87 E-Mail-Screening/Festplatten-Auswertung

88 Überwachung der E-Mail-Kommunikation des Arbeitnehmers –
EGMR Urt. v – 61496/08 (Barbulescu) AG muss Überwachung der – verbotenen – privaten -Kommunikation und deren Umfang vorher ankündigen berechtigtes Arbeitgeberinteresse erforderlich kein milderes Mittel darf verfügbar sein Schutzmaßnahmen zugunsten des AN müssen bestehen

89 Überwachung privater Daten des Arbeitnehmers auf Dienst-PC –
EGMR Urt. v – 588/13 (Libert) Schutz der Privatsphäre des Arbeitnehmers nach Art. 8 EMRK grundsätzlich auch bei Einsichtnahme in Daten berührt, die nicht als privat zu erkennen sind aber kein Schutz, wenn nicht ausdrücklich als „privat“ gekennzeichnet Kennzeichnung als „persönlich“ reicht nicht aus an sich Verbot, aber tw. Tolerierung des AG

90 Überwachung mittels Keylogger - Browserverlauf –
BAG Urt. v – 2 AZR 681/16 stichprobenartige Auswertung des Browserverlaufs zur Kontrolle von privaten Verwendungsverboten grundsätzlich zulässig

91 Arbeitgeber kein Diensteanbieter nach TKG –
LAG Berlin-B. Urt. v – 5 Sa 657/15 private Dauernutzung des Internets während der Arbeitszeit Nachweis durch Auswertung des Browserverlaufs private Nutzung in Pausen war gestattet kein Beweisverwertungsverbot, da AG nicht Diensteanbieter nach § 88 Abs. 3 TKG Vergleich der Parteien vor dem BAG  Rechtsstandpunkt des BAG weiter offen

92 Automatisierte Entscheidungen

93 Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung a) für … den Abschluss oder die Erfüllung eines Vertrags … erforderlich ist, … oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

94 § 6 a BDSG alt – Automatisierte Einzelentscheidung
(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.

95 Cloud-Speicherung

96 Safe Harbor Entscheidung der EU-Kommission ungültig –
EuGH Urt. v – C-362/14 Personendaten von EU-Bürgern auf amerikanischen Servern nicht hinreichend geschützt keine Kompetenz der EU-Kommission zur Beschränkung von Rechten nationaler Datenschutzbehörden fehlende Rechtsschutzmöglichkeiten betreffend US-Speicherung bewirken schwerwiegenden Grundrechtseingriff

97 Nachfolgeregelung zu Safe Harbor:
Privacy Shield-Abkommen EU-USA von EU-Kommission anerkannt durch Angemessenheitsentscheidung Klagen hiergegen weiterhin anhängig Funktionsweise ähnlich Safe Harbor, aber deutlich verschärft u.a. im Rechtsschutz

98 “Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.” Executive Order des US-Präsidenten vom (Section 14)

99 Fotos und Bilder

100 Widerruf der Verwendung von Mitarbeiterbildern –
BAG Urt. v – 8 AZR 1010/13 Verwendung von Mitarbeiterbildern (Fotos und Videos) setzt i.d.R. deren Einwilligung voraus (§ 22 KunstUrhG) kein freies Widerrufsrecht des Arbeitnehmers besondere Begründung erforderlich, abhängig von Einzelfall

101 Mitarbeiterbilder nach der DSGVO
Rechtsgrundlage bleibt Beschäftigtendatenschutz (§ 26 Abs. 1 BDSG neu) keine abweichende Beurteilung nach DSGVO u.U. besondere Umstände der Einwilligung beachten

102 Keine Verletzung des Rechts am eigenen Bild bei datenschutzrechtlich zulässiger Detektivüberwachung – BAG Urt. v – 2 AZR … Verdacht auf Konkurrenztätigkeit und Efz-Betrug Wenn datenschutzrechtlich zulässig (hier noch nach § 32 Abs. 1 S. 2 BDSG a.F.)  keine Verletzung des Rechts am eigenen Bild bzw. des Rechts auf informationelle Selbstbestimmung keine Sperrwirkung zwischen S. 1 und 2

103 WhatsApp

104 Praxisprobleme bei Nutzung von WhatsApp
Mitarbeiter ordnen sich in WhatsApp-Gruppen und kommunizieren dort zu sämtlichen dienstlichen und privaten Themen Organisation sämtlicher Team-Angelegenheiten über WhatsApp WhatsApp als Beweismittel im Arbeitsgerichtsprozess

105 Rechtskonformer Einsatz von WhatsApp im Betrieb kaum möglich:
Leitung der Nachrichtenströme über amerikanische Server (Cloud-Speicher-Problematik) Hochladen des Adressbuchs des Smartphones an WhatsApp zur Sicherung der Grundfunktionalität des Dienstes (datenschutzrechtliche Zulässigkeit?) Nutzung nur privat oder mit Genehmigung gewerblich möglich (Compliance-Verstöße?)

106 Erhebung und Erfassung der privaten Mobilfunknummer des Arbeitnehmers unzulässig –
LAG Thürigen Urt. v – … Sa … grundsätzlich nur mit Einwilligung des Arbeitnehmers möglich datenschutzrechtlich ohne Einwilligung nur möglich, wenn Arbeitsaufgabe schon nach Einstellungsbedingungen nicht oder nicht vollständig ohne Verarbeitung der Rufnummer nicht erledig werden kann hier: „risikobehaftete Arbeitsorganisation“

107 Exkurs: Risikoperspektiven des Arbeitnehmers
Steigerung der Intensität der Pflichtwidrigkeit bei Datenschutzverstößen durch Arbeitnehmer? Verschiebung des Haftungsmaßstabs der Arbeitnehmerhaftung bei DS-Verstößen (nach ordnungsgemäßer Belehrung, § 53 BDSG neu)?

108 Vertraulichkeit im Arbeitsverhältnis:
ungeschriebene vertragliche Nebenpflicht des Arbeitnehmers gesetzliche Verschwiegenheitspflichten: §§ 17, 18, 20 UWG § 13 Nr. 6 BBiG § 24 ArbeitnehmererfindungsG § 5 BDSG § 79 BetrVG

109 Verstoß gegen Verschwiegenheitspflichten:
Vertragspflichtverletzung Kündigungsperspektive Abmahnungserfordernis? fristlose Kündigung bei Wettbewerbsnutzung

110 VI. Datenschutzbeauftragter
auch Änderungsvertrag, befristet Änderungen

111 Datenschutzbeauftragte nichtöffentlicher Stellen
Kernregelung jetzt in Art. 37 ff. DSGVO Bestellungspflicht modifiziert in § 38 BDSG (mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt) interne wie externe Bestellung weiter zulässig Benennungsmöglichkeit im Konzern – Art. 37 Abs. 2 DSGVO

112 Aufgaben des Datenschutzbeauftragten – Art. 39 Abs. 1 DSGVO
Unterrichtung und Beratung des Verantwortlichen Überwachung der Einhaltung der DSGVO Beratung im Zusammenhang mit der Datenschutz- Folgeabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

113 Schutz und Haftung des Datenschutzbeauftragten
Diskriminierungsverbot – Art. 38 Abs. 3 S. 2 DSGVO weiterhin: Sonderkündigungsschutz über § 6 Abs. 4 BDSG – nur fristlose Kündigung möglich keine Haftung, keine Aufwertung zum „Verantwortlichen“ gem. 82 Abs. 2 DSGVO

114 VII. Betriebsrat und Datenschutz
auch Änderungsvertrag, befristet Änderungen

115 Mitbestimmungsrechte des BR im Datenschutz:
direkt nur § 80 Abs. 1 Ziff. 1 BetrVG – Überwachungsrecht § 80 Abs. 2 BetrVG – Informationsrecht indirekt über § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung

116 Berührte Nebenbereiche der Mitbestimmungsrechte:
§ 87 Abs. 1 Ziff. 1 BetrVG – Arbeitnehmerverhalten § 90 Abs. 1 BetrVG – Änderungen der Arbeitsumgebung §§ 94, 95 BetrVG – Personalfragebögen, Formulararbeitsverträge, Beurteilungsgrundsätze, Auswahlrichtlinien keine Mitbestimmung bei der Bestellung des Datenschutzbeauftragten (Person, intern oder extern)

117 § 87 Abs. 1 Ziff. 6 BetrVG – Technikmitbestimmung
„echtes“ Mitstimmungsrecht = Zustimmungserfordernis, sonst Einigungsstelle Initiativrecht des Betriebsrats Betriebsräte machen in der Praxis Zustimmung zu neuer Technik von Datenschutzzugeständnissen abhängig

118 Gesetzesvorrang weitgehend ausgehebelt durch § 26 Abs. 4 BDSG
§ 87 Abs. 1 Ziff. 6 BetrVG Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen [=zuzustimmen]: … 6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; BAG: bestimmt = geeignet Folge: bloßes Überwachungspotenzial bringt Mitbestimmung

119 zahlreiche Einigungsstellenverfahren, die Digitalisierung nimmt Fahrt auf!
häufig eher komplexer Streit um Einführung Hauptbefürchtungen des Betriebsrats: Ausspähen von Mitarbeitern Rationalisierung durch Digitalisierung

120 Kündigung wegen Nichtteilnahme an einem elektronischen Überwachungssystem –
BAG Urt. v – 2 AZR 730/15 außerordentliche Kündigung mit sozialer Auslauffrist zulässige Datenverarbeitung nach § 32 BDSG ist dies Erlaubnistatbestand nach § 4 Abs. 1 BDSG Nichtteilnahme an elektronischem Berichts- und Überwachungssystem rechtfertigt nach Abmahnung Kündigung

121 Mitbestimmung des BR beim Facebook-Auftritt des AG –
BAG Beschl. v – 1 ABR 7/15 Mitbestimmung beim Ermöglichen von Postings, die sich auf Verhalten oder Leistung einzelner Mitarbeiter beziehen Ausgestaltung der Funktion unterliegt der Mitbestimmung unmittelbare Veröffentlichung unterliegt der Mitbestimmung

122 Belastungserfassung durch Screening-Software –
BAG Beschl. v – 1 ABR 46/15 Software zur durchgehenden Erfassung der Belastung von Mitarbeitern verstößt gegen deren allgemeines Persönlichkeitsrecht Unwirksamkeit eines Einigungsstellenspruchs

123 Sonderfunktion des BR im Datenschutz:
Kollektivvereinbarungen (=Betriebsvereinbarungen) bilden „freihändige“ Verarbeitungsgrundlage im Rahmen des Art. 88 Abs. 2 DSGVO (streitig!) hierdurch weite Handlungsspielräume bei Konsens zwischen Arbeitgeber und Betriebsrat (streitig!) (vor allem auch: Konzerndatenverarbeitung!) kein genereller Revisionsbedarf von bestehenden Betriebsvereinbarungen empfehlenswert: Datenschutz-Rahmen-BV

124 Art. 88 Abs. 2 DSGVO Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

125 Problemfall: AG und BR schließen eine BV „Zusatzleistungen“, nach der Arbeitnehmer monatlich EUR 45,-- auf einem Bonuskonto gutgeschrieben erhalten. Die Abwicklung übernimmt ein Dienstleister, der die entsprechenden Daten vom AG nach den Regelungen der BV erhält. Beim Dienstleister können Arbeitnehmer vom Bonuskonto verschiedene Prämien einkaufen, die von diesem dann geliefert werden. Arbeitnehmer X ist entrüstet über die Weitergabe seiner Daten an den externen Dienstleister.

126 Betriebsrat als Datenschutzverpflichteter
Pflicht zu Einhaltung datenschutzrechtlicher Vorschriften (z.T. bereits geregelt, z.B. § 99 Abs. 1 S. 3 BetrVG) Kontrollmöglichkeiten des Arbeitgebers? Betriebsrat als eigene datenverarbeitende Stelle?